SlideShare una empresa de Scribd logo

Protection des données personnelles en Russie

Anastasiya Lemysh
Anastasiya Lemysh

Presentation for CCIFR committee (in French)

Empresariales
1 de 28
Descargar para leer sin conexión
La protection des données personnelles en Russie Anastasiya Lemysh Avocat à la Cour CMS, Russie 9 octobre 2012
Les sujets clés 1. Les fondements juridiques du traitement des données personnelles 2. La notion de « données personnelles » 3. Les données personnelles sensibles 4. Les formes, les principes et la durée du traitement des données personnelles 5. Le transfert transfrontière des données personnelles 6. Le consentement pour le traitement des données personnelles 7. Les obligations à accomplir dans le domaine du traitement des données personnelles 8. La notification sur le traitement des données personnelles 9. La pratique de Roscomnadzor. Sanctions Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 2
Les fondements juridiques du traitement des données personnelles 1/2 – au plan international • Lignes directrices de l'OCDE sur la protection de la vie privée et les flux transfrontières de données de caractère personnel (1980) • Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel (1981) • Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données • Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (Directive vie privée et communications électroniques) Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012
Les fondements juridiques du traitement des données personnelles 2/2 – législation russe • Constitution de la Fédération de Russie • La loi fédérale du 27.07.2006 No.152-FZ «Sur les données personnelles» (rédaction du 25.07.2011) • Le code du travail de la Fédération de Russie du 30.12.2001 • Le code de la Fédération de Russie des infractions administratives du 30.12.2001 • La loi fédérale du 27.07.2006 No 149 – FZ «Sur l’information, les technologies informatiques et la protection de l’information» • Les décrets du Gouvernement de la Fédération de Russie • Les ordres de Minsvyaz, Roscomnadzor et FSTEC Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012
La notion de « données personnelles » Les données personnelles (DPs) – toute information qui concerne directement ou indirectement une personne physique identifiée ou identifiable («personne concernée») (art. 3 de la Loi sur les DPs) Texte, information graphique, Peut être identifiée par des moyens biométrique, photographique, raisonnablement accessibles acoustique, digitale … concernant Toute information Personne physique identifiée ou identifiable Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012
Les données personnelles sensibles Les données sensibles Origine raciale et Convictions ethnique religieuses ou philosophiques Santé Opinions Vie sexuelle politiques Le traitement de ces données n’est autorisé que dans les cas expressément prévus par la loi Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012
Les formes, les principes et la durée de traitement des données personnelles 1/4 Traitement des DPs Toute opération ou ensemble d’opérations Effectuée à l'aide de Effectuée sans procédés automatisés procédés automatisés Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012
Les formes, les principes et la durée du traitement des données personnelles 2/4 systéma- collecte enregistrement accumulation stockage tisation destruction extraction Traitement blocage des DPs utilisation précision déperson élimination transfert nalisation mise à mise à jour modification distribution accès disposition Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012
Les formes, les principes et la durée du traitement des données personnelles 3/4 1. Le traitement des DPs doit être effectué conformément aux principes légaux et d’équité 2. La forme et les moyens de traitement des DPs doivent correspondre aux buts pour lesquels ce traitement est réalisé 3. Seules les DPs qui correspondent aux finalités recherchées peuvent être traitées 4. La mise à jour et l’exactitude des DPs doivent être assurées dans le cadre du traitement des DPs 5. La durée de traitement des DPs doit correspondre aux buts pour lesquels ce traitement est réalisé Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012
Les formes, les principes et la durée du traitement des données personnelles 4/4 Finalité du traitement des DPs Durée de traitement des DPs Loi Contrat Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012
Le transfert transfrontière des DPs 1/3 Le transfert transfrontière des DPs pays étranger personne personne physique étrangère morale étrangère organe étatique d’un pays étranger Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 11
Le transfert transfrontière des DPs 2/3: les pays qui assurent la protection suffisante des DPs Les pays reconnus ‘adéquats’ Les pays inclus dans la liste Les signataires de la approuvée par Roscomnadzor Convention de Strasbourg 1981 (liste approuvée (44 pays) le 02.10.2012 ) Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 12
Le transfert transfrontière des DPs 3/3 La forme de consentement à obtenir d’une personne physique dépend du pays où les DPs sont transférées Pays Forme de consentement Signataire de la Convention de Strasbourg de 1981 Simple (Convention du Conseil de l’Europe) Non signataire de la Convention de Strasbourg mais Simple qui assure une protection suffisante des DPs et est inclus dans la liste approuvée par Roscomnadzor des pays reconnus comme ‘adéquat’ Autre pays Forme écrite, certifiée par la signature authentique ou électronique Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 13
Consentement pour le traitement des données personnelles 1/5 Traitement des DPs Avec consentement de Sans consentement de la personne concernée la personne concernée Forme du consentement Seulement dans les forme écrite Toute forme, permettant cas prévus par la loi (DPs sensibles, de confirmer l’obtention DPs biométriques, du consentement flux transfrontières des DPs dans les états non fiables) Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 14
Consentement pour le traitement des données personnelles 2/5 Le consentement de la personne concernée n’est pas obligatoire:  Dans le cadre d’une action en justice;  Lors de la conclusion et/ou de l’exécution d’un contrat dont la personne concernée est partie, bénéficiaire, garant;  En matière de protection de la vie, de la santé ou d’autres intérêts d’une importance vitale, s’il n’est pas possible d’obtenir le consentement de la personne concernée;  Dans le cadre d’études statistiques ou autres (sous condition de dépersonnalisation obligatoire des DPs);  Dans l’hypothèse ou l’accès aux DPs est accordé pas la personne concernée (traitement des DPs publiques);  Dans les autres cas, expressément prévus pas la Loi sur les données personnelles. Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 15
Consentement pour le traitement des données personnelles 3/5 : forme écrite (qualifiée) 1. Nom, prénom, adresse de la personne concernée (ou de son représentant) ainsi que les détails de son passeport; 2. Nom et adresse de la personne responsable du traitement des DPs; 3. Nom et adresse de la personne traitant les DPs à la demande du responsable; 4. Les finalités du traitement des DPs; 5. La liste des DPs qui seront traitées; 6. Les formes de traitement des DPs et les méthodes de traitement; 7. La durée pour laquelle le consentement est octroyé et la procédure de retrait de ce consentement; 8. La signature de la personne concernée (authentique ou électronique). Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 16
