26 mai 2018

|

Marc-Antoine LEDIEU

Marc-Antoine LEDIEU – Avocat et RSSI

#189 RGPD premier bilan au 26 mai 2018 [formation pro ISEP]

#189 RGPD premier bilan au 26 mai 2018 [formation pro ISEP]

[26 mai 2018 mis à jour le 29 mai 2018] Je ne pouvais pas espérer mieux en ce samedi 26 mai 2018 que d’évoquer en détail, avec des pro, l’entrée en application effective de la GDPR, ce Règlement UE n°2016/679, qui nous fait toutes et tous tant courir depuis des mois… Voila… Nous y sommes.Sur la papier, certes, nous y sommes. La loi est applicable dans tous les pays de l’Union Européenne, de manière identique, à compter de… hier, vendredi 25 mai. Voici la raison de cette présentation. « Pour de vrai », qu’en est-il de la mise en oeuvre de la loi européenne sur la protection des données à caractère personnel ? Vous trouverez la présentation RGPD premier bilan au 28 mai 2018 faite à l’ISEP – Ecole d’Ingénieurs du Numérique – à la fin de ce post.
GDPR-RGPD premier bilan au 26 mai 2018 [Ledieu-Avocats] droit du numérique et des nouvelles technologies


GDPR-RGPD premier bilan au 28 mai 2018 : LE GRAND ÉCART

Le secrétaire général de la C.N.I.L. [Jean Lessi] livre ses conseils suite à l’entrée en vigueur du RGPD

Journal du Net – 24 mai 2018 –
https://www.journaldunet.com/ebusiness/le-net/1209519-jean-lessi-cnil-rgpd/
« Le RGPD n’est pas un couperet… le non-respect des nouveautés apportées par le RGPD ne donnera pas lieu à des sanctions. Nous donnons une priorité à l’accompagnement dans les premiers mois, sauf manquement grave ou mauvaise foi délibérée. Nous attendons des opérateurs qu’ils s’engagent résolument dans la conformité RGPD. Ne pas être prêt à 100% le 25 mai 2018 n’est donc pas grave pour la Cnil.
Les PME doivent se rassurer car notre priorité est pour l’instant de les accompagner dans leurs démarches.
Il ne suffit pas de s’y mettre une fois et de ne plus s’en préoccuper. Il faut être dans une optique de conformité dynamique ».

Google, Instagram, WhatsApp et Facebook attaqués pour leur politique du « tout ou rien »

Site web Next INpact – 28 mai 2018
https://www.nextinpact.com/news/106652-rgpd-google-instagram-whatsapp-et-facebook-attaques-pour-leur-politique-tout-ou-rien.htm
« Devant quatre autorités de contrôle, le site Noyb.eu [fondé par Maximilian Schrems] a déposé autant de recours visant quatre grands acteurs du numérique. Google/Android (devant la CNIL), Instagram (devant la DPA belge), WhatsApp (devant la HmbDfDI de Hambourg), et Facebook en Autriche (devant la DSB)« .

Dépôt des plaintes collectives contre les GAFAM !

Site web de La Quadrature du Net – 28 mai 2018 –
https://www.laquadrature.net/fr/depot_plainte_gafam
« La Quadrature du Net vient d’envoyer à la CNIL cinq plaintes contre Facebook, Google (Gmail, Youtube et Search), Apple (iOS et son méga-cookie), Amazon et LinkedIn« .

la Quadrature du Net passe à l’attaque contre les géants du net

Site web Numerama – 28 mai 2018 –
https://www.numerama.com/politique/345803-5-questions-laction-de-groupe-de-quadrature-net-contre-geants-web.html
« La Quadrature du Net annonce le lancement d’une action de groupe contre Google, Apple, Facebook, Amazon et Microsoft. Elle est fondée sur le Règlement général sur la protection des données, qui entre en application le 25 mai. L’association juge que ces entreprises obtiennent incorrectement le consentement des internautes.
La Quadrature du Net profite de l’application prochaine du Règlement général sur la protection des données, le 25 mai 2018, pour mener cette action de groupe, car ce texte comporte des dispositions juridiques majeures. Or, estime l’association, les pratiques des géants du web ne collent pas du tout avec le nouveau cadre qui est en train d’être déployé dans l’Union européenne.

