La Cnil et la reconnaissance faciale aux abords des lycées

reconnaissance faciale aux abords des lycéesAlain Bensoussan évoque pour Digital Mag la reconnaissance faciale aux abords des lycées et les précisions apportées par la Cnil.

Saisie d’une expérimentation prévoyant le recours à la reconnaissance faciale à l’entrée de deux lycées marseillais et niçois, la Cnil a considéré que « ce dispositif concernant des élèves, pour la plupart mineurs, dans le seul but de fluidifier et de sécuriser les accès n’apparaissait ni nécessaire, ni proportionné pour atteindre ces finalités » (Séance plénière du 17 octobre 2019).

Reconnaissance faciale aux abords des lycées : les données sensibles d’un public… sensible

S’agissant de mineurs de plus de 15 ans, même si leur consentement était acquis, la question se pose d’un choix réel et non contraint. Par ailleurs, la sécurisation des données biométriques est toujours problématique et ce proportionnellement au risque important d’atteinte aux libertés individuelles des personnes concernées.

Après un examen attentif du projet, la Cnil a considéré que le dispositif projeté est contraire aux grands principes de proportionnalité et de minimisation des données posés par le RGPD (Règlement général sur la protection des données).

En effet, les objectifs de sécurisation et la fluidification des entrées dans ces lycées peuvent être atteints par des moyens bien moins intrusifs en termes de vie privée et de libertés individuelles, comme par exemple un contrôle par badge.

Les technologies de reconnaissance faciale présentent beaucoup d’intérêt en matière de sûreté et de sécurité, mais elles sont aussi porteuses d’un risque important d’atteinte aux libertés individuelles.

Ces technologies soulèvent encore de nombreuses questions non résolues. C’est pourquoi la Cnil a appelé à un débat démocratique sur ce sujet, ainsi que plus largement sur les nouveaux usages de la vidéo.

Isabelle Pottier
Avocat, Lexing Alain Bensoussan Avocats
Directeur du département Etudes et publications

Alain Bensoussan,  « Reconnaissance faciale aux abords des lycées, les précisions de la Cnil », DigitalMag n° 258 p.42-43 décembre 2019.




Les contrats cloud Microsoft rattrapés par le RGPD

contrats cloud MicrosoftDepuis l’application du RGPD, les acteurs du cloud sont contraints à la fois de repenser leurs outils et de revoir leurs contrats.

Le dernier exemple en date concerne Microsoft. Le Contrôleur européen s’alarme des conditions contractuelles signées par l’Union européenne. Microsoft s’engage à réagir promptement (1).

La position du Contrôleur européen sur les contrats cloud Microsoft

Dans un contexte marqué par des menaces toujours plus fortes d’accès par des États à la donnée numérique directement chez le prestataire cloud, en particulier le Cloud Act pour les États-Unis d’Amérique, le Contrôleur européen a lancé en avril 2019 un audit complet des contrats cloud signés par les institutions de l’Union européenne (2).

Même si les institutions européennes disposent de leur « propre RGPD », à savoir le règlement 2018/1725 du 11 décembre 2018, les principes et leur mise en œuvre sont en très grande partie les mêmes.

Le contrôleur Giovanni Buttarelli et le contrôleur adjoint Wojciech Wiewiórowsk ont donc mis en œuvre un audit pour s’assurer que les clauses applicables respectent la réglementation et que les droits des personnes soient effectifs.

Ces travaux ont été menés en coopération avec le ministre néerlandais de la justice qui, au même moment, s’était engagé dans la réalisation d’une étude d’impact sur le service bureautique phare de Microsoft, Office 365, hébergé dans le cloud « maison », Azure.

Le Contrôleur européen fait siennes toutes les réserves figurant dans cette analyse d’impact et, en particulier :

  • l’absence de transparence sur la circulation des données personnelles, notamment hors de l’Union européenne ;
  • l’impossibilité de « prendre le contrôle total » de ses données, notamment du fait de l’activation automatique d’outils de traçabilité des actions utilisateurs et de statistiques ;
  • la difficulté pour l’utilisateur à pouvoir faire valoir ses droits dans les interfaces actuellement disponibles.

Pour proposer plus concrètement des clauses types pouvant s’appliquer à toute administration publique, un forum dit de la Haye a été mis en place pour réunir les parties intéressées, utilisateurs et prestataires mais aussi toute partie concernée, à se joindre à ces travaux.

