Webinar RGPD Insert from: FILE > select image january/webinar 22... · population – Déclaration...

To change BACKGROUND

IMAGE:

Design Tab > Background Styles

> Format Background > Fill

Insert from: FILE > select image

from Corporate Image Library

Webinar RGPD

« Data Breach » et nouvelle procédure de notification

des violations de données à caractère personnel

Christophe Fichet & Benjamin Znaty

22 Janvier 2018

22 January 2018. Simmons & Simmons is an international legal practice carried on by Simmons & Simmons LLP and its affiliated partnerships and other entities. © Simmons & Simmons LLP

1 /

To INCREASE or DECREASE

bullet list levels, use the

buttons on the Home tab

To add a new slide: click

New Slide button and select

one of the layouts

To change slide to a different

layout: click Layout and select

a different layout option

Le réglement européen sur la protection des données à

caractère personnel (RGPD): en bref

– Entrée en vigueur : 25 mai 2018

– Effet direct : application en droit national sans transposition

– Harmonisation des termes – fin du « patchwork » juridique

– Un encadrement et des exigences de conformité renforcés, un accroissement des responsabilités des intervenants, des sanctions dissuasives

– « Autorité de Contrôle Chef de file » pour les entreprises multinationales

(« Mécanisme de guichet unique »)


2 /






one of the layouts




Le RGPD : the “big picture”

Privacy

by design

and by

default

Registres DPO

Nouveaux

droits Sanctions Sous - Traitant

Transferts

internationaux

Etude d’impact Information

Violations

et notification

Profiling

Consentement


3 /






one of the layouts




Donnée à caractère personnel

Violation

Responsabilité Sanction

Prévention


4 /






one of the layouts




Qu’est ce qu’une donnée à caractère personnel ?

Ancienne définition : Loi relative à l'informatique, aux fichiers et aux libertés

du 6 janvier 1978 (article 2):

– « Toute information relative à une personne physique identifiée ou

identifiable, directement ou indirectement, par référence à un numéro

d'identification ou à un ou plusieurs éléments qui lui sont propres »

Nouvelle définition : RGPD (article 4) :

– « Toute information se rapportant à une personne physique identifiée ou

identifiable, directement ou indirectement, notamment par référence à un

identifiant, tel qu'un nom, un numéro d'identification, des données de

localisation, un identifiant en ligne, ou à un ou plusieurs éléments

spécifiques propres à son identité physique, physiologique, génétique,

psychique, économique, culturelle ou sociale »


5 /






one of the layouts




Qu’est ce qu’une violation de données à

caractère personnel ?

La violation de données à caractère personnel est une violation de la sécurité

entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la

divulgation non autorisée de données à caractère personnel transmises, conservées ou

traitées d'une autre manière, ou l'accès non autorisé à de telles données (art. 4.12 du

RGPD)

Précisions sur les éléments de définition par le Groupe de l’article 29 dans ses lignes

directrices du 3 octobre 2017:

Exemple pour la perte de données:

– Les données peuvent encore exister mais le responsable de traitement en a perdu la

possession, le contrôle ou l’accès

– Exemple de la perte ou du vol d’un appareil qui contient une copie de la base de

données des clients du responsable de traitement


6 /






one of the layouts




Exemple : perte d’un ordinateur contenant des données à caractère

personnel

Tableau d’équipe avec les

congés

Contacts enregistrés dans un

carnet d’adresse

Donnée révélant l’identité de la

personne

Donnée révélant des

informations sensibles sur la

personne (ex : appartenance

syndicale ou données de santé)


7 /






one of the layouts




Violation des données à caractère personnel

Catégorisation (par le Groupe de l’article 29)

Violation de la confidentialité des données

Accès ou divulgation non autorisés ou accidentels à des données à caractère personnel

Violation de l’intégrité des données

Altération non autorisée ou accidentelle des données à caractère personnel

Violation de la disponibilité des données

Perte d’accès ou destruction non autorisée ou accidentelle, temporaire ou définitive, des

données à caractère personnel

– Exemple : si le responsable de traitement ne peut pas restaurer les données, notamment à partir

d’une sauvegarde, il y a perte définitive de la disponibilité des données.