Consentement pour le traitement des données personnelles 4/5: consentement à distance (Internet) Les exemples d’usage: o «coche» sous le texte du consentement pour le traitement des DPs o bouton «lu et approuvé» sous le texte du consentement etc. Les cas d’usage: o obtention d’un consentement ‘simple’ (dans l’hypothèse où il n’est pas nécessaire d’obtenir un consentement écrit ‘qualifié’) Les conditions d’usage:  Les caractéristiques techniques du site Internet utilisé pour obtenir le consentement permettent d’identifier la personne concernée (enregistrement sur le site, envoie d’un e-mail de confirmation etc.).  Les technologies utilisées (serveur) permettent de fixer et de confirmer que le consentement a été octroyé (liaison sur IP-adresse, logging dans l’espace personnelle etc.). Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 17
Consentement pour le traitement des données personnelles 5/5: consentement à distance (téléphone) Les examples d’usage: o le consentement orale pour le traitement des DPs, octroyé dans le cadre d’une conversation avec un opérateur de call-center o un avertissement d’un operateur sur un éventuel enregistrement de la conversation téléphonique Les cas d’usage : o obtention d’un consentement ‘simple’ Les conditions d’usage:  La connexion téléphonique et la conversation permet identifier la personne concernée  Les technologies utilisées permettent fixer et confirmer le fait que le consentement a été octroyé (e.g. l’enregistrement de la conversation). Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 18
Les obligations à accomplir dans le domaine du traitement des DPs  Nomination au sein de la société d’une personne responsable de l’organisation du traitement des DPs;  Développement d’une politique et des actes normatifs locaux sur le traitement et la protection des DPs;  Mise en œuvre des mesures juridiques, organisationnelles et techniques pour la protection des DPs;  Contrôles internes et (ou) audits externes du traitement des DPs;  Evaluation des dommages susceptibles d’être apportés aux personnes concernées en cas de violation des règles de traitement des DPs;  Information des employés;  Autres obligations. Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 19
Notification sur le traitement des DPs Forme de notification Sous forme papier Sous forme électronique 255 426 sociétés de traitement Roscomnadzor enregistrées 30 jours Date ultime de Introduction dans le registre des informations: dépôt de la notification 1) mentionnées dans la notification 01.01.2013 2) sur la date de la notification Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 20
La pratique de Roscomnadzor 1/3 : fondements juridiques des contrôles Responsables du Responsables du traitement des DPs , traitement des DPs , enregistrés non inclus dans le registre CONTROLES Réguliers Hors plan • expiration du terme d’exécution d’une prescription, • plaintes des personnes concernées, Le plan annuel • ordre du responsable de Roscomnadzor, • violation des droits et intérêts des citoyens par le responsable du traitement des DPs Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 21
La pratique de Roscomnadzor 2/3 : les contrôles Sont vérifiés dans le cadre d’un contrôle: 1. La notification sur le traitement des DPs; 2. Les documents liés à des infractions ayant fait l’objet de plaintes par personnes concernées; 3. Les documents qui prouvent que les infractions on été éliminées; 4. Les consentements écrits des personnes concernées; 5. Les documents prouvant la conformité aux normes établies par la loi du traitement des DPs sensibles; 6. Les documents prouvant la destruction des DPs dès que les finalités pour lesquelles elles ont été traitées sont atteintes; 7. Les règlements locaux établissant la procédure de traitement des DPS. Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 22
La pratique de Roscomnadzor 3/3: les chiffres L’activité de contrôle de Roscomnadzor 746 contrôles (dont 446 contrôles planifiés et 300 contrôles hors plan) ont été effectués durant les 6 premiers mois de 2012. 721 infractions dans le domaine du traitement des DPs identifiées. Les sanctions:  762 prescriptions ont été émises;  2897 protocoles sur les infractions ont été dressés;  2392 décisions rendues par les tribunaux (dont 2376 maintenues en vigueur) Au titre de ces infractions: des amendes d’un montant 4,3 mln RUB ont été infligées sur lesquelles 1,9 mln. RUB a déjà été perçu Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 23
Sanctions 1/3: la législation actuelle Code des infractions administratives (CoAP): • Article 13.11 – Violation de la procédure prévue par la loi pour la collecte, stockage, usage ou distribution des informations sur les citoyens (les données personnelles) Sanction:  avertissement  amende: personnes physiques: de 300 à 500 RUB; responsables au sein d’une personne morale: de 500 à 1000 RUB; personne morales: de 5 000 à 10 000 RUB. NB: Le paiement d’une amende ne dispense de l’obligation d’éliminer les infractions commises en conformité des prescriptions de Roscomnadzor Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 24
Sanctions 2/3: le projet de modifications du CoAP La classification des infractions et des sanctions proposées:  non-exécution des obligations sur la protection des données personnelles: pour les personnes morales - amende de 20 000 à 30 000 RUB;  traitement des données personnelles sans le consentement de la personne concernée: pour les personnes physiques – amende de 30 000 à 50 000 RUB, et dans certains cas une amende équivalente à 1,5-2% des revenus, avec un minimum de 400 000 à 700 000 RUB (en fonction des circonstances de l’infraction),  traitement illégal des donnés personnelles sensibles: pour les personnes morales - amende équivalente à 1,5-2% des revenus, avec un minimum de 400 000 à 700 000 RUB (en fonction des circonstances de l’infraction),  violation des conditions pour le transfert transfrontière des données personnelles: pour les personnes morales - amende de 20 000 à 30 000 RUB, et dans certains cas, une amende équivalente à 1,5-2 des revenus, avec un minimum de 500 000 à 700 000 RUB (en fonction des circonstances de l’infraction). Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 25
Sanctions 3/3: les défauts du projet de CoAP o Les sanctions prévues pour la commission de l’infraction et non pour le dommage subit (à la différence de la législation européenne); o Aucun moyen de procédure pour le règlement des différends directement entre la personne en charge du traitement des DPs et la personne concernée (y compris la réparation des dommages); o Disproportion entre les consequences de l’infraction et l’importance de la sanction; o Description insuffisante des caractéristiques des infractions. Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 26
A faire dans un premier temps  développer la politique de traitement des DPs et la mettre en ligne;  développer la documentation interne sur le traitement des DPs;  nommer une personne responsable pour le traitement des DPs;  déterminer la liste des personnes ayant accès aux DPs;  notifier Roscomnadzor (avant le 01.01.2013);  introduire des dispositions sur le traitement des DPs dans les contrats avec les partenaires;  formaliser les relations avec les sous-traitants dans le domaine du traitement des DPs. Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 27
Merci pour votre attention! Anastasiya Lemysh Avocat à la Cour CMS, Russie T: +7 495 786 3076 E: Anastasiya.Lemysh@cmslegal.ru CMS, Russie 11, bvd. Gogolevsky 119019 Moscou Т +7 495 786 4000 F +7 495 786 4001 www.cmslegal.ru Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 28

