RGPD-GDPR-e-Privacy les données personnelles des entreprises.
Merci aux participantes et aux participants la journée de formation du 27 juin 2019 organisée par Les Echos formation Lamy consacrée… au RGPD (et à e-Privacy) !
Beaucoup de slides (en BD bien sûr) pour comprendre…
Pour une version actualisée et à jour [octobre 2020], plus orientée jurisprudence, cliquez sur ce lien.
RGPD-GDPR-e-Privacy les données personnelles des entreprises : comprendre pourquoi le RGPD
Il faut faire un peu de technique pour comprendre pourquoi. Les données numériques sont un phénomène technique somme toute assez récent. Le premier « ordinateur » ? Vers 1941 / 1943.
Les « données numériques » et les premiers réseaux de communications électroniques ? Vers 1970.
Le premier micro-ordinateur « personnel » ? 1980.
L’explosion de l’Internet ? 1993 avec le caractère public du protocole www (protocole web).
L’utilisation massive des « métadonnées » ? Le premier moteur de recherche, aujourd’hui n°1 mondial (pas de non, pas de nom !), a été lancé en 1998.
Le premier terminal mobile permettant de téléphone et d’accéder au web ? 2007. Il y a à peine 12 ans…
Juridiquement, c’est plus simple. Loi « informatique et libertés en France en 1978.
Puis Directive européenne n°95/46 du 24 octobre 1995.
Puis, grâce aux révélations publiques d’Edward Snowden en 2013, l’UE se réveille et le 27 avril 2016, adoption du RGPD.
Depuis le 25 mai 2018, le RGPD est applicable. Mais il faut le lire (pour le croire) et surtout comprendre ce qu’il impose… Et même pour les professionnels, c’est pas si évident…
RGPD-GDPR-e-Privacy les données personnelles des entreprises : « contenu » – « métadonnées » – « données à caractère personnel »
Les données de « contenu » ? Pour comprendre, il faut aller lire les projet de Règlement e-Privacy.
Les « métadonnées » ? Ce sont les données techniques nécessaires au transport de toute communication électronique.
Si ces données techniques permettent d’identifier un terminal (téléphone, tablette ou ordinateur), ce sont des « données à caractère personnel », le doute n’est aujourd’hui plus possible. Car derrière le téléphone, il y a une « personne physique »…
Nous en profiterons pour revoir ce que sont les « données sensibles ».
RGPD-GDPR-e-Privacy les données personnelles des entreprises : « traitement » ?
Dès que vous « manipulez » des data permettant d’identifier une personne, vous « traitez » au sein du RGPD.
Et si vous traitez, il faut que votre traitement soit licite. Nous verrons donc les 6 critères de licéité que doit respecter tout « responsable de traitement ».
Tant qu’on y est, regardons ce que sont les « traitements à grande échelle », et les traitements présentant un « risque élevé pour les droit et libertés des personnes ». Nous parlerons donc des « PIA » et des normes imposées par la CNIL le 11 octobre 2018.
RGPD-GDPR-e-Privacy les données personnelles des entreprises : « responsable de traitement » (controller)
Incontournable, et pas seulement parce que la CNIL a dit qu’elle allait surveiller de près comment les entreprises s’organisent, voyons qui est « controller » des data personnelles. C’est simple, c’est l’entreprise qui décide ce qu’elle veut traiter et pourquoi. Nous parlerons donc de la notion de « finalité ».
Nous ferons une petit incursion dans le droit des bases de données. Si votre base de données clients / prospects vous « appartient », vous êtes « producteur » des données personnelles contenues dans votre base de données.
Et si votre base de données est composée (notamment) de données personnelles, vous êtes aussi le « responsable du traitement » des données personnelles contenues dans la base de données.
TIENS ! Dans la notion de « traitement » de données personnelles, on trouve la notion « d’extraction ». C’est drôle, c’est le terme utilisé par la Directive base de données pour le droit principal accordé au producteur d’une base de données. Un hasard ?
Nous verrons une synthèse des obligations RGPD qui s’impose au responsable de traitement.
RGPD-GDPR-e-Privacy les données personnelles des entreprises : « sous-traitant » (processor)
Faisons le même exercice pour le sous-traitant RGPD. En fait, c’est assez simple : le sous-traitant « traite » les données de ses clients qui sont « responsables de traitement ». Il n’est pas producteur des data contenues dans la base de données à laquelle il accède. Et il doit obéir strictement aux instructions de son client.
Ces instructions doivent figurer dans un contrat écrit. Et la liste des items juridiques à prévoir dans le contrat de sous-traitance est… comment dire… assez détaillée…
La suite du programme dans un second post accessible sur ce blog… (nos développements de l’après midi)
RGPD-GDPR-e-Privacy les données personnelles des entreprises #1 : la présentation complète en BD dans le slider ci-dessous
