La Cnil et la reconnaissance faciale aux abords des lycées

reconnaissance faciale aux abords des lycéesAlain Bensoussan évoque pour Digital Mag la reconnaissance faciale aux abords des lycées et les précisions apportées par la Cnil.

Saisie d’une expérimentation prévoyant le recours à la reconnaissance faciale à l’entrée de deux lycées marseillais et niçois, la Cnil a considéré que « ce dispositif concernant des élèves, pour la plupart mineurs, dans le seul but de fluidifier et de sécuriser les accès n’apparaissait ni nécessaire, ni proportionné pour atteindre ces finalités » (Séance plénière du 17 octobre 2019).

Reconnaissance faciale aux abords des lycées : les données sensibles d’un public… sensible

S’agissant de mineurs de plus de 15 ans, même si leur consentement était acquis, la question se pose d’un choix réel et non contraint. Par ailleurs, la sécurisation des données biométriques est toujours problématique et ce proportionnellement au risque important d’atteinte aux libertés individuelles des personnes concernées.

Après un examen attentif du projet, la Cnil a considéré que le dispositif projeté est contraire aux grands principes de proportionnalité et de minimisation des données posés par le RGPD (Règlement général sur la protection des données).

En effet, les objectifs de sécurisation et la fluidification des entrées dans ces lycées peuvent être atteints par des moyens bien moins intrusifs en termes de vie privée et de libertés individuelles, comme par exemple un contrôle par badge.

Les technologies de reconnaissance faciale présentent beaucoup d’intérêt en matière de sûreté et de sécurité, mais elles sont aussi porteuses d’un risque important d’atteinte aux libertés individuelles.

Ces technologies soulèvent encore de nombreuses questions non résolues. C’est pourquoi la Cnil a appelé à un débat démocratique sur ce sujet, ainsi que plus largement sur les nouveaux usages de la vidéo.

Isabelle Pottier
Avocat, Lexing Alain Bensoussan Avocats
Directeur du département Etudes et publications

Alain Bensoussan,  « Reconnaissance faciale aux abords des lycées, les précisions de la Cnil », DigitalMag n° 258 p.42-43 décembre 2019.




La loi Informatique et libertés réécrite par ordonnance

ordonnancePrévue dans un délai de 6 mois à compter de sa publication par la loi du 20 juin 2018, l’ordonnance est parue au Journal officiel du 13 décembre 2018.

L’édifice juridique découlant de l’entrée en application, le 25 mai 2018, du Règlement général sur la protection des données (RGPD), est sur le point d’être achevé (1) : l’ordonnance n°2018-1125 du 12 décembre 2018, prise en application de l’article 32 de la loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles, est parue au Journal officiel.

Ce texte était attendu pour rendre de la cohérence au cadre juridique actuel de la protection des données à caractère personnel.

L’ordonnance a pour objet de :

  • réécrire l’ensemble de la loi n°78-17 du 6 janvier 1978 afin « d’apporter les corrections formelles et les adaptations nécessaires à la simplification et à la cohérence ainsi qu’à la simplicité de la mise en œuvre par les personnes concernées des dispositions qui mettent le droit national en conformité avec le règlement (UE) 2016/679 » ;
  • mettre en cohérence avec ces changements « l’ensemble de la législation applicable à la protection des données à caractère personnel, apporter les modifications qui seraient rendues nécessaires pour assurer le respect de la hiérarchie des normes et la cohérence rédactionnelle des textes, harmoniser l’état du droit, remédier aux éventuelles erreurs et omissions résultant de la présente loi et abroger les dispositions devenues sans objet » (2).

Améliorer le nouveau cadre juridique issu du RGPD

En d’autres termes, comme l’a souligné la Cnil qui s’était prononcée sur le projet d’ordonnance par un avis rendu le 15 novembre 2018, il s’agissait d’améliorer la lisibilité du nouveau cadre juridique composite né de l’entrée en application du RGPD (3).

Cette ordonnance, présentée le 12 décembre en conseil des ministres par le garde des Sceaux, propose ainsi un plan « plus lisible, ordonné et cohérent, distinguant les dispositions communes, qui constituent le socle commun à l’ensemble des traitements de données à caractère personnel (principes, définitions, champs d’application matériel et territorial de la loi, dispositions relatives à la commission nationale de l’informatique et des libertés (CNIL), formalités préalables, voies de recours spécifiques aux traitements de données à caractère personnel, dispositions pénales), les traitements relevant du régime de protection des données à caractère personnel prévu par le règlement (UE) 2016/679 du 27 avril 2016 (y compris les traitements dans le secteur des communications électroniques et les traitements de données à caractère personnel relatives aux personnes décédées), les traitements relevant de la directive (UE) 2016/680 du même jour, les traitements intéressant la sûreté de l’État et la défense et les dispositions relatives à l’outre-mer ».

L’ordonnance opère par ailleurs une « mise en cohérence avec ces changements de l’ensemble de la législation, codifiée ou non, applicable à la protection des données à caractère personnel » .

Un dernier décret à intervenir

Enfin, l’ordonnance procède à l’adaptation et à l’extension à l’outre-mer de ces dispositions, ainsi qu’à l’application à Saint-Barthélemy, à Saint-Pierre-et-Miquelon, en Nouvelle-Calédonie, en Polynésie française, à Wallis-et-Futuna et dans les Terres australes et antarctiques françaises de l’ensemble des dispositions de la loi du 6 janvier 1978 relevant de la compétence de l’État.

Le porte-parole du gouvernement a précisé, le 12 décembre 2018, que l’ordonnance « entrera en vigueur en même temps que le décret qui modifiera le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dans sa rédaction résultant de la présente ordonnance et au plus tard le 1er juin 2019 ».

Eric Bonnet
Directeur du département Communication juridique

(1) Un dernier décret reste à intervenir.
(2) Rapport au Président de la République relatif à l’ordonnance n°2018-1125 du 12 décembre 2018 (JORF n°0288 du 13 décembre 2018).
(3) Cnil, « RGPD : quel bilan 6 mois après son entrée en application », 23 novembre 2018.




Afterwork « RGPD : contrainte ou opportunité »

contrainte ou opportunitéAlain Bensoussan animera un afterwork « RGPD : contrainte ou opportunité », le 13 décembre 2018 à 18h à Paris. 

Quatre mois après son entrée en application, un grand nombre d’entreprises privées voient encore le RGPD comme une contrainte. Pourtant, ce texte est porteur de réelles opportunités. Ainsi, pour la présidente de la Cnil, ce texte va « permettre à l’Europe de récupérer la souveraineté sur ses propres données en soumettant les acteurs internationaux au droit européen ».

Mais surtout, de manière plus pragmatique, les entreprises vont pouvoir en tirer profit notamment en termes organisationnel (cartographie et optimisation des données personnelles qu’elles traitent). De même, sur le plan marketing, elles pourront renforcer la relation de confiance avec leurs clients grâce à la compliance.

L’afterwork est accessible à tous gratuitement. Il aura lieu dans le cadre des Ateliers RGPD 2018. Ces ateliers (payants) organisés par Comundi, en partenariat avec Lexisnexis et le cabinet Lexing Alain Bensoussan Avocats, se dérouleront les 13 et 14 décembre 2018 à Paris.

Cette formation de 13 ateliers « à la carte » propose de créer son propre parcours selon ses besoins opérationnels.

