Chambre Syndicale Nationale des Centres

d’Appels et de Relation Client

 Avocat au Barreau de Paris depuis 1989
 A fondé une boutique Law Firm en droit de
l’informatique et du numérique (données personnelles et
e-reputation / propriété intellectuelle et numérique / cybersécurité / e-
commerce) de 13 professionnels à Paris 8ème, 164, rue du Fbg Saint-
Honoré
Iteanu Avocats, 1er Cabinet d’avocats le plus cité dans la
base de jurisprudences du droit des technologies de
l’information www.legalis.net (Avril 2018 - 122 citations
sur 2728 décisions publiées)
 Vice-Président Eurocloud France et Hexatrust (Cybersécurité)
 Co-responsable du groupe de travail Cloud & sécurité (CLUSIF)
 Président d’honneur Isoc France
 5 livrés publiés – le dernier « Quand le digital défie l’Etat de droit »
(Eyrolles Nov. 2016)
 Chargé d’enseignement aux Universités de Paris I Sorbonne et Paris XI
Sceaux

2
 Sensibilisation
◦ Texte difficile, très technique
◦ Appréhender le sens et l’esprit du texte pour ne pas s’y
perdre
◦ On ne sait pas tout du RGPD
 Dans l’attente de textes nationaux et de jurisprudences
 Construire un discours pour se crédibiliser et
crédibiliser son offre, auprès des prospects et
clients européens
◦ Face à la concurrence, avantage commercial
 Se conformer au Rgpd (principe d’accountability)
◦ Documenter sa démarche de mise en conformité
(attestation délivrée par notre Cabinet)

3
 Jour 1 - Connaître et appliquer le RGPD
◦ Connaître le texte, ses grandes règles
◦ Ateliers pratiques
 Comment les organisations se mettent en conformité
 Établir ses registres des activités de traitement
 Jour 2 – Le sous-traitant, responsabilités et
prérogatives
◦ Identifier le rôle de son organisme et ses responsabilités
◦ Ateliers pratiques:
 Les contrats et gérer la violation de données personnelles
◦ Quizz de 20 questions pour s’évaluer

4
Connaître et appliquer le RGPD
 Règlement 2016/679 du 27 avril 2016 entré en
vigueur le 25 mai 2016
 Mais application différée au 25 mai 2018 [Considérant
171]
 Règlement Général sur la Protection des Données –
RGPD ou GDPR (General Data Protection Regulation)
 Règlement = application directe (≠ de la Directive qui
nécessite une Loi nationale de transposition, comme
la Directive NIS de juillet 2016 transposée par la Loi
n°2018-133 du 26 février 2018)
 Au plus tard le 25 mai 2020 et tous les 4 ans, rapport
d’évaluation et de réexamen du RGPD présenté par la
Commission (Art. 97)
 173 considérants, 99 articles: problème de lisibilité

6
 ns
d éfinitio
6
R GPD 2
le 4 du
Arti c

7
 Champ d’application  Champ d’application
matériel territorial
◦ S’applique au traitement ◦ Dans le cadre des
de données personnelles activités d’un
◦ Sauf établissement sur le
 Traitement manuel hors territoire de l’UE
fichiers ◦ Traitement destiné à des
 Procédure pénale et résidents de l’UE
sécurité publique
 Activité strictement
personnelle ou
domestique

Article 2, Considérants 16 à 19 Article 3, Considérants 22 à 24

8
 Décision CNIL n°SAN-2017-0006 du 27 avril 2017,
Facebook Inc. et Facebook Ireland condamnant les
deux Sociétés à 150.000 € d’amende administrative

Les sociétés soutiennent que les critères de détermination du droit applicable (…) ne permettent pas
l’application du droit français. Elles contestent ainsi la qualification d’établissement de FACEBOOK FRANCE en
précisant qu’il ne s’agit que d’un sous-traitant et affirment que seule FACEBOOK IRELAND réalise les
traitements en cause.

La société irlandaise serait le seul responsable de traitement pour les utilisateurs situés en dehors des Etats-
Unis et du Canada et seul le droit irlandais serait applicable dès lors que c’est l’établissement irlandais qui a le
lien le plus inextricable avec les traitements en cause.

Les sociétés soutiennent, par ailleurs, que les objectifs de la directive précitée empêchent l’application
concomitante de plusieurs droits (…) Les sociétés invoquent enfin les obstacles insurmontables à la libre
circulation des données qu’engendrerait l’application du droit français (…)

(…) il a été établi que la société française fournit des services de support marketing pour la conclusion de
contrats publicitaires en France, notamment grâce à l’équipe grands comptes composée de six personnes
qui accompagne les sociétés à fort potentiel de communication (…)

La formation restreinte considère [que] la société FACEBOOK France constitue une installation stable qui
exerce une activité réelle et effective grâce à des moyens humains et techniques nécessaires notamment à
la fourniture de services de marketing. Elle estime par ailleurs que l’éventuelle qualité de sous-traitant est
sans incidence sur la qualification d’établissement dès lors que les conditions précitées sont réunies.

