[26 mai 2018 mis à jour le 29 mai 2018] Je ne pouvais pas espérer mieux en ce samedi 26 mai 2018 que d’évoquer en détail, avec des pro, l’entrée en application effective de la GDPR, ce Règlement UE n°2016/679, qui nous fait toutes et tous tant courir depuis des mois… Voila… Nous y sommes.Sur la papier, certes, nous y sommes. La loi est applicable dans tous les pays de l’Union Européenne, de manière identique, à compter de… hier, vendredi 25 mai. Voici la raison de cette présentation. « Pour de vrai », qu’en est-il de la mise en oeuvre de la loi européenne sur la protection des données à caractère personnel ? Vous trouverez la présentation RGPD premier bilan au 28 mai 2018 faite à l’ISEP – Ecole d’Ingénieurs du Numérique – à la fin de ce post.
GDPR-RGPD premier bilan au 28 mai 2018 : LE GRAND ÉCART
Le secrétaire général de la C.N.I.L. [Jean Lessi] livre ses conseils suite à l’entrée en vigueur du RGPD
Journal du Net – 24 mai 2018 –
https://www.journaldunet.com/ebusiness/le-net/1209519-jean-lessi-cnil-rgpd/
« Le RGPD n’est pas un couperet… le non-respect des nouveautés apportées par le RGPD ne donnera pas lieu à des sanctions. Nous donnons une priorité à l’accompagnement dans les premiers mois, sauf manquement grave ou mauvaise foi délibérée. Nous attendons des opérateurs qu’ils s’engagent résolument dans la conformité RGPD. Ne pas être prêt à 100% le 25 mai 2018 n’est donc pas grave pour la Cnil.
Les PME doivent se rassurer car notre priorité est pour l’instant de les accompagner dans leurs démarches.
Il ne suffit pas de s’y mettre une fois et de ne plus s’en préoccuper. Il faut être dans une optique de conformité dynamique ».
Google, Instagram, WhatsApp et Facebook attaqués pour leur politique du « tout ou rien »
Site web Next INpact – 28 mai 2018
https://www.nextinpact.com/news/106652-rgpd-google-instagram-whatsapp-et-facebook-attaques-pour-leur-politique-tout-ou-rien.htm
« Devant quatre autorités de contrôle, le site Noyb.eu [fondé par Maximilian Schrems] a déposé autant de recours visant quatre grands acteurs du numérique. Google/Android (devant la CNIL), Instagram (devant la DPA belge), WhatsApp (devant la HmbDfDI de Hambourg), et Facebook en Autriche (devant la DSB)« .
Dépôt des plaintes collectives contre les GAFAM !
Site web de La Quadrature du Net – 28 mai 2018 –
https://www.laquadrature.net/fr/depot_plainte_gafam
« La Quadrature du Net vient d’envoyer à la CNIL cinq plaintes contre Facebook, Google (Gmail, Youtube et Search), Apple (iOS et son méga-cookie), Amazon et LinkedIn« .
la Quadrature du Net passe à l’attaque contre les géants du net
Site web Numerama – 28 mai 2018 –
https://www.numerama.com/politique/345803-5-questions-laction-de-groupe-de-quadrature-net-contre-geants-web.html
« La Quadrature du Net annonce le lancement d’une action de groupe contre Google, Apple, Facebook, Amazon et Microsoft. Elle est fondée sur le Règlement général sur la protection des données, qui entre en application le 25 mai. L’association juge que ces entreprises obtiennent incorrectement le consentement des internautes.
La Quadrature du Net profite de l’application prochaine du Règlement général sur la protection des données, le 25 mai 2018, pour mener cette action de groupe, car ce texte comporte des dispositions juridiques majeures. Or, estime l’association, les pratiques des géants du web ne collent pas du tout avec le nouveau cadre qui est en train d’être déployé dans l’Union européenne.
GDPR-RGPD premier bilan au 28 mai 2018 : les pays de l’UE avec législation « GDPR compliant »
« Lors d’un échange avec des journalistes, le 17 mai [2018], la commissaire à la Justice, Vera Jourova, a listé une quinzaine de pays qui seront prêts en temps et en heure [le 25 mai 2018]. Cinq États devraient l’être d’ici le mois de juin. Concernant les autres, la Commission « évaluera la situation peu après le mois de mai » et pourrait « lancer des procédures d’infraction dans les cas les plus sérieux », a affirmé la commissaire ». (contexte.com du 18 mai 2018).
Pour un premier bilan, ça part mal…
GDPR-RGPD premier bilan au 28 mai 2018 : et la loi CNIL V3 ?
Enfin ! Notre loi « Informatique et Libertés » du 6 janvier 1978 vient d’être adoptée… le 14 mai 2018. Il était temps… Il nous manquait un recours devant le Conseil Constitutionnel ? « Les sénateurs vont bien saisir le Conseil constitutionnel » titre Next INpact le 15 mai 2018.
