par Beelen, Axel
Bruylant
-
-
Disponible - 350.8 BEE
Niveau 3 - Droit
Résumé
Une analyse du RGPD, à l'occasion de son entrée en vigueur le 25 mai 2018. L'auteur expose sous la forme de fiches les principales implications opérationnelles et étudie l'impact de cette législation sur le blockchain, le cloud computing, la e-Privacy ou encore la directive NIS. ©Electre 2018
- Éditeur(s)
-
Date
- DL 2018
-
Notes
- Bibliogr. Glossaire
-
Langues
- Français
-
Description matérielle
- 1 vol. (367 p.) ; 24 cm
- Collections
-
Sujet(s)
- Union européenne Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
- Protection de l'information (informatique) -- Droit
- Pays de l'Union européenne
- Protection de l'information (informatique) -- Droit européen
- Lieu
-
ISBN
- 978-2-8027-6169-3
-
Indice
- 350.8 Libertés publiques
-
Quatrième de couverture
-
Guide pratique du RGPD
Le nouveau Règlement général sur la protection des données personnelles (RGPD ou GDPR en anglais) concerne toutes les entreprises et organisations traitant les données personnelles de résidents européens. Son impact est mondial. Même les GAFAM (Google, Amazon, Facebook, Apple et Microsoft) devront se mettre en conformité avec ce règlement et modifier leurs pratiques afin de ne pas subir de lourdes amendes européennes.
Dirigeants, juristes, avocats, (futurs) Délégués à la Protection des Données, etc. trouveront dans ce livre, sous la forme de Fiches de guidance, courtes, claires et précises, toutes les informations utiles sur l'implémentation du RGPD dans les sociétés ainsi que sur les diverses implications opérationnelles du texte par rapport à leurs activités.
La matière étant tentaculaire, l'ouvrage analyse également les conséquences concrètes du RGPD sur (e.a.) la blockchain, le big data, le cloud computing, la ePrivacy et la directive NIS.
Nous vous en souhaitons une excellente lecture.
-
-
Tables des matières
-
Guide pratique du RGPD
Fiches de guidance
Axel Beelen
Philippe Lambrecht
Frédéric Dechamps
Bruylant
- Préface 7
- Avant-propos 9
- Objectif de l'ouvrage 13
- Partie 1
- Les Fiches de guidance relatives au RGPD
- Fiche de guidance n° 1
- Le champ d'application matériel du RGPD19
- A. Quels types de données sont concernés par le RGPD ?19
- B. Qu'entend-on par « traitement de données » ?21
- C. Qu'entend-on par « responsable du traitement » ?22
- D. Les autres Fiches de guidance de l'ouvrage en rapport avec le sujet23
- Fiche de guidance n° 2
- Le champ d'application territorial du RGPD25
- A. Introduction25
- B. Deux possibilités sont à envisager26
- 1. Le responsable du traitement ou le sous-traitant a un établissement stable dans l'UE26
- 2. Quid si le responsable du traitement ou le sous-traitant n'a pas un établissement stable dans l'UE ?26
- C. Les autres Fiches de guidance de l'ouvrage en rapport avec le sujet28
- Fiche de guidance n° 3
- Les principes généraux de protection des données29
- A. Introduction29
- B. Les principes30
- C. Traitement secondaire32
- D. Le respect du RGPD repose sur les épaules du responsable du traitement33
- E. Les Lignes directrices du Groupe de Travail « Article 29 »34
- F. Les autres Fiches de guidance de l'ouvrage en rapport avec le sujet34
- Fiche de guidance n° 4
- L'« accountability »35
- A. Principe35
- B. Mise en oeuvre36
- C. Les Lignes directrices du Groupe de Travail « Article 29 »37
- Fiche de guidance n° 5
- Privacy by design et Privacy by default39
- A. Introduction39
- B. Implémentation dans le RGPD39
- 1. La privacy by design39
- 2. La privacy by default 41
- C. Objectifs41
- Fiche de guidance n° 6
- Le consentement43
- A. Introduction43
- B. Caractéristiques et conditions du consentement44
- C. Le consentement explicite46
