Post Image

RGPD-GDPR-e-Privacy les données personnelles des entreprises #1. Merci aux participantes et aux participants la journée de formation du 27 juin 2019 organisée par Les Echos formation Lamy consacrée… au RGPD ! Beaucoup de slides (en BD bien sûr) pour comprendre…


RGPD-GDPR-e-Privacy les données personnelles des entreprises : comprendre pourquoi le RGPD

RGPD-GDPR-e-Privacy les données personnelles des entreprises : comprendre pourquoi le RGPD


Il faut faire un peu de technique pour comprendre pourquoi. Les données numériques sont un phénomène technique somme toute assez récent. Le premier “ordinateur” ? Vers 1941 / 1943.

Les “données numériques” et les premiers réseaux de communications électroniques ? Vers 1970.

Le premier micro-ordinateur “personnel” ? 1980.

L’explosion  de l’Internet ? 1993 avec le caractère public du protocole www (protocole web).

L’utilisation massive des “métadonnées” ? Le premier moteur de recherche, aujourd’hui n°1 mondial (pas de non, pas de nom !), a été lancé en 1998.

Le premier terminal mobile permettant de téléphone et d’accéder au web ? 2007. Il y a à peine 12 ans…

Juridiquement, c’est plus simple. Loi “informatique et libertés en France en 1978.

Puis Directive européenne n°95/46 du 24 octobre 1995.

Puis, grâce aux révélations publiques d’Edward Snowden en 2013, l’UE se réveille et le 27 avril 2016, adoption du RGPD.

RGPD-GDPR-e-Privacy les données personnelles des entreprises : pourquoi le RGPD


Depuis le 25 mai 2018, le RGPD est applicable. Mais il faut le lire (pour le croire) et surtout comprendre ce qu’il impose… Et même pour les professionnels, c’est pas si évident…

RGPD-GDPR-e-Privacy les données personnelles des entreprises : “contenu” – “métadonnées” – “données à caractère personnel”

Les données de “contenu” ? Pour comprendre, il faut aller lire les projet de Règlement e-Privacy.

RGPD-GDPR-e-Privacy les données personnelles des entreprises : "contenu"


Les “métadonnées” ? Ce sont les données techniques nécessaires au transport de toute communication électronique.

RGPD-GDPR-e-Privacy les données personnelles des entreprises : "métadonnées"


Si ces données techniques permettent d’identifier un terminal (téléphone, tablette ou ordinateur), ce sont des “données à caractère personnel”, le doute n’est aujourd’hui plus possible. Car derrière le téléphone, il y a une “personne physique”…

RGPD-GDPR-e-Privacy les données personnelles des entreprises : "données à caractère personnel"


Nous en profiterons pour revoir ce que sont les “données sensibles”.

RGPD-GDPR-e-Privacy les données personnelles des entreprises : “traitement” ?

Dès que vous “manipulez” des data permettant d’identifier une personne, vous “traitez” au sein du RGPD.

RGPD-GDPR-e-Privacy les données personnelles des entreprises : "traitement" ?


Et si vous traitez, il faut que votre traitement soit licite. Nous verrons donc les 6 critères de licéité que doit respecter tout “responsable de traitement”.

Tant qu’on y est, regardons ce que sont les “traitements à grande échelle”, et les traitements présentant un “risque élevé pour les droit et libertés des personnes”. Nous parlerons donc des “PIA” et des normes imposées par la CNIL le 11 octobre 2018.

RGPD-GDPR-e-Privacy les données personnelles des entreprises : “responsable de traitement” (controller)

RGPD-GDPR-e-Privacy les données personnelles des entreprises : "responsable de traitement" (controller)


Incontournable, et pas seulement parce que la CNIL a dit qu’elle allait surveiller de près comment les entreprises s’organisent, voyons qui est “controller” des data personnelles. C’est simple, c’est l’entreprise qui décide ce qu’elle veut traiter et pourquoi. Nous parlerons donc de la notion de “finalité”.

Nous ferons une petit incursion dans le droit des bases de données. Si votre base de données clients / prospects vous “appartient”, vous êtes “producteur” des données personnelles contenues dans votre base de données.

RGPD-GDPR-e-Privacy les données personnelles des entreprises : "responsable de traitement" et producteur du contenu d'une base de données


Et si votre base de données est composée (notamment) de données personnelles, vous êtes aussi le “responsable du traitement” des données personnelles contenues dans la base de données.

TIENS ! Dans la notion de “traitement” de données personnelles, on trouve la notion “d’extraction”. C’est drôle, c’est le terme utilisé par la Directive base de données pour le droit principal accordé au producteur d’une base de données. Un hasard ?

RGPD-GDPR-e-Privacy les données personnelles des entreprises : le droit d'extraction du contenu d'une base de données


Nous verrons une synthèse des obligations RGPD qui s’impose au responsable de traitement.

RGPD-GDPR-e-Privacy les données personnelles des entreprises : “sous-traitant” (processor)

RGPD-GDPR-e-Privacy les données personnelles des entreprises : "sous-traitant" (processor)


Faisons le même exercice pour le sous-traitant RGPD. En fait, c’est assez simple : le sous-traitant “traite” les données de ses clients qui sont “responsables de traitement”. Il n’est pas producteur des data contenues dans la base de données à laquelle il accède. Et il doit obéir strictement aux instructions de son client.

Ces instructions doivent figurer dans un contrat écrit. Et la liste des items juridiques à prévoir dans le contrat de sous-traitance est… comment dire… assez détaillée…

RGPD-GDPR-e-Privacy les données personnelles des entreprises : "sous-traitant" et contrat de sous-traitance


La suite du programme dans un second post accessible sur ce blog… (nos développements de l’après midi)

RGPD-GDPR-e-Privacy les données personnelles des entreprises #1 : la présentation complète en BD dans le slider ci-dessous