Title: Pr
1 Module 1 principes généraux IL
Alain Bensoussan Avocat
2Introduction
- Contexte 6 août 2004
- Enjeux Risk management/sanctions
- Défi Mise en conformité/période transitoire
- Actualité Décret
3Cartographie
Déploiement
Nouvelle loi, nouveaux risques
Evolutions majeures
4Evolutions majeures
5Concepts définitions
- Donnée à caractère personnel
- Traitement de données
- Responsable du traitement
- Sous-traitant
6Dynamique de licéité
Traitement collecte loyale/licite
COnservation limitée
Adéquates pertinentes non excessives
Exactes completes mises à jour
Explicites légitimes
Licéité
7Déclaration/autorisation
- Traitements comportant des risques datteinte à
la vie privée ou libertés - Traitements les plus courants
- Traitements à risques
- Fichiers personnels
8Procédures déclaratives générales
- Normes simplifiées
- Déclarations ordinaires allégées et déclaration
unique - Normes dexemptions
- Contrôle a posteriori
9Procédure déclarative dexception
- 8 catégories à risques
- Contrôle a priori de la CNIL
- Autorisation unique
- Décision dautorisation délai de 2 mois
10Traitements sensibles
- Des traitements sensibles par nature
- Des traitements sensibles par destination
- Des traitements sensibles par technique
- Une approche extensive de la CNIL
11Sensibilité
N INSEE
Difficultés sociales
Statistiques publiques
Interconnexion
Anonymisation des données sensibles
catégories à risque
Biométrie
Exclusion
Traitements de données sensibles
Infractions, condamnations, mesures de sûreté
Données génétiques
12Synthèse
Périmètre fonctionnel
Déclarations
Exemption
Autorisations
normale
simplifiée
Aucun risque datteinte à la vie privée et aux
droits des personnes
Traitements sous surveillance légale
Risque datteinte à la vie privée et aux droits
des personnes
.
13Le risque déclaratif
- Procéder ou faire procéder à des traitements de
données à caractère personnel sans respecter les
formalités - Y compris par négligence,
- Ne pas respecter les normes simplifiées ou les
exonérations - Y compris par négligence
14Fin du critère organique
- Public/privé
- Suspicion historique
- Sensibilité de la donnée
- Exception procédure de demande davis concernant
certains traitements publics
15Renforcement des droits des fichés
- Information dans tous les cas
- Pouvoir dinterrogation et droit à la
transparence - Opposition pour des raisons légitimes
- Droit à ne pas être prospecté
16Nouvelle loi, nouveaux risques
Evolutions majeures
17Rôle de la Cnil
- Pédagogie expertise
- Instruction des plaintes
- Avis de conformité de règles professionnelles,
produits, procédures - Délivrance de labels
18Les nouvelles sanctions
- Sanctions pénales et financières étendues
- Capacité daction administrative
- Enquêtes contrôles sur place
- Mesures de sauvegarde
19Les nouveaux pouvoirs
- Pouvoir dinvestigation
- Droit des contrôlés
- Plainte des fichés
- Procédure contentieuse
20Déploiement
Nouvelle loi, nouveaux risques
Evolutions majeures
21Impact sur les directions opérationnelles
- Direction des systèmes dinformation
- Marketing
- RH
- Service traitement du risque
22Déploiement
Lutte contre la fraude
Scoring
Risque
Segmentation
Géolocalisation
Fidélisation CRM
Cyber- surveillance
23Sécurité
Toutes précautions utiles
Nature des données
Vulnérabilité Flux de données Réseau
Risques présentés
Empêcher que les données ne soient
Sécurité logique physique
. déformées
. accessibles à des tiers non autorisés
. endommagées
24Sécurité et sous-traitance
- Instructions du responsable
- Clauses de confidentialité et de sécurité
- Accès / Hébergement
- Transfert et communication
25Flux transfrontaliers
- Pays autorisés
- Autorisation préalable
- Garanties contractuelles
- Règles internes
26Cartographie
Déploiement
Nouvelle loi, nouveaux risques
Evolutions majeures
27Cartographie
- Analyse de lexistant
- Identification des finalités
- Recensement des traitements
- Approche par catégorie
- Approche fonctionnelle
- Approche par sensibilité
- Approche technologique
- Approche géographique
- Informations nominatives ou non ?
28Cartographie (2)
- Connaissance des destinataires
- Durées de conservation
- Sécurité
- Écarts de complétude et stratégie
29MERCI