GDPR-RGPD premier bilan au 28 mai 2018 : les pays de l’UE avec législation « GDPR compliant » 

« Lors d’un échange avec des journalistes, le 17 mai [2018], la commissaire à la Justice, Vera Jourova, a listé une quinzaine de pays qui seront prêts en temps et en heure [le 25 mai 2018]. Cinq États devraient l’être d’ici le mois de juin. Concernant les autres, la Commission « évaluera la situation peu après le mois de mai » et pourrait « lancer des procédures d’infraction dans les cas les plus sérieux », a affirmé la commissaire ». (contexte.com du 18 mai 2018).
Pour un premier bilan, ça part mal…

GDPR-RGPD premier bilan au 28 mai 2018 : et la loi CNIL V3 ?

Enfin ! Notre loi « Informatique et Libertés » du 6 janvier 1978 vient d’être adoptée… le 14 mai 2018. Il était temps… Il nous manquait un recours devant le Conseil Constitutionnel ? « Les sénateurs vont bien saisir le Conseil constitutionnel » titre Next INpact le 15 mai 2018.

GDPR-RGPD premier bilan au 28 mai 2018 : quelle doctrine d’interprétation ?

Avons-nous au 26 mai 2018, nous les juristes qui traitons cette matière, l’ensemble des règles nous permettant de répondre aux questions qui nous sont posées ?

GDPR-RGPD premier bilan au 28 mai 2018 : la liste des « Working Papers » du G.29

Pour une liste à jour des différents « Working Papers » de l’UE interprétant le GDPR, cliquez sur http://ec.europa.eu/newsroom/article29/news.cfm?item_type=1360 ou sur celui des WP qui vous intéresse :

 Il manque un gros paquet comparé à la liste des documents qui étaient annoncés…


GDPR-RGPD premier bilan au 26 mai 2018 : les questions des professionnels

Le Mastère spécialisé de l’ISEP finalise un cursus technique et juridique pour des professionnels de la protection des données personnelles. Des DPO en puissance… Evidemment, ce séminaire d’une journée relatif à la RGPD est l’occasion de faire un point sur ce que l’on sait, et sur les « zones d’ombre »… Vous trouverez ci-dessous la liste des « zones d’ombre » qui m’a été adressée avant le séminaire.
Ce qui fait peur dans cette liste ? c’est que ce sont des questions posées par des professionnels qui connaissent déjà fort bien la matière. C’est dire l’ampleur de la tache à accomplir vis-à-vis des entreprises (et des administrations) pour qu’elles prennent le sujet à bras le corps. Alors imaginez la difficulté à rendre simple la matière pour les « personnes concernées », qu’elles soient citoyen, salarié, clients/user des services web en ligne… Il y a un an et demi, j’écrivais sur ce blog que cette loi européenne imposait une véritable révolution culturelle autours de la data.

Bases légales :

  1. Comment utiliser l’intérêt légitime et qu’elles sont les contraintes ?
  2. Quand utiliser le consentement ?
  3. Quelle option pour les salariés dans le cadre de l’utilisation des réseaux professionnels et de l’intranet ?
  4. L’information des personnes concernées lorsqu’il y a plusieurs bases légales pour un même traitement
  5. Le changement de base légale
  6. Dans le cadre d’un traitement de données des proches d’un salarié, quelle base légale appliquer, faut-il obtenir le consentement ?
  7. La restriction porte sur le consentement, mais s »il s’agit d’une autre base légale, il n’y a pas de précaution à prendre ?

GDPR-RGPD premier bilan au 26 mai 2018 [Ledieu-Avocats] droit du numérique et des nouvelles technologies


Droit des personnes :

  1. Droit à l’effacement notamment pour les mineurs
  2. Droit à la portabilité dans le cas d’un changement d’employeurs sachant que l’employeur a et l’employeur b font partie de la même institution mais ont une personnalité juridique propre.
  3. Articulation du Droit à l’image et du RGPD
  4. Transparence dans l’information des personnes : cadre légal des icones RGPD et leurs mises en œuvre

GDPR-RGPD premier bilan au 26 mai 2018 [Ledieu-Avocats] droit du numérique et des nouvelles technologies


Relations Sous-traitant vs Responsable de traitement

  1. Le RT peut-il contractuellement imposer au ST initial la réalisation d’audits auprès des ST deson ST (dont le RT a autorisé le recours) ?
  2. La consultation du registre du ST
  3. Brief en matière de Droit des contrats et de nego contractuelle notamment

4. co-responsable de traitement et sur la mise en œuvre de leur co- responsabilité en cas de contentieux. Comment se répartir la condamnation puisqu’ils sont normalement solidaires ? Possibilité d’action récursoire ?

