Webinar RGPD Insert from: FILE > select image january/webinar 22... · population – Déclaration...
Transcript of Webinar RGPD Insert from: FILE > select image january/webinar 22... · population – Déclaration...
To change BACKGROUND
IMAGE:
Design Tab > Background Styles
> Format Background > Fill
Insert from: FILE > select image
from Corporate Image Library
Webinar RGPD
« Data Breach » et nouvelle procédure de notification
des violations de données à caractère personnel
Christophe Fichet & Benjamin Znaty
22 Janvier 2018
22 January 2018. Simmons & Simmons is an international legal practice carried on by Simmons & Simmons LLP and its affiliated partnerships and other entities. © Simmons & Simmons LLP
1 /
To INCREASE or DECREASE
bullet list levels, use the
buttons on the Home tab
To add a new slide: click
New Slide button and select
one of the layouts
To change slide to a different
layout: click Layout and select
a different layout option
Le réglement européen sur la protection des données à
caractère personnel (RGPD): en bref
– Entrée en vigueur : 25 mai 2018
– Effet direct : application en droit national sans transposition
– Harmonisation des termes – fin du « patchwork » juridique
– Un encadrement et des exigences de conformité renforcés, un accroissement des responsabilités des intervenants, des sanctions dissuasives
– « Autorité de Contrôle Chef de file » pour les entreprises multinationales
(« Mécanisme de guichet unique »)
22 January 2018. Simmons & Simmons is an international legal practice carried on by Simmons & Simmons LLP and its affiliated partnerships and other entities. © Simmons & Simmons LLP
2 /
To INCREASE or DECREASE
bullet list levels, use the
buttons on the Home tab
To add a new slide: click
New Slide button and select
one of the layouts
To change slide to a different
layout: click Layout and select
a different layout option
Le RGPD : the “big picture”
Privacy
by design
and by
default
Registres DPO
Nouveaux
droits Sanctions Sous - Traitant
Transferts
internationaux
Etude d’impact Information
Violations
et notification
Profiling
Consentement
22 January 2018. Simmons & Simmons is an international legal practice carried on by Simmons & Simmons LLP and its affiliated partnerships and other entities. © Simmons & Simmons LLP
3 /
To INCREASE or DECREASE
bullet list levels, use the
buttons on the Home tab
To add a new slide: click
New Slide button and select
one of the layouts
To change slide to a different
layout: click Layout and select
a different layout option
Donnée à caractère personnel
Violation
Responsabilité Sanction
Prévention
22 January 2018. Simmons & Simmons is an international legal practice carried on by Simmons & Simmons LLP and its affiliated partnerships and other entities. © Simmons & Simmons LLP
4 /
To INCREASE or DECREASE
bullet list levels, use the
buttons on the Home tab
To add a new slide: click
New Slide button and select
one of the layouts
To change slide to a different
layout: click Layout and select
a different layout option
Qu’est ce qu’une donnée à caractère personnel ?
Ancienne définition : Loi relative à l'informatique, aux fichiers et aux libertés
du 6 janvier 1978 (article 2):
– « Toute information relative à une personne physique identifiée ou
identifiable, directement ou indirectement, par référence à un numéro
d'identification ou à un ou plusieurs éléments qui lui sont propres »
Nouvelle définition : RGPD (article 4) :
– « Toute information se rapportant à une personne physique identifiée ou
identifiable, directement ou indirectement, notamment par référence à un
identifiant, tel qu'un nom, un numéro d'identification, des données de
localisation, un identifiant en ligne, ou à un ou plusieurs éléments
spécifiques propres à son identité physique, physiologique, génétique,
psychique, économique, culturelle ou sociale »
22 January 2018. Simmons & Simmons is an international legal practice carried on by Simmons & Simmons LLP and its affiliated partnerships and other entities. © Simmons & Simmons LLP
5 /
To INCREASE or DECREASE
bullet list levels, use the
buttons on the Home tab
To add a new slide: click
New Slide button and select
one of the layouts
To change slide to a different
layout: click Layout and select
a different layout option
Qu’est ce qu’une violation de données à
caractère personnel ?
