Guide juridique du RGPD : la réglementation sur la protection des données personnelles

Auteur(s) :

Haas, Gérard (1959-....) Découvrir l'auteur

Résumé

Dans un contexte de production intensif de données, la protection des données personnelles est apparue comme une nécessité à l'échelle européenne. Tel est le but de la RGPD. L'auteur analyse ce règlement puis consacre quatre chapitres à ses implications. Il propose des clés pour aider les entreprises à faire de cette réglementation une opportunité au service de l'innovation et de la compétitivité. ©Electre 2022

Éditeur(s)
- Éditions ENI
Date
- C 2022
Notes
- Bibliogr. Webogr.
- Le document comporte des codes QR permettant l'accès à du contenu en ligne
Langues
- Français
Description matérielle
- 1 vol. (254 p.) : ill., couv. ill. en coul. ; 22 cm
Collections
- Collection Datapro
Sujet(s)
ISBN
- 978-2-409-03734-4
Indice
- 350.8 Libertés publiques
Quatrième de couverture
- Guide Juridique du RGPD
  La réglementation sur la protection des données personnelles (3^e édition)
  Comment intégrer les obligations du RCPD dans votre organisation, gérer vos données, concevoir vos parcours utilisateur et sécuriser vos données ? Ce guide vous donne les clés pour vous mettre en conformité et faire de la protection de la vie privée un avantage concurrentiel pour votre activité. En effet, le numérique doit être au service des citoyens ; son développement doit garantir l'identité humaine, les droits de l'homme, la vie privée et les libertés individuelles ou publiques.
  Plus que jamais, c'est le respect d'un équilibre entre accompagnement de la transformation numérique et protection des droits des personnes qui permettra de relever les défis soulevés par la numérisation de notre environnement quotidien.
  Après avoir décrit le contexte de l'adoption de la nouvelle Loi Informatique et libertés et du RGPD et expliqué le concept d'Accountability, l'ouvrage s'intéresse à l'identification des traitements de données à caractère personnel (Chapitre 1) puis à déterminer comment le responsable de traitement doit s'assurer de la licéité des traitements (Chapitre 2), quels sont les outils dont il dispose pour sa « compliance » (Chapitre 3) et pour sécuriser les traitements (Chapitre 4) ainsi que les mesures de cybersécurité (Chapitre 5) à mettre en place en cas de violations des données personnelles.
  Cette troisième édition du guide est à jour de la réglementation sur la protection des données, elle tient compte également des récentes positions doctrinales de la CNIL. Son objectif est d'aider les entreprises à faire de la loi Informatique et libertés, une opportunité, et non une contrainte, au service de l'innovation, de la confiance et de la croissance.
Tables des matières
- - Guide Juridique du RGPD
  - La réglementation sur la protection des données personnelles
  - 3e édition
  - Avant-propos
  - Introduction
  - 1. Introduction7
  - 2. Zoom sur la loi Informatique et Libertés9
  - 3. Zoom sur le RGPD16
  - 3.1 Rappel du contexte du RGPD16
  - 3.2 La nécessité de maîtriser ses données22
  - 4. Applicabilité de la loi Informatique et Libertés24
  - 4.1 Applicabilité matérielle de la loi Informatique et Libertés24
  - 4.2 Qui contrôle le respect de la loi Informatique et Libertés ?25
  - 4.3 Qu'est-ce que je risque si je ne respecte pas la loi Informatique et Libertés ?26
  - 4.3.1 Procédure de sanction27
  - 4.3.2 Typologie des sanctions29
  - 4.3.3 Sanctions pécuniaires30
  - 4.3.4 Sanctions pénales34
  - 4.3.5 Atteinte à l'image37
  - 4.4 Recours37
  - 5. Qu'est-ce que l'Accountability ?38
  - 5.1 Documentation et procédure en matière de sécurité41
  - 5.2 Documentation et procédure en matière de respect des droits des personnes43
  - 5.3 Documentation et procédure en matière de formation et de sensibilisation du personnel43
  - 5.4 Documentation et procédure en matière de conformité des traitements44
  - 5.5 L'Accountability, nouvel indice de détermination des sanctions45
  - Chapitre 1
  - Identifier les traitements
  - 1. Introduction47
  - 2. Comment identifier une donnée personnelle ?48
  - 3. Les cas où la donnée personnelle perd son pouvoir identifiant52
  - 4. Interdiction de traitement de certaines données personnelles54
  - 5. Comment identifier un traitement de données personnelles ?60
  - 6. Les obligations du responsable de traitement de données60
  - 6.1 Qui est le responsable du traitement ?61
  - 6.2 La responsabilité62
  - 6.2.1 La responsabilité du responsable de traitement63
  - 6.2.2 La responsabilité pénale des dirigeants67
