RGPD en quoi suis-je concerné Tania BERTHOU

Documents publics

L'applicabilité du RGPD en Polynésie française.

Partager sur des réseaux sociaux

Partager le lien

Utiliser un lien permanent pour partager dans les medias sociaux

Partager avec un ami

S'il vous plaît S'identifier envoyer ceci presentation par courriel!

Intégrer à votre site internet.

Sélectionnez une page pour commencer

5. Source LEXPOL

1. RGPD Passez à l’action ! RGPD Passez à l’action ! Amphithéâtre de la CCISM Vendredi 7 mars 2019 De 14h à 18h30 De 14h à 18h30

16. Des Des outils outils mis mis en en ligne ligne par par la CNIL la CNIL

12. Quels Quels enjeux enjeux ? ? Le RGPD c’est d’abord un enjeu pour nos concitoyens : qu’elle soit usager d’un service public ou cliente d’une entreprise privée, toute personne a le droit au respect de sa vie privée et de ses données. Un enjeu pour l’entreprise , mais aussi pour le service public : sa crédibilité (la confiance que l’on peut lui accorder) et sa réputation

7. Quelles entités concernées ? Quelles entités concernées ? Est concernée toute personne physique ou morale qui déploie des traitements de données à caractère personnel sauf les traitements mis en œuvre par une personne physique pour l'exercice d'activités strictement personnellesoudomestiques . Sontdoncnotammentsoumisesàlaloi: - lesentreprises, - lespersonnesphysiquesdansleursactivitésprofessionnelles, - lesassociations, - lesorganismespublics. mais aussi les particuliers dans leurs activités qui ne sont pas exclusivement personnelles (par exemple la gestiond’unblogrecueillantdescommentaires)

10. En Polynésie française, il est plus facile d’identifier une personne à partir d’informations éparses, car la population y est peu nombreuse et beaucoup de personnes se connaissent ou entretiennent des liens amicaux, familiaux ou professionnels . entretiennent des liens amicaux, familiaux ou professionnels . Des initiales, un prénom, une information sur le lieu de vie, une information sur l’activité professionnellepeuventsuffireàidentifierquelqu’undemanièrequasicertaine.C’estcequel’on appellelerisquederéidentification.

11. Quelles Quelles contraintes contraintes ? ? Suppression de la quasi totalité des formalités préalables auparavant effectuées auprès de la CNIL (allègement des formalités) Mais en contrepartie instauration d’un principe de responsabilité accrue des responsables de traitement. Ils doivent prendre toutes les mesures techniques et organisationnelles et notamment : -tenir un registre de traitements, - nommer un délégué à la protection des données, - nommer un délégué à la protection des données, - évaluer les traitements, éventuellement faire réaliser des analyses d’impact pour les traitements présentant des risques, les mettre en conformité, -introduire la protection des données dès la conception et par défaut, -organiser l’information et les droits des personnes concernés, -former les personnels .... C’est ce changement d’approche qui constitue l’apport majeur du RGPD.

14. Quelles Quelles sanctions ? sanctions ? Des sanctions administratives prononcées par la CNIL Plusieurs degrés de sanctions selon l’infraction : rappel à l’ordre, injonction de mise en conformité, limitation du traitement, suspension d’un transfert de données hors UE, sanction pécuniaire de 10 millions d’euros ou 2% du chiffre d’affaire ou de 20 millions d’euros ou 4% du chiffre d’affaires (pour les infractions aux principes de base des traitements et aux droits de personnes) La CNIL peut être saisie par les usagers ou agir de sa propre initiative. La CNIL peut être saisie par les usagers ou agir de sa propre initiative. Pour se prononcer elle prend en compte la nature de la violation, sa gravité, sa durée, le nombre de personnes concernées, les données en cause, si la violation est délibérée ou due à une négligence, les mesures prises pour atténuerledommage,labonnefoietlaréactivitéduresponsabledetraitementdanslagestiondelaviolation. Des sanctions pénales . Elles font l’objet des articles 226-16 et suivants du code pénal. Notamment, le fait de détourner des données de leur finalité, ainsi que le fait de divulguer à un tiers des informations qui pourrait porter atteinte à la considération d’une personne ou à l’intimité de sa vie privée sont punis de 5 ans d’emprisonnement et de 300000 euros d’amende. La divulgation de données est punie de 3 ans d’emprisonnement et de 100000 euros d’amende si elle commise par négligence ou imprudence. Le juge est saisi par la personne concernée.