La violation de données à caractère personnel est une violation de la sécurité
entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la
divulgation non autorisée de données à caractère personnel transmises, conservées ou
traitées d'une autre manière, ou l'accès non autorisé à de telles données (art. 4.12 du
RGPD)
Précisions sur les éléments de définition par le Groupe de l’article 29 dans ses lignes
directrices du 3 octobre 2017:
Exemple pour la perte de données:
– Les données peuvent encore exister mais le responsable de traitement en a perdu la
possession, le contrôle ou l’accès
– Exemple de la perte ou du vol d’un appareil qui contient une copie de la base de
données des clients du responsable de traitement
22 January 2018. Simmons & Simmons is an international legal practice carried on by Simmons & Simmons LLP and its affiliated partnerships and other entities. © Simmons & Simmons LLP
6 /
To INCREASE or DECREASE
bullet list levels, use the
buttons on the Home tab
To add a new slide: click
New Slide button and select
one of the layouts
To change slide to a different
layout: click Layout and select
a different layout option
Exemple : perte d’un ordinateur contenant des données à caractère
personnel
Tableau d’équipe avec les
congés
Contacts enregistrés dans un
carnet d’adresse
Donnée révélant l’identité de la
personne
Donnée révélant des
informations sensibles sur la
personne (ex : appartenance
syndicale ou données de santé)
22 January 2018. Simmons & Simmons is an international legal practice carried on by Simmons & Simmons LLP and its affiliated partnerships and other entities. © Simmons & Simmons LLP
7 /
To INCREASE or DECREASE
bullet list levels, use the
buttons on the Home tab
To add a new slide: click
New Slide button and select
one of the layouts
To change slide to a different
layout: click Layout and select
a different layout option
Violation des données à caractère personnel
Catégorisation (par le Groupe de l’article 29)
Violation de la confidentialité des données
Accès ou divulgation non autorisés ou accidentels à des données à caractère personnel
Violation de l’intégrité des données
Altération non autorisée ou accidentelle des données à caractère personnel
Violation de la disponibilité des données
Perte d’accès ou destruction non autorisée ou accidentelle, temporaire ou définitive, des
données à caractère personnel
– Exemple : si le responsable de traitement ne peut pas restaurer les données, notamment à partir
d’une sauvegarde, il y a perte définitive de la disponibilité des données.
22 January 2018. Simmons & Simmons is an international legal practice carried on by Simmons & Simmons LLP and its affiliated partnerships and other entities. © Simmons & Simmons LLP
8 /
To INCREASE or DECREASE
bullet list levels, use the
buttons on the Home tab
To add a new slide: click
New Slide button and select
one of the layouts
To change slide to a different
layout: click Layout and select
a different layout option
Procédures de notification
Notification de la violation à la CNIL (art.33)
– Notification par le responsable de traitement
– Dans les meilleurs délais et 72 heures maximum à compter de la prise de
connaissance de la violation
– Retard de notification à motiver
– Dispense de notification en l’absence de risque pour les droits et libertés
Information de la personne concernée (art.34)
– En cas de risque élevé pour les droits et libertés de la personne
– Dans les meilleurs délais
– Dispense d’information :
– Si des mesures de protection techniques et organisationnelles appropriées ont
été prises et appliquées aux données visées (ex: chiffrement)
– Si des mesures ultérieures empêchant le risque élevé pour les droits et libertés
des personnes de se matérialiser ont été prises par le responsable de traitement
– Si l’information exigerait des efforts disproportionnés (RGPD faisant toutefois
référence à la communication publique en substitution)
22 January 2018. Simmons & Simmons is an international legal practice carried on by Simmons & Simmons LLP and its affiliated partnerships and other entities. © Simmons & Simmons LLP
9 /
To INCREASE or DECREASE
bullet list levels, use the
buttons on the Home tab
To add a new slide: click
New Slide button and select
one of the layouts
To change slide to a different