La formation restreinte considère, en conséquence, que la société FACEBOOK France doit être qualifiée
d’établissement de FACEBOOK INC. et FACEBOOK IRELAND

9
 Point 1 - Des évolutions majeures mais pas
de rupture (ce qui a changé et ce qui n’a pas
changé)
 Point 2 - Des sanctions à hauteur des enjeux
 Point 3 - Un changement de mentalité
 Point 4 - le sous-traitant désormais
directement visé par la réglementation
spécifique
 Point 5 – plus de droits pour les personnes
concernées, plus de devoirs pour les
responsables de traitements et sous-traitants

10
 Aperçu de de qui ne change pas Aperçu de ce qui change
- La fin du contrôle a priori de la CNIL
- Les objectifs, protéger les personnes physiques
(déclarations)
au titre de leurs données personnelles et du
respect de leur vie privée - Des sanctions à hauteur des enjeux et l’action
- Les grands principes – Les 5 règles d’or de la de groupe

Loi de 1978 (finalité, pertinence et

- L’introduction du sous-traitant dans la
proportionnalité [nécessaire], durée limitée, réglementation spécifique
sécurité et confidentialité, respect du droit des
personnes) - L’obligation de documenter (accountability)

- La CNIL comme pivot central des dispositifs

- La privacy by design et by default
- Des droits et garanties pour les personnes
concernées - DPO obligatoire dans certains cas

- L’obligation de notification des violations de

données personnelles pour tous

- De nouveaux droits (droit à la portabilité, à

l’oubli etc. ..)
11
Exemple de ce qui change peu,
transfert vers des pays tiers
Principe général d’interdiction – idem Art.
44 du RGPD

Exceptions:
-Pays adéquats – Art. 45 RGPD
-Privacy Shield
-Garanties appropriées – Art. 46 RGPD
-Dérogations particulières – Art. 49
- Transfert non répétitif et limité
 Sanctions CNIL Sanctions judiciaires - juge pénal
(et civil)
Des amendes administratives Sanctions pénales – en
prononcées par les CNIL qui moyenne des peines
peuvent aller jusqu’à 4% du CA maximales de 300K€
mondial total de l’exercice d’amende et 5 ans de prison
précédent, au plus Ex. « Le fait de procéder à un traitement de données à caractère
personnel concernant une personne physique malgré l'opposition de
cette personne, lorsque ce traitement répond à des fins de
prospection, notamment commerciale, ou lorsque cette opposition est
fondée sur des motifs légitimes, est puni de cinq ans
d'emprisonnement et de 300 000 euros d'amende » (Art. 226-18-1
Code pénal)

Juge de la Conformité Juge de l’ordre public

Mise en conformité ? N’influe pas

Et l’action de groupe ? Article 80

13
◦ Fini les déclarations préalables à la CNIL (consultation
obligatoire dans certains cas [art. 36] et autorisation
préalable dans certains autres cas [Ex. données de santé])
◦ L’auto-contrôle sous surveillance (Privacy by design,
Security by default : l’entreprise doit démontrer que le
RGPD a été anticipé jusque dans la conception du SI [Art.
25] - Accountability : l’obligation pour les entreprises de
mettre en œuvre des mécanismes et des procédures
internes permettant de démontrer le respect du RGPD
[Art. 24])
 La collaboration obligatoire de la technique, de
l’organisationnel et du juridique

14
 Chapitre IV intitulé « Responsable de traitement et sous-traitant »
◦ Section 1 – Obligations générales – 8 articles
◦ Section 2 – Sécurité – 3 articles
◦ Section 3 – Tests d’impact – 2 articles
◦ Section 4 – DPO – 3 articles
◦ Section 5 – Codes de conduite et certification – 4 articles
 Le cas du tiers au Rgpd, est-ce possible ? Définition Art. 4 10°
◦ Le cas d’un prestataire sans aucun contact avec les données personnelles de
son client donneur d’ordre

15
  Exemple de l’évolution : l’obligation
de sécurité des données

• Art. 34 Loi de 1978 Art. 32 du RGPD

« Le responsable du traitement est tenu de prendre
toutes précautions utiles (…) pour préserver la « Compte tenu de l’état des connaissances, des
sécurité des données ... » coûts de mise en œuvre et de la nature, de la
portée, du contexte et des finalités du traitement
• Art. 35 Loi de 1978 ainsi que des risques (…) le responsable de
« Le sous-traitant doit présenter des garanties traitement et le sous-traitant mettent en œuvre des
suffisantes pour assurer (…) l’article 34 (…) Le mesures techniques et organisationnelles
contrat liant le sous-traitant au responsable du appropriées .. »
traitement comporte l’indication des
Mettre en œuvre « une procédure visant à tester, à
obligations incombant au sous-traitant en
matière de protection de la sécurité et de la analyser et à évaluer régulièrement l’efficacité des
mesures techniques et organisationnelles pour
confidentialité des données… » assurer la sécurité du traitement »
Sanctions CNIL : 150K€
Sanctions CNIL : 10M€ ou 2% du CA mondial total
Art. 226-17 du code pénal: « Le fait de procéder ou
de faire procéder à un traitement sans mettre Sanction pénale : idem (?)
en oeuvre les mesures prescrites à l’article 34
(…) est puni de 5 ans d’emprisonnement et de
300 000 € d’amende

