30 janvier 2018

|

Marc-Antoine LEDIEU

Marc-Antoine LEDIEU – Avocat et RSSI

#158 RGPD synthèse expresse [conférence pour Legisway]

#158 RGPD synthèse expresse [conférence pour Legisway]

[30 janvier 2018] Que pensez-vous que je puisse répondre à l’invitation de Legisway qui édite une solution logicielle de « contract management », qui communique avec des bandes dessinées (moi, j’aime bien le Cro-Magnon « Homo Contractus » !!!) et qui me demande une synthèse expresse du RGPD ? Bien évidemment, je réponds « présent » ! Et pas seulement parce que la conférence se tient au premier étage de la Tour Eiffel… A l’heure ou j’écris ces lignes, Delphine Lanchy, Directrice générale adjoint de Legisway est (assez) inquiète du nombre de mes slides et subodore que je ne vais pas tenir les 30 minutes qui me sont allouées…
Ma présentation complète « synthèse expresse du RGPD pour responsable de traitement » est toute entière dans le slider ci-dessous. Une synthèse pour les plus littéraires d’entre vous se trouve après le slider.



Synthèse expresse du RGPD pour littéraire

Que retenir au final lorsque l’on est « responsable de traitement » et que l’on doit vérifier sa « compliance GDPR » ?
Il faut repartir sur des bases saines et bien intégrer aujourd’hui ce que sont les « données à caractère personnel« . En réalité ? Cette loi européenne devrait s’intituler « Protection des métadonnées personnelles« . Car la réalité (pardon d’insister) de la majorité des traitements de données électroniques, ce sont les métadonnées qui permettent d’identifier indirectement les personnes physiques qui sont derrière les terminaux (ordinateur / tablette / smartphone / montrer connectée…).
Identifier indirectement une personne, ce n’est pas « connaitre le nom de la personne qui utilise le terminal« , c’est disposer de la capacité à reconnaitre cette personne (même sans connaitre son nom) pour lui adresser une prospection commerciale personnalisée ou lui afficher en ligne de la publicité « ciblée » ou « personnalisée ». Car c’est bien grâce à cette identification indirecte des users de terminaux que les opérateurs de traitement de données procèdent à du profilage…
synthèse expresse du RGPD


On peut envisager le RGPD sous trois axes de mise en conformité : l’aspect juridique, l’aspect technique et l’aspect organisationnel. Je ferai (lâchement) l’impasse sur le troisième volet, des tas de professionnels font ça bien mieux que moi.


Synthèse expresse du RGPD : aspects juridiques

Pas de panique, oubliez la lourdeur des sanctions pécuniaires et voyez cette loi comme un ensemble de bonnes pratiques – certes obligatoires – qui existaient déjà dans la loi « Informatique et Libertés ». Sauf que cette dernière n’était pas prise au sérieux, faute de sanctions dissuasives…

« responsable du traitement » vs. « sous-traitant »


Il faut donc positionner son entreprise soit comme « responsable du traitement », soit comme « sous-traitant » puisque ce sont les deux seules qualifications juridiquement utilisables. Et, avec un peu de bon sens, retenons que le « responsable du traitement » définit ce qu’il veut faire des data qu’il collecte et qu’il traite (ou fait traiter). Le sous-traitant est un prestataire (donc un tiers) qui traite des data qui ne sont pas les siennes (et qui ne peut les traiter ni les conserver à son propre profit).

Le choix de la « base juridique »

Quelle que soit la finalité de votre traitement de données [personnelles], il faudra à toute entreprise choisir de la base juridique retenue parmi les 6 options du RGPD. L’entreprise devra aussi INFORMER clairement les personnes concernées de ce choix. C’EST OBLIGATOIRE !!!


synthèse expresse du RGPD


Après ce choix et sous réserve du respect de six principes élémentaires (dont la fameuse « minimisation« ), l’entreprise responsable du traitement doit informer les personnes concernées. Que ces personnes soient salariées, prospects ou clientes de l’entreprise qui traite les data, AVEC ou SANS consentement de la personne concernées.

L’obligation d’information


synthèse expresse du RGPD


Ajoutez à cette obligation d’information la tenue du « registre des opérations de traitement » et le choix (ou l’obligation) de désigner un Data Protection Officer, et vous aurez une véritable synthèse expresse du RGPD dans ses aspects juridiques le plus saillants. Restent les obligations techniques…


Synthèse expresse du RGPD : aspects techniques

L’obligation de sécurisation de tout traitement de données à caractère personnel peut se résumer en deux concepts : chiffrement et pseudonymisation.

Le chiffrement ?

Je ne suis pas le mieux placé pour vous expliquer ce qu’il faut chiffrer et comment (chiffrement symétrique ? chiffrement asymétrique ?). Pour saisir les concepts, je vous invite à lire en ligne ma présentation spécifique en ligne sur la cryptographie.
synthèse expresse du RGPD


La pseudonymisation ?

Là, pour comprendre l’idée, soit vous lisez la définition du RGPD (bon courage), soit vous regardez mon explication en 1 slide :
synthèse expresse du RGPD


Le risque technique ? La « violation » de données

synthèse expresse du RGPD


L’obligation de notification des failles de sécurité / fuites de données

Une synthèse sur l’obligation de notification des violations de données à la CNIL et aux personnes concernées, en 1 seule et unique slide, ça vous va ?
synthèse expresse du RGPD


Maintenant, bien que vous soyez pressé(e), vous savez en synthèse ce qu’impose le RGPD. En une phrase ?Des « bonnes pratiques » !!!.
Juste un dernier warning, pour que vous sachiez aussi ce qui arrive à très court terme : cela s’appelle « e-Privacy » et cela concerne les « contenus » et les « métadonnées » des communications électroniques ET l’utilisation des capacités de traitement / de stockage des terminaux des utilisateurs. C’est prévu pour le premier semestre 2018.
synthèse expresse du RGPD


synthèse expresse du RGPD


synthèse expresse du RGPD


synthèse expresse du RGPD


 

Marc-Antoine Ledieu

Avocat à la cour

Nos articles sur le sujet :
CYBER SÉCURITÉ

Nos articles sur le sujet :
CYBER SÉCURITÉ