layout: click Layout and select
a different layout option
Juxtaposition avec les régimes déjà existants
Obligations pour les opérateurs d’importance vitale relatives aux incidents affectant la
sécurité ou le fonctionnement de leurs systèmes d'information d'importance vitale (Article
R1332-41-10 du Code de la Défense)
– Systèmes pour lesquels l'atteinte à la sécurité ou au fonctionnement risquerait de
diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou
la capacité de survie de la Nation ou pourrait présenter un danger grave pour la
population
– Déclaration à l’ANSSI sans délai et au fur et à mesure de l’incident
– Arrêtés pris par secteurs (ex: santé, transport etc…)
Signalement des incidents graves de sécurité des systèmes d'information par les
établissements de santé (L.1111-8-2 du Code de la Santé Publique)
– Incident ayant des conséquences potentielles ou avérées sur la sécurité des soins,
sur la confidentialité ou intégrité des données de santé ou affectant le fonctionnement
normal de l’établissement
– Déclaration des incidents auprès de l’ARS / significatifs (impact départemental,
régional ou national) auprès de l’ASIP
22 January 2018. Simmons & Simmons is an international legal practice carried on by Simmons & Simmons LLP and its affiliated partnerships and other entities. © Simmons & Simmons LLP
10 /
To INCREASE or DECREASE
bullet list levels, use the
buttons on the Home tab
To add a new slide: click
New Slide button and select
one of the layouts
To change slide to a different
layout: click Layout and select
a different layout option
Responsabilité prévue par le RGPD (art. 82)
Droit pour toute personne d'obtenir réparation du dommage matériel ou moral subi du
fait d'une violation du RGPD
Responsabilité du responsable du traitement (art 82.2)
Responsabilité du sous-traitant dans deux cas :
– S'il n'a pas respecté les obligations prévues par le présent règlement qui incombent
spécifiquement aux sous-traitants
– S'il a agi en-dehors des instructions licites du responsable du traitement ou
contrairement à celles-ci
Actions judiciaires pour obtenir réparation intentées devant les juridictions compétentes
sur le territoire duquel l’autorité de contrôle est établie
22 January 2018. Simmons & Simmons is an international legal practice carried on by Simmons & Simmons LLP and its affiliated partnerships and other entities. © Simmons & Simmons LLP
11 /
To INCREASE or DECREASE
bullet list levels, use the
buttons on the Home tab
To add a new slide: click
New Slide button and select
one of the layouts
To change slide to a different
layout: click Layout and select
a different layout option
Jurisprudence française: Responsabilité civile et pénale du responsable
de traitement
Responsabilité civile délictuelle ou contractuelle prévue par le Code civil
– Exemple : TGI Paris, 21 février 2013, Sarenza / M.x et autres
Piratage du fichier client de Sarenza par un concurrent ayant obtenu par une salariée de
Sarenza les codes d’accès permettant de gérer le e-mailing
Sarenza a contribué à la réalisation de son préjudice à hauteur de 30% en sécurisant de
façon insuffisante l’accès aux données électroniques de ses clients et prospects
Responsabilité pénale prévue par le Code Pénal
– Concernant la violation de données, l’article 226-17 punit le fait de procéder ou de faire
procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures de
sécurité prescrites à l'article 34 de la loi n° 78-17 du 6 janvier 1978 de cinq ans d'emprisonnement
et de 300 000 euros d'amende
– Exemple : Cass. Crim. 30 octobre 2001
Absence de protection suffisante de la confidentialité des données médicales enregistrées sur
le système informatique du Syndicat interprofessionnel des médecins du travail du pays d’Aix
Condamnation du président et du directeur à respectivement 50.000 et 30.000 francs
d’amende pour violation de la loi informatique et libertés et notamment de l’obligation de
sécurisation des données ainsi que pour violation du secret médical
22 January 2018. Simmons & Simmons is an international legal practice carried on by Simmons & Simmons LLP and its affiliated partnerships and other entities. © Simmons & Simmons LLP
12 /
To INCREASE or DECREASE
bullet list levels, use the
buttons on the Home tab
To add a new slide: click
New Slide button and select
