15 octobre 2019

|

Marc-Antoine LEDIEU

Marc-Antoine LEDIEU – Avocat et RSSI

#270 RGPD-e-Privacy les données personnelles des entreprises

#270 RGPD-e-Privacy les données personnelles des entreprises

#270 RGPD-e-Privacy les données personnelles des entreprises

RGPD-e-Privacy la protection des données personnelles des entreprises ?

présentation de la journée

Bienvenue aux professionnel(le)s venu(e)s se former ce 15 octobre 2019 à la protection des données personnelles !

Bientôt, le RGPD n’aura plus trop de secret pour vous.

Attention, cette page web est très « lourde » : vous y trouverez l’intégrale de ma présentation en BD répartie en 9 sliders successifs.

Cette présentation est à jour au 10 octobre 2019 des annonces de la Commission de Bruxelles, de celles de la CNIL et de la jurisprudence française et européenne (CJUE).

[mise à jour du 10 février 2021 : pour une version actualisée et plus orientée sur la jurisprudence depuis 2011, cliquez sur ce lien].
Bonne lecture à toutes et à tous ! 

données personnelles #1 : les bases indispensables pour comprendre

Si le premier « ordinateur » a été conçu pendant la Seconde Guerre Mondiale, le premier réseau de communications électroniques » ne date que de 1969…
Alors faisons un peu d’histoire (technique et juridique) pour comprendre « pourquoi » le RGPD en 2016.

RGPD et e-Privacy #2 : données de contenu ? métadonnées ? données à caractère personnel ? traceurs ?

La notion de « données à caractère personnel » n’est pas si évidente que cela.
Pour bien comprendre, il faut maitriser la distinction entre (i) données « de contenu », (ii) « métadonnées » et (iii) « données personnelles ».
La plupart des traitements de données posant problème au sens de la législation RGPD / Informatique et Libertés portent justement sur les métadonnées permettant d’identifier directement ou indirectement les personnes physiques.
Disons-le simplement, la plupart de ces métadonnées liées à un terminal identifié sont des données personnelles !

#3 responsable de traitement et principe de finalité des traitements : les notions juridiques indispensables pour maitriser le RGPD et le futur Règlement e-Privacy

Je vous rappelle que le risque de sanctions pèse sur l’entreprise qui agit en qualité de « responsable du traitement ».
Ce risque mérite d’approfondir cette notion de « RT » (acronyme adoré des pro de la matière).
Et cette notion impose de s’intéresser aux 6 grands principes de validité de tout traitement de données personnelles.

données personnelles des entreprises #4 : la sous-traitance au sens du RGPD

Si votre entreprise n’est pas responsable de traitement, elle est alors « sous-traitant » au sens du RGPD.
Si tel est le cas, il peut être utile (?!) de s’intéresser aux droits et obligations des entreprises qui traitent les données personnelles de leurs clients.

RGPD et données personnelles #5 : profilage ? base juridique obligatoire ? consentement et droit à l'oubli ?

Le profilage est au coeur de la réforme imposée par le RGPD.
La pub ciblée en ligne ? C’est un profilage de données de navigation qui permet à des annonceurs que vous proposer sur votre terminal des « contenus » (publicitaires) liés à vos centres d’intéret personnel.
Vous voulez le détail ? Allez regarder les slides ci-dessous !

#6 : l'obligation d'information et les "droits RGPD"

C’est indéniablement la partie la plus difficile à manipuler pour les juristes.
Certains de ces droits sont connus depuis 1978 en France (le droit d’accès et de rectification qui tombent sous le sens).
D’autres parmi les « droits RGPD » sont nouveau et pas si évidents que cela à comprendre (je pense par exemple au « droit à la portabilité » de l’article 20 RGPD).
D’autres enfin sont proprement incompréhensibles, comme le « droit à la limitation » du traitement…
Au final, si vous aimez les usines à gaz juridiques, vous n’allez pas être déçu(e)…

données personnelles des entreprises #7 : DPO et registre des activités de traitement

Quels sont les droits et les obligations du Data Protection Officer ? Quand votre entreprise a-t-elle l’obligation d’en désigner un(e) ?
Quelles sont les missions du Délégué à la Protection des Données ?
Nous profiterons de cette section pour rappeler ce qu’est le « registre des activités de traitement » qui remplace (enfin) les obligations de déclaration administrative à la CNIL.

#8 : l'obligation de sécurisation technique [article 32 RGPD]

C’est la partie que je préfère. Un article unique qui impose l’obligation technique de sécurisation de TOUS LES TRAITEMENTS de données personnelles.
Cet article est mal écrit. Certes.
Les termes utilisés dans l’article 32 RGPD ne sont pas toujours bien choisis. OK.
Mais au fond : comment mettre en conformité son système d’information pour pouvoir prétendre répondre aux impératifs de la loi RGPD ?

RGPD-GDPR-e-Privacy les données personnelles des entreprises #9 : la notification des violations de données


Marc-Antoine Ledieu

Avocat à la cour

Nos articles sur le sujet :
CYBER SÉCURITÉ

Nos articles sur le sujet :
CYBER SÉCURITÉ