16
Des obligations qui diffèrent …
Le RT Le ST
•Obligations d’information et de •Pas d’obligations directes, mais doit
garantie des droits des personnes « aider le RT », article 28, 3, e)
•Pas d’obligations de PIA, mais doit
•Analyses d’impact si traitement à « aider le RT », article 28, 3, f)

risque élevé (PIA) •Obligation de notification au RT

•Obligations de notification à dans les meilleurs délais, article 33, 2
l’Autorité de contrôle (CNIL) d’une •Etc.
violation dans les 72 heures de la
connaissance
•Etc.

17
 Article 28 §1 sur la sous-traitance
◦ « … [le RT] fait uniquement appel à des sous-traitants qui présentent des
garanties suffisantes … » de conformité au RGPD
 Article 28 3 h)
◦ Le ST « met à disposition du RT toutes les informations nécessaires pour
démontrer [la conformité] et pour permettre la réalisation d’audit … »
 L’Article 82 du RGPD 4)
« Lorsque plusieurs responsables du traitement ou sous-traitants ou lorsque, à la fois, un responsable du
traitement et un sous-traitant participent au même traitement et, lorsque, au titre des paragraphes 2 et 3, ils
sont responsables d'un dommage causé par le traitement, chacun des responsables du traitement ou des
sous-traitants est tenu responsable du dommage dans sa totalité afin de garantir à la personne concernée
une réparation effective. »
 L’accountability pour le RT – manière de prouver qu’on a
demandé « patte blanche » au ST
 Le privacy by design pour les outils mis à disposition par le ST
 L’américanisation des relations
 Le flou du RGPD

18
+ de droits pour les personnes + d’obligations pour les
concernées responsables de traitement et
sous-traitants
Droit à la portabilité des données Obligations de notification [Art. 33 &
Droit à « l’oubli » (déréférencement) 34]
Action de groupe DPO obligatoire pour le secteur
… public et les traitements à risque
Accountability
…

19
- Alerte d’un client
- Plainte pénale
d’Orange
- Notification
« violation » à la
Cnil le 25 Avril
Cnil dit Orange n’a pas:
2014
-« fait réaliser d’audit
- Dans la presse le 5 de sécurité sur la
Mai 2014 version de l’application
- Contrôle Cnil sur spécifiquement
place les 12 et 14 développée … »
Mai 2014 Le cas Orange -« communiqué de
- Le 27 Mai 2014 -1,3 millions de manière sécurisée les
convocation Cnil mises à jour de ses
devant la données clients
fichiers clients à ses
formation impactées les 4 et 5 prestataires » (crypto)
restreinte Mars 2014 -Aucune clause de
- Le 7 août 2014,
Décision de -Recours à un sous- sécurité et
confidentialité des
sanction de la Cnil traitant et sous-traitant données n’était imposée
(avertissement
public)
du sous-traitant à son prestataire
- Confirmé par secondaire
Conseil d’Etat
Décision du 30
décembre 0215

20
 Un texte majeur pour un changement de mentalité
dans la gestion des données à caractère personnel
(concerne tout SI)
◦ Instaurer le réflexe « données à caractère personnel », c’est
le principal apport - documenter
◦ les bons choix organisationnels et techniques – toujours
documenter
◦ Un risque juridique accru pour les contrevenants

21
22
Comment se conformer ? Les conseils de la CNIL

23
Il n’existe pas une seule méthode, ni un seul produit qui rendent
conformes
• Halte à la tromperie !
• La démarche de mise en conformité est une démarche au cas par cas
• Dépend de la taille de l’organisation
• Considérant 13 RGPD « Pour tenir compte de la taille (…) une
dérogation pour les organisations occupant moins de 250 employés en
ce qui concerne la tenue des registres … »
• Dépend de sa culture informatique et libertés (ex. présence d’un CIL ou pas)
• Dépend de sa culture compliance (ISO ou autres certifications)
• Dépend de son activité (ex. types et quantité de données traitées, finalités)
• Et d’un certain nombre d’autres paramètres …

24
Exemple d’une feuille de route
 (Article 30)

Atelier Pratique
Jour 1 – Fin, merci !

Questions / Réponses