- 1. Traitement des données « particulières » de l'article 9 du RGPD47
- 2. Décision individuelle exclusivement automatisée48
- a. Règle générale 48
- b. Exceptions 48
- C. En cas d'application d'une des trois exceptions48
- D. Conditions applicables au consentement des enfants en ce qui concerne les services informatiques49
- E. Droit à l'effacement (« droit à l'oubli »)49
- F. Lien avec le droit à la portabilité des données50
- G. Le registre des consentements51
- H. Les Lignes directrices du Groupe de Travail « Article 29 »51
- I. Les autres Fiches de guidance de l'ouvrage en rapport avec le sujet51
- Fiche de guidance n° 7
- Les intérêts légitimes53
- A. Introduction53
- B. Analyse53
- C. Présentation du LIA54
- D. Présentation d'une analyse en étapes55
- E. Exemples56
- Fiche de guidance n° 8
- Le registre des traitements57
- A. Principe57
- B. Contenu du registre58
- 1. Le registre du responsable du traitement58
- 2. Le registre du sous-traitant59
- C. Exemption60
- D. Exemples de registre60
- E. Lignes directrices61
- Fiche de guidance n° 9
- La protection des données personnelles63
- A. Introduction63
- B. Principe64
- C. Évaluation du niveau de sécurité65
- D. La protection des bâtiments : un fondamental à ne pas négliger67
- Fiche de guidance n° 10
- L'analyse d'impact relative à la protection des données (AIPD)69
- A. Principe69
- B. Réalisation69
- 1. Introduction69
- 2. Les acteurs concernés71
- 3. Contenu d'une AIPD72
- 4. Qu'entend-on par « risque » ?73
- 5. Que veut dire « susceptible d'engendrer un risque élevé » pour les droits et libertés des personnes physiques ?74
- 6. Les mesures envisagées pour faire face aux risques78
- 7. Circonstances dans lesquelles une consultation préalable de l'autorité de contrôle des données personnelles est obligatoire78
- 8. Méthodologie à appliquer pour réaliser une AIPD80
- 9. Contrôle81
- C. Recommandation d'initiative de la Commission belge pour la protection de la vie privée concernant l'analyse d'impact relative à la protection des données (n° 01/2018 du 28 février 2018)82
- D. Lignes directrices du Groupe de Travail « Article 29 »82
- Fiche de guidance n° 11
- Le Délégué à la Protection des Données (DPD)83
- A. Principe83
- B. Une désignation obligatoire dans trois cas de figure84
- C. Une désignation groupée86
- D. Qui peut être DPD ?86
- E. Fonctions du DPD87
- F. Missions du DPD88
- G. Toujours cette notion de « risque »90
- H. Lignes directrices du Groupe de Travail Article 29 »91
- Fiche de guidance n° 12
- Les codes de conduite93
- A. Introduction93
- B. Utilités94
- C. Procédure95
- 1. Le projet de code ne porte pas sur des activités de traitement menées dans plusieurs États membres95
- 2. Le projet de code de conduite concerne des activités de traitement menées dans plusieurs Etats membres96
- D. Champ d'application des futurs codes de conduite96
- E. Contrôle du respect du code de conduite97
- F. Rôles des autorités de protection98
- G. Autres rôles du CEPD98
- H. Les autres Fiches de guidance de l'ouvrage en rapport avec le sujet99
- Fiche de guidance n° 13
- La labellisation et la certification101
- A. Introduction101
- B. Utilités des certifications, labels et marques101
- C. Procédure102
- D. Retrait de la certification103
- E. Durée de la certification103
- F. Registre des mécanismes de certification103
- G. L'organisme de certification103
- H. Contrôle des autorités de contrôle des données personnelles105
- I. Rôle du CEPD105
- J. Des lignes directrices officielles106
- K. Les autres Fiches de guidance de l'ouvrage en rapport avec le sujet106
- Fiche de guidance n° 14
- Les transferts de données107
- A. Principe107
- B. Définition108
- C. Interdiction de réaliser des transferts109
- D. Transferts fondés sur une décision d'adéquation109