8 /






one of the layouts




Procédures de notification

Notification de la violation à la CNIL (art.33)

– Notification par le responsable de traitement

– Dans les meilleurs délais et 72 heures maximum à compter de la prise de

connaissance de la violation

– Retard de notification à motiver

– Dispense de notification en l’absence de risque pour les droits et libertés

Information de la personne concernée (art.34)

– En cas de risque élevé pour les droits et libertés de la personne

– Dans les meilleurs délais

– Dispense d’information :

– Si des mesures de protection techniques et organisationnelles appropriées ont

été prises et appliquées aux données visées (ex: chiffrement)

– Si des mesures ultérieures empêchant le risque élevé pour les droits et libertés

des personnes de se matérialiser ont été prises par le responsable de traitement

– Si l’information exigerait des efforts disproportionnés (RGPD faisant toutefois

référence à la communication publique en substitution)


9 /






one of the layouts




Juxtaposition avec les régimes déjà existants

Obligations pour les opérateurs d’importance vitale relatives aux incidents affectant la

sécurité ou le fonctionnement de leurs systèmes d'information d'importance vitale (Article

R1332-41-10 du Code de la Défense)

– Systèmes pour lesquels l'atteinte à la sécurité ou au fonctionnement risquerait de

diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou

la capacité de survie de la Nation ou pourrait présenter un danger grave pour la

population

– Déclaration à l’ANSSI sans délai et au fur et à mesure de l’incident

– Arrêtés pris par secteurs (ex: santé, transport etc…)

Signalement des incidents graves de sécurité des systèmes d'information par les

établissements de santé (L.1111-8-2 du Code de la Santé Publique)

– Incident ayant des conséquences potentielles ou avérées sur la sécurité des soins,

sur la confidentialité ou intégrité des données de santé ou affectant le fonctionnement

normal de l’établissement

– Déclaration des incidents auprès de l’ARS / significatifs (impact départemental,

régional ou national) auprès de l’ASIP


10 /






one of the layouts




Responsabilité prévue par le RGPD (art. 82)

Droit pour toute personne d'obtenir réparation du dommage matériel ou moral subi du

fait d'une violation du RGPD

Responsabilité du responsable du traitement (art 82.2)

Responsabilité du sous-traitant dans deux cas :

– S'il n'a pas respecté les obligations prévues par le présent règlement qui incombent

spécifiquement aux sous-traitants

– S'il a agi en-dehors des instructions licites du responsable du traitement ou

contrairement à celles-ci

Actions judiciaires pour obtenir réparation intentées devant les juridictions compétentes

sur le territoire duquel l’autorité de contrôle est établie


11 /






one of the layouts




Jurisprudence française: Responsabilité civile et pénale du responsable

de traitement

Responsabilité civile délictuelle ou contractuelle prévue par le Code civil

– Exemple : TGI Paris, 21 février 2013, Sarenza / M.x et autres

Piratage du fichier client de Sarenza par un concurrent ayant obtenu par une salariée de

Sarenza les codes d’accès permettant de gérer le e-mailing

Sarenza a contribué à la réalisation de son préjudice à hauteur de 30% en sécurisant de

façon insuffisante l’accès aux données électroniques de ses clients et prospects

Responsabilité pénale prévue par le Code Pénal

– Concernant la violation de données, l’article 226-17 punit le fait de procéder ou de faire

procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures de

sécurité prescrites à l'article 34 de la loi n° 78-17 du 6 janvier 1978 de cinq ans d'emprisonnement

et de 300 000 euros d'amende

– Exemple : Cass. Crim. 30 octobre 2001

Absence de protection suffisante de la confidentialité des données médicales enregistrées sur

le système informatique du Syndicat interprofessionnel des médecins du travail du pays d’Aix

Condamnation du président et du directeur à respectivement 50.000 et 30.000 francs

d’amende pour violation de la loi informatique et libertés et notamment de l’obligation de

sécurisation des données ainsi que pour violation du secret médical


12 /






one of the layouts




Sanctions

Sanctions civiles et pénales restent de la compétence des Etats membres

Sanctions administratives (art. 83) :

– Analyse au cas par cas

– Prise en compte de différents critères pour décider s'il y a lieu d'imposer une

amende administrative et pour décider du montant de l'amende administrative

Liste de critères à l’art. 83.2 : « notamment la nature, la gravité et la durée de la violation, le

nombre de personnes concernées affectées, le niveau de dommage subi, le fait que la

violation a été commise délibérément ou par négligence, les mesures prises par le

responsable du traitement ou le sous-traitant pour atténuer le dommage subi »

– Pour les violations des dispositions des règles concernant la sécurité des

données (sécurité du traitement, notification à la CNIL, information des

personnes), amendes administratives pouvant s'élever jusqu'à 10.000.000 EUR

ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel

mondial total de l'exercice précédent, le montant le plus élevé étant retenu

– Condamnation récentes: Hertz condamné en 2016 à 40.000 € pour son

« manquement à son obligation de sécurité des données » / Darty en janvier 2018

à 100.000 € pour négligence d’un sous-traitant ayant conduit à une faille de

sécurité


13 /






one of the layouts




Prévention des incidents (1/3)

Prise de mesures techniques et organisationnelles destinées à assurer un niveau

adéquat de sécurité par le responsable de traitement (article 32 du RGPD):

a) pseudonymisation et chiffrement des données à caractère personnel;

b) moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la

résilience constante des systèmes et des services de traitement;

c) moyens permettant de rétablir la disponibilité des données à caractère personnel et

l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;

d) procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures

techniques et organisationnelles pour assurer la sécurité du traitement.