Les avocats du cabinet Lexing Alain Bensoussan Avocats vous accompagneront dans votre mise en conformité de manière ludique et efficace.

Consulter le programme de formation.




Petit-déjeuner Informatique et libertés Bilan et perspectives

Informatique et libertés bilanPetit-déjeuner du 12 septembre 2018 « Informatique et libertés Bilan et perspectives » – Alain Bensoussan.

Informatique et libertés Bilan

Le dernier rapport d’activité de la Cnil montre que l’an dernier, le régulateur a reçu un nombre record de plaintes (8360) et de demandes de droit d’accès (4039) et son site Web n’a jamais été autant consulté (4,4 millions de visites).

En 2017, la Cnil a :

  • effectué 341 contrôles dont 47 concernant la vidéoprotection ;
  • réalisé 79 mises en demeure dont 6 publiques ;
  • prononcé 14 sanctions dont une amende de 150 000 € à l’encontre de Facebook, 100 000 € à l’encontre de la société Google Inc., 40 000 € à l’encontre d’une société de location de véhicule,  25 000 € à l’encontre de l’éditeur de 4 sites, 15 000 € à l’encontre d’une société de transport de particuliers.

73 % des contrôles réalisés ont concerné les entreprises du secteur privé, contre 27 % celles du secteur public.

Informatique et libertés perspectives : le programme des contrôles Cnil

A l’heure où la Cnil vient de mettre en ligne son programme des contrôles pour 2018, l’année s’annonce riche en actions.

En 2018, la Cnil contrôlera le respect du RGPD entré en application depuis le 25 mai 2018 et portera particulièrement son attention sur les secteurs :

  • RH (traitements liés au recrutement)
  • immobilier (pièces justificatives demandées par les agences immobilières) et
  • prestataires liés au contrôle du stationnement (gestion du stationnement payant au moyen d’équipements connectés).

300 contrôles sur place, sur audition, sur pièces et en ligne sont planifiés. La Cnil a toutefois annoncé que les contrôles sur les nouvelles exigences du règlement ne commenceront pas avant la fin de l’année, ce qui laisse encore quelques mois pour se mettre en conformité…

Dans le cadre de ce petit-déjeuner débat, nous vous avons proposé de préciser les actions à mettre en œuvre par les entreprises pour assurer la conformité de leur activité à la réglementation Informatique et libertés.

Le petit-déjeuner débat a eut lieu dans nos locaux, 58 Gouvion-Saint-Cyr, 75017 Paris.

Inscriptions closes




Première sortie publique du ChatBot Eva Lexing aux Assises de la Compliance

ChatBot Eva Lexing aux Assises de la ComplianceAlain Bensoussan a présenté Eva Lexing, premier chatbot vocal entièrement dédié au RGPD lors des  Assises de la Compliance qui se sont tenues le 22 juin à Paris.

Dans le cadre des Assises de la Compliance qui se sont déroulées le vendredi 22 juin 2018 à l’Hôtel Méridien Etoile à Paris à l’initiative notamment de Thomson Reuters, du cercle de la Compliance et de la Faculté de droit de Strasbourg, Alain Bensoussan a présenté Eva Lexing, premier agent conversationnel (chatbot) entièrement dédié au Règlement général sur la Protection des données, entré en application le 25 mai dernier.

ChatBot Eva Lexing aux Assises de la Compliance

Ses signes distinctifs : Eva est intuitive, apprenante, personnelle et intelligente..

Ainsi, nourrie des réponses pour être apte à répondre à de nouvelles questions, Lila évolue au fil des différentes conversations qu’elle engage avec les internautes.

Chacun est invité à formuler sa demande en langage naturel (voix ou texte), celle-ci est alors affinée par un dialogue convivial grâce à l’intelligence artificielle.

Eva Lexing apprend chaque jour sur les sujets du droit des technologies afin de vous informer sur vos nouvelles obligations.  

Elle répond aux besoins d’avoir des réponses en temps réel, sur tous canaux (ordinateurs, mobiles, tablettes…), et ce à toute heure du jour et de la nuit. 




Adoption de la loi sur la protection des données personnelles

loi sur la protection des données personnellesL’Assemblée nationale a définitivement adopté la loi sur la protection des données. Le Conseil constitutionnel est saisi.

La loi sur la protection des données personnelles (1) qui adapte la loi Informatique et libertés (2) au Règlement général sur la protection des données (RGPD) (3) a été définitivement adopté mardi 14 mai, mais le Conseil constitutionnel a été saisi le 16 mai 2018 par le Sénat (4).

Le RGPD prévoit en effet, malgré son statut de règlement, la possibilité pour les Etats membres d’adopter des spécificités locales au nombre de cinquante-six.

Le texte adopté lundi 14 mai transpose également la Directive 2016/680 relative aux traitements mis en œuvre à des fins de prévention et de détection des infractions pénales (5), second volet du paquet data. Dès lors, son titre III ne concerne que les traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuite en la matière ou d’exécution de sanctions pénales. C’est notamment le cas de l’article 70-15 relatif à l’obligation pour le responsable de traitement ou le sous-traitant d’établir pour chaque traitement automatisé un journal des opérations de collectes, de modification, de consultation et de communication des données.

Au-delà de la transposition de cette directive, la loi sur la protection des données personnelles adapte le cadre d’intervention de la Cnil au nouveau contexte du RGPD.

Les principales modifications portent sur :

  • la suppression des formalités préalables
  • la définition des modalités de coopération de la Cnil avec ses homologues européens,
  • la procédure de sanction,
  • l’âge pour le consentement des mineurs.

L’adaptation des pouvoirs de la Cnil

Les prérogatives de la Cnil sont adaptées pour respecter les dispositions du RGPD. Ainsi, la Cnil peut désormais certifier des personnes, des produits, des systèmes ou des procédures afin de reconnaitre leur conformité au Règlement. Elle peut également agréer des organismes certificateurs sur la base de l’accréditation qui leur a été délivré par le Cofrac (6) ou décider conjointement avec lui de lui déléguer cet agrément.

Les contrôleurs de la Cnil pourront désormais procéder à des contrôles en ligne sous une identité d’emprunt, sans incidences sur la régularité des constations.

Le projet de loi sur la protection des données personnelles détaille également les modalités de coopération de la Cnil avec ses homologues européennes en particulier en cas de demande d’assistance mutuelle ou d’opération de contrôle conjointe.

La disparition des formalités préalables

Les déclarations auprès de la Cnil sont supprimées. Seules quelques autorisations préalables sont maintenues dans trois cas particuliers pour les traitements comportant le NIR, des données biométriques ou génétiques lorsque ces traitements sont mis en œuvre pour le compte de l’Etat et effectués à des fins de recherches, d’études ou d’évaluation dans le domaine de la santé. En ce qui concerne le NIR, la loi sur la protection des données personnelles prévoit l’adoption d’un décret en Conseil d’Etat pris après avis motivé et publié de la Cnil, fixant les catégories de responsables de traitement et les finalités de fichier pour lesquels l’utilisation de cet identifiant sera possible.

Le corpus des autorisations uniques et des normes simplifiées ne devrait pas pour autant disparaître. Le texte investit en effet la Cnil du pouvoir d’établir et de publier des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements.