2. Le Le RGPD RGPD Le Le RGPD RGPD Le Le RGPD RGPD En quoi sommes nous En quoi sommes nous concernés ? concernés ? Le Le RGPD RGPD En quoi sommes nous En quoi sommes nous concernés ? concernés ?

8. Qu’est Qu’est- -ce un traitement ce un traitement ? ? Le traitement est tout outil que vous utilisez, dès lors qu’il contient des données de personnes physiques. -vos applications métier ou logiciels, votre gestion électronique de données, -votre site internet, -vos dossiers numériques, fichiers word, pdf, classeurs excell... -votre vidéo-surveillance, vos contrôles d’accès (badges), - les documents et dossiers papiers contenant les données de vos clients, personnels, fournisseurs. - les documents et dossiers papiers contenant les données de vos clients, personnels, fournisseurs. Dans quelles conditions peut il être mis en œuvre ? Un traitement ne peut être mis en œuvre que s’il se fonde sur : le consentement de la personne concernée, ou l'exécution d'un contrat, ou le respect d'une obligation légale ou règlementaire, ou l'exécution d'une mission d'intérêt public (...). Il doit remplir certaines conditions : -répondre à une finalité déterminée : à quoi sert il ? -ne contenir que les données nécessaires, celle dont on a vraiment besoin, -contenir des données exactes, tenues à jour, -être sécurisé, -ne pas conserver les données plus longtemps que nécessaire...

3. Quelques éléments de contexte Quelques éléments de contexte Protéger les individus face à une évolution numérique qui présente des risques pour leur vie privée : - l’omniprésence d’internet, des réseaux sociaux, du e-commerce, - la collecte quasi systématique de données, leur «marchandisation», le transfert international des données, - la traçabilité et le profilage des individus, - la facilité de faire des recherches sur les individus, sur internet. Le RGPD renforce la protection des données personnelles (loi « Informatique et libertés » de 1978 et directive européenne de 1995) et offre une nouvelle approche : instauration du principe de responsabilité. - la facilité de faire des recherches sur les individus, sur internet. C’est quoi être protégé(e) :  savoir ce qui est collecté sur soi, pourquoi et pour combien de temps,  avoir accès à ses données, en demander la rectification, la suppression, se faire oublier,  Etre sûr que ceux qui traitent des données personnelles sont responsabilisés et ont pris les mesures nécessaires.

13. Premier bilan de la CNIL Premier bilan de la CNIL La CNIL a reçu 742 notifications de violations (entre le 25 mai et le 1 er octobre) qui concerneraient les données de 33727384 personnes situées en France ou ailleurs. Ces violations concernent: -des atteintes à la confidentialité des données; - des atteintes à la disponibilité ; Deux grandes tendances se dessinent: -Les piratages et vols intentionnels imputables à un tiers malveillant ; - des atteintes à la disponibilité ; -des atteintes à l’intégrité. un tiers malveillant ; -Les erreurs involontaires imputables à un personnel.

4. Quelle règlementation Quelle règlementation en Polynésie française ? en Polynésie française ?  La protection des individus en matière informatique a été instaurée par la loi n°78-17 du 6 janvier 1978 relative aux fichiers, à l’informatique et aux libertés, applicable en Polynésie française depuis 1980 et modifiée plusieurs fois.  En 2018, le droit a évolué de manière importante. Le règlement UE 2016/ 679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD)est en effet entré en application le 25 mai 2018 dans l’Union européenne. Pour tenir compte du RGPD, la loi de 1978 a été modifiée, par une loi du 20 juin 2018. Mais ni le RGPD ni la loi du 20 juin 2018 ne nous étaient applicables en raison de Mais ni le RGPD ni la loi du 20 juin 2018 ne nous étaient applicables en raison de notre statut particulier (PTOM-spécialité législative).  Enfin, par une ordonnance n°2018-1125 du 12 décembre 2018, la loi de 1978 a été totalement réécrite. En Polynésie française, la nouvelle réglementation nous est applicable, puisque l’ordonnance en prévoit l’extension dans notre collectivité. L’ordonnance a été publiée au JOPF du 21 décembre 2018. C’est la loi du 6 janvier 1978, dans la version issue de l’ordonnance, qui nous est désormais applicable . Elle entrera en vigueur en même temps que le décret pris pour son application (modification du décret n°2005-1309 du 20 octobre 2005) et au plus tard le 1er juin 2019.