  - 6.2.3 Les responsables conjoints de traitement70
  - 7. Le sous-traitant73
  - 8. Le Délégué à la protection des données81
  - Chapitre 2
  - S'assurer de la licéité de vos traitements
  - 1. Introduction83
  - 2. Les étapes clés en amont du traitement84
  - 2.1 Les finalités du traitement85
  - 2.2 La qualité des données (principes de minimisation, d'exactitude et de mise à jour)86
  - 2.3 La définition de la durée de conservation des données89
  - 2.4 Le recensement du traitement dans le registre des activités de traitement92
  - 3. La mise en ouvre du traitement93
  - 3.1 Le principe de transparence93
  - 3.2 L'information des personnes94
  - 3.3 Le consentement des personnes99
  - 3.4 Le respect des droits des personnes107
  - 3.4.1 Les droits maintenus et renforcés107
  - 3.4.2 Les nouveaux droits issus du RGPD116
  - 3.5 Les flux transfrontières126
  - Chapitre 3
  - Les outils de la Compliance
  - 1. Vous avez dit Privacy by design et Privacy by default ?135
  - 1.1 Privacy by design135
  - 1.1.1 La genèse du concept135
  - 1.1.2 L'émergence de la notion136
  - 1.1.3 La consécration du principe136
  - 1.1.4 L'application jurisprudentielle du principe138
  - 1.2 Privacy by default138
  - 2. Comment respecter le principe de Privacy by design ?139
  - 2.1 Tenir un registre des activités de traitement140
  - 2.2 Réaliser une étude d'impact sur la vie privée (PIA)143
  - 2.2.1 Contenu de la PIA145
  - 2.2.2 Description du traitement et de ses finalités148
  - 2.2.3 Évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités148
  - 2.2.4 Description des mesures pour faire face aux risques149
  - 2.2.5 Une évaluation des risques pour les droits et libertés des personnes concernées150
  - 2.2.6 Les résultats de l'EIVP152
  - 2.3 Nommer un délégué à la protection des données (DPO)153
  - 2.3.1 Désignation du DPO153
  - 2.3.2 Fonctions du DPO163
  - 2.3.3 Responsabilité du DPO166
  - 2.3.4 Missions du DPO168
  - 2.4 Adopter des certifications, labels et codes de conduite172
  - 2.4.1 La certification173
  - 2.4.2 Fin des labels CNIL175
  - 2.4.3 Les codes de conduite176
  - Chapitre 4
  - Sécuriser les traitements
  - 1. Introduction179
  - 2. Qui est concerné par l'obligation de sécurité ?181
  - 3. Pourquoi mettre en place des mesures de sécurité ?183
  - 4. Que dois-je faire pour sécuriser mon traitement ?186
  - 4.1 Mener un audit de sécurité complet189
  - 4.2 Mettre en place des mesures techniques190
  - 4.2.1 Sécuriser l'accès physique aux locaux190
  - 4.2.2 Sécuriser les postes de travail192
  - 4.2.3 Sécuriser le réseau local197
  - 4.2.4 Sécuriser les données sauvegardées199
  - 4.2.5 La pseudonymisation200
  - 4.3 Mettre en place des mesures organisationnelles204
  - 4.3.1 Élaborer un référentiel de sécurité complet204
  - 4.3.2 Adopter une logique Privacy by design208
  - 4.3.3 Mener des études d'impact et des tests d'intrusion208
  - 4.3.4 Tenir un registre des failles de sécurité209
  - 4.3.5 Sécuriser la confidentialité et la sécurité des données avec les prestataires et sous-traitants212
  - 4.3.6 Former son personnel au travers d'actions de sensibilisation213
  - 4.3.7 Nommer un RSSI214
  - Chapitre 5
  - Gérer une crise cyber
  - 1. Introduction217
  - 1.1 Qu'est-ce qu'une crise cyber ?217
  - 1.2 Une intensification de la menace cyber219
  - 1.3 Du côté de la CNIL ; recrudescence des contrôles et des sanctions220
  - 2. Prévention du risque cyber et conformité RGPD221
  - 2.1 Mesures organisationnelles et techniques221
  - 2.2 Gouvernance et définition des procédures de gestion de crise222
  - 2.3 Sensibilisation de l'organisation au risque cyber223
  - 2.4 Prévoir le risque cyber dans les contrats224
  - 3. Le pilotage juridique de la crise cyber226
  - 3.1 Appliquer les procédures de gestion de crise définies en amont226
  - 3.2 Qualifier l'incident ; qu'est-ce qu'une violation de données ?227
  - 3.3 Notifier une violation de données : quand et comment ?229
  - 3.4 Documenter l'incident : le registre des violations230
  - 3.5 Les éventuelles procédures supplémentaires de notification231
  - 3.6 Déposer plainte : les infractions pénales applicables232
  - 3.7 Activer sa police d'assurance : connaître les garanties et respecter les délais233
  - 3.8 Organiser sa communication de crise235
  - 4. L'après-crise cyber235
  - 4.1 Analyser la crise235
  - 4.2 Tirer les leçons/capitaliser236
  - 4.3 Mesures de remédiation237
  - Conclusion241
  - Annexes
  - 1. Quiz : Avez-vous le profil compliance ?245
  - 2. Bibliographies, liens utiles248
  - Remerciements253
Origine de la notice:
- Abes ;
- Electre