Enfin, la loi sur la protection des données personnelles prévoit que la Cnil puisse prononcer des sanctions administratives conformément aux dispositions du RGPD c’est-à-dire jusqu’à 2% ou 4% du chiffre d’affaire annuel mondial d’une entreprise ou 10 ou 20 millions d’euros (le montant le plus élevé étant retenu).

La détermination de l’âge du consentement des mineurs

Le consentement des titulaires de l’autorité parentale pour les traitements mis en œuvre dans le cadre de la délivrance des services de la société de l’information à un mineur sera nécessaire pour les enfants de moins de 15 ans.

Le texte sera-t-il promulgué d’ici le 25 mai ?

Le Conseil Constitutionnel ayant en effet été saisi le 16 mai 2018, c’est toute la question. En théorie, selon l’art. 61 de la Constitution, le Conseil doit statuer dans un délai d’un mois, qui peut toutefois être ramené à huit jours par le Gouvernement en cas d’urgence. Mais en pratique il peut parfaitement statuer sous huitaine sans avoir recours à la procédure d’urgence.

En outre, le texte prévoit l’adoption de nombreux décrets en Conseil d’Etat qui doivent préciser les dispositions applicables. A noter enfin que la loi sur la protection des données personnelles autorise le Gouvernement à adopter par voie d’ordonnance les mesures nécessaires à la réécriture de la loi Informatique et libertés afin d’apporter les corrections formelles et les adaptations nécessaires à la simplification et à la cohérence des règles de protection des données. Cette ordonnance prise après avis de la Cnil devra être adoptée dans un délai de 6 mois à compter de la promulgation de la loi et ratifiée dans un délai de 6 mois à compter de sa publication.

Aurélie Banck
Lexing Conformité RGPD Banque Assurance

(1) Loi sur la protection des données personnelles, Dossier législatif
(2) Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée.
(3) RGPD Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
(4) Saisine n° 2018-765 du Conseil constitutionnel du 16 mai 2018
(5) Directive n° 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales et à la libre circulation de ces données et abrogeant la décision-cadre 2008/977/JAI du Conseil
(6) Le Cofrac est l’organisme national d’accréditation français mentionné à l’article 1er, alinéa 13 de la loi et 43 du RGPD.




Le guide de sensibilisation au RGPD pour les TPE et PME

sensibilisation au RGPDLe 17 avril 2018, la Cnil a publié sur son site internet un guide de sensibilisation au RGPD, adapté aux TPE et PME  (1).

A l’approche de l’entrée en application du règlement général sur la protection des données (RGPD) le 25 mai 2018 (2), la Cnil et Bpi France ont élaboré ce document afin de guider et sensibiliser les TPE et PME dans leur processus de mise en conformité.

En effet, à compter du 25 mai 2018, les entreprises devront être conformes aux exigences du RGPD. Cependant, en fonction de la taille de l’entreprise, les attentes du régulateur, la Cnil en France, ne sont pas les mêmes.

Le volume de données à caractère personnel, le nombre de personnes concernées et la qualité des données traitées par une petite ou moyenne entreprise est en effet sans commune mesure avec celui d’une multinationale.

Elles n’ont pas pour activité principale le traitement des données à caractère personnel, celles-ci peuvent alors se perdre dans la quantité de dispositions du RGPD, toutes ne leur étant pourtant pas destinées.

Pour Isabelle Falque-Perrotin, Présidente de la Cnil :

« Il faut en finir avec l’alarmisme sur le RGPD ! Avec ce guide, nous voulons montrer aux PME que se mettre en conformité c’est facile, en adoptant simplement de bons réflexes. A l’heure où les consommateurs sont de plus en plus soucieux de leurs données personnelles, proposer une relation de confiance à ses collaborateurs, clients, prospects, c’est aussi utile à l’entreprise.
Enfin, un couperet ne va pas tomber sur les entreprises le 26 mai. »

L’objectif étant de rassurer les TPE et PME en s’adressant directement à elles mais également de leur permettre de prendre le tournant de la digitalisation en les aidant à en maitriser les outils de protection des données personnelles de leurs clients et salariés par cette sensibilisation au RGPD.

Ce guide de sensibilisation au RGPD comprend :

  • des fiches thématiques rappelant les grands principes du RGPD ;
  • les avantages pour l’entreprise ;
  • un plan d’action ;
  • l’application au sous-traitant ;
  • les bons réflexes à avoir ;
  • des fiches pratiques.

Le rappel des principes du RGPD

Le guide revient sur la construction du RGPD afin de comprendre pourquoi ce texte était devenu nécessaire, notamment en raison de l’évolution des technologies et d’un besoin d’harmonisation européenne.

La définition de donnée à caractère personnel est expliquée avec des exemples concrets.

1. Organismes concernés

Les organismes concernés par le RGPD sont définis avec des exemples pratiques. Il est expliqué que toute organisation est concernée dès lors qu’elle est établie sur le territoire de l’Union européenne ou que son activité cible directement des résidents européens.

2. Données particulières

Le traitement des données à risque figure au chapitre 6 du guide. Il est expliqué aux TPE et PME les cas dans lesquels elles seraient concernées par un tel traitement et les mesures à prendre dans pareil cas, à savoir conduire une analyse d’impact sur la vie privée. Le « Dossier PIA » disponible sur le site de la Cnil permet de connaitre les cas dans lesquels une telle analyse est nécessaire et comment l’élaborer.

3. Transferts hors UE

De la même manière, en cas de transfert de données en dehors de l’Union européenne, le responsable du traitement doit prendre des précautions particulières. Le Guide renvoie au « Dossier transférer des données hors de l’UE » disponible sur le site de la Cnil pour en savoir plus.

4. Délégué à la protection des données

Dans certains cas, l’entreprise peut être conduite à désigner un DPD, délégué à la protection des données. En cas de traitement de données sensibles ou de traitement à grande échelle, cette désignation est obligatoire ; autrement elle est recommandée. Sur ce point, la Cnil a publié un « Dossier le délégué à la protection des données » disponible sur son site.

Les avantages pour les TPE/PME

L’entrée en application du RGPD présente des avantages pour ces entreprises, que ce guide  de sensibilisation au RGPD met en avant.

1. Renforcer la confiance

Le respect des droits personnes concernées quant à leurs données permet de renforcer la confiance qu’elles portent à l’entreprise et de valoriser son image.

2. Améliorer l’efficacité commerciale

En tenant les fichiers de prospection à jour, cela permet à l’entreprise de gagner en efficacité et en productivité.

3. Mieux gérer son entreprise

La collecte des données réellement nécessaire à l’entreprise et au traitement, correspondant au principe de minimisation des données introduit par le RGPD, permet à l’entreprise d’optimiser ses investissements.

En ne collectant que les données dont l’entreprise a vraiment besoin, elle gagne en espace de stockage, permet le recours à des logiciels adaptés et aux moyens humains nécessaires à leur gestion.

En tenant à jour la liste de ces fichiers, cela permet à l’entreprise de faire le point sur les données collectées et d’identifier ses besoins réels.

4. Améliorer la sécurité des données de l’entreprise

La conservation et le traitement des données à caractère personnel doivent être protégés par l’entreprise, par des mesures de sécurité particulières.

Cette disposition est l’occasion pour l’entreprise d’améliorer sa sécurité afin de protéger son patrimoine informationnel et de continuer son développement sans risquer de perdre ou de compromettre les données qu’elle traite.