Dès 2012, l’Agence européenne de cybersécurité, l’Enisa avait déjà formulé ses recommandations sur la contractualisation des services dans le cloud (3). Avec les travaux du forum, il s’agit désormais d’aller bien au-delà des préconisations de l’Enisa, alors que le cadre réglementaire est de plus en plus précis et contraignant. Il est d’ailleurs possible de considérer, au moins pour la gestion des données personnelles, que le contrat cloud est désormais un contrat nommé (4).

Les contrats cloud de Microsoft revus par le RGPD

Microsoft a pris publiquement l’engagement formel de revoir ses contrats. La nouvelle version des Online Services Terms (OST) devrait intervenir pour début 2020 (5). A la lumière des critiques formulées par le contrôleur, outre les travaux du ministre néerlandais de la justice, les dispositions suivantes devraient être revues :

  • Une clause doit garantir la possibilité pour le responsable de traitement d’assurer leurs droits effectifs aux utilisateurs. Ces personnes concernées doivent ainsi disposer de toute information utile sur l’usage de leurs données et pouvoir directement exercer leurs droits dans les outils utilisés.
  • La clause d’audit sur site devrait être désormais présente au contrat selon des conditions à préciser. Elle était jusqu’alors refusée par Microsoft au prétexte que les certifications à diverses normes, dont la norme ISO 27001 complétée de la norme ISO 27018 sur l’hébergement de données personnelles, devaient suffire en soi.
  • On devrait aussi avoir des précisions sur la directive NIS et l’obligation de notifier les failles de sécurité affectant tout type de données et système auprès de l’Agence nationale de cybersécurité (l’ANSSI en France).
  • Enfin, dans la mesure où le Contrôleur européen et le CEPD ont déjà exprimé leur inquiétude sur le Cloud Act (6), il devrait être prévu que le prestataire, dès lors que cela peut être envisageable par cette loi, devrait s’engager à en contester la mise en œuvre auprès du juge compétent.

Si Microsoft a explicitement pris cette position après l’avis du Contrôleur européen, ces nouvelles mesures contractuelles ne devraient pas se limiter aux seules institutions européennes mais bien à tout client, responsable de traitement soumis au RGPD.

Il n’est pas précisé si ces nouvelles dispositions auront un effet rétroactif. En tout cas, tout contract manager devra veiller à ce que les contrats cloud Microsoft dont il dispose dans son organisation,seront bien soumis aux nouvelles OST plus favorables.

Eric Le Quellenec, Avocat
Lexing Informatique conseil

(1) Post du Contrôleur européen du 21 octobre 2019.
(2) Post du Contrôleur européen du 8 avril 2019.
(3) Guide achat cloud, Enisa, 2012.
(4) Eric Le Quellenec, Les contrats informatiques et la protection des données à caractère personnel : aspects pratiques, AJ contrat, Dalloz, octobre 2019, p.420.
(5) Post Microsoft du 18 novembre 2019.
(6) Lettre de couverture sur le Cloud Act du 10 juillet 2019.




La Cnil lance une plateforme Données & design RGPD

plateforme Données & designLe Laboratoire d’innovation de la Cnil lance la plateforme Données & Design faisant le lien entre design interactif et RGPD.

Design interactif, clé de voûte de l’interface réussie

A l’heure du tout numérique, le design apparaît plus que jamais centré sur l’utilisateur, examinant en détail son environnement, son mode de vie, ses habitudes, ses besoins et ses interactions avec les interfaces, les produits et les services qui lui sont offerts.

En effet, la réalisation d’une interface implique l’imbrication d’une conception technique consistant à créer une chaîne de fonctionnalités d’actions et de réactions et d’une conception du design visant à guider l’utilisateur dans l’utilisation de l’interface par la mise en place de parcours et de représentations graphiques aisément compréhensibles.

C’est ainsi que se sont développés, différents métiers du design interactifs :

  • le design d’interface (user interface design ou UI) visant à faciliter l’utilisation du service, de l’application ou de la machine par la création d’une interface visuellement cohérente et compréhensible ;
  • le design d’interactions (interaction design ou IxD), ayant pour objectif de déterminer la réaction du système dans le dialogue avec l’utilisateur ;
  • plus récemment, le design d’expérience utilisateur (UX design) visant à améliorer et optimiser l’expérience utilisateur en centrant la conception de l’interface sur l’expérience client.

Il s’agit là de la transposition au monde numérique de l’optimisation du parcours client bien connue du monde de la grande distribution dont les magasins Ikea sont l’illustration typique.