Recomendados

Protection des données personnelles au CNRS
Protection des données personnelles au CNRSProtection des données personnelles au CNRS
Protection des données personnelles au CNRScilcnrs
 
Strategies of implementation of 242-FZ
Strategies of implementation of 242-FZStrategies of implementation of 242-FZ
Strategies of implementation of 242-FZAnton Kasimov
 
Loi C-28: Comment effectuer votre démarche de conformité en vue de l'entrée e...
Loi C-28: Comment effectuer votre démarche de conformité en vue de l'entrée e...Loi C-28: Comment effectuer votre démarche de conformité en vue de l'entrée e...
Loi C-28: Comment effectuer votre démarche de conformité en vue de l'entrée e...AQT-presentations
 
Cookies U.E./España/Reino Unido
Cookies U.E./España/Reino UnidoCookies U.E./España/Reino Unido
Cookies U.E./España/Reino Unidomarcgallardo
 
Comment reussir ses envois de courriels en 2014 avec la loi C-28
Comment reussir ses envois de courriels en 2014 avec la loi C-28Comment reussir ses envois de courriels en 2014 avec la loi C-28
Comment reussir ses envois de courriels en 2014 avec la loi C-28Adviso Stratégie Internet
 
Décider plus efficacement
Décider plus efficacementDécider plus efficacement
Décider plus efficacementChristophe Keromen
 
Webinar Bizagi BPM - Etude de cas client
Webinar Bizagi BPM - Etude de cas clientWebinar Bizagi BPM - Etude de cas client
Webinar Bizagi BPM - Etude de cas clientBizagi
 
L'éclairement des différentes lampes
L'éclairement des différentes lampesL'éclairement des différentes lampes
L'éclairement des différentes lampessection-scientifique
 

Recomendados

Protection des données personnelles au CNRS
Protection des données personnelles au CNRSProtection des données personnelles au CNRS
Protection des données personnelles au CNRScilcnrs
 
Strategies of implementation of 242-FZ
Strategies of implementation of 242-FZStrategies of implementation of 242-FZ
Strategies of implementation of 242-FZAnton Kasimov
 
Loi C-28: Comment effectuer votre démarche de conformité en vue de l'entrée e...
Loi C-28: Comment effectuer votre démarche de conformité en vue de l'entrée e...Loi C-28: Comment effectuer votre démarche de conformité en vue de l'entrée e...
Loi C-28: Comment effectuer votre démarche de conformité en vue de l'entrée e...AQT-presentations
 
Cookies U.E./España/Reino Unido
Cookies U.E./España/Reino UnidoCookies U.E./España/Reino Unido
Cookies U.E./España/Reino Unidomarcgallardo
 
Comment reussir ses envois de courriels en 2014 avec la loi C-28
Comment reussir ses envois de courriels en 2014 avec la loi C-28Comment reussir ses envois de courriels en 2014 avec la loi C-28
Comment reussir ses envois de courriels en 2014 avec la loi C-28Adviso Stratégie Internet
 
Décider plus efficacement
Décider plus efficacementDécider plus efficacement
Décider plus efficacementChristophe Keromen
 
Webinar Bizagi BPM - Etude de cas client
Webinar Bizagi BPM - Etude de cas clientWebinar Bizagi BPM - Etude de cas client
Webinar Bizagi BPM - Etude de cas clientBizagi
 
L'éclairement des différentes lampes
L'éclairement des différentes lampesL'éclairement des différentes lampes
L'éclairement des différentes lampessection-scientifique
 
Eduquer au numérique pour faire face aux dangers d’Internet
Eduquer au numérique pour faire face aux dangers d’InternetEduquer au numérique pour faire face aux dangers d’Internet
Eduquer au numérique pour faire face aux dangers d’InternetStéphane Bazan
 
De la protection des données personnelles à la sécurisation des données conne...
De la protection des données personnelles à la sécurisation des données conne...De la protection des données personnelles à la sécurisation des données conne...
De la protection des données personnelles à la sécurisation des données conne...Michel Jaccard
 
Presentation pour les développeurs informatiques
Presentation pour les développeurs informatiquesPresentation pour les développeurs informatiques
Presentation pour les développeurs informatiquesMarc Guichard
 
V2 unetel typologie et enjeux de la cybercriminalite_août 14
V2 unetel typologie et enjeux de la cybercriminalite_août 14V2 unetel typologie et enjeux de la cybercriminalite_août 14
V2 unetel typologie et enjeux de la cybercriminalite_août 14silvere cauffi assoua
 
Marketing digital et données personnelles
Marketing digital et données personnellesMarketing digital et données personnelles
Marketing digital et données personnellesProf. Jacques Folon (Ph.D)
 