one of the layouts
To change slide to a different
layout: click Layout and select
a different layout option
Sanctions
Sanctions civiles et pénales restent de la compétence des Etats membres
Sanctions administratives (art. 83) :
– Analyse au cas par cas
– Prise en compte de différents critères pour décider s'il y a lieu d'imposer une
amende administrative et pour décider du montant de l'amende administrative
Liste de critères à l’art. 83.2 : « notamment la nature, la gravité et la durée de la violation, le
nombre de personnes concernées affectées, le niveau de dommage subi, le fait que la
violation a été commise délibérément ou par négligence, les mesures prises par le
responsable du traitement ou le sous-traitant pour atténuer le dommage subi »
– Pour les violations des dispositions des règles concernant la sécurité des
données (sécurité du traitement, notification à la CNIL, information des
personnes), amendes administratives pouvant s'élever jusqu'à 10.000.000 EUR
ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel
mondial total de l'exercice précédent, le montant le plus élevé étant retenu
– Condamnation récentes: Hertz condamné en 2016 à 40.000 € pour son
« manquement à son obligation de sécurité des données » / Darty en janvier 2018
à 100.000 € pour négligence d’un sous-traitant ayant conduit à une faille de
sécurité
22 January 2018. Simmons & Simmons is an international legal practice carried on by Simmons & Simmons LLP and its affiliated partnerships and other entities. © Simmons & Simmons LLP
13 /
To INCREASE or DECREASE
bullet list levels, use the
buttons on the Home tab
To add a new slide: click
New Slide button and select
one of the layouts
To change slide to a different
layout: click Layout and select
a different layout option
Prévention des incidents (1/3)
Prise de mesures techniques et organisationnelles destinées à assurer un niveau
adéquat de sécurité par le responsable de traitement (article 32 du RGPD):
a) pseudonymisation et chiffrement des données à caractère personnel;
b) moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la
résilience constante des systèmes et des services de traitement;
c) moyens permettant de rétablir la disponibilité des données à caractère personnel et
l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;
d) procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures
techniques et organisationnelles pour assurer la sécurité du traitement.
Prise en considération de l’état de la technique, du coût de la mise en place de ces mesures, de la
nature, l’étendue et l’objet du traitement, du degré de variation du risque et de la sévérité de
l’atteinte aux droits et libertés des personnes physiques
22 January 2018. Simmons & Simmons is an international legal practice carried on by Simmons & Simmons LLP and its affiliated partnerships and other entities. © Simmons & Simmons LLP
14 /
To INCREASE or DECREASE
bullet list levels, use the
buttons on the Home tab
To add a new slide: click
New Slide button and select
one of the layouts
To change slide to a different
layout: click Layout and select
a different layout option
Prévention des incidents (2/3)
Désignation d’une personne qui supervise la protection des données
A compter de l’entrée en vigueur du RGPD il s’agira du Délégué à la Protection des
Données
– Rôle du DPO :
– Rôle d’information des personnes et de contrôle du respect du RGPD (art. 39)
– Rôle de conseil et de soutien (art. 39 (1) (c) (d) (e))
– Analyse de risques
– Tenue de registres
– Désignation du DPO : obligatoire lorsque :
– Le traitement est effectué par une autorité publique ou un organisme public
(sauf juridictions agissant dans l'exercice de leur fonction juridictionnelle)
– Les activités de base du responsable du traitement ou du sous-traitant
consistent en des opérations de traitement qui, du fait de leur nature, de leur
portée et/ou de leurs finalités, exigent un suivi régulier et systématique à
grande échelle des personnes concernées
– Les activités de base du responsable du traitement ou du sous-traitant
consistent en un traitement à grande échelle de sensibles et de données
relatives à des condamnations pénales et à des infractions
22 January 2018. Simmons & Simmons is an international legal practice carried on by Simmons & Simmons LLP and its affiliated partnerships and other entities. © Simmons & Simmons LLP