Design interactif, instrument d’optimisation de la collecte de données personnelles

Appliqué au monde numérique, le design interactif constitue également un moyen particulièrement performant de collecte des données utilisateurs par la mise en place de méthodes destinées à influencer le comportement de ce dernier.

Dans ce cadre, le Laboratoire d’innovation de la Commission nationale de l’informatique et des libertés (LINC) a identifié, dans son 6e cahier Innovation et prospective intitulé « La Forme des choix – Données personnelles, design et frictions désirables » (1) paru en janvier 2019, quatre catégories de pratiques de design interactif visant à optimiser la collecte de données personnelles potentiellement trompeuses.

Sont ainsi visées les pratiques consistant à « pousser l’individu à accepter de partager plus que ce qui est strictement nécessaire ». Parmi les exemples les plus topiques, se trouve la pratique consistant à solliciter la collecte de données additionnelles à celles strictement nécessaires au service lors d’une étape où l’utilisateur est engagé dans un processus de commande par exemple.

Le LINC donne ici l’exemple consistant à requérir un numéro de téléphone, pour permettre la livraison du bien commandé, qui sera in fine utilisé à des fins de prospection commerciale.

Une deuxième catégorie de pratiques ainsi identifiée consiste à influencer le consentement de l’utilisateur par la mise en œuvre de techniques peu claires ou ambiguës : recueil du consentement par l’utilisation de phrases complexes avec une double négation par exemple ou encore utilisation d’un code graphique dans un sens opposé à celui sous lequel il est généralement perçu : reproduction d’un cadenas dans un environnement non sécurisé, d’un code rouge pour une acception et vert pour un refus.

Une troisième catégorie de technique de design interactif réside dans la mise en place de « frictions aux actions de protection des données » : sous couvert de respecter la règlementation applicable, l’exercice des droits de l’utilisateur fait obstacle à l’utilisation de l’interface ou alors est rendue particulièrement complexe pour pousser l’utilisateur à l’abandon (complexification du réglage des paramètres de confidentialité par exemple).

La dernière catégorie de pratiques ainsi relevées vise celles consistant à « dérouter l’utilisateur » par exemple par le fait de donner à une action un sens contraire à celle attendue ou encore de masquer le caractère publicitaire d’un contenu.

Design interactif et RGPD : des exigences inconciliables ?

Si ces pratiques ne sont pas toutes sanctionnables, elles conduisent à s’interroger sur la compatibilité entre le but poursuivi par le design interactif et le respect des règles de transparence et de manifestation du consentement de l’utilisateur posées par le RGPD.

Ainsi, l’article 5 du RGPD pose le principe selon lequel les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée.

L’article 4 définit par ailleurs la notion de « consentement de la personne concernée » comme une « manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

A cet égard, le G29 est venu préciser que, pour déterminer si le consentement était donné librement, il y avait lieu de tenir compte de « toute pression ou influence inappropriée exercée sur la personne concernée (pouvant se manifester de différentes façons) [l’]empêchant [l’utilisateur] d’exercer sa volonté rendra le consentement non valable » (2).

Dès lors, le design interactif abusif ou trompeur apparait susceptible de remettre en cause la validité du consentement donné, et partant, la validité du traitement fondé sur ce consentement lorsqu’aucune autre base légale n’est susceptible d’être valablement invoquée.

Design interactif et RGPD : lancement d’une plateforme dédiée

Face à ce constat, le LINC a récemment lancé la plateforme Données & Design, destinée aux « designers soucieux d’intégrer au mieux la protection des données et des libertés dans leurs interfaces, services et produits » (3).

Cette plateforme qui vise à « créer des opportunités de collaboration et des espaces d’échange entre les designers pour coconstruire des parcours respectueux de la vie privée », s’articule autour de trois axes :

  • la présentation des fondamentaux et concepts clés de la réglementation relative à la protection des données personnelles se prêtant particulièrement au design interactif : information des utilisateurs, consentement, exercice des droits ;
  • la présentation d’exemples et de cas d’étude servant d’inspiration pour créer des interfaces et parcours respectueux des données personnelles des utilisateurs, et la fourniture de ressources permettant d’approfondir les questions de protection des données à caractère personnel ;
  • la possibilité pour les designers d’accéder à un espace d’échanges sur la plateforme Slack afin de discuter avec leurs pairs des problématiques rencontrées en matière de protection des données à caractère personnel, et de participer à divers ateliers de réflexion sur ce sujet.

Cette plateforme s’adresse en premier lieu aux designers, chefs de projets et développeurs, mais également aux délégués à la protection des données et juristes intervenant dans le secteur du design interactif.