6. Quel périmètre ? Quel périmètre ? LeRGPDs’applique : 1.àtousceuxquiontunétablissementsurleterritoireeuropéen: critèredelalocalisationdel’établissement 2.égalementàtousceuxqui -offrent des biens et services (même gratuits) à une personne qui se trouve sur le territoiredel'union - ou suivent son comportement (profilage, géolocalisation , navigation ... ) : - ou suivent son comportement (profilage, géolocalisation , navigation ... ) : critèredelalocalisationdelapersonneconcernée Laloifrançaises'applique: -àceuxquiontunétablissementsurleterritoirefrançais, -dèslorsquelapersonneconcernéerésideenFrance. Dès son application en Polynésie française, la loi va s’appliquer dans les mêmes conditions à toute entitédisposantd’unétablissementenPolynésiefrançaiseetauxpersonnesquiyrésident.

15. Avertissement prononcé contre OUI CAR en 2016 : Etaient accessibles à partir d’une adresse URL les données des utilisateurs du site : nom, prénom, adresse, numéro de téléphone, date de naissance, numéro de permis de conduire et données de localisation du véhicule proposé à la location. Cet accès et incident avait duré près de trois ans et était lié à un défaut élémentaire de sécurité. La violation a concerné 52505 personnes. Amende de 40000 euros prononcée contre HERTZ France en 2017 : On lui a reproché d’avoir laissé un accès libre, à partir d’une adresse URL, aux données personnelles renseignées par 35357 personnes inscrites sur le site (identité, coordonnées, numéro de permis de conduire). La faille était due à la suppression involontaire d’une ligne de code au moment du remplacement de l’un des serveurs assurant l’interface avec le prestataire Quelques exemples Quelques exemples Amende de 50 millions d’euros prononcée le 21 janvier 2019 par la CNIL, dans le cadre du du remplacement de l’un des serveurs assurant l’interface avec le prestataire en charge des paiements. Amende de 250 000 euros contre BOUYGUES en décembre 2018 pour un manquement à la sécurité des données personnelles de plus de deux millions d’utilisateurs de son site. La vulnérabilité trouvait son origine dans la fusion des systèmes informatiques des marques Bouygues Telecom et B&You. À l’occasion de tests effectués à la suite de la fusion de ces bases de données, le code informatique rendant nécessaire l’authentification au site web www.bouyguestelecom.fr avait été désactivé. En raison d’une erreur humaine commise par une personne agissant pour le compte de la société, ce code n’a pas été réactivé à l’issue des tests. Amende de 400 000 euros contre UBER après que des individus aient dérobé les données personnelles de 57 millions d’utilisateurs (dont 1,4 millions situés sur le territoire français) en accédant à des identifiants stockés en clair sur la plateforme collaborative de développement «Github». Ils ont ensuite utilisé ces identifiants pour accéder à distance à un serveur sur lequel sont stockées les données. Ils y ont téléchargé les informations relatives aux utilisateurs. janvier 2019 par la CNIL, dans le cadre du règlement européen sur la protection des données, à l’encontre de la société GOOGLE LLC en application du RGPD pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité.

9. Qu’est ce qu’une donnée Qu’est ce qu’une donnée personnelle? personnelle? Une donnée personnelle est toute information, quelque en soit la forme (écrite, numérique, photographique, sonore...), qui permet, seule ou par combinaison avec d’autres informations, d’identifier quelqu’un . Les données courantes  État-civil, identité, données d'identification  Vie personnelle (habitudes de vie, situation familiale...)  Vie professionnelle (CV, scolarité, formation professionnelle, carrière, distinctions, notations ou évaluations...)  Informations d'ordre économique et financier (revenus, situation financière, situation  Informations d'ordre économique et financier (revenus, situation financière, situation fiscale...)  Données de connexion (adresses IP, journaux d’événements...)  Données de localisation (déplacements, données GPS, GSM...)  Données bancaires Les données sensibles  origine raciale ou ethnique,  opinions politiques, convictions religieuses ou philosophiques,  appartenance syndicale,  données génétiques, biométriques,  données de santé,  données concernant la vie sexuelle et l’orientation sexuelle. Lesdonnées particulières Source CNIL  Le numéro d’immatriculation au répertoire national d’identification des personnes physiques (NIR)  les infractions, condamnations, mesures de sureté

Vues

  • 142 Total des vues
  • 97 Vues du Site web
  • 45 Vues incluses

Actions

  • 0 Partages sociaux
  • 0 Aime
  • 0 N'aime pas
  • 0 Commentaires

Partagez le comptage

  • 0 Facebook
  • 0 Twitter
  • 0 LinkedIn
  • 0 Google+

Intégrations 1

  • 1 www.google.com