5. Rassurer les clients donneurs d’ordre et développer son activité

Le respect des dispositions du RGPD par l’entreprise lui permettra de se démarquer des autres entreprises et ainsi d’obtenir un avantage concurrentiel.

6. Créer de nouveaux services

En développant de nouveaux outils permettant de se conformer au RGPD, l’utilisateur pourrait accéder à de nouvelles fonctionnalités, ce qui pourra entrer en compte dans sa décision d’achat.

Ce guide de sensibilisation au RGPD démontre ainsi les aspects positifs des dispositions du RGPD pour les entreprises et la manière dont les TPE et les PME pourraient en tirer un profit.

Le plan d’action

La Cnil et Bpi France proposent quatre actions principales à mener pour entamer la mise en conformité au RGPD. Chaque action montre l’avantage que cela va procurer à l’entreprise et est accompagnée d’un exemple pratique.

1. Recenser ses fichiers

A cet effet, l’entreprise identifiera ses principales activités nécessitant la collecte et le traitement de données et les listera dans un registre d’activité. Pour faciliter la tenue de ce registre, la Cnil renvoie au modèle proposé sur son site.

2. Faire le tri dans les données

Pour cela il est conseillé aux entreprises de ne traiter que les données nécessaires à ses activités, de contrôler les destinataires et le temps de conservation des données. Une vigilance particulière doit être portée aux données particulières.

3. Respecter le droit des personnes

Des mentions d’information doivent être portées à la connaissance des personnes concernées. Celles-ci doivent être informées que leurs données font l’objet d’un traitement, pour quelles finalités, sur quels fondements, quels en sont les destinataires, leur durée de conservation, la possibilité d’exercer leurs droits et l’existence d’un transfert en dehors de l’Union européenne. Afin d’aider les TPE et PME à remplir cette exigence, des exemples de mentions d’informations sont proposés sur le site de la Cnil.

Il convient également de permettre aux personnes concernées d’exercer effectivement leurs droits, à savoir : droit d’accès, de rectification, d’opposition, d’effacement, droit à la portabilité et à la limitation de traitement. Il est recommandé aux entreprises de mettre en place un processus interne pour le traitement des demandes.

4. Sécuriser les données

Les organismes doivent prendre les mesures nécessaires afin de garantir la sécurité des données. Différentes actions sont proposées et des « bonnes pratiques » sont mises en avant. En cas de violation des données, l’entreprise doit le signaler à la Cnil et, dans certains cas, à la personne concernée.

Pour aller plus loin sur ce point capital, le guide renvoie au « Guide des bonnes pratiques de l’informatique » réalisé par l’ANSSI et la CPME ainsi qu’au « Guide sécurité des données personnelles » disponible sur le site de la Cnil.

La sous-traitance

Le guide consacre un chapitre à la sous-traitance, les TPE et PME pouvant être concernées tant en qualité de responsable du traitement qu’en qualité de sous-traitant. Dans les deux cas il est rappelé qu’elles seraient concernées par le RGPD.

Les obligations spécifiques du sous-traitant sont énumérées, accompagnées d’exemples et de « bonnes pratiques ». Le Guide de sensibilisation au RGPD renvoie au « Guide RGPD pour les sous-traitants » pour en savoir plus.

Les bons réflexes de la protection des données à caractère personnel

Six reflexes à adopter pour garantir le traitement des données à caractère personnel conformément au RGPD sont proposés :

  1. ne collecter que les données vraiment nécessaires ;
  2. être transparent ;
  3. penser au droits des personnes ;
  4. garder la maitrise des données ;
  5. identifier les risques ;
  6. sécuriser les données.

Fiche pratique n°1 – les services en ligne

Cette fiche vise à aider les TPE et PME qui utilisent internet comme moyen de communication et/ou de prospection mais également pour vendre des produits en ligne.

1. Utilisation d’un site vitrine

Dans cette hypothèse, les seules données collectées sont celles renseignées dans un formulaire de contact ou un abonnement à une lettre d’information. A cet égard, il est rappelé aux entreprises que des mentions d’information doivent figurer au bas du formulaire, qu’il faut permettre aux personnes concernées d’exercer leurs droits et que l’éditeur du site doit être identifié dans les mentions légales. Il est renvoyé au site internet du service public pour en savoir plus.

2. Communication sur les réseaux sociaux

Il convient pour les entreprises concernées de prévoir le renvoi vers une page d’information sur les droits ainsi qu’une réponse type à adresser aux internautes insatisfaits.

3. Vente en ligne

Il est conseillé aux TPE et PME de se faire accompagner par un prestataire spécialisé, de s’assurer que la collecte des données est justifiée par le service et de toujours obtenir le consentement des personnes concernées, lesquelles doivent être informées de l’utilisation de leurs données.

Les TPE et PME sont invitées à sécuriser les données en ligne, informer leurs clients et leur donner la possibilité d’exercer leurs droits. Trois articles publiés sur le site internet de la Cnil permettent de mieux comprendre ces recommandations :

4. Utilisation des cookies

L’entreprise doit informer la personne concernée et obtenir son consentement. Pour en savoir plus, la Cnil propose son dossier « Site web, cookies et autres traceurs ».

Fiche pratique n°2 – la relation avec les clients

1. Prospection de nouveaux clients

Les règles applicables à la prospection commerciale, accompagnées d’exemples, sont rappelées aux entreprises, à savoir :

  • prendre des précautions dans l’utilisation de données disponibles en ligne ;
  • être vigilant sur les bases de données en vente sur internet ;
  • utiliser des fichiers dits « qualifiés », c’est-à-dire comportant des données fiables ;
  • permettre aux personnes concernées de refuser de recevoir une sollicitation commerciale, à ce titre la Cnil propose des modèles de recueil de consentement ou d’opposition sur son site internet.

2. Fidélisation des clients

Il est rappelé aux entreprises les conditions dans lesquelles les données à caractère personnel des personnes concernées peuvent être traitées :

  • ne collecter que les données nécessaires ;
  • obtenir le consentement des clients lorsque la collecte de leurs données est nécessaire, ainsi que le consentement au partage de ces données ;
  • informer les clients de l’utilisation de leurs données, dans les conditions générales de vente mais également par une mention d’information sur chaque formulaire de collecte ;
  • permettre aux personnes concernées d’exercer leurs droits d’accès, de rectification, d’opposition et d’effacement ;
  • prévoir des durées de conservation des données.

Des fiches pratiques « Commerce et données personnelles » sont disponibles sur le site de la Cnil afin de permettre aux TPE et PME d’approfondir ces points.

Fiche pratique n°3 – la relation avec les salariés

Après avoir rappelé les raisons pour lesquelles la protection des données à caractère personnel des salariés est essentielle, ainsi que les cas dans lesquels lesdites données peuvent être collectées, il est rappelé aux entreprises les règles à suivre pour le traitement de ces données, à savoir :

  • ne demander que les informations utiles à l’accomplissement de leurs missions ;
  • garantir la confidentialité et la sécurité des données ;
  • informer les salariés ou les candidats de ce traitement, des destinataires, des durées de conservation et de la mise en œuvre de leurs droits.

1. Le contrôle des salariés et ses limites

S’il est vrai que l’employeur peut surveiller son salarié, cette surveillance doit reposer sur un intérêt légitime de l’entreprise et être occasionnelle.