- 1. Mécanisme de la prise de décision109
- 2. Modifications possibles des décisions110
- 3. Publication des décisions111
- E. Transferts moyennant des garanties appropriées112
- F. Les règles d'entreprise contraignantes114
- 1. Conditions114
- 2. Une application pour l'ensemble des sociétés du groupe114
- 3. Contenu des BCR114
- G. Transferts ou divulgations non autorisés par le droit de l'Union116
- H. Quid s'il n'existe aucune décision d'adéquation ni aucune garantie appropriée ?116
- I. Quid si aucune décision d'adéquation, si aucune garantie appropriée et si aucune des autres possibilités n'existe ?118
- J. Coopération internationale dans le domaine de la protection des données à caractère personnel119
- K. Lignes directrices du Groupe de Travail « Article 29 »119
- Fiche de guidance n° 15
- Les sous-traitants sous le RGPD121
- A. Introduction121
- B. Contenu minimum d'un contrat avec un sous-traitant123
- C. Les précautions que les sous-traitants doivent prendre en compte pour intégrer les nouvelles exigences du RGPD125
- D. Le sous-traitant doit se positionner comme partenaire de confiance125
- E. Le sous-traitant, un maillon d'une chaîne de conformité126
- F. Le ISMS (Information Security Management System), un appui incontournable126
- Fiche de guidance n° 16
- Les modalités d'exercice des droits des personnes concernées129
- Introduction129
- A. Langage des réponses (droit à la compréhension ou principe de transparence)129
- B. Canal de communication130
- C. Délai131
- D. Coût132
- E. Les Lignes directrices du Groupe de Travail « Article 29 »132
- F. Les autres Fiches de guidance de l'ouvrage en rapport avec le sujet132
- Fiche de guidance n° 17
- Les huit droits des personnes concernées133
- Fiche de guidance n° 18
- Droit 1 : Le droit d'information des personnes concernées135
- A. Introduction135
- B. Première hypothèse : les données ont été collectées auprès de la personne concernée136
- 1. Principe de transparence136
- 2. La raison d'être de la séparation des 12 catégories d'information138
- C. Seconde hypothèse : les données à caractère personnel n'ont pas été collectées auprès de la personne concernée139
- 1. Principe de transparence139
- 2. Délai de communication : un mois140
- 3. Pas d'obligation de fournir les informations141
- D. Les autres Fiches de guidance de l'ouvrage en rapport avec le sujet142
- Fiche de guidance n° 19
- Droit 2 : Le droit d'accès de la personne concernée143
- A. Introduction143
- B. Contenu du droit d'accès144
- C. Les autres Fiches de guidance de l'ouvrage en rapport avec le sujet146
- Fiche de guidance n° 20
- Droit 3 : Le droit de rectification de la personne concernée147
- A. Contenu147
- B. Les autres Fiches de guidance de l'ouvrage en rapport avec le sujet148
- Fiche de guidance n° 21
- Droit 4 : Le droit à l' « oubli » de la personne concernée149
- A. Introduction149
- B. Ce droit n'est pas absolu (partie 1)149
- C. Comment supprimer définitivement les données ?150
- 1. Les différents types d'effacements151
- 2. Prouver que les données ont bien été effacées151
- D. Avantages pour une entreprise à effacer les données151
- E. Obligation d'informer les sous-traitants152
- F. Le droit n'est pas absolu (partie 2)152
- G. Les autres Fiches de guidance de l'ouvrage en rapport avec le sujet153
- Fiche de guidance n° 22
- Droit 5 : Le droit à la limitation du traitement155
- A. Un droit aux contours assez flous155
- B. Une utilisation limitée des données156
- C. Les autres Fiches de guidance de l'ouvrage en rapport avec le sujet157
- Fiche de guidance n° 23
- Droit 6 : Le droit à la portabilité des données159
- A. Introduction159
- B. Un droit double159
- 1. Première possibilité : celui de recevoir et de transmettre160