GDPR-RGPD premier bilan au 28 mai 2018 : quelle doctrine d’interprétation ?
Avons-nous au 26 mai 2018, nous les juristes qui traitons cette matière, l’ensemble des règles nous permettant de répondre aux questions qui nous sont posées ?
GDPR-RGPD premier bilan au 28 mai 2018 : la liste des « Working Papers » du G.29
Pour une liste à jour des différents « Working Papers » de l’UE interprétant le GDPR, cliquez sur http://ec.europa.eu/newsroom/article29/news.cfm?item_type=1360 ou sur celui des WP qui vous intéresse :
-
Guidelines on Consent under Regulation 2016/679 (wp259rev.01) - Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679 (wp251rev.01)
- Guidelines on Personal data breach notification under Regulation 2016/679 (wp250rev.01)
- Guidelines on the application and setting of administrative fines (wp253). Now including available language versions.
- Guidelines on the Lead Supervisory Authority (wp244rev.01)
- Guidelines on Data Protection Officers (‘DPOs’) (wp243rev.01)
- Guidelines on the right to « data portability » (wp242rev.01)
- Guidelines on Data Protection Impact Assessment (DPIA) (wp248rev.01)
Il manque un gros paquet comparé à la liste des documents qui étaient annoncés…
GDPR-RGPD premier bilan au 26 mai 2018 : les questions des professionnels
Bases légales :
- Comment utiliser l’intérêt légitime et qu’elles sont les contraintes ?
- Quand utiliser le consentement ?
- Quelle option pour les salariés dans le cadre de l’utilisation des réseaux professionnels et de l’intranet ?
- L’information des personnes concernées lorsqu’il y a plusieurs bases légales pour un même traitement
- Le changement de base légale
- Dans le cadre d’un traitement de données des proches d’un salarié, quelle base légale appliquer, faut-il obtenir le consentement ?
- La restriction porte sur le consentement, mais s »il s’agit d’une autre base légale, il n’y a pas de précaution à prendre ?
Droit des personnes :
- Droit à l’effacement notamment pour les mineurs
- Droit à la portabilité dans le cas d’un changement d’employeurs sachant que l’employeur a et l’employeur b font partie de la même institution mais ont une personnalité juridique propre.
- Articulation du Droit à l’image et du RGPD
- Transparence dans l’information des personnes : cadre légal des icones RGPD et leurs mises en œuvre
Relations Sous-traitant vs Responsable de traitement
- Le RT peut-il contractuellement imposer au ST initial la réalisation d’audits auprès des ST deson ST (dont le RT a autorisé le recours) ?
- La consultation du registre du ST
-
Brief en matière de Droit des contrats et de nego contractuelle notamment
4. co-responsable de traitement et sur la mise en œuvre de leur co- responsabilité en cas de contentieux. Comment se répartir la condamnation puisqu’ils sont normalement solidaires ? Possibilité d’action récursoire ?
- Zoom sur la partie « Co responsabilité », et plus précisément dans un même groupe. Par exemple : comment gérer les coresponsabilités des entités d’un même groupe ? comment se concrétise l’accord de co responsabilité ? Quels éléments y mentionne-t-on ?
- Dans le cadre d’un partage de CRM entre un groupe et ses filiales, qui est RT et qui est ST, dans quel cas y a t’il Co RT ?
Mentions d’information :
- Jusqu’où aller dans la description de la source en cas de collecte indirecte ?
- Comment rédiger des mentions légales ? les règles d’or.
Durées de conservation :
1. Existe-t-il un cadre légal applicable aux ministères/Etablissements publics en termes deconservation ? Règles d’archivage …
2.Dans quelle mesure peut-on conserver les données d’un salarié contenues dans les outils informatiques du type : Boite mail, espace de stockage partagé, Cloud… ?
Data Protection Officer
- Un DPO groupe non basé en France mais avec un siège social en France doit-il être déclaré auprès de la CNIL ?
- Peut-on avoir un DPO Groupe et des DPO dans certains pays ? dans ce cas qu’elle doit être l’autorité de contrôle ?
Divers :
- La Blockchain peut-elle être réellement compatible avec le RGPD ?
- Quel est pour vous l’impact du Cloud Act sur le RGPD ?
GDPR-RGPD synthèse et premier bilan au 26 mai 2018 : une conclusion d’étape
La présentation ci-dessous en BD ne servira que de prétexte à re-parcourir cette loi fondamentale, si mal rédigée, si complexe, et si remplie de détails. Faisons un pari : si l’on prend en compte la nécessité pour les éditeurs de logiciels opérant en mode SaaS de rendre leurs outils conformes, nous serons en mesure de faire un point satisfaisant sur l’application de cette loi dans 3 ans ? Dans 5 ans ?
On en reparle le 25 mai 2019 ?
[wonderplugin_gallery id= »206″]