Afin d’être transparent avec ses salariés, l’employeur doit consulter les instances représentatives du personnel et informer ses employés de la mise en œuvre d’un dispositif de surveillance.

Afin d’aider les entreprises dans cette démarche, le Guide renvoie à des fiches pratiques « Travail et protection des données » disponibles sur le site de la Cnil.

2. Sensibilisation et formation des salariés

Il est important de sensibiliser les salariés sur tous les points du RGPD. Il est recommandé de diffuser une charte informatique au sein de l’entreprise afin de porter cette information à la connaissance de tous les employés.

Ce guide de sensibilisation au RGPD est ainsi l’occasion pour la Cnil de rappeler les grands principes du RGPD et d’en montrer l’application pour les TPE et PME, afin de les accompagner dans leur démarche et de les rassurer à l’approche de l’entrée en application du RPGD.

Virginie Bensoussan Brulé
Debora Cohen
Lexing Contentieux numérique

(1) Guide de sensibilisation au RGPD : la Cnil et Bpi France s’associent pour accompagner les TPE et PME dans leur appropriation du Règlement européen sur la protection des données (RGPD), communiqué de la Cnil du 17-4-2018.

(2) Règlement (UE) 2016/679 du 27-4-2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).




Publication du guide pratique RGPD-GDPR Compliant d’Umanis

RGPD-GDPR CompliantUmanis publie un guide pratique RGPD-GDPR Compliant auquel a collaboré le cabinet Lexing Alain Bensoussan Avocats.

Leader français en Data, Digital & Business Solutions, Umanis vient de publier un e-book intitulé « GDPR Compliant : le guide pratique » qui présente les actions à mener pour se mettre en conformité avec le RGPD (Règlement Général sur la Protection des Données) mais aussi des avis d’experts et témoignages d’entreprises et de partenaires.

RGPD-GDPR Compliant : Le compte à rebours est lancé

Le compte à rebours est lancé pour la mise en application du RGPD : dès le 25 mai 2018, toute entreprise dans le monde qui collecte, traite et stocke des données personnelles de citoyens européens devra être en capacité de prouver sa conformité au règlement.

Ainsi, le guide RGPD-GDPR Compliant contient tout ce qu’il faut savoir pour se mettre en conformité avec le RGPD.

Le RGPD vise à garantir un niveau élevé de protection des citoyens. Il oblige les entreprises à se plier à de nouvelles exigences sur la manipulation des informations.

Quelles sont les contraintes à surmonter mais aussi les opportunités à saisir avec ce règlement majeur et fondateur ?

Mais surtout Umanis apporte un éclairage complet, didactique et inspirant dans son guide pratique RGPD-GDPR Compliant à destination de toutes les entreprises et réalisé avec l’aide de ses partenaires Segeco, IBM et le cabinet Lexing Alain Bensoussan avocats.

Un ouvrage préfacé par Alain Bensoussan.

RGPD-GDPR Compliant : les bonnes questions à se poser

Cet ebook recueille également les témoignages éclairés de Thierry Brun, GDPR Ambassador chez IBM, Benoît Després, Directeur de la Maîtrise d’Ouvrage Finances et Risques, IBP, Charley Dupré, DPO et Juriste Volkswagen, Jean-Philippe Gaulier, RSSI Orange, Denis Genest et Luc Alloin, Associés Segeco, Denis Skalski, Directeur Practice Data, Umanis et Stéphane Tournadre, Directeur Sécurité et Audit SI, Laboratoires Servier.

Très peu d’entreprises seront prêtes à la date butoir, par conséquent, ce guide aborde les bonnes questions à se poser pour ne pas perdre de temps :

  • Quels chantiers démarrer dès que possible ?
  • Quels impacts sur l’IoT et le Big Data ?
  • Quelle gouvernance des données adopter ?
  • Comment profiter du RGPD pour valoriser ses données ?
  • Quels solutions, outils et méthodes mettre en place ?

Découvrez le sommaire du guide et ses premières pages sur le Slideshare d’Umanis.
L’e-book « GDPR Compliant » de 33 pages, préfacé par Alain Bensoussan est téléchargeable gratuitement.

Lexing Alain Bensoussan Avocats




Règlement européen sur la protection des données, édition 2018

Règlement européen sur la protection des données, édition 2018Alain Bensoussan Avocats publie chez Larcier la deuxième édition du « Règlement européen sur la protection des données».

Pour se mettre en conformité avant mai 2018, date à laquelle le Règlement européen sur la protection des données sera directement applicable dans l’ensemble des Etats membres de l’Union européenne.

Ce règlement modifie profondément les règles relatives à l’environnement digital des entreprises. Nous passons d’une logique de contrôle préalable des responsables de traitement à une logique de conformité et de responsabilité, dite d’« accountability ».

En outre, le règlement « égalise » les obligations applicables aux sous-traitants et aux responsables de traitements, qui voient leur responsabilité conjointement engagée en cas de manquement.

Ce ne sont pas là les seuls bouleversements. Le Règlement européen sur la protection des données consacre également de nouveaux principes tels que la protection des données à la fois dès la conception d’un produit ou d’un service et par défaut, crée de nouveaux droits pour les personnes concernées (droit à l’oubli, droit à la portabilité, actions collectives, etc.) et revoit à la hausse le niveau des sanctions financières encourues.

La seconde édition de cet ouvrage, augmentée et mise à jour, recense les dernières re-commandations, lignes directrices, FAQ, avis, normes ISO et autres dispositions adoptées par les instances européennes (G29, CEPD, Conseil de l’Europe, Afnor, etc.) depuis l’entrée en vigueur du règlement. Elle analyse également la jurisprudence la plus récente (CJUE, CEDH, Cnil, etc.) sur l’application du cadre européen de la protection des données personnelles.

Comme dans la premère édition, cet ouvrage présente un commentaire, article par article, du règlement européen pour en faciliter la mise en œuvre. Sous chaque article figurent :

  • des définitions facilitant la compréhension de l’article ;
  • les considérants associés du règlement ;
  • un commentaire ;
  • les textes coordonnés et la jurisprudence commentée ;
  • une bibliographie ;
  • des outils de mise en application d’un article ou d’un groupe d’articles.

« Règlement européen sur la protection des données : textes, commentaires et orientations pratiques« , 2ème édition 2018.
Sous la direction de Alain Bensoussan.
Préfacé par Isabelle Falque-Pierrotin, Présidente de la Cnil et du Groupe de l’article 29 (G29).
Editions Larcier

Isabelle Pottier
Directrice Études et Publications




Parution de l’Abécédaire de la protection des données personnelles de A à Z

abécédaire protection des données personnellesAlain Bensoussan Avocats publie chez Larcier un ouvrage intitulé « La protection des données personnelles de A à Z ». 

Il s’agit d’un Abécédaire d’apprentissage de la nouvelle réglementation européenne qui sera applicable à tous les traitements de données à caractère personnel à compter de mai 2018, à travers le règlement européen 2016/679.

Ce texte constitue une véritable « révolution » en matière de protection des données personnelles car, alors que la directive 95/46 du 24 octobre 1995 reposait en grande partie sur l’existence de formalités préalables (déclaration, autorisations, dispenses), le règlement européen repose sur une logique de conformité et de responsabilité des acteurs traitant les données (notion anglo-saxonne difficilement traduisible d’« accountability »).

