Parution du Minilex DPO édition 2020

DPOLa 3ème édition du Minilex DPO 2020 qui vient de paraître aux Editions Larcier fait le point sur le rôle du délégué à la protection qu’a instauré le RGPD. Il est à jour des deux référentiels de certification des compétences élaborés par la Cnil en 2019.

Les compétences requises pour exercer cette fonction sont autant juridiques que techniques, organisationnelles et stratégiques. Le délégué à la protection doit, en effet, pouvoir dialoguer non seulement avec la direction générale mais également avec les directions opérationnelles notamment des aspects techniques liés aux exigences de protection des données « dès la conception » et de sécurité « par défaut ».

Dans le DPO édition 2020 vous trouverez :

  • Comment choisir son délégué ?
  • Quels sont ses missions, pouvoirs et responsabilités ?
  • Sur quelles bases peut-il être sanctionné ?
  • Quels sont les outils nécessaires au délégué pour exercer ses missions ?
  • Quelles sont les obligations du délégué en matière de sous-traitance ?
  • Une sanction pécuniaire administrative est-elle assurable ?
  • Comment assurer le droit d’accès aux données par les personnes concernées ?

Le délégué apparaît comme un des acteurs incontournables du traitement des données personnelles de l’entreprise. Et même dans les cas où sa désignation est facultative, celle-ci facilitera la conformité au RGPD et à la loi informatique et libertés modifiée en juin 2019.

Par des experts de l’Association des Data Protection Officers

Réalisé par des avocats et des DPO de grands groupes tous membres de l’Association des Data Protection Officers (ADPO), cet ouvrage est le fruit de leur expérience.

La troisième édition de cet ouvrage recueille le témoignage de nouveaux experts dans le domaine des services aux entreprises et administrations, de la banque, de la finance et de l’assurance, qui permettront d’accompagner au mieux les délégués dans leurs nouvelles fonctions.

Le DPO 2020 aux éditions Bruylant

Le Minilex « Le Data Protection Officer : une nouvelle fonction dans l’entreprise » est paru chez Bruylant, Editions Larcier, dans la collection Lexing-Technologies avancées & Droit.

Cet livre fait partie de la collection des Minilex qui rassemble des ouvrages traitant l’essentiel des questions juridiques d’une technologie.

Les auteursVirginie Bensoussan-Brulé, Nadine Chaussier, Hind Chenaoui, Dominique Entraygues, Frédéric Forster, Fabien GandrilleBertrand Lapraye, Hélène Legras, Laurence Legris, Amal Marc, Chloé Torres.




Petit-déjeuner : Le droit des contrats à l’épreuve du RGPD

contrats à l'épreuve du RGPDLe cabinet organise le 25 septembre 2019 un petit-déjeuner débat sur les aspects contractuels de la protection des données ; le RGPD et la loi Informatique et libertés modifiéeJean-François Forgeron et Jérémy Bensoussan ont le plaisir de vous y convier.

Le droit des contrats à l’épreuve du RGPD

La protection des données personnelles entretient des liens étroits avec le droit des contrats. La contractualisation fait souvent intervenir une mise à disposition ou un flux de données personnelles entre les acteurs. Une réflexion doit nécessairement s’engager sur le rôle et la responsabilité de chacun.

En outre, le RGPD impose la conclusion de certains actes juridiques, en matière de sous-traitance ou de traitance conjointe par exemple.

Dans ce cadre, l’enjeu est d’établir des relations contractuelles fiables et d’organiser les répartitions de responsabilités.

La question de l’externalisation des risques via une assurance se pose également.

Tels sont les sujets qui seront abordés lors du petit-déjeuner débat « Aspects contractuels de la protection des données – RGPD et loi Informatique et libertés modifiée ». Jean-François Forgeron et Jérémy Bensoussan auront le plaisir de répondre à vos questions.

Le petit-déjeuner débat aura lieu le 25 septembre de 9h30 à 11h30 (accueil à partir de 9h) dans nos locaux, situés Immeuble Cap Etoile, 58 Gouvion-Saint-Cyr, 75017 Paris.

Inscriptions closes

 




RGPD et Data : quels outils pour quelles obligations ?

quels outils pour quelles obligationsLe cabinet anime une formation sur les outils et process de mise en oeuvre du RGPD pour Lamy Formation (Wolters Kluwer).

RGPD/GDPR : quels outils pour quelles obligations ?

Cette formation est assurée par Alain Bensoussan, Chloé Torres et Naïma Alahyane Rogeon, les 1er octobre et 15 novembre 2019 et présentera quels outils pour quelles obligations en abordant les grandes thématiques suivantes :

  • Les fondamentaux de la gestion d’un projet de mise en conformité au RGPD (concepts clés d’un projet « conformité au RGPD », cahier des charges, organigramme des tâches, procédures de prise de décision, budget, calendrier prévisionnels, documentation du projet, suivi des indicateurs, etc.) ;
  • Étape n°1 : établir une cartographie réglementaire en 4 phases (réunion de cadrage, recensement des traitements et cartographie juridique, analyse de conformité, plan de communication des résultats au métier) ;
  • Étape n°2 : Établir un chemin de route GDPR (plan d’actions, calendrier prévisionnel, outils) ;
  • Étape n°3 : Réaliser les actions de conformité : Méthode RACI (Réalisation – Accountable -Consultation – Information) ;
  • Étape n°4 : Implémenter les actions et assurer leur suivi (plan d’implémentation, localisation des documents, grille d’audit de contrôle, etc.).

Les objectifs sont les suivants :

  • Acquérir une méthodologie de gestion du projet de mise en conformité au GDPR ;
  • Maîtriser les outils indispensables du juriste data / DPO ;
  • Instaurer un process Compliance Data au sein de votre entreprise.

Voir le détail du programme




Formation sur les outils et process de mise en oeuvre du RGPD

outils et process de mise en oeuvre du RGPDLe cabinet anime une formation sur les outils et process de mise en oeuvre du RGPD pour Lamy Formation (Wolters Kluwer).

Les outils et process de mise en œuvre du GDPR (RGPD)

Cette formation est assurée par Alain Bensoussan, Chloé Torres et Naïma Alahyane Rogeon, les 2 juillet, 1er octobre et 15 novembre 2019 et abordera les grandes thématiques suivantes :

  • Les fondamentaux de la gestion d’un projet de mise en conformité au RGPD (concepts clés d’un projet « conformité au RGPD », cahier des charges, organigramme des tâches, procédures de prise de décision, budget, calendrier prévisionnels, documentation du projet, suivi des indicateurs, etc.) ;
  • Étape n°1 : établir une cartographie réglementaire en 4 phases (réunion de cadrage, recensement des traitements et cartographie juridique, analyse de conformité, plan de communication des résultats au métier) ;
  • Étape n°2 : Établir un chemin de route GDPR (plan d’actions, calendrier prévisionnel, outils) ;
  • Étape n°3 : Réaliser les actions de conformité : Méthode RACI (Réalisation – Accountable -Consultation – Information) ;
  • Étape n°4 : Implémenter les actions et assurer leur suivi (plan d’implémentation, localisation des documents, grille d’audit de contrôle, etc.).

Les objectifs sont les suivants :

  • Acquérir une méthodologie de gestion du projet de mise en conformité au GDPR ;
  • Maîtriser les outils indispensables du juriste data / DPO ;
  • Instaurer un process Compliance Data au sein de votre entreprise.

Voir le détail du programme




Le réseau Lexing® vous informe sur l’ application du RGPD

application du RGPDCe numéro spécial international est consacré à l’ application du RGPD par les autorités de protection des données des Etats membres.

Le Règlement général sur la protection des données personnelles offre aux autorités de contrôle des moyens de pression plus importants.

Grâce à ces nouveaux moyens les autorités peuvent agir efficacement contre tout organisme qui contreviendrait au RGPD.

En outre, le montant des sanctions prévu par le RGPD a été considérablement élevé (de l’ordre du milliard d’euros).

Par conséquent, il est intéressant de savoir comment ces diverses autorités se sont saisies de leur nouvelles prérogatives depuis mai 2018.

Les membres du réseau Lexing® dressent un tableau de la situation actuelle à travers le monde.

Les pays suivants ont contribué à ce numéro : Afrique du Sud, Allemagne, Australie, Belgique, France, Grèce, Hongrie, République tchèque.

Lettre Juristendances Internationales Informatique et Télécoms n°21, Avril 2019.




Cloud : quelles nouvelles contraintes réglementaires ?

contraintes réglementaires pour le cloudEric Le Quellenec évoquera lors du salon Cloud Computing World Expo le nouveau cadre réglementaire du cloud à l’heure du RGPD et du Cloud Act.

Rencontre d’experts, conférences, keynotes, rendez-vous business… les 20 & 21 mars 2019 se tiendra à la Porte de Versailles la 10ème édition du salon Cloud Computing World Expo. L’objectif : cerner en deux jours tous les enjeux autour du cloud computing.

Grâce aux RdV Business, aux conférences, à l’espace démonstration de logiciels et au vaste hall d’exposition, Cloud Computing World Expo procure aux visiteurs un événement incontournable pour mieux cerner les enjeux, les offres de services et les logiciels cloud. Une occasion unique de comprendre plus facilement les enjeux de demain…

Cloud Computing World Expo : 10 ans

10 ans, 10 milliards d’euros : c’est le poids actuel du marché Français du cloud computing, au moment où le salon Cloud Computing World Expo fête sa première décennie.

Mieux, les services cloud connaissent une croissance annuelle de l’ordre de 23%. Ils sont tirés par les logiciels délivrés à la demande, les plateformes PaaS, les prestations d’infrastructures, mais aussi la mobilité, l’IoT, l’intelligence artificielle…

Cloud Computing : comment progressent les usages ?

Selon Denis Rémy, directeur du salon, près de 64% des organisations européennes utiliseraient déjà des services et technologies cloud, et elles seront plus de 90% à exploiter plusieurs clouds d’ici à la fin 2020. Les recettes des services cloud public et privé dépasseraient alors les 64 milliards de dollars en Europe en 2020 (source IDC, citée par Denis Rémy) : « Le multicloud, les technologies de conteneurs, les micro-services applicatifs et le chiffrement des données apparaissent parmi les tendances principales pour les mois à venir. En quête d’agilité, de performances et de résilience, l’entreprise est maintenant confrontée à la gouvernance des actifs IT, à la conformité réglementaire des données numériques, à la portabilité des charges applicatives ».

RGPD, Cloud Act : quelles nouvelles contraintes réglementaires pour le cloud ?

© David Autin

Le mercredi 20 mars 2019, à 14h30, se déroulera une conférence sur le thème : « RGPD, Cloud Act : quelles nouvelles contraintes réglementaires pour le cloud ? »

L’occasion d’évoquer le Cloud computing et la mise en conformité au RGPD ainsi que les incidences possibles du Cloud Act américain.

Avec la participation de :

A notre par ailleur que le jeudi 21 mars, Eric Le Quellenec particpera à une table ronde sur le thème : « Le ‘Cloud brokering’ en pratique : les avantages et les limites du modèle » Quelle réversibilité ? Faut-il prévoir un accompagnement ?

Participeront également à cette table ronde :

  • Gael Acke, DSI, Cerfrance Alliance
  • Stéphane Caron, manager Infrastructures, EDF
  • Jean-François Stricher, Chef de département Architecture et Solutions, Enedis

Table ronde animée par Philippe Roux, Animateur, Twin Sharks.