Gageons que ce nouvel outil permettra aux designers, et plus largement à l’ensemble des acteurs intervenant dans le secteur du design interactif, d’adopter des pratiques vertueuses pour le respect de la vie privée des utilisateurs, et à ces derniers de mieux maîtriser leurs données personnelles.

Virginie Brunot
Justine Ribaucourt
Lexing Droit Propriété industrielle

(1) Laboratoire d’Innovation de la Commission Nationale de l’Informatique et des Libertés (LINC), Innovation et prospective intitulé « La Forme des choix – Données personnelles, design et frictions désirables », janvier 2019,
(2) Groupe de travail « Article 29 » – Lignes directrices sur le consentement au sens du règlement 2016/679 adoptées le 28 novembre 2017,
(3) Plateforme Données & Design.




Obligations en matière d’analyse d’impact pour les mairies

analyse d’impact pour les mairiesLe RGPD (1) impose un certain nombre d’obligations pour les collectivités territoriales (2). Il existe notamment des obligations en matière d’analyse d’impact pour les mairies.

Le règlement prévoit ainsi la réalisation d’analyses d’impact relatives à la protection des données pour les traitements susceptibles d’engendrer un risque élevé pour les droits et les libertés des personnes.

Compte tenu des traitements particulièrement sensibles que sont susceptibles de mettre en œuvre les mairies, ces dernières sont directement concernées par cette application.

Comment déterminer si une analyse d’impact doit être réalisée ?

L’article 35 du RGPD précise tout d’abord qu’une analyse d’impact est, en particulier, requise dans les cas suivants :

  • l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire;
  • le traitement à grande échelle de catégories particulières de données, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions ; ou
  • la surveillance systématique à grande échelle d’une zone accessible au public.

En complément, la Cnil a publié une liste des traitements pour lesquels une analyse d’impact est requise (3).

Conformément à cette liste, une analyse d’impact pour les mairies s’impose notamment s’agissant :

  • des traitements ayant pour finalité la gestion des alertes et des signalements en matière sociale et sanitaire ;
  • des traitements ayant pour finalité l’accompagnement social ou médico-social des personnes ;
  • l’instruction des demandes et gestion des logements sociaux ;
  • des traitements ayant pour finalité la gestion des alertes et des signalements en matière professionnelle.

Certains traitements mis en œuvre par les Centres communaux d’action sociale (CCAS) et les centres municipaux de santé, tels que les traitements de données de santé pour la prise en charge des personnes, sont également concernés.

Une analyse d’impact est également requise si le traitement remplit au moins deux des neuf critères issus des lignes directrices du G29 (4) suivants :

  • évaluation/scoring (y compris le profilage) ;
  • décision automatique avec effet légal ou similaire ;
  • surveillance systématique ;
  • collecte de données sensibles ou données à caractère hautement personnel ;
  • collecte de données personnelles à large échelle ;
  • croisement de données ;
  • personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
  • usage innovant (utilisation d’une nouvelle technologie) ;
  • exclusion du bénéfice d’un droit/contrat.

Publication de la liste des traitements pour lesquelles une analyse d’impact pour les mairies n’est pas requise

Le 22 octobre 2019, la Cnil a publié la liste des types d’opérations de traitement exonérés d’analyse d’impact (5).

Aucune analyse d’impact pour les mairies n’est ainsi requise pour :

  • les traitements mis en œuvre dans les conditions prévues par les textes relatifs à la gestion du fichier électoral des communes ;
  • les traitements, mis en œuvre uniquement à des fins de ressources humaines et dans les conditions prévues par les textes applicables, pour la seule gestion du personnel des organismes qui emploient moins de 250 personnes, à l’exception du recours au profilage ;
  • les traitements mis en œuvre par les collectivités territoriales aux fins de gérer les services en matière d’affaires scolaires, périscolaires et de la petite enfance.

Cette dernière exonération s’applique aux traitements relatifs à :

  • la préinscription, l’inscription, le suivi et la facturation des services en matière d’affaires scolaires, périscolaires, extrascolaires et de petite enfance (la scolarisation en école maternelle et élémentaire) ;
  • le recensement des enfants soumis à l’obligation scolaire ;
  • la restauration scolaire et extrascolaire ;
  • les transports scolaires ;
  • les accueils et activités périscolaires et extrascolaires, les accueils collectifs de mineurs ;
  • la participation à l’organisation matérielle et financière des sorties scolaires, les séjours scolaires courts et classes de découverte dans le premier degré ;
  • l’accueil de la petite enfance au sein des établissements et services d’accueil des enfants de moins de six ans.