Economie numérique: les nouveaux enjeux de la régulation des données personne...
Economie numérique: les nouveaux enjeux de la régulation des données personne...Economie numérique: les nouveaux enjeux de la régulation des données personne...
Economie numérique: les nouveaux enjeux de la régulation des données personne...Henri ISAAC
 
Hs
HsHs
Hssection-scientifique
 
Les animaux de notre paludarium
Les animaux de notre paludariumLes animaux de notre paludarium
Les animaux de notre paludariumsection-scientifique
 
protection_des_donnees_personnelles_vf
protection_des_donnees_personnelles_vfprotection_des_donnees_personnelles_vf
protection_des_donnees_personnelles_vfJean-Charles Croiger
 
Open Data, protection des données personnelles et de la vie privée
Open Data, protection des données personnelles et de la vie privéeOpen Data, protection des données personnelles et de la vie privée
Open Data, protection des données personnelles et de la vie privéeFlorence Bonnet
 
Présentation GDPR - Business & Decision
Présentation GDPR - Business & DecisionPrésentation GDPR - Business & Decision
Présentation GDPR - Business & DecisionBusiness & Decision
 
Plan d'action GDPR Luxembourg Ageris Halian
Plan d'action GDPR Luxembourg Ageris HalianPlan d'action GDPR Luxembourg Ageris Halian
Plan d'action GDPR Luxembourg Ageris HalianDenis VIROLE
 
Business & Decision - Atteignez le ROI2 sur vos projets Data - Congrès Big Da...
Business & Decision - Atteignez le ROI2 sur vos projets Data - Congrès Big Da...Business & Decision - Atteignez le ROI2 sur vos projets Data - Congrès Big Da...
Business & Decision - Atteignez le ROI2 sur vos projets Data - Congrès Big Da...Business & Decision
 
Consentement
ConsentementConsentement
ConsentementYacine Hajjar
 
Les impacts du nouveau règlement européen GDPR
Les impacts du nouveau règlement européen GDPRLes impacts du nouveau règlement européen GDPR
Les impacts du nouveau règlement européen GDPRArismore
 
Opinion way le figaro_vie_numerique_et_donnee_personnelles
Opinion way le figaro_vie_numerique_et_donnee_personnellesOpinion way le figaro_vie_numerique_et_donnee_personnelles
Opinion way le figaro_vie_numerique_et_donnee_personnellescontactOpinionWay
 
Data Management - PramaTALK
Data Management - PramaTALKData Management - PramaTALK
Data Management - PramaTALKPramana
 
protection des données
protection des donnéesprotection des données
protection des donnéesSabriElBeya
 
[Infographie] Le RGPD - en bref
[Infographie] Le RGPD - en bref[Infographie] Le RGPD - en bref
[Infographie] Le RGPD - en brefThinkmarket
 
Atelier RGPD ANDRH 27.03.18
Atelier RGPD ANDRH 27.03.18Atelier RGPD ANDRH 27.03.18
Atelier RGPD ANDRH 27.03.18Andrea MARTELLETTI
 
Afcpd eivp et maturite d'org 1
Afcpd eivp et maturite d'org 1Afcpd eivp et maturite d'org 1
Afcpd eivp et maturite d'org 1Denis VIROLE
 
RGPD : comment la virtualisation des données vous garantit conformité, gouver...
RGPD : comment la virtualisation des données vous garantit conformité, gouver...RGPD : comment la virtualisation des données vous garantit conformité, gouver...
RGPD : comment la virtualisation des données vous garantit conformité, gouver...Denodo
 

Más contenido relacionado

Destacado

Eduquer au numérique pour faire face aux dangers d’Internet
Eduquer au numérique pour faire face aux dangers d’InternetEduquer au numérique pour faire face aux dangers d’Internet
Eduquer au numérique pour faire face aux dangers d’InternetStéphane Bazan
 
De la protection des données personnelles à la sécurisation des données conne...
De la protection des données personnelles à la sécurisation des données conne...De la protection des données personnelles à la sécurisation des données conne...
De la protection des données personnelles à la sécurisation des données conne...Michel Jaccard
 
Presentation pour les développeurs informatiques
Presentation pour les développeurs informatiquesPresentation pour les développeurs informatiques
Presentation pour les développeurs informatiquesMarc Guichard
 
V2 unetel typologie et enjeux de la cybercriminalite_août 14
V2 unetel typologie et enjeux de la cybercriminalite_août 14V2 unetel typologie et enjeux de la cybercriminalite_août 14
V2 unetel typologie et enjeux de la cybercriminalite_août 14silvere cauffi assoua
 
Economie numérique: les nouveaux enjeux de la régulation des données personne...
Economie numérique: les nouveaux enjeux de la régulation des données personne...Economie numérique: les nouveaux enjeux de la régulation des données personne...
Economie numérique: les nouveaux enjeux de la régulation des données personne...Henri ISAAC
 
protection_des_donnees_personnelles_vf
protection_des_donnees_personnelles_vfprotection_des_donnees_personnelles_vf
protection_des_donnees_personnelles_vfJean-Charles Croiger
 
Open Data, protection des données personnelles et de la vie privée
Open Data, protection des données personnelles et de la vie privéeOpen Data, protection des données personnelles et de la vie privée
Open Data, protection des données personnelles et de la vie privéeFlorence Bonnet
 
Présentation GDPR - Business & Decision
Présentation GDPR - Business & DecisionPrésentation GDPR - Business & Decision
Présentation GDPR - Business & DecisionBusiness & Decision
 
Plan d'action GDPR Luxembourg Ageris Halian
Plan d'action GDPR Luxembourg Ageris HalianPlan d'action GDPR Luxembourg Ageris Halian
Plan d'action GDPR Luxembourg Ageris HalianDenis VIROLE
 