Informations pratiques

Eric Bonnet
Avocat, Lexing Alain Bensoussan Avocats
Directeur de la communication juridique




CNB : un module de formation de mise en conformité au RGPD

module de formationLe CNB a présenté un module de formation de mise en conformité à la réglementation Informatique et libertés spécialement développé pour les avocats, à l’occasion de la Journée mondiale de la protection des données.

Après le guide pratique « Les avocats et le RGPD » publié par le Conseil national des barreaux , le Barreau de Paris et la Conférence des Bâtonniers et dont l’objectif est d’aider les avocats à se mettre en conformité, le CNB recommande deux offres qu’il a sélectionnées, à l’issue d’un appel à candidatures : Lexing Alain Bensoussan avocats et Anaxil-DPMS / CMS-Bureau Francis Lefebvre.

Les délégués à la protection des données recommandés par le CNB sont Anne Renard pour le cabinet Lexing Alain Bensoussan avocats ainsi que Anne-Laure Villedieu et Xavier Leclerc pour Anaxil-DPMS / CMS-Bureau Francis Lefebvre.

Un nouveau module de formation e-learning est en cours d’élaboration pour permettre aux avocats d’accompagner les petites entreprises et les petites associations dans leur mise en conformité à la règlementation Informatique et libertés.

Module de formation : les avocats et le RGPD

Les cabinets avocats sont concernés par cette réforme : ceux-ci sont évidemment amenés à mettre en œuvre un nombre important de traitements qui peuvent s’avérer d’une particulière sensibilité du point de vue du droit des données personnelles.

Pour les accompagner dans leur mise en conformité et leur permettre de conseiller utilement leurs clients, le Conseil national des barreaux (CNB), le Barreau de Paris et la Conférence des Bâtonniers ont mis en place plusieurs outils dont un guide pratique auquel a largement contribué le cabinet Lexing Alain Bensoussan Avocats, intitulé « Les avocats et le RGPD ».




Les enjeux du RGPD : retour sur l’IT Tour 2018

IT Tour 2018 Le cabinet a participé à l’automne 2018 à l’IT Tour du Monde informatique autour des exigences IT, du RGPD et du Data Manage-ment. L’occasion, comme en 2017, pour le cabinet Lexing Alain Bensoussan Avocats d’apporter son expertise sur les enjeux autour du RGPD quelques mois après son entrée en application le 25 mai 2018.

L’IT Tour du Monde Informatique

L’IT Tour est un évènement qui réunit l’ensemble des acteurs IT : DSI, RSSI, responsables informatiques et directeurs de la transformation numérique ainsi que de prestigieux prestataires et éditeurs, pour aborder les tendances IT qui feront le système d’information de demain.

« À la pointe de vos exigences IT » : tel est l’intitulé de l’édition 2018 de l’IT Tour qui s’est déroulé en région du 26 septembre au 6 décembre derniers.

A l’occasion de trois étapes (Lille le 4 octobre, Reims le 8 novembre et Orléans le 6 décembre), un représentant du cabinet Lexing Alain Bensoussan Avocats a participé à une table ronde consacrée au Data management et aux enjeux liés au RGPD.

Guide RGPD Acte 2

A l’occasion de l’édition 2018 était diffusé un Guide intitulé « RGPD Acte 2 Dossier – Témoignages – Analyse » auquel a également contribué le cabinet.

Avocate, directrice du département Sécurité numérique du cabinet Lexing Alain Bensoussan Avocats, Polyanna Bigle, y cosigne avec Alain Bensoussan un article intitulé : « RGPD : Les grandes tendances après son entrée en application ».

Tous deux y décryptent le bilan à tirer de la mise en conformité au RGPD, six mois (à l’époque) après son entrée en application le 25 mai 2018.

Quelles actions à prioriser ? Quels contrôles attendre de la Cnil ?

Rappelant que le Règlement européen 2016/679 relatif à la protection des données à caractère personnel (RGPD) renforce les droits des personnes dont les données sont collectées et traitées et met en place un système de conformité (principe d’accountability) que le responsable de traitement devra prouver, ils soulignent que « les programmes de mise en conformité au RGPD auront incontestablement constitué LE chantier de ces derniers mois pour les entreprises, les associations et les organismes publics ».

Et les deux avocats d’ajouter : « Il est toutefois clair que le 25 mai ne constituait qu’une étape et que les organisations doivent plus que jamais mettre en œuvre les obligations découlant du RGPD et enclencher un véritable processus vertueux de mise en conformité. Au risque sinon de s’exposer à de lourdes sanctions, l’autorité de contrôle pouvant être amenée à prononcer des amendes pouvant atteindre 20 millions d’euros ou jusqu’à 4% du chiffre d’affaires mondial annuel ».

En conclusion, à leurs yeux, « pour les entreprises, un seul mot d’ordre : assurer le maintien aux conditions opérationnelles de la conformité à la règlementation Informatique et libertés ».

RGPD : les enjeux 2018-2019

Selon Alain Bensoussan et Polyanna Bigle, il s‘agit :

  • d’assurer le maintien en conditions opérationnelles de la conformité à la règlementation Informatique et libertés et de ce qui a été réalisé (cartographie, registre, mise à jour des mentions d’information, relations avec les sous-traitants) ;
  • d’établir un programme de contrôle de conformité à partir de 2019 et enclencher les actions associées ;
  • de stabiliser l’organisation et la gouvernance en la matière (ex. désignation et organisation du DPO).

Guide LMI CIO, RGPD Acte 2 Dossier, témoignages, analyse 2018 « RGPD : Les grandes tendances après son entrée en application » (extrait).

Eric Bonnet
Avocat, Lexing Alain Bensoussan Avocats
Directeur de la communication juridique




Les outils de la compliance : l’exemple de la conformité au RGPD

complianceAlain Bensoussan évoque pour la revue du Grasco (*) les outils de la compliance en illustrant son propos par la conformité au RGPD.

A l’ère des algorithmes et de l’IA, les nouvelles technologies bouleversent tous les modèles de développement. Selon Alain Bensoussan, « les programmes de compliance, apparus dans les années 2000, n’y échappent pas, comme le démontre la conformité au RGDP qui cristallise toutes les attentions depuis plus de deux ans ».

Comme l’a défini le Cercle de la Compliance, un programme de compliance est un ensemble de processus « qui permettent d’assurer le respect des normes applicables à l’entreprise par l’ensemble de ses salariés et dirigeants, mais aussi des valeurs et d’un esprit éthique insufflé par les dirigeants  ».

C’est incontestablement le cas de la mise en conformité au Règlement général sur la protection des données  (« RGPD » ou « GDPR » en anglais), adopté le 27 avril 2016 et directement applicable dans tous les Etats membres depuis le 25 mai 2018.

Le déploiement, au sein des organisations des contraintes découlant du RGPD est une opération complexe. Selon Alain Bensoussan, « pour les entreprises, un seul mot d’ordre dans les mois à venir : assurer le maintien aux conditions opérationnelles de la conformité à la règlementation Informatique et libertés ».

Compliance RGPD : pas de conformité sans des outils dédiés

Une chose est certaine aux yeux de l’avocat-technoloque : la conformité Informatique et libertés ne peut être atteinte sans outils dédiés. Et, ajoute-t-il, « des outils s’inscrivant dans le cadre d’une logique de globalisation logicielle ».

En effet, même s’il est possible pour tout un chacun de faire par exemple l’acquisition d’un registre de traitements, d’un registre sous-traitant ou encore d’un registre violation de sécurité, voire de tout autre outil, comme une simple « brique », mieux vaut pour les organisations disposer de l’ensemble de la documentation en un seul endroit, où le responsable de traitement et le délégué à la protection des données pourront retrouver aisément l’ensemble des documents.

Conformité au RGPD et logique de globalisation logicielle

Cette approche est à ses yeux un élément majeur dans le cadre du déploiement d’un programme de conformité. En effet, plus les outils sont disparates, moins l’information sera globale et pertinente.

Cela permet, dans le cadre du suivi des traitements, mais également et surtout en cas de contrôle, de disposer de la même information à partir de différents terminaux, à toute heure du jour et de la nuit.

Et Alain Bensoussan de conclure : « la mise en place de programmes de compliance constitue un enjeu stratégique et organisationnel qui ne saurait faire l’économie de la mise en place d’outils dédiés. A l’heure de la disruption digitale, ces outils permettront d’optimiser le déploiement de due diligences dans le cadre de programme de compliance, qu’il s’agisse du RGDP, de la loi Sapin 2 et demain, d’autres projets ».

Revue du Grasco n°25, décembre 2018 : la revue du GRASCO est consultable  sur www.larevuedugrasco.eu qui renvoie sur tous les numéros de la revue ».

Eric Bonnet
Avocat, Lexing Alain Bensoussan Avocats
Directeur de la communication juridique

(*) La revue du GRASCO est un trimestriel édité par le GRASCO (Groupe de Recherches Actions Sur la Criminalité Organisée) ayant pour thème principal la prévention et la répression de la criminalité organisée dans sa dimension économique et financière à l’échelle nationale, européenne et internationale. Les contributions s’adressent à tous les acteurs de la prévention et de la répression de la criminalité organisée.




Céline Avignon participe à la dernière étape de l’IT tour 2018

Céline Avignon interviendra le 6 décembre 2018 à Orléans sur le thème du RGPD et du Data Management organisé par Le Monde Informatique, l’IT Tour est un évènement qui concentre l’ensemble des acteurs IT : DSI, RSSI, responsables informatiques et directeurs de la transformation numérique ainsi que de prestigieux prestataires et éditeurs, pour aborder les tendances IT qui feront le système d’information de demain.

« À la pointe de vos exigences IT » : tel est l’intitulé l’édition 2018 de l’IT Tour.

A l’occasion de trois étapes de l’IT Tour 2018 (Lille le 4 octobre, Reims le 8 novembre, Orléans le jeudi 6 décembre), un représentant du cabinet Lexing Alain Bensoussan Avocats participe à une table ronde consacrée au Data management et aux enjeux liés au Règlement général sur la protection des donnéesIntitulée « RGPD Acte 2 : gagner en agilité et en conformité avec le Data management », celle-ci aborde les points suivants :

  • Bien préparer ses données, veiller à leur qualité ;
  • Intégrer, exploiter et valoriser dans le temps ses données ;
  • Les clés d’une gouvernance efficace des données.

Après Aurélie Banck à Lille et Virginie Bensoussan-Brulé à Reims, c’est Céline Avignon, Avocate à la Cour, Directrice du département Publicité et Marketing électronique au sein du cabinet Lexing Alain Bensoussan Avocats, qui interviendra à Orleans le 6 décembre 2018.

La participation à l’IT TOUR 2018, gratuite, est réservée aux équipes IT (DSI, RSSI, chefs de projets…) des entreprises utilisatrices publiques ou privées.

Chacun des participants repartira avec le Guide RGPD acte 2 auquel a participé le cabinet Lexing Alain Bensoussan Avocats. 

Pour retrouver le programme de l’IT Tour 2018 du Monde informatique  et vous inscrire à l’IT tour.

Eric Bonnet
Directeur du Département Communication juridique




Juristendances Informatique et libertés n° 84 – 2018

Informatique et libertésA signaler dans la Lettre Juristendance Informatique et libertés n°84, la 3ème édition de Technolex qui se tiendra à Paris, le 28 novembre 2018, en partenariat par le Groupe Serda Archimag (Bande-annonce).

Egalement à signaler dans la Lettre Juristendance Informatique et libertés :

Articles Juristendance

Conférences et vie du cabinet

Outils et nouveautés

Formations Informatique et Télécoms

Venez assister à nos petits-déjeuners (gratuits) : inscription en ligne.

Pour recevoir notre lettre électroniqueinscription en ligne.

