Protection des données personnelles : réussir sa mise en conformité

Résumé

Le Règlement européen sur la protection des données personnelles (RGPD) protège davantage les citoyens mais impose de nombreuses responsabilités à ceux qui collectent des données personnelles, principalement les entreprises. Les auteurs expliquent notamment aux dirigeants comment se mettre en conformité avec la loi. A jour de la loi Informatique et libertés modifiée. ©Electre 2019

Éditeur(s)
- Éditions législatives
Date
- DL 2019
Notes
- Index
Langues
- Français
Description matérielle
- 1 vol. (490 p.) ; 24 cm
Sujet(s)
Epoque
- 1990-2020
Lieu
- Pays de l'Union européenne
ISBN
- 978-2-85086-335-6
Indice
- 350.8 Libertés publiques
Quatrième de couverture
- Protection des données personnelles
  Réussir sa mise en conformité
  2^e édition
  La loi Informatique et libertés est modifiée pour la quatrième fois depuis sa publication en 1978, année qui a également vu naître la CNIL. La toute dernière version de la loi, issue de l'ordonnance du 12 décembre 2018, est intégrée aux commentaires contenus dans cet ouvrage. Elle est le fruit des bouleversements apportés par le Règlement général sur la protection des données (RGPD), entré en application le 25 mai 2018, qui a suscité bien des inquiétudes et des interrogations au sein des entreprises et organismes français.
  L'exemple de Google sanctionné en janvier dernier de 50 millions d'euros par la CNIL, pour manquement aux obligations de transparence à l'égard des personnes concernées imposées par le RGPD aux responsables de traitement, illustre bien les enjeux de cette nouvelle réglementation.
  Les Éditions Législatives, après le succès de l'ouvrage devenu référence Protection des données personnelles : se mettre en conformité d'ici le 25 mai 2018, paru en octobre 2017, vous proposent cette nouvelle édition à jour des textes récents (ordonnance du 12 décembre 2018, lignes directrices et avis du Comité européen de la protection des données (ex-G29), délibérations de la CNIL, etc.), avec la volonté de partager les clés d'une mise en conformité réussie, étape par étape, dans le respect du principe d'accountability. Agrémenté de nouveaux documents pratiques et de clauses contractuelles adaptées au RGPD, l'ouvrage contient également les témoignages de délégués à la protection des données qui nous font part de leur expérience « post 25 mai 2018 ».
  Pour réaliser cet ouvrage, nous nous sommes associés la précieuse expertise de l'Association française des correspondants à la protection des données (AFCDP), de cabinets d'avocats spécialisés en droit des nouvelles technologies et de la data tels que Staub & associés et Mathias Avocats, de Farid Bouguettaya, avocat au Barreau de Paris, de Vanessa Younes-Fellous, avocate en droit de la protection des données, ainsi que de professeurs de renom de l'Université Toulouse 1 Capitole : Céline Castets-Renard et Jessica Eynard.
Tables des matières
- - Protection des données personnelles
  - Réussir sa mise en conformité
  - 2e édition
  - Editions Legislatives
  - Apports du RGPD et de la loi Informatique et libertés11
  - Dispositions générales, dispositions spécifiques et principes du RGPD 13
  - Objet et objectifs du RGPD14
  - Dispositions générales du RGPD14
  - Principes généraux du RGPD19
  - Dispositions spécifiques à certaines données ou certains traitements23
  - Droits des personnes concernées 29
  - Droit d'information et d'accès aux données personnelles30
  - Droit de rectification et d'effacement (ou « droit à l'oubli ») des données personnelles32
  - Droit à la limitation du traitement de données personnelles34
  - Droit à la portabilité des données personnelles35
  - Droit d'opposition à un traitement de données personnelles35
  - Droit de ne pas faire l'objet d'une décision individuelle automatisée y compris le profilage36
  - Limitations aux droits de la personne concernée37
  - Obligations des responsables du traitement et des sous-traitants 39
  - Obligations au sein de l'Union40
  - Obligations hors UE en cas de transfert de données50
  - Voies de recours, responsabilité et sanctions 55
  - Droit à un recours juridictionnel effectif contre une autorité de contrôle56
  - Droit de recours effectif contre un responsable du traitement ou un sous-traitant56
  - Représentation des personnes concernées57
  - Suspension d'une action57
  - Droit à réparation et responsabilité57
  - Amendes administratives59
  - Sanctions60
  - Autorités de contrôle indépendantes 61
  - Pluralité d'autorités de contrôle62
  - Adaptation de la loi Informatique et libertés 69
  - Modifications apportées à la loi Informatique et libertés70
  - Se mettre en conformité étape par étape93
  - Déterminer si le RGPD est applicable 95
  - Êtes-vous concerné par le RGPD ?96
  - Déterminer son statut au regard du RGPD103