Business & Decision - Atteignez le ROI2 sur vos projets Data - Congrès Big Da...
Business & Decision - Atteignez le ROI2 sur vos projets Data - Congrès Big Da...Business & Decision - Atteignez le ROI2 sur vos projets Data - Congrès Big Da...
Business & Decision - Atteignez le ROI2 sur vos projets Data - Congrès Big Da...Business & Decision
 
Les impacts du nouveau règlement européen GDPR
Les impacts du nouveau règlement européen GDPRLes impacts du nouveau règlement européen GDPR
Les impacts du nouveau règlement européen GDPRArismore
 
Opinion way le figaro_vie_numerique_et_donnee_personnelles
Opinion way le figaro_vie_numerique_et_donnee_personnellesOpinion way le figaro_vie_numerique_et_donnee_personnelles
Opinion way le figaro_vie_numerique_et_donnee_personnellescontactOpinionWay
 

Destacado (16)

Eduquer au numérique pour faire face aux dangers d’Internet
Eduquer au numérique pour faire face aux dangers d’InternetEduquer au numérique pour faire face aux dangers d’Internet
Eduquer au numérique pour faire face aux dangers d’Internet
 
De la protection des données personnelles à la sécurisation des données conne...
De la protection des données personnelles à la sécurisation des données conne...De la protection des données personnelles à la sécurisation des données conne...
De la protection des données personnelles à la sécurisation des données conne...
 
Presentation pour les développeurs informatiques
Presentation pour les développeurs informatiquesPresentation pour les développeurs informatiques
Presentation pour les développeurs informatiques
 
V2 unetel typologie et enjeux de la cybercriminalite_août 14
V2 unetel typologie et enjeux de la cybercriminalite_août 14V2 unetel typologie et enjeux de la cybercriminalite_août 14
V2 unetel typologie et enjeux de la cybercriminalite_août 14
 
Marketing digital et données personnelles
Marketing digital et données personnellesMarketing digital et données personnelles
Marketing digital et données personnelles
 
Economie numérique: les nouveaux enjeux de la régulation des données personne...
Economie numérique: les nouveaux enjeux de la régulation des données personne...Economie numérique: les nouveaux enjeux de la régulation des données personne...
Economie numérique: les nouveaux enjeux de la régulation des données personne...
 
Hs
HsHs
Hs
 
Les animaux de notre paludarium
Les animaux de notre paludariumLes animaux de notre paludarium
Les animaux de notre paludarium
 
protection_des_donnees_personnelles_vf
protection_des_donnees_personnelles_vfprotection_des_donnees_personnelles_vf
protection_des_donnees_personnelles_vf
 
Open Data, protection des données personnelles et de la vie privée
Open Data, protection des données personnelles et de la vie privéeOpen Data, protection des données personnelles et de la vie privée
Open Data, protection des données personnelles et de la vie privée
 
Présentation GDPR - Business & Decision
Présentation GDPR - Business & DecisionPrésentation GDPR - Business & Decision
Présentation GDPR - Business & Decision
 
Plan d'action GDPR Luxembourg Ageris Halian
Plan d'action GDPR Luxembourg Ageris HalianPlan d'action GDPR Luxembourg Ageris Halian
Plan d'action GDPR Luxembourg Ageris Halian
 
Business & Decision - Atteignez le ROI2 sur vos projets Data - Congrès Big Da...
Business & Decision - Atteignez le ROI2 sur vos projets Data - Congrès Big Da...Business & Decision - Atteignez le ROI2 sur vos projets Data - Congrès Big Da...
Business & Decision - Atteignez le ROI2 sur vos projets Data - Congrès Big Da...
 
Consentement
ConsentementConsentement
Consentement
 
Les impacts du nouveau règlement européen GDPR
Les impacts du nouveau règlement européen GDPRLes impacts du nouveau règlement européen GDPR
Les impacts du nouveau règlement européen GDPR
 
Opinion way le figaro_vie_numerique_et_donnee_personnelles
Opinion way le figaro_vie_numerique_et_donnee_personnellesOpinion way le figaro_vie_numerique_et_donnee_personnelles
Opinion way le figaro_vie_numerique_et_donnee_personnelles
 

Similar a Protection des données personnelles en Russie

Data Management - PramaTALK
Data Management - PramaTALKData Management - PramaTALK
Data Management - PramaTALKPramana
 
protection des données
protection des donnéesprotection des données
protection des donnéesSabriElBeya
 
[Infographie] Le RGPD - en bref
[Infographie] Le RGPD - en bref[Infographie] Le RGPD - en bref
[Infographie] Le RGPD - en brefThinkmarket
 
Afcpd eivp et maturite d'org 1
Afcpd eivp et maturite d'org 1Afcpd eivp et maturite d'org 1
Afcpd eivp et maturite d'org 1Denis VIROLE
 
RGPD : comment la virtualisation des données vous garantit conformité, gouver...
RGPD : comment la virtualisation des données vous garantit conformité, gouver...RGPD : comment la virtualisation des données vous garantit conformité, gouver...
RGPD : comment la virtualisation des données vous garantit conformité, gouver...Denodo
 
Cybersécurité & protection des données personnelles
Cybersécurité & protection des données personnellesCybersécurité & protection des données personnelles
Cybersécurité & protection des données personnellesMohamed MDELLA
 
RGPD en pratique : notions clefs et bons réflexes
RGPD en pratique : notions clefs et bons réflexesRGPD en pratique : notions clefs et bons réflexes
RGPD en pratique : notions clefs et bons réflexesCap'Com
 
Règlement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UERèglement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UEPECB
 
20171221-5 jni-rgpd
20171221-5 jni-rgpd20171221-5 jni-rgpd
20171221-5 jni-rgpdASIP Santé
 
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper Guillaume Valcin
 
Rh et data DANS LE MONDE APRÈS LE CONFINEMENT
Rh et data DANS LE MONDE APRÈS LE CONFINEMENTRh et data DANS LE MONDE APRÈS LE CONFINEMENT
Rh et data DANS LE MONDE APRÈS LE CONFINEMENTProf. Jacques Folon (Ph.D)
 
