Le nouveau Règlement européen sur la protection des données personnelles : principes et nouvelles obligations

Objectifs :

Cette formation vise à appréhender les évolutions apportées par le nouveau Règlement européen sur la protection des données et à permettre d’initier sa mise en œuvre. Seront particulièrement étudiés les cas dans lesquels une étude d’impact est nécessaire ainsi que le nouvel équilibre contractuel entre responsable de traitement et sous-traitant.

Public concerné : Responsables de traitements, CIL/ DPO, RSI, juristes

Formateur  :

Maître Jeanne BOSSI MALAFOSSE, Avocat associé, DELSOL Avocats,

Responsable du département Données personnelles

Durée : 1 journée

Tarif : 700 € HT par participant, nombre de places limité

Dates et lieu :

Paris, 5 avril 2018

 

INFORMATION DETAILLEE ET INSCRIPTION

 

 

 

7ème Journée de la Recherche Clinique organisée par l’Association Française des CROs (AFCROs)

Cet évènement, rendez-vous de tous les intervenants, professionnels et acteurs en Recherche Clinique et Epidémiologique réunira institutionnels, académiques, Industriels des produits de Santé, Cosmétique et Nutrition, CROs, patients et prestataires de services et de support des essais lors de séances de travail en ateliers thématiques afin d’échanger, débattre et proposer des idées autour des problématiques de la pratique quotidienne, en après-midi, en plénière, tournées vers l’avenir de la Recherche Clinique et des perspectives d’évolution technologique de ces métiers et expertises.

Loi Informatique et Libertés : projet d’adaptation au Règlement européen sur la protection des données personnelles

Le projet de loi adaptant la loi Informatique et Libertés au Règlement européen sur la protection des données personnelles sera examiné au Parlement début février. Il prend acte en particulier de la suppression des formalités préalables – sauf cas spécifiques – renvoyant ainsi à la responsabilité des acteurs de se mettre eux-mêmes en conformité avec les principes de protection des données.

Cet accountability doit conduire chaque responsable de traitement et chaque sous-traitant à se poser les bonnes questions sur la façon de mener cette mise en conformité.

Il est donc temps pour chaque acteur  de définir sa propre stratégie  et  d’y consacrer les moyens nécessaires pour être prêt en mai 2018.

 

Jeanne Bossi Malafosse

Avocat associé

Actualité des sanctions de la CNIL : des indications sur la qualité du consentement et sur l’étendue des obligations de sécurité d’un responsable de traitement

  • Le consentement des personnes concernées avant le transfert à des tiers : mise en demeure de WhatsApp par la CNIL

Par une délibération du 12 décembre 2017, la CNIL a rendu publique la mise en demeure du 27 novembre 2017 pris à l’encontre de la société WHATSAPP INC.

Est réprouvée la transmission par l’entreprise WHATSAPP à la société FACEBOOK INC de données concernant ses utilisateurs à des fins de « business intelligence ».

La CNIL retient notamment que le consentement des utilisateurs n’est pas valablement recueilli faute d’être libre. En effet la désinstallation de l’application est le seul moyen d’opposition des utilisateurs à la transmission de leurs données pour cette finalité.

  • Le fait pour un responsable de traitement de faire appel à un prestataire sous-traitant ne le décharge pas de son obligation de préserver la sécurité des données traitées pour son compte.

Le 8 janvier 2018, la formation restreinte de la CNIL a prononcé une sanction de 100 000 euros à l’égard de la société DARTY pour atteinte à la sécurité des données clients.

Bien que le formulaire fautif ait été développé par un prestataire extérieur, la formation restreinte soulève que cette circonstance « ne décharge pas le responsable de traitement de la responsabilité qui lui incombe de préserver la sécurité des données traitées pour son compte ».

Dans sa délibération, la CNIL relève la négligence de la société DARTY dans la surveillance des actions de son prestataire dans la résolution de la violation mais tient toutefois compte de l’initiative de la société de lancer un audit de sécurité ainsi que sa coopération avec ses services.

Bien que le RGPD, qui entre en application le 25 mai prochain, renforce les obligations du sous-traitant, il ne décharge pas pour autant le responsable de traitement de sa responsabilité. Les responsables de traitement doivent être particulièrement vigilants dans le choix et l’audit de leurs sous-traitants.

  • Web Editions : sanction pécuniaire pour atteinte à la sécurité et la confidentialité des données clients

Par une délibération n° SAN-2017-012 du 16 novembre 2017, la formation restreinte de la CNIL a prononcé une sanction pécuniaire d’un montant de 25.000 euros à l’encontre de la société Web Editions pour le manquement à l’obligation d’assurer la sécurité des données.

En effet, la formation restreinte a pu constater qu’il était possible, pour des tiers non autorisés, d’accéder aux formulaires contenus dans les pages de quatre sites internet dont Web Editions est l’éditeur.

La formation restreinte en a déduit un manquement à l’obligation d’assurer la sécurité et la confidentialité des données de ses clients justifiant la condamnation.