  1. Zoom sur la partie « Co responsabilité », et plus précisément dans un même groupe. Par exemple : comment gérer les coresponsabilités des entités d’un même groupe ? comment se concrétise l’accord de co responsabilité ? Quels éléments y mentionne-t-on ?
  2. Dans le cadre d’un partage de CRM entre un groupe et ses filiales, qui est RT et qui est ST, dans quel cas y a t’il Co RT ?

GDPR-RGPD premier bilan au 26 mai 2018 [Ledieu-Avocats] droit du numérique et des nouvelles technologies


Mentions d’information :

  1. Jusqu’où aller dans la description de la source en cas de collecte indirecte ?
  2. Comment rédiger des mentions légales ? les règles d’or.

GDPR-RGPD premier bilan au 26 mai 2018 [Ledieu-Avocats] droit du numérique et des nouvelles technologies


Durées de conservation :

1. Existe-t-il un cadre légal applicable aux ministères/Etablissements publics en termes deconservation ? Règles d’archivage …
2.Dans quelle mesure peut-on conserver les données d’un salarié contenues dans les outils informatiques du type : Boite mail, espace de stockage partagé, Cloud… ?
GDPR-RGPD premier bilan au 26 mai 2018 [Ledieu-Avocats] droit du numérique et des nouvelles technologies


Data Protection Officer

  1. Un DPO groupe non basé en France mais avec un siège social en France doit-il être déclaré auprès de la CNIL ?
  2. Peut-on avoir un DPO Groupe et des DPO dans certains pays ? dans ce cas qu’elle doit être l’autorité de contrôle ?

GDPR-RGPD premier bilan au 26 mai 2018 [Ledieu-Avocats] droit du numérique et des nouvelles technologies


Divers :

  1. La Blockchain peut-elle être réellement compatible avec le RGPD ?
  2. Quel est pour vous l’impact du Cloud Act sur le RGPD ?

GDPR-RGPD premier bilan au 26 mai 2018 [Ledieu-Avocats] droit du numérique et des nouvelles technologies


GDPR-RGPD synthèse et premier bilan au 26 mai 2018 : une conclusion d’étape

GDPR-RGPD premier bilan au 26 mai 2018 [Ledieu-Avocats] droit du numérique et des nouvelles technologies 09
La présentation ci-dessous en BD ne servira que de prétexte à re-parcourir cette loi fondamentale, si mal rédigée, si complexe, et si remplie de détails. Faisons un pari : si l’on prend en compte la nécessité pour les éditeurs de logiciels opérant en mode SaaS de rendre leurs outils conformes, nous serons en mesure de faire un point satisfaisant sur l’application de cette loi dans 3 ans ? Dans 5 ans ?

Manifestement, comme toutes les révolutions, la GDPR ne s’imposera pas simplement, et certainement pas de manière généralisée à la date du 26 mai 2018.
Ce qui est sûr et certain : si les autorités de contrôle ne sanctionnent pas certains opérateurs de manière exemplaire, cette loi ne servira à rien.
On en reparle le 25 mai 2019 ?



GDPR-RGPD premier bilan au 26 mai 2018 [Ledieu-Avocats] droit du numérique et des nouvelles technologies 10


GDPR-RGPD premier bilan au 26 mai 2018 [Ledieu-Avocats] droit du numérique et des nouvelles technologies 11


GDPR-RGPD premier bilan au 26 mai 2018 [Ledieu-Avocats] droit du numérique et des nouvelles technologies 12


GDPR-RGPD premier bilan au 26 mai 2018 [Ledieu-Avocats] droit du numérique et des nouvelles technologies 12


GDPR-RGPD premier bilan au 26 mai 2018 [Ledieu-Avocats] droit du numérique et des nouvelles technologies 12


Marc-Antoine Ledieu

Avocat à la cour

Nos articles sur le sujet :
CYBER SÉCURITÉ

Nos articles sur le sujet :
CYBER SÉCURITÉ