Keynote 5th Swiss Data Protection day, 2012
Keynote 5th Swiss Data Protection day, 2012Keynote 5th Swiss Data Protection day, 2012
Keynote 5th Swiss Data Protection day, 2012University of Geneva
 
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptxearlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptxLexing - Belgium
 
Conférence "l'utilisation des données dans un projet d'IA : le défi juridi...
Conférence "l'utilisation des données dans un projet d'IA : le défi juridi...Conférence "l'utilisation des données dans un projet d'IA : le défi juridi...
Conférence "l'utilisation des données dans un projet d'IA : le défi juridi...Halszka de Breza
 
RGPD: comment la virtualisation des données vous garantit conformité, gouvern...
RGPD: comment la virtualisation des données vous garantit conformité, gouvern...RGPD: comment la virtualisation des données vous garantit conformité, gouvern...
RGPD: comment la virtualisation des données vous garantit conformité, gouvern...Denodo
 
Competitic gestion des données personnelles et obligations - numerique en e...
Competitic gestion des données personnelles et obligations - numerique en e...Competitic gestion des données personnelles et obligations - numerique en e...
Competitic gestion des données personnelles et obligations - numerique en e...COMPETITIC
 
Présentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnellesPrésentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnellesMarseille Innovation
 

Similar a Protection des données personnelles en Russie (20)

Data Management - PramaTALK
Data Management - PramaTALKData Management - PramaTALK
Data Management - PramaTALK
 
protection des données
protection des donnéesprotection des données
protection des données
 
[Infographie] Le RGPD - en bref
[Infographie] Le RGPD - en bref[Infographie] Le RGPD - en bref
[Infographie] Le RGPD - en bref
 
Atelier RGPD ANDRH 27.03.18
Atelier RGPD ANDRH 27.03.18Atelier RGPD ANDRH 27.03.18
Atelier RGPD ANDRH 27.03.18
 
Afcpd eivp et maturite d'org 1
Afcpd eivp et maturite d'org 1Afcpd eivp et maturite d'org 1
Afcpd eivp et maturite d'org 1
 
RGPD : comment la virtualisation des données vous garantit conformité, gouver...
RGPD : comment la virtualisation des données vous garantit conformité, gouver...RGPD : comment la virtualisation des données vous garantit conformité, gouver...
RGPD : comment la virtualisation des données vous garantit conformité, gouver...
 
Cybersécurité & protection des données personnelles
Cybersécurité & protection des données personnellesCybersécurité & protection des données personnelles
Cybersécurité & protection des données personnelles
 
RGPD en pratique : notions clefs et bons réflexes
RGPD en pratique : notions clefs et bons réflexesRGPD en pratique : notions clefs et bons réflexes
RGPD en pratique : notions clefs et bons réflexes
 
Règlement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UERèglement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UE
 
20171221-5 jni-rgpd
20171221-5 jni-rgpd20171221-5 jni-rgpd
20171221-5 jni-rgpd
 
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
 
ISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPDISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPD
 
ISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPDISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPD
 
Rh et data DANS LE MONDE APRÈS LE CONFINEMENT
Rh et data DANS LE MONDE APRÈS LE CONFINEMENTRh et data DANS LE MONDE APRÈS LE CONFINEMENT
Rh et data DANS LE MONDE APRÈS LE CONFINEMENT
 
Keynote 5th Swiss Data Protection day, 2012
Keynote 5th Swiss Data Protection day, 2012Keynote 5th Swiss Data Protection day, 2012
Keynote 5th Swiss Data Protection day, 2012
 
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptxearlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
 
Conférence "l'utilisation des données dans un projet d'IA : le défi juridi...
Conférence "l'utilisation des données dans un projet d'IA : le défi juridi...Conférence "l'utilisation des données dans un projet d'IA : le défi juridi...
Conférence "l'utilisation des données dans un projet d'IA : le défi juridi...
 
RGPD: comment la virtualisation des données vous garantit conformité, gouvern...
RGPD: comment la virtualisation des données vous garantit conformité, gouvern...RGPD: comment la virtualisation des données vous garantit conformité, gouvern...
RGPD: comment la virtualisation des données vous garantit conformité, gouvern...
 
Competitic gestion des données personnelles et obligations - numerique en e...
Competitic gestion des données personnelles et obligations - numerique en e...Competitic gestion des données personnelles et obligations - numerique en e...
Competitic gestion des données personnelles et obligations - numerique en e...
 
Présentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnellesPrésentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnelles
 