Prise en considération de l’état de la technique, du coût de la mise en place de ces mesures, de la

nature, l’étendue et l’objet du traitement, du degré de variation du risque et de la sévérité de

l’atteinte aux droits et libertés des personnes physiques


14 /






one of the layouts





Désignation d’une personne qui supervise la protection des données

A compter de l’entrée en vigueur du RGPD il s’agira du Délégué à la Protection des

Données

– Rôle du DPO :

– Rôle d’information des personnes et de contrôle du respect du RGPD (art. 39)

– Rôle de conseil et de soutien (art. 39 (1) (c) (d) (e))

– Analyse de risques

– Tenue de registres

– Désignation du DPO : obligatoire lorsque :

– Le traitement est effectué par une autorité publique ou un organisme public

(sauf juridictions agissant dans l'exercice de leur fonction juridictionnelle)

– Les activités de base du responsable du traitement ou du sous-traitant

consistent en des opérations de traitement qui, du fait de leur nature, de leur

portée et/ou de leurs finalités, exigent un suivi régulier et systématique à

grande échelle des personnes concernées

– Les activités de base du responsable du traitement ou du sous-traitant

consistent en un traitement à grande échelle de sensibles et de données

relatives à des condamnations pénales et à des infractions


15 /






one of the layouts





Etudes d’impacts imposées par le RGPD

Formations internes et sensibilisation du personnel pour prévenir et détecter les

incidents relatifs aux données, lesquelles doivent être :

– Accessibles et pertinents pour chaque employé

– Dispensés à un niveau adéquat

– Obligatoires

– Mesurables (registre des personnes ayant suivi avec succès la formation)

– Renouvelés autant que nécessaire

Campagnes de sensibilisation régulières axées sur les bonnes et mauvaises pratiques

Information des employés sur l’impact des mauvaises pratiques en matière de

protection des données sur les clients, les employés et sur la société

Process internes de déclaration des incidents de sécurité (à fortiori en cas de

juxtaposition de différents régimes avec l’appui des parties prenantes dans la rédaction)

Couverture assurantielle appropriée


16 /






one of the layouts




Conclusion

Le responsable de traitement doit vérifier que la violation porte sur des données à caractère

personnel

Le responsable de traitement doit analyser si le vol de l’ordinateur peut être constitutif, au vu

des données qu’il contient, d’une violation

Le responsable de traitement doit déterminer si la violation des données présente un risque

pour les droits et libertés des personnes

Le responsable de traitement qui a relevé l’existence d’un risque pour les droits et libertés des

personnes doit notifier à la CNIL et informer les personnes (en cas de risque élevé et sauf

exception applicable)

Tableau des congés + carnet d’adresses

Informations (sensibles) personnes identifiées

Données à caractère personnel

Données perdues, divulguées, conservées ?

Copie de sauvegarde ? Violation

Analyse risque quant aux dates de congés et

coordonnées

Données sensibles ? Nombre de salariés

concernés ?

Risque pour les droits et libertés des personnes

concernées

Risque Notification à la CNIL Information des personnes

simmons-simmons.com

elexica.com

To change BACKGROUND

IMAGE:

Design Tab > Background Styles

> Format Background > Fill

Insert from: FILE > select image

from Corporate Image Library

MERCI

[email protected]

[email protected]

© Simmons & Simmons LLP 2013. Simmons & Simmons is an international legal practice carried on by Simmons & Simmons LLP and its affiliated partnerships and other entities.

0 / B_LIVE_EMEA1:1716992v1

simmons-simmons.com elexica.com

This document is for general guidance only. It does not contain definitive advice. SIMMONS & SIMMONS and S&S are registered trade marks of Simmons & Simmons LLP. Simmons & Simmons is an international legal practice carried on by Simmons & Simmons LLP and its affiliated practices. Accordingly, references to Simmons & Simmons mean Simmons & Simmons LLP and the other partnerships and other entities or practices authorised to use the name “Simmons & Simmons” or one or more of those practices as the context requires. The word “partner” refers to a member of Simmons & Simmons LLP or an employee or consultant with equivalent standing and qualifications or to an individual with equivalent status in one of Simmons & Simmons LLP’s affiliated practices. For further information on the international entities and practices, refer to simmons-simmons.com/legalresp. Simmons & Simmons LLP is a limited liability partnership registered in England & Wales with number OC352713 and with its registered office at CityPoint, One Ropemaker Street, London EC2Y 9SS. It is authorised and regulated by the Solicitors Regulation Authority. A list of members and other partners together with their professional qualifications is available for inspection at the above address.

Webinar RGPD Insert from: FILE > select image january/webinar 22... · population – Déclaration...

Documents

Transcript of Webinar RGPD Insert from: FILE > select image january/webinar 22... · population – Déclaration...