Lettre Juristendance Informatique et libertés n°84, Novembre-Décembre 2018.




Sapin, Vigilance et RGPD au programme du Cercle de la Compliance

Vigilance et RGPDAlain Bensoussan est intervenu comme grand témoin lors de la 6e Conférence du Cercle de la Compliance sur « Sapin, Vigilance et RGPD ».

La 6ème conférence du Cercle de la Compliance s’est déroulée le 27 septembre 2018 à l’OCDE.

Les débats, autour de l’actualité de la compliance, étaient consacrés :

  • le matin au thème « Sapin, Vigilance et RGPD »,
  • et l’après-midi, au thème « Anticorruption, Antitrust, Sanctions ».

La journée a débuté par les interventions de :

  • Catherine Delhaye, Présidente du Cercle de la Compliance ;
  • Nathalie Loiseau, Ministre des Affaires Européennes ;
  • Bernard Cazeneuve, ancien Premier ministre.

Sapin, Vigilance et RGPD… Et après ?

Alain Bensoussan est intervenu à cette occasion dans le cadre d’une session intitulée : « Le RGPD, quatre mois après ».

Il a évoqué à cette occasion le thème « Combiner le RGPD, Sapin et Vigilance : un défi pour les Compliance Officers ».

Par ailleurs, le RGPD étant un thème transversal, Alain Bensoussan a accompagné les débats tout au long de la journée afin d’apporter son éclairage sur la dimension « protection des données » des thématiques qui étaient abordées.

Eric Bonnet
Lexing Direction de la communication juridique




RGPD : publication de la loi de protection des données belge

Loi de protection des données belgeLa Belgique a publié sa loi de protection des données le 5 septembre 2018 dans le Moniteur, l’équivalent de notre journal officiel.

Cette loi en date du 30 juillet 2018 (1)  (ci-après « la loi belge ») comporte 286 articles et semble particulièrement dense (à titre de comparaison la loi française en contient « à peine » une centaine).

Ce texte a pour effet :

  • d’abroger la loi du 8 décembre 1992 relative à la protection de la vie privée ;
  • d’introduire des spécificités nationales conformément au RGPD ;
  • de transposer la directive 2016/680 relative aux traitements mis en œuvre à des fins de prévention et détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales et à la libre circulation de ces données (dite « directive police-justice »).

La Belgique a donc usé des marges de manœuvre offertes par le RGPD.

L’âge du consentement numérique (art. 7)

L’article 8 du RGPD fixe à 13 ans le seuil à partir duquel un mineur peut donner son consentement au traitement de ses données dans le cadre des services de la société de l’information (c’est-à-dire en ligne).

En deçà, l’accord du titulaire de l’autorité parentale est nécessaire.

Cette disposition peut faire l’objet d’un aménagement. La France a ainsi choisi de relevé ce seuil à 15 ans et la Belgique a retenu 13 ans.

L’ajout d’exceptions permettant le traitement des catégories particulières de données (art. 8)

L’article 9 du RGPD interdit par principe le traitement des catégories particulières de données (2).

Des dérogations sont possibles notamment lorsque la personne concernée a donné son consentement explicite au traitement de ses données ou lorsqu’un traitement est nécessaire pour des motifs d’intérêt public important.

La Belgique précise ce dernier point et fixe une liste limitative de responsables du traitement pouvant invoquer cette exception.

Ces organismes sont :

  • les associations/fondations dont l’objet statutaire principal est la défense et la promotion des droits de l’homme et des libertés fondamentales (sous réserve que le Roi autorise le traitement par arrêté délibéré en Conseil des ministres et après avis de l’autorité de contrôle) ;
  • la fondation pour Enfants Disparus et Sexuellement Exploités ;
  • les associations/fondations agrées dont l’objet statutaire principal est la prise en charge des personnes dont le comportement sexuel relève d’infraction (sous réserve d’une autorisation spéciale du traitement par un arrêté royal délibéré en Conseil des ministres après avis de l’autorité de contrôle).

Des conditions supplémentaires pour le traitement des données génétiques, biométriques ou concernant la santé (art. 9)

L’article 9.4 du RGPD permet aux états membres d’imposer des conditions supplémentaires pour le traitement de ces données.

Désormais, en Belgique, les organismes souhaitant traiter ces données devront :

  • lister les personnes pouvant y accéder (en précisant leur mission) ;
  • mettre cette liste à disposition de l’autorité de contrôle ;
  • s’assurer que les personnes précitées ont une obligation de confidentialité.

L’élargissement des situations permettant le traitement des données relatives aux infractions et condamnations pénales (art. 10)

L’article 10 du RGPD prévoit deux hypothèses dans lesquelles le traitement de données d’infractions ou de condamnations est autorisé. D’une part, lorsque l’autorité publique exerce un contrôle. D’autre part, lorsque l’Union ou un état membre autorise ce type de traitement.

Ainsi, la France a intégré, dans sa loi de protection des données, une disposition permettant aux organismes de traiter les données susvisées aux fins de préparation et de gestion de leurs contentieux.

La loi de protection des données belge a prévu quant à elle une longue série d’exceptions permettant le traitement des données relatives aux infractions et condamnations pénales. Il est notamment possible pour la gestion des contentieux, pour la réalisation de motifs d’intérêt public important ou encore lorsque la personne concernée a donné son consentement explicite par écrit.

La limitation des droits des personnes dans le cadre des traitements émanant de certaines autorités (art. 11 et s.)

L’article 23 du RGPD offre la faculté aux états membres d’apporter des limitations aux droits des personnes.

En ce sens, la loi de protection des données belge prévoit que :

  • lorsque des responsables de traitement (3), traitent des données émanant de certaines autorités (4), les droits des personnes sont limités.
  • le responsable du traitement qui communique des données aux forces armés ou à l’organe de coordination pour l’analyse des menaces, ne doit pas indiquer que les autorités précitées sont destinataires des données.

Par exception, le responsable du traitement peut communiquer les données à la personne concernée dans deux cas :

  • lorsque la loi l’y oblige ;
  • lorsque l’autorité dont émane les données l’y a autorisé.

En tout état de cause, les responsables qui mettent en œuvre des traitements dans ce cadre doivent :

  • mettre en place des mesures de sécurité appropriées ;
  • s’assurer que les personnes amenées à traiter les données aient un accès limité aux données nécessaires à l’accomplissement de leur mission et qu’elles soient soumises à un devoir de discrétion.

Les dérogations pour les traitements à des fins journalistiques, d’expression universitaire, artistique ou littéraire

L’article 85 2° du RGPD permet aux états membres d’introduire des dérogations aux obligations posées par le RGPD lorsqu’un responsable met en œuvre des traitements aux fins susvisées.

L’article 24 de la loi de protection des données belge prévoit une série de dispenses concernant ces catégories de traitement. Ainsi, elles portent sur :

  • les principes applicables au traitement (consentement, consentement des enfants dans la société d’information, traitement des données relatives aux condamnations pénales et infractions…) ;
  • les droits des personnes ;
  • les obligations à la charge du responsable du traitement et du sous-traitant en matière de communication et coopération avec l’autorité de contrôle (mise à disposition du registre du traitement, coopération avec l’autorité de contrôle, notification des violations de données, consultation préalable …) ;
  • les exigences en matière de transfert de données ;
  • les pouvoirs d’enquête de l’autorité de contrôle.

L’action de groupe en matière de protection des données

L’article 80 du RGPD offre la possibilité aux États membres d’adopter des dispositions spécifiques afin d’introduire l’action de groupe en matière de protection des données.

La Belgique (comme la France) a choisi d’introduire cette possibilité. Ainsi, l’article 220 de la loi de protection des données belge offre la possibilité aux personnes concernées de mandater des organismes (6) pour qu’ils exercent un recours en leur nom (en cessation et en indemnisation du préjudice subi) devant l’autorité de protection des données ou une juridiction.

Les sanctions administratives et pénales de la loi de protection des données belge

L’article 83 7° du RGPD offre la possibilité aux états membres de déterminer dans quelle mesure une amende administrative peut être imposée à une autorité publique.

En ce sens, la loi de protection des données belge prévoit une exonération d’amende administratives pour les autorités publiques qui commettent des atteintes la protection des données.

Néanmoins, elles pourront faire l’objet d’amendes lorsqu’elles offrent des biens ou des services sur un marché.

Par ailleurs, la loi de protection des données belge introduit des nouvelles sanctions pénales en cas d’atteinte à la protection des données aux articles 222 à 230. Par exemple, le fait de traiter des données personnelles sans base juridique est passible d’une amende de deux cent cinquante euros à quinze mille euros.

Les règles applicables en matière de conflit de lois (art. 252)

Dans l’hypothèse d’un conflit de loi concernant la mise en œuvre d’un traitement, les règles de la loi du 30 juillet 2018 priment.

Aurélie Banck
Alicia Béré
Département Conformité RGPD Banques et Assurances

(1) Loi Belge C-2018/40581 du 30 juillet 2018, relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel.
(2) Donnée personnelle qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale ; mais aussi les données génétiques, biométriques d’identification ou concernant la santé, la vie ou l’orientation sexuelle d’une personne. (art. 9 du RGPD).
(3) Sont visés les responsables du traitement désignés aux articles 11 et suivants de la loi de protection des données belge (fonctionnaires et agents de services publics, ministres et autorités administratives, personnes ou organisme relevant du secteur privé, etc.).
(4) Ces autorités sont celles visées aux articles 11 et suivants de la loi de protection des données belge. Il s’agit des services de renseignement et de sécurité, forces armées, organe de coordination pour l’analyse de la menace ; ou encore unité d’information des passagers, autorités judiciaires, services de police, etc.
(5) Cette obligation ne s’applique pas aux données publiques ou lorsque ce traitement est prévu par des dispositions UE ou nationales.
(6) Les organismes concernés doivent répondre aux conditions suivantes :
– ne pas poursuivre de but lucratif,
– être valablement constitué conformément au droit belge,
– avoir la personnalité juridique,
– avoir des objectifs statutaires d’intérêt public,
– être actif dans le cadre de la protection des droits et libertés dans le cadre de la protection des données depuis au moins trois ans.




Impact du RGPD sur les cabinets d’avocats : quels enjeux ?

impact du RGPD sur les cabinetsAnne Renard évoque pour le site Lexbase.fr l’ impact du RGPD sur les cabinets d’avocats du RGPD, entré en application le 25 mai 2018.

Anne Renard, Directrice du département Conformité et Certification du cabinet Lexing Alain Bensoussan Avocats, décrypte dans un article intitulé «L’impact du RGPD sur les cabinets d’avocats» publié par les éditions juridiques Lexbase [1], les enjeux pour les cabinets d’avocats du Règlement général sur la protection des données (RGPD), entré en application il y a quelques semaines.

Au départ, un constat : si le RGPD s’inscrit pleinement dans la continuité d’une réglementation qui date de 1978, un grand nombre de cabinets d’avocats peinent à se conformer aux exigences en résultant.

Principale raison : les avocats considèrent que le secret professionnel auquel ils sont astreints les dispenses de se conformer au RGPD. Or, selon Anne Renard, «c’est précisément pour cette raison qu’ils sont, au premier chef, concernés et doivent redoubler de vigilance».