- 2. Deuxième possibilité : d'un responsable à un autre161
- 3. Conséquences techniques162
- C. Limites à la portabilité163
- 1. Principe163
- 2. Précisions163
- D. Données de la personne concernée qui contiennent des données de tiers164
- E. Les Lignes directrices du Groupe de Travail « Article 29 »165
- F. Les autres Fiches de guidance de l'ouvrage en rapport avec le sujet167
- Fiche de guidance n° 24
- Droit 7 : Le droit d'opposition à un traitement169
- A. Introduction169
- B. Limites169
- C. Conséquences pour le responsable du traitement170
- D. Différences avec la Directive de 1995170
- E. Les autres Fiches de guidance de l'ouvrage en rapport avec le sujet172
- Fiche de guidance n° 25
- Droit 8 : Le droit à ne pas faire l'objet d'une décision automatique, y compris le profilage173
- A. Décision individuelle automatisée, y compris le profilage173
- 1. Règle générale173
- 2. Champ d'application de l'article 22 du RGPD176
- 3. Droit d'opposition partiel contre le profilage176
- 4. Droit à ne pas faire l'objet d'une décision fondée uniquement sur un traitement automatisé177
- 5. Exceptions à l'interdiction générale178
- 6. Obligation d'information du responsable du traitement180
- 7. Workflow d'analyse d'une décision automatisée181
- B. La Recommandation du 23 novembre 2010 du Conseil de l'Europe182
- C. Conséquences182
- D. Le profilage doit également respecter l'ensemble des principes du RGPD184
- E. Lignes directrices du Groupe de Travail « Article 29 »185
- F. Les autres Fiches de guidance de l'ouvrage en rapport avec le sujet185
- Fiche de guidance n° 26
- Les violations de données personnelles187
- A. Principe187
- B. Trois hypothèses possibles189
- 1. Risque élevé : notification aux personnes concernées et à l'autorité de contrôle des données personnelles190
- a. Délai de la notification 190
- b. Contenu de la notification aux personnes concernées 190
- c. Pas de notification aux personnes concernées si 191
- 2. Le risque est considéré comme non élevé : notification uniquement à l'autorité de contrôle192
- a. Délai de la notification 192
- b. Contenu de la notification 192
- c. Tenue d'un registre des violations 193
- C. Lien avec le Règlement notification ePrivacy du 24 juin 2013193
- D. Les Lignes directrices du Groupe de Travail « Article 29 »196
- Fiche de guidance n° 27
- Les autorités de contrôle indépendantes197
- A. Introduction197
- B. Statut d'indépendance198
- 1. Obligation d'avoir au moins une autorité de contrôle de données personnelles par État membre198
- 2. Indépendance198
- 3. Conditions générales applicables aux membres de l'autorité de contrôle199
- 4. Règles relatives à l'établissement de l'autorité de contrôle199
- C. Compétence, missions et pouvoirs200
- 1. Compétence200
- 2. Compétence de l'autorité de contrôle chef de file (traitements transfrontaliers)200
- 3. Missions des autorités de contrôle201
- 4. Pouvoirs d'enquête, mesures correctrices, pouvoirs d'autorisation et pouvoirs consultatifs des autorités de protection de données personnelles203
- a. Pouvoirs d'enquête 203
- b. Mesures correctrices 204
- c. Pouvoirs d'autorisation et pouvoirs consultatifs 205
- 5. Rapports d'activité206
- D. Les autres Fiches de guidance de l'ouvrage en rapport avec le sujet206
- Fiche de guidance n° 28
- L'identification de l'autorité de contrôle chef de file en cas de transferts transfrontaliers (le guichet unique ou le « one-stop-shop »)207
- A. Principe207
- B. Quand avons-nous un traitement transfrontalier ?208
- C. Identification de l'autorité de contrôle chef de file209
- 1. Principe209
- 2. Identification de l'autorité de contrôle chef de file pour un responsable de traitement210
- 3. Identification de l'autorité chef de file pour un sous-traitant211