  - Identifier son autorité chef de file113
  - Nommer un DPO 119
  - Déterminer si la désignation d'un DPO est obligatoire120
  - Choisir un DPO125
  - Garantir la fonction du DPO132
  - Définir les missions du DPO137
  - Garantir la licéité du traitement 141
  - Déterminer la base juridique d'un traitement142
  - Gérer le consentement des personnes concernées148
  - Définir les durées de conservation des données158
  - Connaître les règles applicables au traitement des données sensibles165
  - Garantir le privacy by design et by default174
  - Gérer les droits des personnes concernées 185
  - Informer les personnes concernées186
  - Gérer les droits d'accès, de rectification, d'effacement, à limitation et d'opposition des personnes concernées195
  - Gérer une demande de portabilité des données214
  - Gérer le sort des données après le décès223
  - Encadrer le profilage227
  - Tenir un registre des activités de traitement 235
  - Établir et tenir à jour le registre des activités de traitement236
  - Mener une analyse d'impact relative à la protection des données 249
  - Évaluer les risques et établir une analyse d'impact250
  - Assurer la sécurité des données 269
  - Optimiser la sécurité des traitements270
  - Gérer une violation de données personnelles274
  - Gérer la conformité dans les contrats 289
  - Conditions générales de vente BtoC : qu'elles règles d'information en matière de protection des données ?290
  - Adapter les contrats de sous-traitance296
  - Adapter les contrats d'achat de prestations technologiques305
  - Adapter les contrats informatiques d'intégration de solutions composites310
  - Adapter les contrats de prestations intellectuelles318
  - Adapter les appels d'offres privés321
  - Adapter les marchés publics324
  - Encadrer les transferts de données hors de l'Union européenne 331
  - Sécuriser les transferts internationaux de données332
  - Obtenir une certification et adhérer à un code de conduite 347
  - Obtenir une certification pour prouver sa conformité348
  - Adhérer à un code de conduite pour prouver sa conformité353
  - Gérer un contrôle de la CNIL 359
  - Maîtriser le cadre légal des contrôles de la CNIL360
  - Faire face à un contrôle de la CNIL367
  - Retours d'expériences375
  - Avant-propos377
  - Présentation de l'AFCDP378
  - Flore Bonhomme, DPO de la région Normandie379
  - Guillaume Pourquie, DPO de Grenoble
  - École de management383
  - DPO d'un conseil départemental386
  - DPO d'une autorité publique indépendante389
  - DPO d'un groupe d'assurance391
  - Documents pratiques395
  - Délégué à la protection des données (DPO) 397
  - Charte AFCDP de déontologie des DPO398
  - Fiche de poste de DPO413
  - Lettre de mission de DPO418
  - Mise en conformité avec le RGPD 421
  - Critères du référentiel de certification des compétences du DPO422
  - S'assurer que son traitement est licite423
  - Test de compatibilité entre les finalités d'un traitement de données ultérieur et les finalités initiales424
  - Informations à fournir en cas de collecte directe425
  - Informations à fournir en cas de collecte indirecte426
  - Informations à fournir en cas d'exercice du droit d'accès427
  - Motifs autorisant la personne concernée à exercer son droit à l'effacement428
  - Traitements exclus du droit à l'effacement428
  - Conditions pour bénéficier du droit à la portabilité429
  - Critères du CEPD à prendre en compte pour la réalisation d'une analyse d'impact429
  - Critères permettant de déterminer qu'une analyse d'impact est complète430
  - Critères permettant de déterminer qu'une analyse d'impact n'est pas nécessaire431
  - Informations à fournir à l'autorité de contrôle en cas de risque résiduel élevé dans un traitement432
  - Procédure à suivre en cas de traitement à risque potentiellement élevé432
  - Questions à poser à un sous-traitant potentiel433
  - Clauses obligatoires à insérer dans le contrat entre le responsable du traitement et le sous-traitant434
  - Critères du référentiel d'agrément d'organismes de certification des compétences du DPO435
  - Modèle de registre des violations de données personnelles437
  - Procédure interne relative à la violation de données personnelles439
  - Lignes directrices du CEPD commentées 441
  - Les lignes directrices et avis du CEPD (ex-G29)442
  - Clauses contractuelles relatives à la protection des données personnelles 449
  - Modèle de clause dans les CGV de commerce électronique450
  - Modèle de clause et annexe DPA dans un contrat informatique d'intégration de solutions composites455
  - Modèle de clause dans un contrat de prestations intellectuelles463
  - Modèle de clause dans les marchés publics466
  - Modèle de clause dans un contrat de transfert de données en dehors de l'UE470
Origine de la notice:
- FR-751131015 ;
- Electre