15 /
To INCREASE or DECREASE
bullet list levels, use the
buttons on the Home tab
To add a new slide: click
New Slide button and select
one of the layouts
To change slide to a different
layout: click Layout and select
a different layout option
Prévention des incidents (3/3)
Etudes d’impacts imposées par le RGPD
Formations internes et sensibilisation du personnel pour prévenir et détecter les
incidents relatifs aux données, lesquelles doivent être :
– Accessibles et pertinents pour chaque employé
– Dispensés à un niveau adéquat
– Obligatoires
– Mesurables (registre des personnes ayant suivi avec succès la formation)
– Renouvelés autant que nécessaire
Campagnes de sensibilisation régulières axées sur les bonnes et mauvaises pratiques
Information des employés sur l’impact des mauvaises pratiques en matière de
protection des données sur les clients, les employés et sur la société
Process internes de déclaration des incidents de sécurité (à fortiori en cas de
juxtaposition de différents régimes avec l’appui des parties prenantes dans la rédaction)
Couverture assurantielle appropriée
22 January 2018. Simmons & Simmons is an international legal practice carried on by Simmons & Simmons LLP and its affiliated partnerships and other entities. © Simmons & Simmons LLP
16 /
To INCREASE or DECREASE
bullet list levels, use the
buttons on the Home tab
To add a new slide: click
New Slide button and select
one of the layouts
To change slide to a different
layout: click Layout and select
a different layout option
Conclusion
Le responsable de traitement doit vérifier que la violation porte sur des données à caractère
personnel
Le responsable de traitement doit analyser si le vol de l’ordinateur peut être constitutif, au vu
des données qu’il contient, d’une violation
Le responsable de traitement doit déterminer si la violation des données présente un risque
pour les droits et libertés des personnes
Le responsable de traitement qui a relevé l’existence d’un risque pour les droits et libertés des
personnes doit notifier à la CNIL et informer les personnes (en cas de risque élevé et sauf
exception applicable)
Tableau des congés + carnet d’adresses
Informations (sensibles) personnes identifiées
Données à caractère personnel
Données perdues, divulguées, conservées ?
Copie de sauvegarde ? Violation
Analyse risque quant aux dates de congés et
coordonnées
Données sensibles ? Nombre de salariés
concernés ?
Risque pour les droits et libertés des personnes
concernées
Risque Notification à la CNIL Information des personnes
simmons-simmons.com
elexica.com
To change BACKGROUND
IMAGE:
Design Tab > Background Styles
> Format Background > Fill
Insert from: FILE > select image
from Corporate Image Library
MERCI
© Simmons & Simmons LLP 2013. Simmons & Simmons is an international legal practice carried on by Simmons & Simmons LLP and its affiliated partnerships and other entities.
0 / B_LIVE_EMEA1:1716992v1
simmons-simmons.com elexica.com
This document is for general guidance only. It does not contain definitive advice. SIMMONS & SIMMONS and S&S are registered trade marks of Simmons & Simmons LLP. Simmons & Simmons is an international legal practice carried on by Simmons & Simmons LLP and its affiliated practices. Accordingly, references to Simmons & Simmons mean Simmons & Simmons LLP and the other partnerships and other entities or practices authorised to use the name “Simmons & Simmons” or one or more of those practices as the context requires. The word “partner” refers to a member of Simmons & Simmons LLP or an employee or consultant with equivalent standing and qualifications or to an individual with equivalent status in one of Simmons & Simmons LLP’s affiliated practices. For further information on the international entities and practices, refer to simmons-simmons.com/legalresp. Simmons & Simmons LLP is a limited liability partnership registered in England & Wales with number OC352713 and with its registered office at CityPoint, One Ropemaker Street, London EC2Y 9SS. It is authorised and regulated by the Solicitors Regulation Authority. A list of members and other partners together with their professional qualifications is available for inspection at the above address.