Dès lors que les cabinets d’avocats mettent en œuvre des traitements de données à caractère personnel, en particulier dans le cadre de la gestion de leurs clients, ils sont tous concernés, peu importe leur taille ou leur structure d’exercice. Les traitements des données des clients ne sont d’ailleurs pas les seuls concernés : «Tous les traitements liés à la gestion des ressources humaines, à la sollicitation personnalisée, à la communication externe, à la gestion de leur comptabilité, à la surveillance des locaux (vidéosurveillance ou badge par exemple) constituent des traitements de données à caractère personnel soumis au nouveau règlement».

lexbase

Impact du RGPD sur les cabinets d’avocats

Avec l’entrée en application du RGPD, les avocats doivent «adopter une véritable posture Informatique et libertés».

Le RGPD impose ainsi, de manière générale, aux cabinets d’avocats de se soumettre à de nouvelles obligations, dont celle d’être en mesure de démontrer, à tout moment, la conformité de leurs traitements (principe de responsabilisation ou d’accountability).

Les données doivent être collectées de manière loyale et licite et pour une finalité déterminée, explicite et légitime.

Traitement des données

Elles doivent, en outre, être adéquates, pertinentes et limitées à ce qui est nécessaire : «Avant de mettre un œuvre un traitement des données à caractère personnel, il conviendra de s’interroger sur la nécessité de traiter ces données et, dans la mesure où un tel traitement s’avère indispensable, sur les données qui permettront d’atteindre les finalités recherchées par le traitement» précise Anne Renard.

Ces données ne doivent par ailleurs pas être conservées au-delà de la durée nécessaire aux finalités pour lesquelles elles ont été collectées :  «Bien souvent, aucune véritable politique de durée de conservation n’est mise en œuvre au sein des cabinets, à l’exception du recours à un archivage papier. Les données ne peuvent être conservées de manière illimitée et l’avocat ne saurait être le tiers archiveur de son client».

Information des personnes

La conformité au RGPD passe par l’information des personnes concernées. Cette information peut se faire par le biais de mentions particulières au sein des conventions d’honoraires, sur le site web ou les formulaires de collecte des données utilisés au sein du cabinet. Par ailleurs, précise Anne Renard, «les avocats, en tant que responsables du traitement, doivent prêter une attention particulière aux contrats de sous-traitance conclus avec les prestataires auxquels ils recourent : prestataires informatiques, éditeurs de logiciel, ou encore prestataires en charge de la paie».

Conformément aux exigences du RGPD, les cabinets d’avocats devront mettre en place un contrat ou acte juridique avec leurs sous-traitants  comportant un certain nombre de mentions spécifiques relatives à la protection et à la confidentialité des données et aux droits et obligations des parties dans le cadre des traitements mis en œuvre.

Sécurité informatique

Sur le plan de la sécurité informatique, «dès lors que, parmi les données collectées par les cabinets d’avocats, figurent des catégories particulières de données ou des données relatives à des infractions ou condamnations pénales, il est essentiel de mettre en œuvre des mesures de sécurité, tant logique que physique, qui soient adaptées aux risques présentés par ce type de traitements». Ceci est d’autant plus important que le RGPD instaure l’obligation de notifier à la Cnil toute violation de données à caractère personnel et, en cas de risque élevé pour les droits et libertés des personnes concernées, l’obligation de communiquer sur l’existence d’une telle violation de sécurité auprès de ces personnes.

DPO

Le RGPD impose encore de désigner un délégué à la protection des données (ou DPO) notamment lorsque l’activité, cœur de métier du responsable de traitement ou sous-traitant, requiert le suivi régulier et systématique de données à une large échelle ou lorsque l’activité cœur de métier du responsable du traitement ou du sous-traitant consiste à traiter à une large échelle des données sensibles ou relatives à des condamnations ou infractions pénales.

A cet égard, «il est important de relever que le considérant 91 du RGPD précise que le traitement de données à caractère personnel de clients par un avocat exerçant à titre individuel ne devrait pas être considéré comme constituant un traitement à grande échelle. Au regard de ces critères, il semble que la majorité des cabinets d’avocats n’a pas à désigner de DPO».

Toutefois, en fonction de la taille et du secteur d’activité du cabinet d’avocat, une telle désignation doit en tout état de cause s’analyser en opportunité dans la mesure où elle permettrait de désigner une personne afin d’accompagner le cabinet dans sa mise en conformité.

Registre des activités de traitement.

Le responsable du traitement doit tenir un registre relatif aux traitements de données mis en œuvre sous sa responsabilité. Cette obligation ne s’impose pas aux entreprises comptant moins de 250 salariés, sauf si le traitement qu’elles effectuent est susceptible de comporter un risque au regard des droits et des libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur des données sensibles ou sur des données se rapportant à des condamnations et des infractions pénales. Au regard de ces critères, les cabinets d’avocats semblent tenus de devoir mettre en place un tel registre et une cartographie préalable des traitements mis en œuvre au sein du cabinet est nécessaire pour pouvoir remplir une telle obligation.

On le voit, la mise en conformité avec le RGPD est un enjeu majeur pour toutes les entreprises, y compris les cabinets d’avocats. La mise en conformité des cabinets d’avocats, conclut Anne Renard, «est une nécessité et, outre le gage de confiance qu’elle constitue pour les clients et les collaborateurs, elle risque fort de devenir un enjeu de positionnement concurrentiel entre les cabinets d’avocats eux-mêmes face aux entreprises qu’ils accompagnent».

Eric Bonnet
Directeur de la communication juridique

[1] Anne Renard, «L’impact du RGPD sur les cabinets d’avocats», La lettre juridique Lexbase n°750 du 19 juillet 2018.




Lancement du Diagnostic RGPD Wolters Kluwer / Lexing

Wolters KluwerL’éditeur Wolters Kluwer lance en partenariat avec le cabinet Lexing Alain Bensoussan Avocats l’outil Diagnostic RGPD. 

Le Diagnostic RGPD Wolters Kluwer / Lexing

Editeur juridique de référence, Wolters Kluwer a annoncé le 14 juin 2018 le lancement en partenariat avec le cabinet Lexing Alain Bensoussan Avocats du Diagnostic RGPD, un outil logiciel disponible en mode SaaS pour accompagner les entreprises privées et organismes publics dans leur mise en conformité au RGPD.

Le Règlement Général sur la Protection des Données (RGPD) vient d’entrer en application le 25 mai dernier.

Ce texte complexe et technique opère un bouleversement complet des règles applicables à l’environnement digital des entreprises privées et organismes publics. Il impose aux acteurs de se plier à de nouvelles obligations, telles que la prise en compte de la protection de la sécurité des données, tant logique que physique, dès la conception du traitement de données concerné et l’obligation d’être, à tout moment, en mesure de démontrer la conformité du traitement avec le RGPD.

RGPD : un tournant majeur dans la régulation des données personnelles

Les organisations doivent dorénavant assumer leur pleine et entière responsabilité sur les données qu’elles traitent, et être en mesure de démontrer que les opérations de traitement qu’elles effectuent ou leurs sous-traitants respectent le règlement.

Les questions sont nombreuses et les enjeux cruciaux : en termes principalement financiers en cas d’infraction, mais également, de façon plus positive, en termes d’image, le respect des obligations découlant du RGPD pouvant s’avérer un élément marketing précieux susceptible de renforcer sa position concurrentielle.

C’est la raison pour laquelle Wolters Kluwer et le cabinet Lexing Alain Bensoussan Avocats ont élaboré de concert le « Diagnostic RGPD », progiciel en mode SaaS dédié à la conformité au RGPD.

Cet outil consiste en un rapport de diagnostic de conformité basé sur plus de 100 questions avec l’analyse d’écart, un tableau de synthèse de conformité, la «feuille de route Lexing» en 20 étapes, les priorités et le macro-calendrier.

Diagnostique RGPD : accompagner les entreprises dans leur mutation digitale

Alain Bensoussan entouré de Hubert Chemla, PDG de Wolters Kluwer France et Isabelle Bussel, DG

Selon Alain Bensoussan,  «à l’heure où le RGPD marque un tournant majeur dans la régulation des données personnelles, nous sommes heureux et fiers d’avoir élaboré en partenariat avec Wolters Kluwer, un des leaders mondiaux de son secteur, un outil intégrant les exigences du RGPD. Et ce faisant de permettre aux entreprises d’être accompagnées dans leur mutation digitale en favorisant la confiance dans le big data».

Selon Hubert Chemla, PDG de Wolters Kluwer France, «nous sommes en permanence à l’écoute des besoins des professionnels. Il nous est ainsi apparu qu’un certain nombre de dirigeants n’avaient pas encore totalement pris la mesure du nouveau RGPD, entré en application le 25 mai 2018. C’est pourquoi nous proposons aujourd’hui, avec le Cabinet Lexing Alain Bensoussan Avocats, une solution Diagnostic RGPD qui va faciliter la mise en conformité des entreprises en toute sécurité juridique, conformément à notre mission».

Le nouveau partenariat se poursuivra dans les prochains mois avec d’autres solutions d’accompagnement pour les professionnels.

Eric Bonnet
Directeur de la communication juridique

Pour plus d’information : consultez le communqué de presse sur le « Diagnostic RGPD », connectez-vous à wolterskluwerfrance.fr ou suivez le fil d’info @WoltersKluwerFr sur twitter ou le site wolterskluwer.com.




La loi relative à la protection des données personnelles validée

2018-765 DCDans sa décision n° 2018-765 DC du 12 juin, le Conseil constitutionnel a déclaré la loi relative à la protection des données personnelles conforme à la Constitution (1).

Rappelons que loi relative à la protection des données personnelles, définitivement adoptée par le Parlement le 14 mai dernier, a pour principal objet de modifier la législation nationale en matière de protection des données personnelles afin,

  • d’une part, de l’adapter au règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD/GDPR)
  • d’autre part, de transposer la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données. 

Comme l’indique le communiqué de presse du Conseil constitutionnel sur la décision n° 2018-765 DC, les sénateurs qui avaient déféré le texte au Conseil constitutionnel, contestaient, outre un défaut d’accessibilité et d’intelligibilité de l’ensemble de la loi, une dizaine de ses articles (2).

Décision n° 2018-765 DC : l’impartialité et la proportionnalité des peines

Le Conseil a notamment écarté le grief selon lequel le principe d’impartialité et le principe de proportionnalité des peines auraient été méconnus par les dispositions de l’article 7 de la loi déférée, réécrivant l’article 45 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés pour prévoir les différentes mesures susceptibles d’être prises par la Commission nationale de l’informatique et des libertés (Cnil) en cas de manquement aux obligations découlant du règlement du 27 avril 2016 et de cette même loi.

Le Sages de la rue de Montpensier ont notamment jugé que ni les avertissements, ni les mises en demeure prononcées par le président de Cnil ne constituent des sanctions ayant le caractère de punition, au sens de sa jurisprudence.

Décision n° 2018-765 DC : le consentement des mineurs

Le Conseil constitutionnel a jugé que ne méconnaît pas l’exigence constitutionnelle d’application du droit européen, résultant de l’article 88-1 de la Constitution, l’article 20 de la loi déférée qui introduit un nouvel article 7-1 dans la loi du 6 janvier 1978 aux termes duquel un mineur peut consentir seul à un traitement de données à caractère personnel «en ce qui concerne l’offre directe de services de la société de l’information à compter de l’âge de quinze ans».

Selon le deuxième alinéa de cet article : «Lorsque le mineur est âgé de moins de quinze ans, le traitement n’est licite que si le consentement est donné conjointement par le mineur concerné et le ou les titulaires de l’autorité parentale à l’égard de ce mineur».

Il a relevé à cet égard qu’il résulte de l’emploi par le législateur européen des termes «donné ou autorisé» que le règlement permet aux États membres de prévoir, soit que le consentement doit être donné pour le mineur par le titulaire de l’autorité parentale, soit que le mineur est autorisé à consentir par le titulaire de l’autorité parentale, ce qui suppose alors le double consentement prévu par le texte critiqué. Il en a déduit que les dispositions contestées ne sont pas manifestement incompatibles avec le règlement auquel elles adaptent le droit interne.