En tout état de cause, en cas de doute quant à la nécessité de réaliser une analyse d’impact pour les mairies, il est recommandé d’en effectuer une.

En effet, une analyse d’impact permet non seulement de mettre en œuvre des traitements de données respectueux de la vie privée, mais également faire preuve de la bonne conformité des mairies au RGPD.

Une analyse d’impact peut concerner un seul traitement ou un ensemble de traitements similaires.

La Cnil a, en outre, pu préciser à titre d’exemple que des collectivités qui mettent chacune en place un système de vidéosurveillance similaire pourraient effectuer une seule analyse qui porterait sur ce système bien que celui-ci soit ultérieurement mis en œuvre par des responsables de traitements distincts (6).

En outre, le montant des amendes pouvant s’élever jusqu’à 10 000 000 euros en cas de manquements aux dispositions relatives aux analyses d’impact, une vigilance particulière doit être apportée.

Anne Renard
Marine Hannequart
Lexing Conformite et certification

(1) Règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou « RGPD »),
(2) Post précédent : « RGPD dans les mairies : quels impacts ? », du 14-10-2019 ,
(3) Cnil, Délibération n° 2018-327 portant adoption de la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise, du 11-10-2018,
(4) Groupe de travail « article 29» sur la protection des données, Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé » aux fins du règlement (UE) 2016/679, 4-04-2017,
(5) Cnil, Délibération n° 2019-118 portant adoption de la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données n’est pas requise, 12-09- 2019,
(6) Cnil, « Ce qu’il faut savoir sur l’analyse d’impact relative à la protection des données (AIPD) », 22-10-2019.




Intelligence économique : conférence à l’IHEDN sur le RGPD

conférence à l’IHEDN

Virginie Bensoussan-Brulé évoque l’impact du RGPD lors d’une conférence à l’IHEDN le 11 octobre 2019 dans le cadre d’un cycle dédié à l’intelligence économique.

L’Institut des Hautes Etudes de Défense Nationale (IHEDN) organise chaque année depuis 1996 plusieurs cycles de formation à l’intelligence économique et stratégique, à destination des cadres des secteurs public et privé.

Conférence à l’IHEDN

L’objectif de ces formations : s’approprier les concepts d’Intelligence économique, les méthodes d’organisation et les outils utiles pour le management de l’information stratégique.

Le programme des cycles s’articule autour de modules thématiques de présentations générales, de retours d’expériences et d’exercices.

Le programme traite de l’organisation de l’Etat en matière d’Intelligence économique et principalement des métiers et fonctions qui participent à la mise en place d’une démarche d’Intelligence économique dans une organisation.

Le programme comprend différents modules thématiques dont l’un est consacré à « La sécurité économique ».

C’est dans le cadre de ce module que Virginie Bensoussan-Brulé, avocate, directrice du Pôle Droit pénal numérique du cabinet Lexing Alain Bensoussan Avocats, prononce une conférence à l’IHEDN dans le cadre du 66ème cycle Intelligence économique et stratégique (IES), cette conférence est dédiée aux impacts du RGPD.

Cette conférence se déroule le vendredi 11 octobre 2019 de 16h15 à 17h45.

Eric Bonnet
Avocat
Directeur de la communication juridique




Guide de la Cnil pour la mise en conformité des mairies au RGPD

guide de la Cnil pour la mise en conformité des mairies au RGPDCe « Guide de sensibilisation au RGPD pour les collectivités territoriales » est destiné aux administrations locales qui mettent en œuvre de nombreux traitements de données à caractère personnel (gestion des inscriptions scolaires, gestion de l’état civil, gestion des listes électorales…) et doivent respecter les exigences du RGPD [1].

Parution du guide de la Cnil pour la mise en conformité des mairies au RGPD

Afin d’aider les mairies, dans le cadre de leur mise en conformité au RGPD, la Cnil vient de publier un Guide de sensibilisation au RGPD pour les collectivités territoriales à leur attention [2].

Principaux changements pour les mairies depuis l’entrée en application du RGPD

Le guide de mise en conformité des mairies au RGPD rappelle les principaux changements pour ces organismes induits par l’entrée en application du RGPD, notamment :

  • l’obligation de recenser de l’ensemble des traitements mis en œuvre par les services des collectivités territoriales ;
  • la nécessité, pour toutes les collectivités territoriales, de désigner un Délégué à la Protection des Données (DPD) ;
  • l’obligation de réaliser des analyses d’impact pour les traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques.