- D. Lignes directrices du Groupe de Travail « Article 29 »212
- E. Les autres Fiches de guidance de l'ouvrage en rapport avec le sujet212
- Fiche de guidance n° 29
- La bonne coopération entre les autorités de contrôle des données personnelles213
- A. Introduction 213
- B. Les mesures mises en place pour favoriser la coopération entre l'autorité chef de file et les autres autorités de contrôle213
- 1. L'obligation de coopérer ensemble (art. 61 du RGPD)214
- a. La décision par consensus des autorités de protection 214
- b. Gestion de la réclamation initiale 215
- 2. L'obligation de se prêter mutuellement assistance (art. 62)216
- 3. La faculté de mener des opérations conjointes (art. 63 du RGPD)218
- a. Qui peut participer à ces opérations conjointes ? 218
- C. Les traitements locaux219
- D. Les autres Fiches de guidance de l'ouvrage en rapport avec le sujet220
- Fiche de guidance n° 30
- Le mécanisme de contrôle de la cohérence221
- A. Introduction221
- B. Avis du CEPD221
- 1. Saisine obligatoire par une autorité de contrôle de données personnelles221
- 2. Saisine facultative222
- 3. Délai de réponse du CEPD et coopération des autorités de contrôle de données personnelles consultées par le CEPD223
- C. Règlement des litiges par le CEPD223
- 1. Les décisions contraignantes du CEPD223
- 2. Délais et majorités224
- D. La décision finale de l'autorité de contrôle de données personnelles225
- E. Procédure d'urgence225
- F. Les autres Fiches de guidance de l'ouvrage en rapport avec le sujet226
- Fiche de guidance n° 31
- Le CEPD (le « Comité européen de la protection des données »)227
- A. Composition du Comité européen de la protection des données (CEPD)227
- B. Indépendance228
- C. Missions du comité228
- D. Rapports231
- E. Procédure231
- F. Président231
- G. Missions du président232
- H. Secrétariat232
- I. Confidentialité233
- J. Les autres Fiches de guidance de l'ouvrage en rapport avec le sujet233
- Fiche de guidance n° 32
- Les voies de recours et les responsabilités235
- A. Le sous-traitant pleinement concerné par les nouvelles règles235
- B. Voies de recours et responsabilité236
- 1. Droit d'introduire une réclamation auprès d'une autorité de contrôle par une personne concernée236
- 2. Droit à un recours juridictionnel effectif contre une autorité de contrôle de toute personne physique ou morale236
- 3. Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant par une personne concernée237
- 4. Représentation des personnes concernées237
- 5. Suspension d'une action238
- C. Droit à réparation et responsabilité238
- D. Difficultés239
- Fiche de guidance n° 33
- Les sanctions et leur caractère dissuasif241
- A. Introduction241
- B. Conditions générales pour imposer des amendes administratives241
- C. Autres sanctions246
- D. Ligne directrices du Groupe de Travail « Article 29 »246
- E. Les autres Fiches de guidance de l'ouvrage en rapport avec le sujet246
- Partie 2
- Les Fiches de guidance thématiques
- Fiche de guidance n° 1
- L'approche basée sur les risques dans le RGPD249
- A. Principe249
- B. Conséquences250
- Fiche de guidance n° 2
- Le big data et le RGPD251
- A. Introduction251
- B. Qu'est-ce que le big data ?252
- 1. Les quatre V252
- 2. Le data storytelling253
- 3. Des utilisations multiples254
- C. Les questions soulevées par le RGPD254
- 1. Présentation du sujet254
- 2. Les difficultés liées à la protection des données personnelles256
- a. Le principe de limitation des finalités (ancien principe de proportionnalité) 257
- b. Le principe de minimisation des données 258
- c. Les principes d'exactitude et de limitation de la conservation 258
- d. Les bases juridiques 258
- e. Profilage 259
- D. Les risques liés au big data (présentation sommaire)260