Décision n° 2018-765 DC : le recours par l’administration à des algorithmes

Le Conseil constitutionnel a également jugé conformes à la Constitution les dispositions de la loi déférée modifiant l’article 10 de la loi du 6 janvier 1978 afin d’étendre les cas dans lesquels, par exception, une décision produisant des effets juridiques à l’égard d’une personne ou l’affectant de manière significative peut être prise sur le seul fondement d’un traitement automatisé de données à caractère personnel.

Amené à se prononcer pour la première fois sur le recours par l’administration à des algorithmes pour l’édiction de ses décisions, il a notamment relevé que les dispositions que contestait le recours se bornent à autoriser l’administration à procéder à l’appréciation individuelle de la situation de l’administré, par le seul truchement d’un algorithme, en fonction des règles et critères définis à l’avance par le responsable du traitement. Elles n’ont ni pour objet ni pour effet d’autoriser l’administration à adopter des décisions sans base légale, ni à appliquer d’autres règles que celles du droit en vigueur. Il n’en résulte dès lors aucun abandon de compétence du pouvoir réglementaire.

Il s’est également fondé sur ce que le seul recours à un algorithme pour fonder une décision administrative individuelle est subordonné au respect de trois conditions.

  • d’une part, conformément à l’article L. 311-3 du Code des relations entre le public et l’administration, la décision administrative individuelle doit mentionner explicitement qu’elle a été adoptée sur le fondement d’un algorithme et les principales caractéristiques de mise en œuvre de ce dernier doivent être communiquées à la personne intéressée, à sa demande. Il en résulte qu’une décision individuelle ne saurait être prise à l’aide d’un algorithme dont les principes de fonctionnement ne pourraient être communiqués sans porter atteinte à l’un des secrets ou intérêts énoncés au 2° de l’article L. 311-5 du Code des relations entre le public et l’administration ;
  • d’autre part, la décision administrative individuelle doit pouvoir faire l’objet de recours administratifs, conformément au chapitre premier du titre premier du livre quatrième de ce code. L’administration sollicitée à l’occasion de ces recours est alors tenue de se prononcer en ne se fondant plus exclusivement sur l’algorithme. La décision administrative est en outre placée, en cas de recours contentieux, sous le contrôle du juge, qui est susceptible d’exiger de l’administration la communication de l’algorithme.
  • enfin, le recours exclusif à un algorithme est prohibé si ce traitement porte sur l’une des données sensibles mentionnées au paragraphe I de l’article 8 de la loi du 6 janvier 1978, c’est-à-dire des données à caractère personnel «qui révèlent la prétendue origine raciale ou l’origine ethnique», les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne physique, des données génétiques, des données biométriques, des données de santé ou des données relatives à la vie sexuelle ou l’orientation sexuelle d’une personne physique.

Enfin, le Conseil constitutionnel a relevé que le responsable du traitement doit s’assurer de la maîtrise du traitement algorithmique et de ses évolutions afin de pouvoir expliquer, en détail et sous une forme intelligible, à la personne concernée la manière dont le traitement a été mis en œuvre à son égard. Il en résulte que ne peuvent être utilisés, comme fondement exclusif d’une décision administrative individuelle, des algorithmes susceptibles de réviser eux-mêmes les règles qu’ils appliquent, sans le contrôle et la validation du responsable du traitement (algorithme «auto-apprenant»).

Par l’ensemble des motifs, le Conseil constitutionnel a jugé que le législateur a défini des garanties appropriées pour la sauvegarde des droits et libertés des personnes soumises aux décisions administratives individuelles prises sur le fondement exclusif d’un algorithme. 

Décision n° 2018-765 DC : le traitement de données à caractère personnel en matière pénale

En revanche, le Conseil constitutionnel a censuré les mots «sous le contrôle de l’autorité publique» figurant à l’article 13 de la loi déférée, modifiant l’article 9 de la loi du 6 janvier 1978 afin de fixer le régime des traitements de données à caractère personnel relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes, lorsque ces traitements ne sont pas mis en œuvre par les autorités compétentes à des fins pénales au sens de la directive du 27 avril 2016.

Il a en effet jugé que l’article 10 du règlement européen du 27 avril 2016 n’autorise le traitement de données à caractère personnel en matière pénale ne relevant pas de la directive du même jour que dans certaines hypothèses, parmi lesquelles figure la mise en œuvre de tels traitements «sous le contrôle de l’autorité publique». Le législateur s’est borné à reproduire ces termes dans les dispositions contestées, sans déterminer lui-même ni les catégories de personnes susceptibles d’agir sous le contrôle de l’autorité publique, ni quelles finalités devraient être poursuivies par la mise en œuvre d’un tel traitement de données. En raison de l’ampleur que pourraient revêtir ces traitements et de la nature des informations traitées, ces dispositions affectent, par leurs conséquences, les garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques. Il en résulte que les mots «sous le contrôle de l’autorité publique ou» sont entachés d’incompétence négative et donc contraires à la Constitution.

Eric Bonnet .
Directeur de la communication juridique

[1] Décision n° 2018-765 DC du 12 juin 2018 sur la loi relative à la protection des données personnelles (Loi n° 2018-493 du 20 juin 2018, JORF du 21 juin 2018).

[2] Dans sa décision, avant de se prononcer sur les critiques adressées aux dispositions de la loi, le Conseil constitutionnel apporte d’utiles précisions sur la nature du contrôle qu’il opère sur des dispositions législatives tirant des conséquences du droit de l’Union européenne, lorsque celui-ci procède d’un règlement. Nous renvoyons sur ce point nos lecteurs à la décision elle-même ainsi qu’au communiqué de presse du Conseil constitutionnel.




Les obligations de notification des incidents de sécurité

notification des incidents de sécuritéLes obligations de notification des incidents de sécurité informatique nécessitent une gestion rigoureuse des événements et un système d’alerte performant.

Plusieurs autorités peuvent être notifiées en fonction du secteur d’activité de l’organisme et de sa sensibilité pour la sécurité nationale, de la nature des données collectées et du type de traitement.

Afin de répondre à l’ampleur de ce phénomène, l’introduction d’un guichet unique, qui centralise l’ensemble des incidents de sécurité, peut constituer une solution pragmatique et efficace pour simplifier les démarches des entreprises.

La notification des incidents de sécurité aux Agences régionales de santé

Les centres de santé (hôpitaux, cliniques, centres de soins, structures pour personnes âgées, handicapées et dépendantes) ont l’obligation de notifier les incidents graves de sécurité de leur système d’information aux organismes administratifs chargés de la mise en œuvre de la politique de santé au niveau régional.

Cette notification des incidents graves de sécurité aux Agences régionales de santé (ARS) vise pour l’essentiel à :

  • informer les autorités de l’Etat ;
  • aider les établissements concernés à prendre des mesures adaptées;
  • alerter l’ensemble des acteurs de santé concernés.

Les établissements de santé concernés ont l’obligation de signaler les incidents graves de sécurité, à savoir, les événements générateurs d’une situation exceptionnelle et notamment :

  • les incidents ayant des conséquences potentielles ou avérées sur la sécurité des soins ;
  • les incidents ayant des conséquences sur la confidentialité ou l’intégrité des données de santé ;
  • les incidents portant atteinte au fonctionnement normal de l’établissement, de l’organisme ou du service concerné.

La déclaration de notification des incidents graves de sécurité s’effectue, sans délai, sur le site signalement-sante.gouv.fr, ou, en cas d’impossibilité, par voie de formulaire figurant en annexe de l’arrêté du 30 octobre 2017 relatif aux modalités de signalement et de traitement des incidents graves de sécurité des systèmes d’information (1).

Les notifications des violations de données à caractère personnel à la Cnil

Tout responsable d’un traitement a l’obligation de notifier à la Commission nationale de l’informatique et des libertés (Cnil) les violations de données à caractère personnel, c’est-à-dire, toute violation de la sécurité entraînant de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données personnelles transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

En cas de recours à la sous-traitance, le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.

Le G29, groupe de travail réunissant les autorités de contrôles européennes, distingue trois cas de violations de données :

  • les violations de confidentialité : en cas de divulgation et/ou d’accès (accidentel ou non-autorisé) à des données personnelles ;
  • les violations de disponibilité : en cas de perte et/ou destruction (accidentel ou non-autorisé) de données personnelles ;
  • les violations d’intégrité : en cas d’altération et/ou modification (accidentel ou non-autorisé) de données personnelles.

La notification devra être effectuée au plus tard dans les 72 heures après que le responsable du traitement a eu connaissance de la violation. Lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.

De plus, lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement communique également la violation de données à caractère personnel aux personnes concernées dans les meilleurs délais.

Les notifications des incidents de sécurité à l’Anssi

Trois catégories d’acteurs ont l’obligation de notifier à l’Agence nationale de la sécurité des systèmes d’Information (Anssi) les incidents de sécurité de leur système d’information.

Les Opérateurs d’importance vitale (OIV) sont désignés par le gouvernent. Ces organismes sont des entreprises exploitant des établissements ou utilisant des installations dont l’indisponibilité risquerait de diminuer la sécurité nationale. A cet égard, les OIV ont l’obligation d’informer le Premier ministre des incidents affectant le fonctionnement ou la sécurité de leur système d’information.

On trouve également, les Opérateurs de services essentiels (OSE) qui, désignés par le Premier ministre, offrent des services essentiels au fonctionnement de la société ou de l’économie et dont la continuité pourrait être gravement affectée par des incidents affectant leur système d’information. Ces derniers doivent également déclarer à l’Anssi les incidents qui ont ou sont susceptibles d’avoir, compte tenu notamment du nombre d’utilisateurs et de la zone géographique touchés, ainsi que de la durée de l’incident, un impact significatif sur la continuité de ces services.

Les Fournisseurs de services numériques (FSN), entreprises qui fournissent des services de places de marché en ligne, des moteurs de recherche en ligne, ou services d’informatique en nuage sont également les débiteurs d’une obligation de notification à l’Anssi des incidents de sécurité qui affectent leur système d’information. Ces entreprises ont notamment l’obligation de déclarer les incidents affectant les réseaux et systèmes d’information nécessaires à la fourniture de leurs services dans l’Union européenne, lorsque les informations dont ils disposent font apparaître que ces incidents ont un impact significatif sur la fourniture de ces services.

En ce qui concerne les modalités de signalement, l’Anssi met à la disposition de ces acteurs un formulaire de déclaration d’un incident de sécurité, accessible depuis son site internet. Ce document devra lui être transmis sur un support adapté à la sensibilité des informations déclarées.

La notification d’incident de sécurité auprès de l’Anssi devra par ailleurs être effectuée, sans retard injustifié, par ces opérateurs.

Les notifications d’incidents à la Banque de France

Les Prestataires de services de paiement (PSP) regroupent les établissements de paiement et les établissements de crédit. Ces derniers doivent informer, sans retard injustifié, l’Autorité de contrôle prudentiel et de résolution (ACPR) de tout incident opérationnel majeur et la Banque de France de tout incident opérationnel majeur qu’ils auraient à connaître dans le cadre de leur activité. Cet incident est défini comme un évènement découlant de processus inadéquats ou défaillants, de personnes et systèmes ou d’événements de force majeure qui affectent l’intégrité, la disponibilité, la confidentialité, l’authenticité et/ou la continuité des services liés aux paiements.