Il marque une nouvelle étape dans la régulation de la protection des données personnelles, celle de la responsabilisation des entreprises.

Quelles soient responsables de traitements ou sous-traitantes, les entreprises dont la responsabilité pourra être conjointe, vont devoir se familiariser à la nouvelle terminologie « technico-juridique » issue de cette nouvelle réglementation.

Cet ouvrage illustre en suivant l’ordre alphabétique, les principes essentiels de cette réglementation à travers plus de 150 définitions : Accountability, Acte d’exécution, Analyse d’impact, Balance des intérêts, Clauses contractuelles types, Décision d’adéquation, Droit à l’oubli, Guichet unique, Intérêt légitime, Limitation du traitement, Niveau de protection adéquat, Portabilité des données, Pseudonymisation, Règles d’entreprise contraignantes, Violation de données à caractère personnel, etc.

Chaque terme y est défini et expliqué sous différents angles : général, technique et juridique et dans certains cas, fait l’objet d’un schéma analytique.

Il s’agit du premier ouvrage de la collection des Abécédaires Lexing-Technologies avancées & Droit. Construit comme un glossaire, un abécédaire permet de décrypter plus facilement et dans un format court,  un domaine juridique ou une technologie de A à Z. D’autres Abécédaires thématiques par technologie suivront…

L’Abécédaire de la protection des données personnelles de A à Z
Editions Larcier, 1ère édition, Novembre 2017.
262 pages.

 




Le RGPD et la cartographie des traitements, théorie et pratique

Le RGPD et la cartographie des traitements, théorie et pratiqueLe cabinet a organisé une 2e session le 17 octobre 2017 du petit-déjeuner débat sur le RGPD et la cartographie des traitements animé par Alain Bensoussan, en partenariat avec Skyhigh Networks et Varonis Systems, Inc.

Ce petit-déjeuner débat a été l’occasion de décrypter les enjeux du règlement pour les DSI, à quelques mois d’une transformation en profondeur des règles applicables à l’environnement digital des entreprises.

Le 25 mai 2018, le RGPD entrera en application. Il reste moins d’un an aux entreprises privées et organismes publics pour repenser la gouvernance actuellement mise en place en matière de protection des données personnelles et déployer de nouvelles actions pour se mettre en conformité dans les délais imposés.

La cartographie des traitements est un élément essentiel pour être en conformité avec le RGPD et le futur règlement européen sur la e-privacy proposé par la Commission Européenne le 10 janvier 2017. Après une analyse stratégique, il faut en effet recenser toutes les applications :

  • par systèmes d’information ;
  • hors systèmes d’information et dans les métiers ;
  • sur le cloud.

Ce petit déjeuner avait pour objet de présenter les exigences juridiques en liaison avec les solutions techniques disponibles sur le marché.

Pour ce faire, Alain Bensoussan est intervenu avec Joel Mollo, Directeur Europe du Sud et Moyen-Orient de Skyhigh Networks, entreprise californienne spécialisée dans l’édition de solution SaaS de sécurité cloud et Christophe Badot, DG France de Varonis Systems Inc., fournisseur de solutions logicielles protégeant les données des menaces internes et des cyberattaques.

A cette occasion, il a été remis aux participants un exemplaire du  « RGPD : Guide d’action pour les DSI » (« The GDPR: an Action Guide for IT« ) réalisé par Skyhigh Networks et que le cabinet Alain Bensoussan Avocats Lexing a traduit en français et préfacé. Un guide qui propose notamment de nombreuses solutions à prendre en considération dans le cadre de la mise en conformité aux obligations posées par le RGPD.

Le petit-déjeuner s’est déroulé de 9h30 à 11h00 (accueil à partir de 9h00) dans nos locaux, 58 boulevard Gouvion-Saint-Cyr, 75017 Paris.

Inscriptions closes.




Le RGPD offre le niveau de protection le plus élevé au monde

RGPD offre le niveau de protectionAlain Bensoussan répond à infoprotection sur le règlement européen sur la protection des données personnelles (RGPD).

Dès le 25 mai 2018, le RGPD entrera directement en vigueur dans les systèmes légaux existants, mettant à néant les textes qui lui sont contraires.

Interrogé par Erick Haehnsen, Alain Bensoussan nous livre les grandes lignes de la conférence qu’il donnera sur la protection des données à l’occasion du salon APS (26-28 septembre à la porte de Versailles).

Le règlement européen a fait l’objet d’un très large consensus entre les États-membres de l’Union européenne (UE). Surtout, il offre le niveau de protection le plus élevé au monde en matière de données personnelles. A la différence d’une directive européenne, les État-membres n’ont pas à transposer ce règlement dans leur droit national, précise Alain Bensoussan.

Pour sa mise en application au 25 mai 2018, les entreprises doivent maîtriser 28 programmes de protection plus ou moins différents dans l’UE. Le RGPD va considérablement simplifier cette situation. Cependant, il va aussi radicalement augmenter les obligations et les sanctions pour les entreprises.

Les entreprises devront également mettre en œuvre de nouvelles obligations issues du règlement telle que :

  • la protection des données dès la conception des systèmes d’information ou des applications (« Privacy by Design) ;
  • la sécurité des données par défaut (« Security by Default ») : le système d’information doit garantir que les données utilisées seront limitées au système qui les met en œuvre ;
  • le principe de responsabilité (« Accountability ») : exigence de documentation et de renversement de la charge de la preuve.

Aujourd’hui, c’est à la Commission Informatique et Libertés (CNIL) qu’il incombe de démontrer que tel traitement de données n’est pas conforme. Demain, avec le RGPD, c’est le responsable du traitement qui devra prouver qu’il est conforme. »

Pour pallier cette difficulté, le cabinet Alain Bensoussan Avocats Lexing® vient d’établir avec le bureau Veritas un référentiel de certification dans le cadre de la conformité au RGPD qui sera certainement très utile aux entreprises.

Alain Bensoussan pour infoprotection, « Données personnelles : le RGPD offre le niveau de protection le plus élevé au monde », 30 juin 2017.




Journées annuelles du réseau Lexing® sur le RGPD à Milan

Journées annuelles du réseau Lexing®sur le RGPD à MilanPour les Journées annuelles du réseau Lexing®, du 14 au 16 juin 2017, le cabinet Studio Legale Zallone (Lexing® Italie) accueille ses confrères du réseau Lexing®. Ces journées annuelles seront présidées par Alain Bensoussan.

A cette occasion, une conférence-débat sera organisée le jeudi 15 juin, consacrée au Règlement général sur la protection des données (RGPD), lors de laquelle interviendront outre des membres du réseau, de nombreuses personnalités, parmi lesquelles Giovanni Buttarelli, European Data Protection Supervisor, Commission européenne, Francesco Cajani, Procureur de la République de Milan, et Marc Mossé, Directeur Affaires Juridiques et Affaires Publiques chez Microsoft.

Lexing®, premier réseau international d’avocats dédié au droit numérique et des technologies avancées, a été créé sur une initiative d’Alain Bensoussan.

Il permet aux entreprises internationales de bénéficier de l’assistance d’avocats dont les compétences en droit des nouvelles technologies sont reconnues dans leurs pays respectifs.

Les techniques et les métiers sont les mêmes dans tous les pays, le seul facteur de différenciation étant le droit qui leur est applicable.