Mise à disposition d’outils à destination des collectivités territoriales

Le guide de la Cnil pour les collectivités territoriales comporte de nombreux outils afin d’aider les collectivités territoriales à se conformer aux exigences de la règlementation, notamment :

  • un modèle de mentions d’information pour le traitement de gestion de l’état civil ;
  • des fiches réflexes permettant de sensibiliser les agents aux bonnes pratiques en matière de protection des données ;
  • des illustrations et des cas concrets pour permettre aux mairies de mieux appréhender les notions clés de la règlementation relative à la protection des données ;
  • une liste de finalités de traitements pouvant servir de base pour cartographier les traitements mis en œuvre par les mairies ;
  • un plan d’action en 4 étapes pour permettre aux collectivités territoriales de se mettre en conformité.

Focus sur les missions du Délégué à la Protection des Données (DPD)

Le guide de mise en conformité des mairies au RGPD consacre un long développement aux missions du DPD, à son statut et à ses modalités de désignation.

L’autorité rappelle ainsi que les collectivités territoriales peuvent désigner soit un DPD en interne, soit une personne externe et qu’il est possible pour les collectivités territoriales de mutualiser le DPD (au niveau d’un établissement public intercommunale par exemple).

Le rappel des conditions de licéité des traitements spécifiques aux collectivités territoriales

Le guide de la Cnil à destination des mairies au RGPD apporte des éclairages concernant les conditions de licéité des traitements spécifiques aux mairies.

La Cnil précise notamment les règles concernant les traitements suivants :

  • équipement des agents de police municipale de caméras mobiles ;
  • dispositifs de lecture automatisée des plaques d’immatriculation ;
  • gestion des téléservices des mairies.

Analyses d’impact au sein des collectivités territoriales

Il n’est pas fait référence au projet de liste des traitements exemptés d’analyse d’impact dans le guide de la Cnil pour la mise en conformité des mairies au RGPD.

Au vu du projet de liste soumis par la Cnil au Comité européen de protection des données en la matière [3], il semblerait que les traitements relatifs à la gestion des écoles, aux activités extrascolaires et à la petite enfance puissent être exemptés d’analyse d’impact.

Il conviendra d’attendre la publication de la liste définitive de la Cnil afin de s’assurer que ces traitements sont bien exemptés.

Anne Renard
Alicia Béré
Lexing Conformite et certification

[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou « RGPD »).
[2] Cnil, « Guide de sensibilisation au RGPD pour les collectivités territoriales », 18-09-2019.
[3] CEPD, Opinion 13/2019, 10-7-2019 on the draft list of the competent supervisory authority of France regarding the processing operations exempt from the requirement of a data protection impact assessment




Petit-déjeuner : Le droit des contrats à l’épreuve du RGPD

contrats à l'épreuve du RGPDLe cabinet organise le 25 septembre 2019 un petit-déjeuner débat sur les aspects contractuels de la protection des données ; le RGPD et la loi Informatique et libertés modifiéeJean-François Forgeron et Jérémy Bensoussan ont le plaisir de vous y convier.

Le droit des contrats à l’épreuve du RGPD

La protection des données personnelles entretient des liens étroits avec le droit des contrats. La contractualisation fait souvent intervenir une mise à disposition ou un flux de données personnelles entre les acteurs. Une réflexion doit nécessairement s’engager sur le rôle et la responsabilité de chacun.

En outre, le RGPD impose la conclusion de certains actes juridiques, en matière de sous-traitance ou de traitance conjointe par exemple.

Dans ce cadre, l’enjeu est d’établir des relations contractuelles fiables et d’organiser les répartitions de responsabilités.

La question de l’externalisation des risques via une assurance se pose également.

Tels sont les sujets qui seront abordés lors du petit-déjeuner débat « Aspects contractuels de la protection des données – RGPD et loi Informatique et libertés modifiée ». Jean-François Forgeron et Jérémy Bensoussan auront le plaisir de répondre à vos questions.

Le petit-déjeuner débat aura lieu le 25 septembre de 9h30 à 11h30 (accueil à partir de 9h) dans nos locaux, situés Immeuble Cap Etoile, 58 Gouvion-Saint-Cyr, 75017 Paris.