En bref et en vrac

  • La confirmation des pouvoirs de surveillance de la NSA : une inquiétude pour l’application du Privacy Shield

Alors que le G29 a publié le 5 décembre dernier un rapport critique sur les conditions d’application du Privacy Shield un an après son entrée en application, en particulier s’agissant de la surveillance des autorités américaines, la Chambre des représentants des Etats-Unis a adopté le 11 janvier dernier un projet de loi renouvelant les pouvoirs de surveillance de la NSA pour une durée de six ans. Ce projet a été arrêté par le Sénat mardi 17 janvier. Il n’aura donc qu’à recueillir la majorité pour être adopté.

Les garanties prévues dans l’accord sur la Privacy Shield demeurent donc à ce stade très fragiles.

  • La reconnaissance de la qualité d’éditeur de contenus des opérateurs de plateforme susceptibles d’exercer d’autres activités en sus d’un hébergement au sens strict

Par une ordonnance de référé en date du 21 novembre 2017, le Tribunal de Grande Instance de Paris a condamné la plateforme Alibaba (société de e-commerce internationale chinoise) pour contrefaçon de marques et concurrence déloyale en tant qu’éditeur de contenus. Le Tribunal soulève que les sociétés Alibaba offrent des abonnements « Premium » donnant accès à des fonctionnalités « à valeur ajoutée » et personnalisés. En ne se limitant pas à la fourniture neutre du service offert par la plateforme mais en hiérarchisant les offres proposées en fonction de leur propre intérêt, et non celui des professionnels négociant sur le site, les sociétés ont de ce fait un rôle actif dans le contenu et donc un contrôle. Même si les sociétés Alibaba ont donné une apparence de site d’hébergement, celles-ci ont bien la qualité d’éditeur de contenus et l’obligation de surveiller a priori la licéité de toutes les informations diffusées sur l’intégralité du site.

  • La définition de données personnelles et l’entendue des droits d’accès

Les réponses écrites fournies par un candidat lors d’un examen professionnel et les éventuelles annotations de l’examinateur constituent des données à caractère personnel couvertes par le droit d’accès.

Un refus a été opposé à la demande d’accès d’un candidat à sa copie d’examen au motif que ce document ne constituerait pas une donnée à caractère personnel. C’est dans ce contexte que la Cour de justice a été saisie par la Cour suprême d’Irlande d’une question préjudicielle portant sur le point de savoir si les réponses fournies par un candidat lors d’un examen professionnel et les éventuelles annotations de l’examinateur s’y rapportant constituent des données à caractère personnel au sens de l’article 2, sous a) de la directive 95/46. La décision de la Cour précise le champ d’application de la notion de données personnelles. La Cour précise la notion de « toute information », inclue dans le cadre de la définition de la notion de données personnelles et, souligne qu’elle « englobe potentiellement toute sorte d’informations, tant objectives que subjectives sous forme d’avis ou d’appréciations, à condition que celles-ci « concernent » la personne en cause ».

Aussi, la Cour considère que, dans la mesure où l’identification d’un candidat à un examen est possible à partir de son nom ou d’un numéro d’identification, alors les réponses écrites fournies par celui-ci doivent être considérées comme des informations liées à sa personne.

En ce qui concerne les annotations de l’examinateur aux réponses du candidat, la Cour précise qu’elles constituent également des données à caractère personnel au sens de l’article 2, sous a), de la Directive 95/46/CE.

La qualification de données à caractère personnel des réponses et éventuelles annotations de l’examinateur ouvre au candidat des droits d’accès et de rectification.

  • Règlement E-privacy : un document de travail remis par la présidence Bulgare résume les principaux enjeux et propose des options permettant de faire avancer le débat devant le Conseil de l’Europe.

Le 17 janvier 2018 s’est tenue une réunion du groupe de travail du Conseil de l’Union européenne sur le Règlement e-Privacy, portant sur un document de travail remis par la Présidence bulgare. Ce document résume les principales problématiques du règlement e-Privacy parmi lesquels on retrouve notamment le champ d’application du règlement, la base juridique pour le traitement des données relatives aux communications électroniques, les communications machine-to-machine ou encore les paramètres de confidentialité des navigateurs web.

Le texte propose, pour chacune de ces problématiques, plusieurs options sur lesquelles les Etats auront à se prononcer.

La notion de profilage dans le RGPD

Le développement de nouvelles technologies permet d’apprécier de plus en plus précisément les caractéristiques des personnes concernées par la collecte de données afin d’affiner le degré de connaissances et d’en tirer des enseignements.

Cette analyse entre dans la définition du profilage tel que défini par le Règlement européen sur la protection des données personnelles (« RGPD »)[1]. Continuer la lecture

Se préparer à l’entrée en application du RGPD en 5 webinaires !

Les départements Donnés personnelles et Sciences du vivant de DELSOL Avocats vous proposent d’assister à une série de webinaires afin de vous aider à appréhender les conséquences pratiques de l’entrée en application du Règlement Général sur la Protection des Données (RGPD).

Chaque mois, jusqu’au 25 mai 2018, vous pourrez ainsi suivre un webinaire qui vous présentera un élément fondamental de cette nouvelle réglementation. Continuer la lecture