Le réseau réunit une trentaine de cabinets sur les 5 continents.

Selon Frédéric Forster, Directeur du Pôle Télécoms du cabinet Lexing Alain Bensoussan Avocats et Vice-président du réseau Lexing®, « l’appui du réseau s’avère décisif dans le cadre du traitement de dossiers transnationaux. Il permet au cabinet de déployer auprès de ses clients internationaux ou ayant des besoins à l’étranger les mêmes services que ceux auxquels ils sont familiarisés au plan local ».

Programme et informations

Inscription

Eric Bonnet
Directeur du Département Communication juridique




Règlement européen de protection des données ‘J-1an’

Le règlement européen de protection des données "J - 1 an"Le cabinet a organisé une 2e session le 24 mai 2017 du petit-déjeuner débat sur le règlement européen de protection des  données : « J – 1 an », animé par Alain Bensoussan.

En 2018, entrera en application le règlement européen de protection des données personnelles. Le compte à rebours s’accélère pour les entreprises.

Elles ont en effet jusqu’au 25 mai 2018 pour repenser la gouvernance actuellement mise en place en matière de protection des données personnelles et déployer de nouvelles actions pour être en conformité dans les délais imposés.

Il s’agira pour les entreprises notamment :

  • d’intégrer les concepts de protection des données personnelles dès la conception et par défaut. Ces principes recommandent d’inclure à toute technologie exploitant des données à caractère personnel, des dispositifs techniques de protection des données personnelles dès leur conception, ainsi que des mesures organisationnelles permettant d’anticiper en amont des projets informatiques la problématique de protection des données personnelles ;
  • de prendre en compte le principe d’accountability qui impose aux entreprises d’être en mesure de justifier l’ensemble des dispositifs de contrôle et d’encadrement mis en place pour assurer la conformité Informatique et libertés ;
  • de notifier à la Cnil toute violation de données à caractère personnel ;
  • d’introduire la fonction de Data Protection Officer (délégué à la protection) au sein de l’entreprise.

L’enjeu est primordial pour les entreprises : les sanctions susceptibles d’être prononcées sont très élevées, jusqu’à 2 ou 4 % du chiffre d’affaires mondial réalisé.

A un an de l’entrée en vigueur du règlement européen de protection des données, nous vous proposons, dans le cadre de ce petit-déjeuner débat, de préciser le chemin de route qu’il faut tracer.

Le petit-déjeuner débat a eut lieu de 9h30 à 12h00 (accueil à partir de 9h00) dans nos locaux, 58 Gouvion-Saint-Cyr, 75017 Paris.

Inscriptions closes




Protection des données en Europe : la DSI fortement impactée

Protection des données en Europe : la DSI fortement impactéeDans IT-EXPERT MAGAZINE, Alain Bensoussan aborde l’impact du règlement européen Data protection sur la DSI.Quelles sont les grandes obligations de la DSI en matière de protection des données et les conséquences du non-respect du règlement européen ?

Interviewé par Rémi Jacquet pour IT-expert Magazine, Alain Bensoussan nous expose l’impact du règlement européen de protection des données sur l’activité de la DSI au sein de l’entreprise.

Protection des données : des sanctions sans commune mesure

Le nouveau règlement européen 2016/679 sur la protection des données a un impact considérable sur la Direction des systèmes d’information. Pour Alain Bensoussan, « cela représente deux tiers de droit en plus par rapport à ce qui existait déjà pour la DSI avec la directive 95/46/CE abrogée. Si l’on considère que sur le tiers restant, elle n’en avait appliqué que le quart, on voit l’ampleur de la situation » .

Or aujourd’hui, « le risque encouru représente 20 millions d’euro ou 4 % du chiffres d’affaires mondial réalisés. On est très loin de l’ancien système où il y avait au maximum 150 000 euro et en cas de récidive 300 000 euro » .

Protection des données : de nouvelles obligations

Parmi les nouvelles obligations de la DSI, il y a d’une part celle de se mettre en conformité avec les dispositions de l’ancien système qui demeurent applicables. En effet 80 % de l’ancien système se retrouve dans le nouveau dispositif.

D’autre part, il y a surtout l’obligation d’appliquer le nouveau « paquet » issu du règlement. Il y a notamment le « privacy by design » (protection dès la conception), le « privacy by default » (protection par défaut), le traitement des failles de sécurité et l’accountability (1).

Ces nouvelles obligations entraînent pour la DSI la nécessaire conformité « du début du logiciel, jusqu’à sa mise en oeuvre, en passant par les progiciels, tout doit être conforme au nouveau règlement européen. Or, le logiciel commence dès la première ligne de spécification générale et se  termine à la dernière ligne du dossier de maintenance en passant bien évidemment par le coding » . (…)

Alain Bensoussan pour IT-expert magazine, « La protection des données, le cadre légal », le 18-9-2016.

(1) Voir C. Torres, « Accountability et règlement sur la protection des données » , Post du 19-9-2016.




Juristendances « Informatique et libertés » n° 71 – 2016

Juristendances Informatique et libertés n° 70-2016Parmi les actualités à retenir en cette rentrée dans la Lettre Juristendances Informatique et libertés figurent  notamment :

ARTICLES :

OUTILS ET NOUVEAUTES :

PETITS-DEJEUNERS :

FORMATIONS :

Pour recevoir nos Lettres Juristendances : inscription en ligne.

Lettre Juristendances Informatique et libertés n°71, Sept.-Oct. 2016.




Protection des données personnelles : matinée-débats

Protection des données personnelles : matinée-débatsAlain Bensoussan intervient lors d’une matinée-débats Lamy sur la réforme de la protection des données.

Cette matinée-débats Lamy, initiée en partenariat avec Le Lamy Droit du Numérique, Le Lamy Droit des médias et de la Communication et la Revue Lamy Droit de l’Immatériel, se déroulera le mardi 28 juin 2016.

Le règlement européen 2016/679 du 27 avril 2016 vise à instaurer des mécanismes visant à assurer une application cohérente de la législation en matière de protection des données dans l’ensemble de l’Union européenne.

Adopté par les parlementaires à l’issue de quatre années de travaux et de débats, il est entré en vigueur 20 jours après sa publication au Journal officiel de l’Union européenne.

Les initiateurs de cet événement ont souhaité confier à Alain Bensoussan la co-direction des débats afin de permettre aux entreprise d’évaluer les impacts et les conséquences induites de la réforme des données personnelles sur la vie pratique des entreprises.

Ces dernières disposent en effet d’un délai de deux ans pour se conformer aux nouvelles exigences prévues par le règlement.

Cette mise en conformité est assortie de sanctions susceptibles d’être prononcées à l’égard de tout responsable de traitement ou sous-traitant qui ne respecterait pas les dispositions du règlement. Le montant, très élevé, pourrait atteindre jusqu’à 2 % ou 4 % du chiffre d’affaires mondial.

Les débats porteront sur les thématiques suivantes :

  • objectifs et points clefs de la réforme des données à caractère personnel introduite par le règlement européen 2016/679 du 27 avril 2016 ;
  • l’obligation pour les entreprises d’informer les autorités de contrôle national de toute violation de données personnelles ;
  • les sanctions encourues en cas de non-respect de cette obligation d’information ;
  • la difficulté de concilier ce règlement et la stratégie des opérations marketing de l’entreprise.