Inscriptions closes

 




RGPD et Data : quels outils pour quelles obligations ?

quels outils pour quelles obligationsLe cabinet anime une formation sur les outils et process de mise en oeuvre du RGPD pour Lamy Formation (Wolters Kluwer).

RGPD/GDPR : quels outils pour quelles obligations ?

Cette formation est assurée par Alain Bensoussan, Chloé Torres et Naïma Alahyane Rogeon, les 1er octobre et 15 novembre 2019 et présentera quels outils pour quelles obligations en abordant les grandes thématiques suivantes :

  • Les fondamentaux de la gestion d’un projet de mise en conformité au RGPD (concepts clés d’un projet « conformité au RGPD », cahier des charges, organigramme des tâches, procédures de prise de décision, budget, calendrier prévisionnels, documentation du projet, suivi des indicateurs, etc.) ;
  • Étape n°1 : établir une cartographie réglementaire en 4 phases (réunion de cadrage, recensement des traitements et cartographie juridique, analyse de conformité, plan de communication des résultats au métier) ;
  • Étape n°2 : Établir un chemin de route GDPR (plan d’actions, calendrier prévisionnel, outils) ;
  • Étape n°3 : Réaliser les actions de conformité : Méthode RACI (Réalisation – Accountable -Consultation – Information) ;
  • Étape n°4 : Implémenter les actions et assurer leur suivi (plan d’implémentation, localisation des documents, grille d’audit de contrôle, etc.).

Les objectifs sont les suivants :

  • Acquérir une méthodologie de gestion du projet de mise en conformité au GDPR ;
  • Maîtriser les outils indispensables du juriste data / DPO ;
  • Instaurer un process Compliance Data au sein de votre entreprise.

Voir le détail du programme




Formation au contentieux informatique et libertés

informatique et libertésLe cabinet anime une formation sur le contentieux informatique et libertés pour Lamy Formation (Wolters Kluwer).

Le contentieux informatique et libertés

Cette formation est assurée par Virginie Bensoussan-Brulé, les 1er octobre et  29 novembre 2019 et abordera notamment :

  • Les infractions à la loi Informatiques et libertés (Panorama des infractions à la loi Informatique et libertés, peines principales et peines complémentaires) ;
  • Pouvoir de sanction de la Cnil (sanctions administratives correctrices et financières) ;
  • La procédure devant la formation restreinte de la Cnil (Aspects procéduraux et mise en situation) ;
  • Les nouvelles règles de responsabilité issues du RGPD (régime de responsabilité et de réparation).

Dans cette formation au contentieux informatique et libertés, les objectifs sont triples :

  • premièrement : identifier les différentes infractions à la réglementation sur les données personnelles ;
  • deuxièmement : savoir se défendre devant la formation restreinte de la Cnil ;
  • troisièmement : anticiper le nouveau régime de responsabilité mis en place par le RGPD.

Programme détaillé.




Aspects contractuels de la protection des données – RGPD et loi I & L modifiée

Aspects contractuels de la protection des données Le cabinet organise le 25 septembre 2019 un petit-déjeuner débat sur les aspects contractuels de la protection des données ; le RGPD et la loi Informatique et libertés modifiéeJean-François Forgeron et Jérémy Bensoussan ont le plaisir de vous y convier.

La protection des données personnelles entretient des liens étroits avec le droit des contrats. La contractualisation fait souvent intervenir une mise à disposition ou un flux de données personnelles entre les acteurs. Une réflexion doit nécessairement s’engager sur le rôle et la responsabilité de chacun.

En outre, le RGPD impose la conclusion de certains actes juridiques, en matière de sous-traitance ou de traitance conjointe par exemple.

Dans ce cadre, l’enjeu est d’établir des relations contractuelles fiables et d’organiser les répartitions de responsabilités.

La question de l’externalisation des risques via une assurance se pose également.

Tels sont les sujets qui seront abordés lors du petit-déjeuner débat « Aspects contractuels de la protection des données – RGPD et loi Informatique et libertés modifiée ». Jean-François Forgeron et Jérémy Bensoussan auront le plaisir de répondre à vos questions.

Le petit-déjeuner débat aura lieu le 25 septembre de 9h30 à 11h30 (accueil à partir de 9h) dans nos locaux, situés Immeuble Cap Etoile, 58 Gouvion-Saint-Cyr, 75017 Paris.

Inscriptions closes

 




Webinar RGPD spécial cabinets d’avocats : élaborer son registre des activités de traitement

Webinar RGPD spécial cabinets d'avocatsAnne Renard anime un webinar RGPD spécial cabinets d’avocats avec notre partenaire Wolters Kluwer le 5 juillet 2019.