- E. Les autres Fiches de guidance de l'ouvrage en rapport avec le sujet263
- Fiche de guidance n° 3
- Les objets connectés et le RGPD265
- A. Introduction265
- B. Difficultés du sujet265
- Fiche de guidance n° 4
- ePrivacy 267
- A. Introduction267
- B. Réactions268
- C. Parlement européen269
- D. Prochaines étapes272
- Fiche de guidance n° 5
- Principales différences entre le RGPD et la Directive de 1995275
- A. Introduction275
- B. Comparaison Directive - Règlement : Tableau275
- Fiche de guidance n° 6
- Un Règlement ? Non, une Règlective plutôt !277
- A. Principe277
- B. Tableau277
- C. Conclusion279
- D. Une directive qui ne dit pas son mot ?280
- Fiche de guidance n° 7
- Le RGPD et la Directive NIS283
- A. Introduction283
- B. Renforcer la capacité de résistance de l'UE aux attaques informatiques283
- C. Obligations pour les États membres285
- D. Des impacts importants aussi pour les entreprises286
- E. Groupe de coopération287
- F. Que doivent faire les sociétés afin de satisfaire à la directive NIS ?287
- 1. Comprendre que la sécurité informatique ne doit pas seulement être vue comme un problème IT287
- 2. Une analyse des vulnérabilités/des risques est essentielle287
- 3. Le risque informatique est devenu une problématique des conseils d'administrations288
- 4. Les sociétés vont devoir communiquer plus288
- 5. Les États vont fournir plus d'informations289
- G. Les autres Fiches de guidance de l'ouvrage en rapport avec le sujet289
- Fiche de guidance n° 8
- Transformation digitale291
- A. L'intérêt d'une approche « data centric » réussie291
- B. Comment acquérir de la confiance digitale ?292
- C. Une sécurité optimale vis-à-vis des données personnelles des clients293
- D. Les actions à entreprendre293
- E. Résultat295
- Fiche de guidance n° 9
- Le cloud computing et le RGPD297
- A. Introduction297
- B. Différentes sortes de cloud computing297
- C. Marche à suivre298
- D. Analyse de quelques points en particulier301
- 1. Archivage301
- 2. Cloud301
- a. Responsable de traitement. Qui ? 301
- b. Le respect des principes édictés par le RGPD 301
- E. Attention au « vendor lock-in »304
- F. Les autres Fiches de guidance de l'ouvrage en rapport avec le sujet304
- Fiche de guidance n° 10
- Le « legal assessment »305
- A. Introduction305
- B. Exemples de Legal Assessment305
- C. Les autres Fiches de guidance de l'ouvrage en rapport avec le sujet308
- Fiche de guidance n° 11
- Le RGPD et le (direct) marketing309
- A. Introduction309
- B. Les règles du RGPD en la matière311
- 1. Le consentement311
- 2. La transparence312
- C. Les règles de l'ePrivacy314
- D. Les autres Fiches de guidance de l'ouvrage en rapport avec le sujet315
- Fiche de guidance n° 12
- La blockchain face au RGPD 317
- A. Introduction (sommaire)317
- B. Avantages et inconvénients d'une blockchain318
- C. Le RGPD et les blockchains319
- Fiche de guidance n° 13
- À tenir à l'oeil !325
- A. Le RGPD325
- B. La proposition de Règlement ePrivacy326
- C. Le futur Code des Communications Électroniques326
- D. La mise en oeuvre de la Directive NIS327
- E. La mise en oeuvre progressive de la Directive PSD2327
- F. Le Brexit328
- G. Les nouvelles technologies328
- H. Open data et données à caractère non personnel329
- Liste des Annexes
- Annexe 1 - Bonus 1 : Pourquoi faut-il que les sociétés soient au plus vite conformes au RGPD ? 333
- Annexe 2 - Bonus 2 : Aperçu de mesures à entreprendre pour être conforme au RGPD 335
- Annexe 3 - Glossaire des termes et expressions les plus utilisés dans la matière de la protection des données à caractère personnel 343
- Annexe 4 - Bibliographie (très) sélective 349
-
-
Origine de la notice:
- FR-751131015 ;
- Electre
-
Disponible - 350.8 BEE
Niveau 3 - Droit