Protection des données personnelles en Russie

  • 1. La protection des données personnelles en Russie Anastasiya Lemysh Avocat à la Cour CMS, Russie 9 octobre 2012
  • 2. Les sujets clés 1. Les fondements juridiques du traitement des données personnelles 2. La notion de « données personnelles » 3. Les données personnelles sensibles 4. Les formes, les principes et la durée du traitement des données personnelles 5. Le transfert transfrontière des données personnelles 6. Le consentement pour le traitement des données personnelles 7. Les obligations à accomplir dans le domaine du traitement des données personnelles 8. La notification sur le traitement des données personnelles 9. La pratique de Roscomnadzor. Sanctions Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 2
  • 3. Les fondements juridiques du traitement des données personnelles 1/2 – au plan international • Lignes directrices de l'OCDE sur la protection de la vie privée et les flux transfrontières de données de caractère personnel (1980) • Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel (1981) • Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données • Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (Directive vie privée et communications électroniques) Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012
  • 4. Les fondements juridiques du traitement des données personnelles 2/2 – législation russe • Constitution de la Fédération de Russie • La loi fédérale du 27.07.2006 No.152-FZ «Sur les données personnelles» (rédaction du 25.07.2011) • Le code du travail de la Fédération de Russie du 30.12.2001 • Le code de la Fédération de Russie des infractions administratives du 30.12.2001 • La loi fédérale du 27.07.2006 No 149 – FZ «Sur l’information, les technologies informatiques et la protection de l’information» • Les décrets du Gouvernement de la Fédération de Russie • Les ordres de Minsvyaz, Roscomnadzor et FSTEC Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012
  • 5. La notion de « données personnelles » Les données personnelles (DPs) – toute information qui concerne directement ou indirectement une personne physique identifiée ou identifiable («personne concernée») (art. 3 de la Loi sur les DPs) Texte, information graphique, Peut être identifiée par des moyens biométrique, photographique, raisonnablement accessibles acoustique, digitale … concernant Toute information Personne physique identifiée ou identifiable Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012
  • 6. Les données personnelles sensibles Les données sensibles Origine raciale et Convictions ethnique religieuses ou philosophiques Santé Opinions Vie sexuelle politiques Le traitement de ces données n’est autorisé que dans les cas expressément prévus par la loi Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012
  • 7. Les formes, les principes et la durée de traitement des données personnelles 1/4 Traitement des DPs Toute opération ou ensemble d’opérations Effectuée à l'aide de Effectuée sans procédés automatisés procédés automatisés Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012
  • 8. Les formes, les principes et la durée du traitement des données personnelles 2/4 systéma- collecte enregistrement accumulation stockage tisation destruction extraction Traitement blocage des DPs utilisation précision déperson élimination transfert nalisation mise à mise à jour modification distribution accès disposition Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012
  • 9. Les formes, les principes et la durée du traitement des données personnelles 3/4 1. Le traitement des DPs doit être effectué conformément aux principes légaux et d’équité 2. La forme et les moyens de traitement des DPs doivent correspondre aux buts pour lesquels ce traitement est réalisé 3. Seules les DPs qui correspondent aux finalités recherchées peuvent être traitées 4. La mise à jour et l’exactitude des DPs doivent être assurées dans le cadre du traitement des DPs 5. La durée de traitement des DPs doit correspondre aux buts pour lesquels ce traitement est réalisé Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012
  • 10. Les formes, les principes et la durée du traitement des données personnelles 4/4 Finalité du traitement des DPs Durée de traitement des DPs Loi Contrat Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012
  • 11. Le transfert transfrontière des DPs 1/3 Le transfert transfrontière des DPs pays étranger personne personne physique étrangère morale étrangère organe étatique d’un pays étranger Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 11
  • 12. Le transfert transfrontière des DPs 2/3: les pays qui assurent la protection suffisante des DPs Les pays reconnus ‘adéquats’ Les pays inclus dans la liste Les signataires de la approuvée par Roscomnadzor Convention de Strasbourg 1981 (liste approuvée (44 pays) le 02.10.2012 ) Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 12
  • 13. Le transfert transfrontière des DPs 3/3 La forme de consentement à obtenir d’une personne physique dépend du pays où les DPs sont transférées Pays Forme de consentement Signataire de la Convention de Strasbourg de 1981 Simple (Convention du Conseil de l’Europe) Non signataire de la Convention de Strasbourg mais Simple qui assure une protection suffisante des DPs et est inclus dans la liste approuvée par Roscomnadzor des pays reconnus comme ‘adéquat’ Autre pays Forme écrite, certifiée par la signature authentique ou électronique Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 13
  • 14. Consentement pour le traitement des données personnelles 1/5 Traitement des DPs Avec consentement de Sans consentement de la personne concernée la personne concernée Forme du consentement Seulement dans les forme écrite Toute forme, permettant cas prévus par la loi (DPs sensibles, de confirmer l’obtention DPs biométriques, du consentement flux transfrontières des DPs dans les états non fiables) Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 14
  • 15. Consentement pour le traitement des données personnelles 2/5 Le consentement de la personne concernée n’est pas obligatoire:  Dans le cadre d’une action en justice;  Lors de la conclusion et/ou de l’exécution d’un contrat dont la personne concernée est partie, bénéficiaire, garant;  En matière de protection de la vie, de la santé ou d’autres intérêts d’une importance vitale, s’il n’est pas possible d’obtenir le consentement de la personne concernée;  Dans le cadre d’études statistiques ou autres (sous condition de dépersonnalisation obligatoire des DPs);  Dans l’hypothèse ou l’accès aux DPs est accordé pas la personne concernée (traitement des DPs publiques);  Dans les autres cas, expressément prévus pas la Loi sur les données personnelles. Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 15
  • 16. Consentement pour le traitement des données personnelles 3/5 : forme écrite (qualifiée) 1. Nom, prénom, adresse de la personne concernée (ou de son représentant) ainsi que les détails de son passeport; 2. Nom et adresse de la personne responsable du traitement des DPs; 3. Nom et adresse de la personne traitant les DPs à la demande du responsable; 4. Les finalités du traitement des DPs; 5. La liste des DPs qui seront traitées; 6. Les formes de traitement des DPs et les méthodes de traitement; 7. La durée pour laquelle le consentement est octroyé et la procédure de retrait de ce consentement; 8. La signature de la personne concernée (authentique ou électronique). Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 16