La notification des incidents à l’ACPR et à la Banque de France s’effectue sur la base d’un modèle de notification pour les prestataires de services de paiement conforme à l’annexe 1 des lignes directrices EBA/GL/2017/10 (2). Ce document est communiqué dans les 4 heures qui suivent l’incident en se connectant à la Banque de France via un site internet dédié.

Anthony Coquer
Jean-François Mary
Lexing Département Sécurité et organisation

(1) Arrêté du 30 octobre 2017 relatif aux modalités de signalement et de traitement des incidents graves de sécurité des systèmes d’information, JORF n°0261 du 8-11-2017 .
(2) Orientations sur la notification des incidents majeurs en vertu de la directive (UE) 2015/2366 (DSP2), (EBA/GL/2017/10), 19-12-2017 : Lignes directrices, annexe 1 p. 21.




ICANN : urgence d’une mise en conformité du WHOIS au RGPD

conformité du WHOIS au RGPDLe 25 mai 2018, le RGPD est entré en vigueur sans que le problème de la conformité du WHOIS au RGPD soit résolu.

La non-conformité du WHOIS au RGPD

L’ICANN (Société pour l’attribution des noms de domaine et des numéros sur Internet) est une société de droit californien dont l’une des principales missions est la gestion des noms de domaine de premier niveau génériques (comme .com, .org ou .net) .

L’ICANN délègue l’enregistrement de ces noms de domaine à différents registres et bureaux d’enregistrement qu’elle a au préalable accrédités. Dans ce cadre, ces derniers s’engagent contractuellement vis-à-vis de l’ICANN à tenir à jour une base de données WHOIS.

La base de données WHOIS fournit, en libre accès, de nombreuses informations concernant les noms de domaine enregistrés et notamment les coordonnées de leurs titulaires (nom, prénom, adresses postale et électronique, numéro de téléphone…).

Or, le RGPD (Règlement général sur la protection des données) (1), qui est entré en vigueur le 25 mai 2018, exige que toute entreprise, établie en Union européenne ou non, qui traite des données personnelles de citoyens européens, ne puisse le faire qu’avec le consentement de la personne concernée, soit dans le cadre de l’exécution d’un contrat, du respect d’une obligation légale, de la sauvegarde des intérêt vitaux de la personne concernée ou de l’exécution d’une mission d’intérêt public.

Dès lors, la diffusion en libre accès des coordonnées de citoyens européens titulaires de noms de domaine entre en conflit avec les règles du RDGP.

L’alerte des autorités européennes de protection des données

De nombreuses autorités européennes de protection des données dénoncent depuis longtemps l’incompatibilité du système WHOIS au regard du droit européen, qui impose depuis la Directive du 24 octobre 1995 (2) des règles strictes en matière de collecte et de traitement de données personnelles.

L’ICANN était jusqu’à présent restée sourde à ces revendications. Mais l’entrée en vigueur du RGPD qui vient renforcer les dispositions existantes, étendre leur applicabilité aux entreprises non européennes et alourdir les sanctions encourues en cas de non-respect, vient changer la donne.

L’insistance du G29, organe consultatif européen réunissant les autorités de contrôle des données en Union européenne a sans doute également participé à la prise de conscience de l’ICANN sur le sujet.

Dans une lettre en date du 11 décembre 2017 (3), le G29 incite en effet l’ICANN à réfléchir sur la nécessaire mise en conformité du WHOIS au RGPD.

En effet, l’article 6 du RGPD impose que toute collecte ou traitement de données à caractère personnel doit :

  • soit faire l’objet d’un consentement de la personne concernée,
  • soit être nécessaire à l’exécution d’un contrat auquel la personne concernée est partie,
  • soit être justifiée par un intérêt légitime,
  • soit être nécessaire au respect d’une obligation légale, à la sauvegarde des intérêts vitaux de la personne concernée ou à l’exécution d’une mission d’intérêt public.

Or, le G29 souligne que les cordonnées des titulaires sur WHOIS sont divulguées sans leur consentement, puisque ceux-ci sont obligés de fournir ces informations pour obtenir un nom de domaine et doivent ensuite, le plus souvent, s’acquitter d’un paiement supplémentaire pour pouvoir rendre une partie (seulement) de ces informations privées.

En outre, les titulaires des noms de domaine ne sont pas des parties signataires aux contrats d’accréditation liant l’ICANN aux différents registres et bureaux d’enregistrements.

Enfin, le G29 estime que l’ICANN n’a pas d’intérêt légitime à publier ces données, même dans le cas où elles peuvent servir aux forces de l’ordre pour combattre d’éventuelles fraudes, dès lors que ce n’est pas leur objet explicite.

L’inquiétude croissante des registres et bureaux d’enregistrement

Pris en tenaille entre le RGPD et les contrats d’accréditation imposés par l’ICANN, les différents registres et bureaux d’enregistrements tirent également la sonnette d’alarme sur ce sujet.

A compter du 25 mai 2018, ces derniers s’exposent en effet à de potentielles sanctions des autorités européennes de protection des données pour non-conformité avec le RGPD si elles continuent d’appliquer les dispositions des contrats d’accréditation.

Afin de soulager les craintes des registres et bureaux d’enregistrements, l’ICANN a donc annoncé récemment dans un communiqué (4) que «durant cette période d’incertitude, et sous conditions, l’ICANN reportera toute action contre un registre ou un bureau d’enregistrement qui ne se conformerait pas à ses obligations contractuelles en matière de données d’enregistrement».

La publication d’un modèle provisoire de conformité du WHOIS au RGPD

Afin d’organiser en urgence une conformité du WHOIS au RGPD, l’ICANN a publié il y a quelques jours un texte provisoire (5) détaillant sa nouvelle politique par rapport à ce service et destiné à être appliqué obligatoirement par les registres et bureaux d’enregistrement dès le 25 mai 2018.

Ce document prévoit notamment que seules certaines informations relatives aux titulaires des noms de domaines seront désormais rendues publiques (nom du nom de domaine, informations sur le bureau d’enregistrement, date d’enregistrement, etc.).

D’autres informations, notamment le nom du titulaire, son adresse postale et mail ou son numéro de téléphone seront rendues confidentielles par défaut, bien que les titulaires qui le souhaitent puissent rendre ces données publiques par le biais d’un système d’ « op-in ».

Seuls les utilisateurs accrédités par le biais d’un programme spécifique, ou en possession d’une assignation en bonne et due forme, pourront avoir accès à ces données confidentielles.

La réflexion de l’ICANN sur un modèle pérenne

En parallèle, l’ICANN travaille sur l’élaboration d’un nouveau cadre juridique définitif lui permettant de se conformer au RGPD de façon globale. L’élaboration d’un tel cadre devra sans doute passer par la mise en place d’avenants aux contrats d’accréditation existants.

L’enjeu pour l’ICANN sera ainsi de trouver un équilibre entre la protection des données personnelles et sa mission consistant à mettre à disposition des informations précises sur les titulaires de noms de domaines, dans le but notamment de lutter contre les fraudes.

Anne-Sophie Cantreau
Claire Deramoudt
Lexing Marques et noms de domaine

(1) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
(2) Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
(3) Lettre du G29 à l’ICANN du 11 décembre 2017 : Mise en conformité du WHOIS au RGPD
(4) Communiqué du 2-11-2017 : Statement from Contractual Compliance
(5) Proposed Temporary Specification for gTLD Registration Data – Working draft  (Revised – as of 14 May 2018) prepared by ICANN organization




L’entrée en application du RGPD, c’est aujourd’hui !

l'entrée en application du RGPDA l’occasion de l’entrée en application du RGPD, Chloé Torres en décrypte les enjeux pour France Culture.

Comme le rappelle la journaliste Maïwenn Bordron dans l’article qu’elle consacre à l’entrée en application du RGPD sur le site franceculture.fr, le Règlement général sur la protection des données (RGPD) entre en vigueur ce vendredi dans tous les pays de l’Union européenne.

L’entrée en application du RGPD

l'entrée en application du RGPDLes entreprises doivent désormais démontrer qu’elles assurent la protection des données de leurs clients.

Comment vivent-elles cette mise en conformité ?

Chloé Torres, directrice du département Informatique et libertés et DPO du cabinet Lexing Alain Bensoussan Avocats, décrypte les enjeux de cette réforme qui bouleverse en profondeur l’environnement digital des entreprises, en abordant principalement le rôle clé du Délégué à la protection des données, véritable « chef d’orchestre » de la conformité au RGPD.

Retrouvez le podcast de l’interview de Chloé Torres sur France Culture.

Eric Bonnet
Directeur de la communication juridique




Le guide de sensibilisation au RGPD pour les TPE et PME

sensibilisation au RGPDLe 17 avril 2018, la Cnil a publié sur son site internet un guide de sensibilisation au RGPD, adapté aux TPE et PME  (1).

A l’approche de l’entrée en application du règlement général sur la protection des données (RGPD) le 25 mai 2018 (2), la Cnil et Bpi France ont élaboré ce document afin de guider et sensibiliser les TPE et PME dans leur processus de mise en conformité.

En effet, à compter du 25 mai 2018, les entreprises devront être conformes aux exigences du RGPD. Cependant, en fonction de la taille de l’entreprise, les attentes du régulateur, la Cnil en France, ne sont pas les mêmes.

Le volume de données à caractère personnel, le nombre de personnes concernées et la qualité des données traitées par une petite ou moyenne entreprise est en effet sans commune mesure avec celui d’une multinationale.

Elles n’ont pas pour activité principale le traitement des données à caractère personnel, celles-ci peuvent alors se perdre dans la quantité de dispositions du RGPD, toutes ne leur étant pourtant pas destinées.

Pour Isabelle Falque-Perrotin, Présidente de la Cnil :

« Il faut en finir avec l’alarmisme sur le RGPD ! Avec ce guide, nous voulons montrer aux PME que se mettre en conformité c’est facile, en adoptant simplement de bons réflexes. A l’heure où les consommateurs sont de plus en plus soucieux de leurs données personnelles, proposer une relation de confiance à ses collaborateurs, clients, prospects, c’est aussi utile à l’entreprise.
Enfin, un couperet ne va pas tomber sur les entreprises le 26 mai. »

L’objectif étant de rassurer les TPE et PME en s’adressant directement à elles mais également de leur permettre de prendre le tournant de la digitalisation en les aidant à en maitriser les outils de protection des données personnelles de leurs clients et salariés par cette sensibilisation au RGPD.

Ce guide de sensibilisation au RGPD comprend :

  • des fiches thématiques rappelant les grands principes du RGPD ;
  • les avantages pour l’entreprise ;
  • un plan d’action ;
  • l’application au sous-traitant ;
  • les bons réflexes à avoir ;
  • des fiches pratiques.

Le rappel des principes du RGPD

Le guide revient sur la construction du RGPD afin de comprendre pourquoi ce texte était devenu nécessaire, notamment en raison de l’évolution des technologies et d’un besoin d’harmonisation européenne.

La définition de donnée à caractère personnel est expliquée avec des exemples concrets.

1. Organismes concernés

Les organismes concernés par le RGPD sont définis avec des exemples pratiques. Il est expliqué que toute organisation est concernée dès lors qu’elle est établie sur le territoire de l’Union européenne ou que son activité cible directement des résidents européens.

2. Données particulières

Le traitement des données à risque figure au chapitre 6 du guide. Il est expliqué aux TPE et PME les cas dans lesquels elles seraient concernées par un tel traitement et les mesures à prendre dans pareil cas, à savoir conduire une analyse d’impact sur la vie privée. Le « Dossier PIA » disponible sur le site de la Cnil permet de connaitre les cas dans lesquels une telle analyse est nécessaire et comment l’élaborer.