Au programme : la cartographie et l’élaboration du registre des activités de traitement d’un cabinet d’avocats.

La question de la protection des données à caractère personnel est plus que jamais au cœur des préoccupations de toute entreprise ou organisation et la profession d’avocat n’y échappe pas ce qu’a d’ailleurs récemment rappelé la Présidente de la Cnil.

Les données à caractère personnel collectées et traitées par les cabinets d’avocats (données personnelles de clients, données RH, marketing & communication, etc.) doivent être protégées dans la mesure où elles sont susceptibles d’impacter la vie privée de leurs clients, collaborateurs et partenaires.

Une chose est sûre : depuis l’entrée en application du RGPD, les cabinets d’avocats doivent repenser leur gouvernance des données personnelles et déployer l’ensemble des actions nécessaires à une mise en conformité totale avec ce nouveau cadre juridique de la protection des données personnelles. Ceux-ci ont notamment l’obligation de tenir un registre de leurs activités de traitement.

Le webinar, proposé par Lamy Formation le 5 juillet 2019 de 10H à 12 H et animé par Anne Renard, abordera en particulier la réalisation de la cartographie des traitements et l’élaboration et le maintien du registre des activités de traitement.

Webinar RGPD spécial cabinets d’avocats

Programme

1. Etape 1 : La réalisation de la cartographie des traitements : un préalable nécessaire

  • Qu’est-ce qu’une cartographie des traitements ?
  • Comment élaborer une cartographie des traitements ?
  • Comment réaliser une analyse du niveau de conformité à partir de la cartographie ?

2. Etape 2 : L’élaboration et le maintien du registre des activités de traitement

  • Sur la base de la cartographie réalisée, comment élaborer et maintenir le registre des activités de traitement ?
  • Quels sont les différents outils mis à disposition par la Cnil pour l’élaboration du registre ?

Avocate, Anne Renard dirige le département Conformité et certification du cabinet Lexing Alain Bensoussan Avocats. Elle est Délégué à la Protection des Données (DPO) recommandée de la profession d’avocat par le Conseil National des Barreaux.  A ce titre, le cabinet a développé une offre à destination des cabinets d’avocats tenant compte de la taille des structures d’exercice et des moyens humains et financiers en découlant.

 




Décret d’application de la loi Informatique et libertés : la boucle est bouclée

Décret 2019-536Le décret 2019-536 du 29 mai 2019 achève, au niveau réglementaire, le travail d’adaptation du droit français au nouveau cadre européen issue du Règlement (UE) 2016-679 du 27 avril 2016 (RGPD).

Cette adaptation s’est faite en 3 étapes :

Ce dernier texte tire les conséquences du choix symbolique de ne pas avoir abrogé la loi fondatrice du 6 janvier 1978 et de procéder plutôt à son remaniement (forme et fond) tel qu’il résulte de l’ordonnance n° 2018-1125 du 12 décembre 2018 qui a totalement réécrit la loi « Informatique et libertés ».

Le décret n° 2019-536 pour l’application de la loi n° 78-17 réformée

Le texte opère la mise en cohérence nécessaire des dispositions remaniées au regard du droit européen. Mais surtout, il fait entrer en application la loi de 1978 telle que modifiée par l’ordonnance de 2018.

Il harmonise l’état du droit, adapte certaines règles de procédure devant la Cnil et précise les droits des personnes concernées. Enfin, il abroge également le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi de 1978.

La Cnil s’est prononcée sur l’ensemble des dispositions du décret dans une délibération du 9 mai 2019. Elle estime que le texte améliore la lisibilité du cadre juridique national et sa mise en cohérente avec le RGPD.

Des principes fondateurs pérennes

Sa publication permet l’entrée en vigueur de l’ensemble du nouveau cadre juridique « Informatique et libertés ». Les principes fondateurs posés il y a près de quarante ans demeurent toujours valables pour encadrer les systèmes d’information à caractère personnel, à savoir :

  • « l’informatique doit être au service de chaque citoyen » (L. 78-17, art. 1) ;
  • « son développement doit s’opérer dans le cadre de la coopération internationale » (L. 78-17, art. 1).

L’économie générale de la loi vise la protection la plus grande possible des droits, anciens et nouveaux (tels le droit à l’oubli et à la portabilité des données), consacrés dans le domaine numérique.

Isabelle Pottier
Avocat, Lexing Alain Bensoussan Avocats
Directeur du département Etudes et publications