  • 17. Consentement pour le traitement des données personnelles 4/5: consentement à distance (Internet) Les exemples d’usage: o «coche» sous le texte du consentement pour le traitement des DPs o bouton «lu et approuvé» sous le texte du consentement etc. Les cas d’usage: o obtention d’un consentement ‘simple’ (dans l’hypothèse où il n’est pas nécessaire d’obtenir un consentement écrit ‘qualifié’) Les conditions d’usage:  Les caractéristiques techniques du site Internet utilisé pour obtenir le consentement permettent d’identifier la personne concernée (enregistrement sur le site, envoie d’un e-mail de confirmation etc.).  Les technologies utilisées (serveur) permettent de fixer et de confirmer que le consentement a été octroyé (liaison sur IP-adresse, logging dans l’espace personnelle etc.). Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 17
  • 18. Consentement pour le traitement des données personnelles 5/5: consentement à distance (téléphone) Les examples d’usage: o le consentement orale pour le traitement des DPs, octroyé dans le cadre d’une conversation avec un opérateur de call-center o un avertissement d’un operateur sur un éventuel enregistrement de la conversation téléphonique Les cas d’usage : o obtention d’un consentement ‘simple’ Les conditions d’usage:  La connexion téléphonique et la conversation permet identifier la personne concernée  Les technologies utilisées permettent fixer et confirmer le fait que le consentement a été octroyé (e.g. l’enregistrement de la conversation). Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 18
  • 19. Les obligations à accomplir dans le domaine du traitement des DPs  Nomination au sein de la société d’une personne responsable de l’organisation du traitement des DPs;  Développement d’une politique et des actes normatifs locaux sur le traitement et la protection des DPs;  Mise en œuvre des mesures juridiques, organisationnelles et techniques pour la protection des DPs;  Contrôles internes et (ou) audits externes du traitement des DPs;  Evaluation des dommages susceptibles d’être apportés aux personnes concernées en cas de violation des règles de traitement des DPs;  Information des employés;  Autres obligations. Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 19
  • 20. Notification sur le traitement des DPs Forme de notification Sous forme papier Sous forme électronique 255 426 sociétés de traitement Roscomnadzor enregistrées 30 jours Date ultime de Introduction dans le registre des informations: dépôt de la notification 1) mentionnées dans la notification 01.01.2013 2) sur la date de la notification Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 20
  • 21. La pratique de Roscomnadzor 1/3 : fondements juridiques des contrôles Responsables du Responsables du traitement des DPs , traitement des DPs , enregistrés non inclus dans le registre CONTROLES Réguliers Hors plan • expiration du terme d’exécution d’une prescription, • plaintes des personnes concernées, Le plan annuel • ordre du responsable de Roscomnadzor, • violation des droits et intérêts des citoyens par le responsable du traitement des DPs Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 21
  • 22. La pratique de Roscomnadzor 2/3 : les contrôles Sont vérifiés dans le cadre d’un contrôle: 1. La notification sur le traitement des DPs; 2. Les documents liés à des infractions ayant fait l’objet de plaintes par personnes concernées; 3. Les documents qui prouvent que les infractions on été éliminées; 4. Les consentements écrits des personnes concernées; 5. Les documents prouvant la conformité aux normes établies par la loi du traitement des DPs sensibles; 6. Les documents prouvant la destruction des DPs dès que les finalités pour lesquelles elles ont été traitées sont atteintes; 7. Les règlements locaux établissant la procédure de traitement des DPS. Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 22
  • 23. La pratique de Roscomnadzor 3/3: les chiffres L’activité de contrôle de Roscomnadzor 746 contrôles (dont 446 contrôles planifiés et 300 contrôles hors plan) ont été effectués durant les 6 premiers mois de 2012. 721 infractions dans le domaine du traitement des DPs identifiées. Les sanctions:  762 prescriptions ont été émises;  2897 protocoles sur les infractions ont été dressés;  2392 décisions rendues par les tribunaux (dont 2376 maintenues en vigueur) Au titre de ces infractions: des amendes d’un montant 4,3 mln RUB ont été infligées sur lesquelles 1,9 mln. RUB a déjà été perçu Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 23
  • 24. Sanctions 1/3: la législation actuelle Code des infractions administratives (CoAP): • Article 13.11 – Violation de la procédure prévue par la loi pour la collecte, stockage, usage ou distribution des informations sur les citoyens (les données personnelles) Sanction:  avertissement  amende: personnes physiques: de 300 à 500 RUB; responsables au sein d’une personne morale: de 500 à 1000 RUB; personne morales: de 5 000 à 10 000 RUB. NB: Le paiement d’une amende ne dispense de l’obligation d’éliminer les infractions commises en conformité des prescriptions de Roscomnadzor Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 24
  • 25. Sanctions 2/3: le projet de modifications du CoAP La classification des infractions et des sanctions proposées:  non-exécution des obligations sur la protection des données personnelles: pour les personnes morales - amende de 20 000 à 30 000 RUB;  traitement des données personnelles sans le consentement de la personne concernée: pour les personnes physiques – amende de 30 000 à 50 000 RUB, et dans certains cas une amende équivalente à 1,5-2% des revenus, avec un minimum de 400 000 à 700 000 RUB (en fonction des circonstances de l’infraction),  traitement illégal des donnés personnelles sensibles: pour les personnes morales - amende équivalente à 1,5-2% des revenus, avec un minimum de 400 000 à 700 000 RUB (en fonction des circonstances de l’infraction),  violation des conditions pour le transfert transfrontière des données personnelles: pour les personnes morales - amende de 20 000 à 30 000 RUB, et dans certains cas, une amende équivalente à 1,5-2 des revenus, avec un minimum de 500 000 à 700 000 RUB (en fonction des circonstances de l’infraction). Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 25
  • 26. Sanctions 3/3: les défauts du projet de CoAP o Les sanctions prévues pour la commission de l’infraction et non pour le dommage subit (à la différence de la législation européenne); o Aucun moyen de procédure pour le règlement des différends directement entre la personne en charge du traitement des DPs et la personne concernée (y compris la réparation des dommages); o Disproportion entre les consequences de l’infraction et l’importance de la sanction; o Description insuffisante des caractéristiques des infractions. Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 26
  • 27. A faire dans un premier temps  développer la politique de traitement des DPs et la mettre en ligne;  développer la documentation interne sur le traitement des DPs;  nommer une personne responsable pour le traitement des DPs;  déterminer la liste des personnes ayant accès aux DPs;  notifier Roscomnadzor (avant le 01.01.2013);  introduire des dispositions sur le traitement des DPs dans les contrats avec les partenaires;  formaliser les relations avec les sous-traitants dans le domaine du traitement des DPs. Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 27
  • 28. Merci pour votre attention! Anastasiya Lemysh Avocat à la Cour CMS, Russie T: +7 495 786 3076 E: Anastasiya.Lemysh@cmslegal.ru CMS, Russie 11, bvd. Gogolevsky 119019 Moscou Т +7 495 786 4000 F +7 495 786 4001 www.cmslegal.ru Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012 28