3. Transferts hors UE

De la même manière, en cas de transfert de données en dehors de l’Union européenne, le responsable du traitement doit prendre des précautions particulières. Le Guide renvoie au « Dossier transférer des données hors de l’UE » disponible sur le site de la Cnil pour en savoir plus.

4. Délégué à la protection des données

Dans certains cas, l’entreprise peut être conduite à désigner un DPD, délégué à la protection des données. En cas de traitement de données sensibles ou de traitement à grande échelle, cette désignation est obligatoire ; autrement elle est recommandée. Sur ce point, la Cnil a publié un « Dossier le délégué à la protection des données » disponible sur son site.

Les avantages pour les TPE/PME

L’entrée en application du RGPD présente des avantages pour ces entreprises, que ce guide  de sensibilisation au RGPD met en avant.

1. Renforcer la confiance

Le respect des droits personnes concernées quant à leurs données permet de renforcer la confiance qu’elles portent à l’entreprise et de valoriser son image.

2. Améliorer l’efficacité commerciale

En tenant les fichiers de prospection à jour, cela permet à l’entreprise de gagner en efficacité et en productivité.

3. Mieux gérer son entreprise

La collecte des données réellement nécessaire à l’entreprise et au traitement, correspondant au principe de minimisation des données introduit par le RGPD, permet à l’entreprise d’optimiser ses investissements.

En ne collectant que les données dont l’entreprise a vraiment besoin, elle gagne en espace de stockage, permet le recours à des logiciels adaptés et aux moyens humains nécessaires à leur gestion.

En tenant à jour la liste de ces fichiers, cela permet à l’entreprise de faire le point sur les données collectées et d’identifier ses besoins réels.

4. Améliorer la sécurité des données de l’entreprise

La conservation et le traitement des données à caractère personnel doivent être protégés par l’entreprise, par des mesures de sécurité particulières.

Cette disposition est l’occasion pour l’entreprise d’améliorer sa sécurité afin de protéger son patrimoine informationnel et de continuer son développement sans risquer de perdre ou de compromettre les données qu’elle traite.

5. Rassurer les clients donneurs d’ordre et développer son activité

Le respect des dispositions du RGPD par l’entreprise lui permettra de se démarquer des autres entreprises et ainsi d’obtenir un avantage concurrentiel.

6. Créer de nouveaux services

En développant de nouveaux outils permettant de se conformer au RGPD, l’utilisateur pourrait accéder à de nouvelles fonctionnalités, ce qui pourra entrer en compte dans sa décision d’achat.

Ce guide de sensibilisation au RGPD démontre ainsi les aspects positifs des dispositions du RGPD pour les entreprises et la manière dont les TPE et les PME pourraient en tirer un profit.

Le plan d’action

La Cnil et Bpi France proposent quatre actions principales à mener pour entamer la mise en conformité au RGPD. Chaque action montre l’avantage que cela va procurer à l’entreprise et est accompagnée d’un exemple pratique.

1. Recenser ses fichiers

A cet effet, l’entreprise identifiera ses principales activités nécessitant la collecte et le traitement de données et les listera dans un registre d’activité. Pour faciliter la tenue de ce registre, la Cnil renvoie au modèle proposé sur son site.

2. Faire le tri dans les données

Pour cela il est conseillé aux entreprises de ne traiter que les données nécessaires à ses activités, de contrôler les destinataires et le temps de conservation des données. Une vigilance particulière doit être portée aux données particulières.

3. Respecter le droit des personnes

Des mentions d’information doivent être portées à la connaissance des personnes concernées. Celles-ci doivent être informées que leurs données font l’objet d’un traitement, pour quelles finalités, sur quels fondements, quels en sont les destinataires, leur durée de conservation, la possibilité d’exercer leurs droits et l’existence d’un transfert en dehors de l’Union européenne. Afin d’aider les TPE et PME à remplir cette exigence, des exemples de mentions d’informations sont proposés sur le site de la Cnil.

Il convient également de permettre aux personnes concernées d’exercer effectivement leurs droits, à savoir : droit d’accès, de rectification, d’opposition, d’effacement, droit à la portabilité et à la limitation de traitement. Il est recommandé aux entreprises de mettre en place un processus interne pour le traitement des demandes.

4. Sécuriser les données

Les organismes doivent prendre les mesures nécessaires afin de garantir la sécurité des données. Différentes actions sont proposées et des « bonnes pratiques » sont mises en avant. En cas de violation des données, l’entreprise doit le signaler à la Cnil et, dans certains cas, à la personne concernée.

Pour aller plus loin sur ce point capital, le guide renvoie au « Guide des bonnes pratiques de l’informatique » réalisé par l’ANSSI et la CPME ainsi qu’au « Guide sécurité des données personnelles » disponible sur le site de la Cnil.

La sous-traitance

Le guide consacre un chapitre à la sous-traitance, les TPE et PME pouvant être concernées tant en qualité de responsable du traitement qu’en qualité de sous-traitant. Dans les deux cas il est rappelé qu’elles seraient concernées par le RGPD.

Les obligations spécifiques du sous-traitant sont énumérées, accompagnées d’exemples et de « bonnes pratiques ». Le Guide de sensibilisation au RGPD renvoie au « Guide RGPD pour les sous-traitants » pour en savoir plus.

Les bons réflexes de la protection des données à caractère personnel

Six reflexes à adopter pour garantir le traitement des données à caractère personnel conformément au RGPD sont proposés :

  1. ne collecter que les données vraiment nécessaires ;
  2. être transparent ;
  3. penser au droits des personnes ;
  4. garder la maitrise des données ;
  5. identifier les risques ;
  6. sécuriser les données.

Fiche pratique n°1 – les services en ligne

Cette fiche vise à aider les TPE et PME qui utilisent internet comme moyen de communication et/ou de prospection mais également pour vendre des produits en ligne.

1. Utilisation d’un site vitrine

Dans cette hypothèse, les seules données collectées sont celles renseignées dans un formulaire de contact ou un abonnement à une lettre d’information. A cet égard, il est rappelé aux entreprises que des mentions d’information doivent figurer au bas du formulaire, qu’il faut permettre aux personnes concernées d’exercer leurs droits et que l’éditeur du site doit être identifié dans les mentions légales. Il est renvoyé au site internet du service public pour en savoir plus.

2. Communication sur les réseaux sociaux

Il convient pour les entreprises concernées de prévoir le renvoi vers une page d’information sur les droits ainsi qu’une réponse type à adresser aux internautes insatisfaits.

3. Vente en ligne

Il est conseillé aux TPE et PME de se faire accompagner par un prestataire spécialisé, de s’assurer que la collecte des données est justifiée par le service et de toujours obtenir le consentement des personnes concernées, lesquelles doivent être informées de l’utilisation de leurs données.

Les TPE et PME sont invitées à sécuriser les données en ligne, informer leurs clients et leur donner la possibilité d’exercer leurs droits. Trois articles publiés sur le site internet de la Cnil permettent de mieux comprendre ces recommandations :

4. Utilisation des cookies

L’entreprise doit informer la personne concernée et obtenir son consentement. Pour en savoir plus, la Cnil propose son dossier « Site web, cookies et autres traceurs ».

Fiche pratique n°2 – la relation avec les clients

1. Prospection de nouveaux clients

Les règles applicables à la prospection commerciale, accompagnées d’exemples, sont rappelées aux entreprises, à savoir :

  • prendre des précautions dans l’utilisation de données disponibles en ligne ;
  • être vigilant sur les bases de données en vente sur internet ;
  • utiliser des fichiers dits « qualifiés », c’est-à-dire comportant des données fiables ;
  • permettre aux personnes concernées de refuser de recevoir une sollicitation commerciale, à ce titre la Cnil propose des modèles de recueil de consentement ou d’opposition sur son site internet.

2. Fidélisation des clients

Il est rappelé aux entreprises les conditions dans lesquelles les données à caractère personnel des personnes concernées peuvent être traitées :

  • ne collecter que les données nécessaires ;
  • obtenir le consentement des clients lorsque la collecte de leurs données est nécessaire, ainsi que le consentement au partage de ces données ;
  • informer les clients de l’utilisation de leurs données, dans les conditions générales de vente mais également par une mention d’information sur chaque formulaire de collecte ;
  • permettre aux personnes concernées d’exercer leurs droits d’accès, de rectification, d’opposition et d’effacement ;
  • prévoir des durées de conservation des données.

Des fiches pratiques « Commerce et données personnelles » sont disponibles sur le site de la Cnil afin de permettre aux TPE et PME d’approfondir ces points.

Fiche pratique n°3 – la relation avec les salariés

Après avoir rappelé les raisons pour lesquelles la protection des données à caractère personnel des salariés est essentielle, ainsi que les cas dans lesquels lesdites données peuvent être collectées, il est rappelé aux entreprises les règles à suivre pour le traitement de ces données, à savoir :

  • ne demander que les informations utiles à l’accomplissement de leurs missions ;
  • garantir la confidentialité et la sécurité des données ;
  • informer les salariés ou les candidats de ce traitement, des destinataires, des durées de conservation et de la mise en œuvre de leurs droits.

1. Le contrôle des salariés et ses limites

S’il est vrai que l’employeur peut surveiller son salarié, cette surveillance doit reposer sur un intérêt légitime de l’entreprise et être occasionnelle.

Afin d’être transparent avec ses salariés, l’employeur doit consulter les instances représentatives du personnel et informer ses employés de la mise en œuvre d’un dispositif de surveillance.

Afin d’aider les entreprises dans cette démarche, le Guide renvoie à des fiches pratiques « Travail et protection des données » disponibles sur le site de la Cnil.

2. Sensibilisation et formation des salariés

Il est important de sensibiliser les salariés sur tous les points du RGPD. Il est recommandé de diffuser une charte informatique au sein de l’entreprise afin de porter cette information à la connaissance de tous les employés.

Ce guide de sensibilisation au RGPD est ainsi l’occasion pour la Cnil de rappeler les grands principes du RGPD et d’en montrer l’application pour les TPE et PME, afin de les accompagner dans leur démarche et de les rassurer à l’approche de l’entrée en application du RPGD.

Virginie Bensoussan Brulé
Debora Cohen
Lexing Contentieux numérique

(1) Guide de sensibilisation au RGPD : la Cnil et Bpi France s’associent pour accompagner les TPE et PME dans leur appropriation du Règlement européen sur la protection des données (RGPD), communiqué de la Cnil du 17-4-2018.

(2) Règlement (UE) 2016/679 du 27-4-2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).




Le réseau Lexing® vous informe sur les spécificités locales du RGPD

spécificités locales du RGPDCe numéro spécial international consacré aux spécificités locales du RGPD dresse un tableau de la situation actuelle en Afrique du Sud, Australie, Belgique, France, Grèce, Mexique, Sénégal et Russie.

Le Règlement européen sur la protection des données (RGPD) est sous les feux de l’actualité. Ses dispositions seront directement applicables dans les Etats membres de l’Union européenne le 25 mai 2018. Autant dire demain.

Si le RGPD est directement applicable, il nécessite néanmoins la révision des textes de loi nationaux afin d’abroger les dispositions incompatibles ou redondantes, d’adopter des dispositions nouvelles prévues par le RGPD, ou de prévoir des aménagements conformément à ses clauses dites « ouvertes » qui laisse une certaine marge de manœuvre laissée aux Etats membres.