Des cas pratiques ponctueront les débats, tels que l’étude du formulaire Google ou encore les modalités d’établissement d’un formulaire de déclaration de demande d’autorisation auprès de la Cnil.

Cette conférence a vocation à concerner dédiée principalement  les juristes, directeurs administratifs et financiers, directeurs marketing, directeurs informatique, présidents, administrateurs et gérants, chefs d’entreprises et gestionnaires de contrats.

Programme et inscription à tarif préférentiel (-20%) à l’aide du Formulaire ci-joint.

 




Adoption du Paquet Protection des données

Adoption du Paquet Protection des donnéesAlain Bensoussan décode le Paquet Protection des données dans son  « blog expert Droit des technologies

avancées » sur le site du Figaro. Le règlement général sur la protection des données ainsi que la directive relative à la protection des données à caractère personnel à des fins répressives ont été adopté le 14 avril 2016 par le Parlement européen (1) après 4 années de débats intensifs, d’amendements et de votes successifs avant d’arriver à l’adoption du Paquet « Protection des données à caractère personnel ».

Le Paquet Protection des données vise à réformer la législation communautaire d’une part et à remplacer la directive générale sur la protection des données qui datait de 1995 d’autre part.

Le règlement européen sur la protection des données (2) consacre de nouveaux concepts et impose aux entreprises de « disrupter » leurs pratiques et de revoir leur politique de conformité Informatique et libertés.

Si les formalités administratives sont simplifiées pour mettre en œuvre un traitement, les obligations sont en revanche renforcées pour assurer une meilleure protection des données personnelles :

  • la démarche de « Privacy by design » (respect de la protection des données dès la conception) (Règlement, art. 25 §1) ;
  • la démarche de « Security by default » (sécurité par défaut) (Règlement, art. 25 §2) ;
  • les règles d’accountability (obligation de documentation) (Règlement, art. 24) ;
  • l’étude d’impact avant la mise en œuvre de certains traitements (Règlement, art. 35) ;
  • la désignation obligatoire d’un Data Protection Officer (DPO) (Règlement, art. 37) ;
  • les nouveaux droits fondamentaux des personnes (droit à l’oubli, droit à la portabilité des données, etc.).

(…)

Alain Bensoussan pour Le Figaro, Blog Expert « Droit des technologies avancées», « Adoption du Paquet « Protection des données à caractère personnel » », 15-4-2016.

(1) Règlement, texte consolidé adopté par le Conseil le 8 avril 2016, CONS(2016)05419(REV1).




Protection des données : adoption du règlement européen

Adoption du règlement européen sur la protection des donnéesLe Parlement européen a adopté le 14 avril 2016 le règlement général sur la protection des données personnelles (1).

Réunis en séance plénière à Strasbourg, les parlementaires ont mis un point final à la réforme sur la protection des données personnelles après 4 années de travaux et de débats.

L’objectif du règlement est d’instaurer des mécanismes visant à assurer une application cohérente de la législation en matière de protection des données dans l’ensemble de l’Union européenne.

Les points clés du règlement sont :

  • la consécration d’un droit à l’oubli numérique pour les personnes concernées ainsi qu’un droit à la portabilité des données ;
  • le principe d’accountability ;
  • l’obligation de la mise en œuvre de la protection des données dès la conception et par défaut ;
  • le principe de security by design ;
  • la fonction de data protection officer ;
  • l’obligation de notification des violations de données à caractère personnel.

Les sanctions susceptibles d’être prononcées à l’égard d’un responsable de traitement ou d’un sous traitant qui ne respecterait pas les dispositions du règlement sont très élevées, jusqu’à 2 ou 4 % du chiffre d’affaires mondial.

Le règlement européen entrera en vigueur 20 jours après sa publication au Journal officiel de l’Union européenne.

Les entreprises disposent donc d’un délai de deux ans à compter de cette date pour se conformer aux nouvelles exigences prévues par le règlement.

Lexing Alain Bensoussan Selas
Lexing Droit de l’Informatique et des libertés

(1) Règlement européen n°5419/1/16 du 8-4-2016 tel qu’adopté par le Parlement européen le 14-4-2016. Règlement 2016/679.




L’avis du G29 sur le projet de règlement européen

L'avis du G29 sur le projet de règlement européenLe 15 juin 2015, le G29 a rendu un avis sur le projet de règlement proposé par la Commission européenne en janvier 2012 sur la protection des données à caractère personnel (1).

Les enjeux sont importants, il s’agit d’un part, d’encadrer l’utilisation croissante des données par les entreprises sans freiner le développement et d’autre part, de répondre à l’aspiration générale d’augmentation du niveau de protection des données.

Les trois institutions européennes (Commission, Parlement et Conseil) vont, ainsi, pouvoir initier une phase de négociation sur le projet de règlement en tenant compte de la position commune adoptée par le G29 portant sur de nombreuses problématiques fondamentales dans l’élaboration du texte comme les définitions, le champ d’application, les principes fondateurs, les droits des citoyens, les pouvoirs des autorités de protection et le modèle de gouvernance.

Pour rappel, le projet de règlement européen prévoit un renforcement des mesures de protection des données à caractère personnel. Les apports de cette nouvelle règlementation, outre le fait d’être directement applicable contrairement à la directive européenne consisteraient en :

  • Une extension de son champ d’application. En effet, le règlement s’appliquerait que le traitement de données ait lieu sur le territoire d’un état membre ou pas ;
  • L’affirmation de nouveaux principes tels que la licéité, la loyauté, la transparence ;
  • De nouvelles limitations (quant à la finalité des traitements, les données traitées, la durée de conservation) ;
  • Une nouvelle responsabilité contraignant les responsables de traitement à conserver tous les documents concernant les mesures internes adoptées sur ce point afin d’en démontrer la conformité ;
  • La nomination, dans certaines hypothèses, d’un délégué à la protection des données personnelles ;
  • L’inversement de la charge de la preuve quant au consentement du traitement des données à caractère personnel. Il appartiendra, désormais, au responsable du traitement, de démontrer que la personne concernée a bien consenti au traitement de ses données à caractère personnel ;
  • Consécration du droit à l’oubli.

L’objectif étant aujourd’hui de permettre l’adoption du texte, prévue initialement pour mars 2015, en codécision du Parlement européen et du Conseil européens.

Emmanuel Walle
Lexing Droit Travail numérique

(1) Avis du G29 du 15 juin 2015.




Les grands chantiers qui attendent les DSI (1):Lesdonnéespersonnelles

données personnellesMaître Alain Bensoussan débute une série d’interviews pour IT-expert Magazine dans la rubrique « Paroles d’experts pour les décideurs informatiques ». La première série est composée de 4 épisodes consacrés aux grands chantiers qui attendent les DSI en cette rentrée :

1 – Les données à caractère personnel
2 – Bienvenue dans la troisième dimension
3 – Privacy by design
4 – La contrefaçon des logiciels

Dans le premier épisode consacré aux données personnelles, la rentrée des DSI sera marquée par :

    – les obligations autour des données personnelles face au défi de la croissance exponentielle des données d’entreprises (big data, internet des objets, etc.).
    – l’archivage des données et leur suppression dans les sauvegardes notamment au regard du droit à l’oubli.
    – les flux « transfrontières » qui impliquent une nécessaire conformité aux obligations européennes, notamment à l’heure de la globalisation et du cloud.