Post Image

[5 avril 2019] RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES  ?

Voici près d’un an  que le RGPD-GDPR est entré en vigueur et, manifestement, pour beaucoup d’entreprises (je ne parle même pas des personnes publiques…), il reste pas mal de travail.

Alors comme nous avons la journée devant nous, nous allons progresser pas à pas pour donner du sens à ce RGPD-GDPR n°2016/679 du 27 avril 2016 et aux obligations légales de protection des données à caractère personnel.


RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES : prolégomènes

Faisons connaissance et voyons le plan de la journée. Il y a tant de sujets à « traiter ». La présentation en BD de cette introduction est toute entière dans le slider ci-dessous.

la protection des données personnelles des ENTREPRISES : « pourquoi » la GDPR (et « e-Privacy ») ?

Il faut commencer dans l’ordre. Un peu de perspective technique et juridique nous aideront à donner du sens à ces règlementations, quasiment toutes d’origine européenne.

Penchons d’abord sur l’univers des communications électroniques pour digérer les notions de « données de contenu« , de « métadonnées » et de « données à caractère personnel« .

Sans oublier la notion de « traitement« , aujourd’hui utilisée (aussi) par les nouvelles règlementations sur la sécurité obligatoire des systèmes d’information (par exemple la loi « S.R.S.I. » du 26 février 2018).

RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES [Ledieu-Avocats] droit du numérique et des nouvelles technologies 02


Ce sera l’occasion de nous pencher un peu sur le projet de Règlement « e-Privacy », suite logique et annoncée de la GDPR. Je vous rappelle pour l’instant que le texte légal de référence toujours en vigueur est la Directive 2002/58 « vie privée et communications électroniques » ou (« e-Privacy »). C’est marrant, dans tous les contrats rédigés par les Anglo-Saxons que je vois passer en ce moment, il n’est jamais fait référence à cette Directive ! Je me demande bien pourquoi…

RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES : « qui » fait « quoi » dans la chaine du traitement des données ?

Pas de secret : pour appliquer la GDPR, il faut comprendre si l’entreprise est responsable de traitement (« data controller ») ou sous-traitant (« data processus »), sans oublier le problème de la responsabilité conjointe (le lien http vous renverra sur mon analyse de la jurisprudence CJUE du 5 juin 2018).

RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES [Ledieu-Avocats] droit du numérique et des nouvelles technologies 07


Impossible de comprendre le droit de la protection des données à caractère personnel sans faire un détour (appuyé) par le droit du contenu des bases de données numériques. La Directive CE 96/9 du 11 mars 1996mérite toute votre attention, c’est elle qui permet de régler le droit d’un sous-traitant à « piocher » dans le contenu de la base de données du responsable de traitement « producteur ». Car comme vous le rappelle Clément XVII (le gentil Roy de la Nef des Fous) juste en dessous, « le droit de propriété sur les data, ça n’existe pas » !

RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES [Ledieu-Avocats] droit du numérique et des nouvelles technologies 08


Et pour conclure ce chapitre, un rappel de ce que sont les principes du « privacy by default / privacy by design« . En mots simple, « privacy by design », ce sont des logiciels / traitements de données conçus dès l’origine dans le respect de la législation sur la protection des données personnelles. Evidemment, le principe est plus simple à intégrer qu’à mettre en oeuvre

RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES [Ledieu-Avocats] droit du numérique et des nouvelles technologies 09


RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES : responsable de traitement / sous-traitant / droit du contenu des bases de données —> dans le slider ci-dessous

RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES : profilage / opposition / consentement / oubli

Il faut évoquer la notion centrale de cette réforme qu’est le « profilage » et le nouveau droit spécial d’opposition à prospection/profilage, qui fait couler tant d’encre (et fait beaucoup faire l’autruche chez de nombreux professionnels…).

RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES [Ledieu-Avocats] droit du numérique et des nouvelles technologies 10


Puis il faut évoquer les 6 options de la « base juridique » – aujourd’hui incontournable – a accoler à chaque traitement de données à caractère personnel. C’est le débat « traitement AVEC ou SANS consentement« . Vous allez voir, une fois compris l’esprit de la GDPR, la solution est assez simple et, contrairement au marketing de la peur largement véhiculé par les « nouveaux » spécialistes du droit de la protection des données personnelles, le résultat ne passe pas par une adoption générale du consentement préalable.

RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES [Ledieu-Avocats] droit du numérique et des nouvelles technologies 11


Et tant qu’à évoquer les traitements AVEC ou SANS consentement, attardons nous un peu sur la nouvelle définition du consentement et sur son corollaire incontournable, le droit à l’oubli.

RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES [Ledieu-Avocats] droit du numérique et des nouvelles technologies 12


RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES : l’obligation d’information / collecte directe / collecte indirecte

C’est une des révolutions de cette GDPR-RGPD : l’obligation pour l’entreprise de dire à ses clients / prospects / salariés / fournisseurs / etc. quelles données sont collectées, pourquoi faire, pour combien de temps… Pour les juristes et les cabinets d’audit, c’est ici que se situe le gros du travail.

RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES [Ledieu-Avocats] droit du numérique et des nouvelles technologies 14


C’est le moment de se pencher sur les 9 droits GDPR pour essayer de s’y retrouver.

RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES [Ledieu-Avocats] droit du numérique et des nouvelles technologies 15


RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES : les notions juridiques clé sont dans le slider ci-dessous