La France, la Belgique et les différents pays membres de l’UE sont sur les starting blocks. Les répercussions du RGPD dépasseront largement les frontières de l’Union européenne. Ce texte européen est d’ailleurs au cœur des débats devant le Congrès américain dans le cadre du scandale Cambridge Analytica.

Les membres du réseau Lexing® dressent un tableau des spécificités locales du RGPD dans leur pays respectif.

En France, le corpus de normes adoptées par la Cnil n’a pas vocation à disparaître. Le projet de loi français visant à adopter certaines spécificités locales prévues par le règlement prévoit en effet que la Cnil pourra adopter « des référentiels destinés à faciliter la mise en conformité des traitements de données à caractère personnel avec les textes relatifs à la protection des données à caractère personnel et à procéder à l’évaluation préalable des risques par les responsables de traitement et leurs sous-traitants ».

Lettre Juristendances Internationales Informatique et Télécoms n°18, avril 2018.




La Cnil publie son guide sur la sécurité des données personnelles

sécurité des données personnellesLa Cnil publie son guide sur la sécurité des données personnelles pour aider à la mise en conformité des professionnels.

Précautions élémentaires sur la sécurité des données personnelles

Le guide sur la sécurité des données personnelles (1) rappelle tout d’abord les précautions élémentaires devant être mises en œuvre de façon systématique au regard de l’article 32 du RGPD, lequel dispose que « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

Gestion des risques relatifs à la sécurité des données personnelles en quatre étapes

Le guide sur la sécurité des données personnelles a vocation à être utilisé dans le cadre d’une gestion des risques et se base sur quatre grandes étapes :

  • recenser les traitements de données à caractère personnel, automatisés ou non, les données traitées et les supports sur lesquels elles reposent ;
  • apprécier les risques engendrés pour chaque traitement grâce à l’identification
    – des impacts potentiels,
    – des sources de risque,
    – des menaces réalisables ;
  • mettre en œuvre et vérifier les mesures prévues ;
  • faire réaliser des audits de sécurité périodiques.

17 fiches pour aider à évaluer le niveau de sécurité des données personnelles

Le guide sur la sécurité des données personnelles prévoit dix-sept fiches pour aider les organismes à évaluer le niveau de sécurité des données personnelles.

Ces fiches décrivent les précautions élémentaires recommandées par la Cnil pour les dix-sept thèmes suivants :

1. Sensibiliser les utilisateurs

La Cnil préconise de rédiger une charte informatique et de lui donner une force contraignante (en l’annexant au règlement intérieur) et de prévoir la signature d’engagement de confidentialité ou d’insérer dans les contrats de travail une clause de confidentialité spécifique concernant les données à caractère personnel.

2. Authentifier les utilisations

La Cnil recommande de définir un identifiant unique par utilisateur et d’interdire les comptes partagés. Elle précise qu’un mot de passe contient 12 caractères minimum de 4 types différents si l’authentification repose uniquement sur le mot de passe.

3. Gérer les habilitations

Il est conseillé de limiter les accès aux seules données dont un utilisateur a besoin en définissant des profils d’habilitation, de supprimer les permissions d’accès obsolètes et de réaliser une revue annuelle des habilitations.

4. Tracer les accès et gérer les incidents

La Cnil recommande de prévoir les procédures pour les notifications de violation de données.

5. Sécuriser les postes de travail

Afin de garantir la sécurité des données personnelles et de sécuriser convenablement les postes de travail, la Cnil préconise de mettre en place une procédure de verrouillage automatique de session, d’utiliser des antivirus régulièrement mis à jour, d’installer un pare-feu logiciel et de recueillir l’accès de l’utilisateur avant toute intervention sur son poste.

6. Sécuriser l’informatique mobile

La Cnil recommande, pour sécuriser l’informatique mobile, de prévoir des moyens de chiffrement des équipements mobiles et de sauvegarder les données.

7. Protéger le réseau informatique interne

La Cnil préconise de limiter les flux réseau au strict nécessaire et de sécuriser les accès distants des appareils informatiques nomades.

8. Sécuriser les serveurs

Concernant les outils et interfaces d’administration, la Cnil recommande de :

  • limiter l’accès aux seules personnes habilitées ;
  • installer sans délai les mises à jour critiques ;
  • assurer une disponibilité des données.

9. Sécuriser les sites web

La Cnil conseille de vérifier qu’aucun mot de passe ou identifiant ne passe par les URL ainsi que le contrôle des entrées des utilisateurs correspondant à ce qui est attendu.

10. Sauvegarder et prévoir la continuité d’activité

La Cnil recommande d’effectuer des sauvegardes régulières et de stocker les supports de sauvegarde dans un endroit sûr.

11. Archiver de manière sécurisée

La Cnil recommande, à minima, de mettre en œuvre des modalités d’accès spécifiques aux données archivées et détruire les archives obsolètes de manière sécurisée.

12. Encadrer la maintenance et la destruction de des données

La Cnil suggère d’enregistrer les interventions de maintenance dans une main courante et d’encadrer par un responsable de l’organisme les interventions par des tiers.

13. Gérer la sous-traitance

Il est recommandé de prévoir une clause spécifique dans les contrats des sous-traitants et d’assurer l’effectivité des garanties prévues (audits de sécurité, visites, etc.).

14. Sécuriser les échanges avec d’autres organismes

La Cnil préconise de chiffrer les données avant leur envoi et de s’assurer qu’il s’agisse du bon destinataire.

15. Protéger les locaux

Il apparaît nécessaire pour la protection des locaux de restreindre les accès au moyen de portes verrouillées et d’installer des alarmes anti-intrusion.

16. Encadrer les développements informatiques

Il est ainsi élémentaire pour la Cnil d’intégrer la protection de la vie privée, y compris des exigences de sécurité des données dès la conception d’un développement informatique.

17. Chiffrer, garantir l’intégrité ou signer

Les signatures numériques, en plus d’assurer l’intégrité, permettent de vérifier l’origine de l’information et son authenticité. Le chiffrement permet de garantir également la confidentialité d’un message.

En conclusion, ce guide sur la sécurité des données personnelles permet aux organismes

  • de connaître les critères de niveau de sécurité élémentaires ;
  • d’instaurer une charte informatique, des modules de formation et des spécifications relatifs à la sécurité ;

et ce dès la conception de leurs produits et leurs services.

Polyanna Bigle
Lucie Antigny
Lexing Sécurité des systèmes d’information et dématérialisation

(1) Guide de la Cnil sur la sécurité des données personnelles.




Publication du guide pratique RGPD-GDPR Compliant d’Umanis

RGPD-GDPR CompliantUmanis publie un guide pratique RGPD-GDPR Compliant auquel a collaboré le cabinet Lexing Alain Bensoussan Avocats.

Leader français en Data, Digital & Business Solutions, Umanis vient de publier un e-book intitulé « GDPR Compliant : le guide pratique » qui présente les actions à mener pour se mettre en conformité avec le RGPD (Règlement Général sur la Protection des Données) mais aussi des avis d’experts et témoignages d’entreprises et de partenaires.

RGPD-GDPR Compliant : Le compte à rebours est lancé

Le compte à rebours est lancé pour la mise en application du RGPD : dès le 25 mai 2018, toute entreprise dans le monde qui collecte, traite et stocke des données personnelles de citoyens européens devra être en capacité de prouver sa conformité au règlement.

Ainsi, le guide RGPD-GDPR Compliant contient tout ce qu’il faut savoir pour se mettre en conformité avec le RGPD.

Le RGPD vise à garantir un niveau élevé de protection des citoyens. Il oblige les entreprises à se plier à de nouvelles exigences sur la manipulation des informations.

Quelles sont les contraintes à surmonter mais aussi les opportunités à saisir avec ce règlement majeur et fondateur ?

Mais surtout Umanis apporte un éclairage complet, didactique et inspirant dans son guide pratique RGPD-GDPR Compliant à destination de toutes les entreprises et réalisé avec l’aide de ses partenaires Segeco, IBM et le cabinet Lexing Alain Bensoussan avocats.

Un ouvrage préfacé par Alain Bensoussan.

RGPD-GDPR Compliant : les bonnes questions à se poser

Cet ebook recueille également les témoignages éclairés de Thierry Brun, GDPR Ambassador chez IBM, Benoît Després, Directeur de la Maîtrise d’Ouvrage Finances et Risques, IBP, Charley Dupré, DPO et Juriste Volkswagen, Jean-Philippe Gaulier, RSSI Orange, Denis Genest et Luc Alloin, Associés Segeco, Denis Skalski, Directeur Practice Data, Umanis et Stéphane Tournadre, Directeur Sécurité et Audit SI, Laboratoires Servier.

Très peu d’entreprises seront prêtes à la date butoir, par conséquent, ce guide aborde les bonnes questions à se poser pour ne pas perdre de temps :

  • Quels chantiers démarrer dès que possible ?
  • Quels impacts sur l’IoT et le Big Data ?
  • Quelle gouvernance des données adopter ?
  • Comment profiter du RGPD pour valoriser ses données ?
  • Quels solutions, outils et méthodes mettre en place ?

Découvrez le sommaire du guide et ses premières pages sur le Slideshare d’Umanis.
L’e-book « GDPR Compliant » de 33 pages, préfacé par Alain Bensoussan est téléchargeable gratuitement.

Lexing Alain Bensoussan Avocats




Conformité au RGPD à J-100 jours : quelles actions à mener ?

RGPD à J-100RGPD à J-100 – Alain Bensoussan évoque pour IT Expert les actions à mener à J-100 jours de l’entrée en application du RGPD.

Alain Bensoussan évoque pour It Expert l’entrée en application le 25 mai prochain du Règlement européen sur la protection des données (RGPD) : il reste un peu plus de trois mois aux entreprises, organismes publics et associations pour se préparer à cette échéance.

Une chose est sûre : il est plus que jamais urgent d’anticiper ce texte qui va modifier en profondeur les règles applicables à l’environnement digital des entreprises.

RGPD à J-100 : pour qui ?

Le RGPD s’applique dès lors que le responsable du traitement ou le sous-traitant est établi sur le territoire de l’Union européenne ou que le responsable du traitement ou le sous-traitant met en œuvre des traitements visant à fournir des biens et des services aux résidents européens, soit la plupart des organisations partout dans le monde.

RGPD à J-100 : comment ?

Ce texte impose de nouvelles obligations, pour l’essentiel :

  • réaliser des analyses d’impact  ;
  • respecter le RGPD dès la conception du traitement de données ;
  • prouver la conformité du traitement avec le RGPD.

RGPD à J-100 : quels risques ?

Le RGPD prévoit des amendes pouvant atteindre 20 millions d’euros ou jusqu’à 4% du chiffre d’affaires mondial annuel.

RGPD à J-100 : quels avantages ?

Le RGPD, en renforçant les obligations de sécurité des entreprises, donne à leurs clients l’assurance d’un niveau de protection accru pour le traitement de leurs données personnelles. Et ce faisant, est de nature à renforcer leur position concurrentielle.

RGPD à J-100 : quelles actions ?

Durant les 100 jours d’ici au 25 mai 2018, les organisations devront respecter cinq priorités :

  1. Adopter une « posture » Informatique et libertés.
  2. Mettre en place une organisation en désignant un Data protection officer (DPO).
  3. Réaliser un « diagnostic », une analyse des éventuels écarts de conformité .
  4. Se doter des outils permettant de « documenter » la politique Informatique et libertés.
  5. Adopter une démarche d’anticipation dite de protection dès la conception et de protection par défaut.

Lexing Alain Bensoussan Avocats

Pour lire l’article :
« RGPD : quelles actions à J-100 jours ? », Aurélie Magniez, IT-Expert magazine, publié le 9-2-2018.