Vous maitrisez à fond les notions fondamentales de la GRDP applicable au 25 mai 2018 ? Alors voyons maintenant les conditions de fond : - dans quelles conditions un traitement de données [personnelles] sera "licite" ? - comment sera déterminée la responsabilité de l'entreprise qui collecte / traite des données [personnelles] ?

1. Marc-Antoine Ledieu
Avocat à la Cour
www.ledieu-avocats.fr
Règlement "Data Protection" n°2016/679
RESPONSABILITÉ
[art.4.7]
responsable
de traitements
"Horologiom" par Fabrice Lebeault © éditions Delcourt
compliant
GRDP
MESURES
APPROPRIÉES
techniques
organisationnelles
CONFORMITÉ

2. SOMMAIRE
PRINCIPE ET
CONDITIONS
DE VALIDITÉ DES
TRAITEMENTS
Ledieu-Avocats © 2017 2
"Horologiom" par Fabrice Lebeault
© éditions Delcourt
"GRDP"
2016/679
données
personnelles
données
[personnelles]
traitement
[art.4.2]
➡ le principe de responsabilité du responsable
➡ les garanties de respect des obligations de la "GRDP"
➡ privacy by design / by default
➡ 1 principe et 6 conditions à respecter
➡ le principe du consentement à collecte / traitement
➡ les 5 exceptions à consentement
➡ les 6 conditions de validité d'un traitement
RESPONSABILITÉ
DU RESPONSABILITÉ
DE TRAITEMENT

3. Règlement
"RGDP"
Data Protection
n°2016/679
Marc-Antoine Ledieu
Avocat à la Cour
www.ledieu-avocats.fr
PRINCIPE
ET
CONDITIONS
DE VALIDITÉ
"Horologiom" par Fabrice Lebeault © éditions Delcourt
données
[personnelles]
destraitement
[art.4.2]

4. Ledieu-Avocats © 2017
"GRDP"
2016/679
données
personnelles
4
doit respecter
1 principe et
6 conditions.
A lui de prouver
qu'il les respecte.
[art.4.7]
le responsable
de traitement
conditions
de collecte
et de traitement
des données
[personnelles]
le
consentement
à traitement
des données
[personnelles]
➡ art. 5.2
1 principe
6 conditions
"Horologiom" par Fabrice Lebeault © éditions Delcourt
➡ art. 5.1
➡ art. 6.1 al.1

5. "GRDP"
2016/679
données
personnelles
5
Le principe ?
C'est le
consentement
à traitement
➡ art. 6.1. al.1 a)
Ledieu-Avocats © 2017 "Horologiom" par Fabrice Lebeault © éditions Delcourt
consentement
?
le
principe
du
consentement

6. par un
acte positif
explicite
par une
déclaration
ou
traitement
[art.4.2]
et
univoque
[qui n'est pas
équivoque]
➡ art. 4.11
toute
manifestation
de volonté
…fassent
l'objet d'un
…par
laquelle
accepte
que ses
libre,
spécifique,
informée
concernée
la personne
QUI ?
directement
indirectement
données [personnelles]
[art.4.1]
"GRDP"
2016/679
données
personnelles
6Ledieu-Avocats © 2017
"Horologiom" par Fabrice Lebeault © éditions Delcourt
1/2 2/2
rapPel
consentement
?
?

7. 7Ledieu-Avocats © 2017
la demande de
consentement
est présentée
sous une forme qui
la distingue
clairement de ces
autres questions
sous une forme
compréhensible et
aisément accessible
et formulée
en des termes
clairs
et
simples.
©PhilippeGauckler2016
pour les détail
allez lire sur ce blog
"GRDP les notions
fondamentales"
… et qui concerne
également
d'autres questions
Si le consentement
est donné par
déclaration
écrite…
par exemple une
acceptation des CGU…
"GRDP"
2016/679
données
personnelles
➡ art. 7.2
"Horologiom" par Fabrice Lebeault © éditions Delcourt
rapPel

8. Ledieu-Avocats © 2017 8
a) principe du
consentement à
traitement pour des
finalités
explicites
traitement
nécessaire aux
fins des intérêts
légitimes du
responsable du
traitement…
5/5
e)
traitement
nécessaire à une
mission d'intérêt
public
4/5
c)
traitement
nécessaire au
respect d'une
obligation
légale
2/5
b) traitement
nécessaire à
l'exécution d'un
contrat…
1/5
d) traitement
nécessaire à la
sauvegarde des
intérêts vitaux
3/5
le principe
du consentement.
et ses
5 exceptions.
nouveau
exceptions :
"GRDP"
2016/679
données
personnelles
➡ art. 6.1. al.1)
"Horologiom" par Fabrice Lebeault © éditions Delcourt

9. a) principe du
consentement à
traitement pour des
finalités
explicites
traitement
nécessaire aux
fins des intérêts
légitimes du
responsable du
traitement
5/5
e)
traitement
nécessaire à une
mission d'intérêt
public
4/5
c)
traitement
nécessaire au
respect d'une
obligation
légale
2/5
b) traitement
nécessaire à
l'exécution d'un
contrat
1/5
d) traitement
nécessaire à la
sauvegarde des
intérêts vitaux
3/5
nouveau
exceptions :
➡ art. 6.1. al.1)
Le traitement
n'est licite que si,
et dans la mesure où,
au moins 1
des 5 conditions
suivantes est
remplie :
9
"GRDP"
2016/679
données
personnelles
Ledieu-Avocats © 2017
"Horologiom" par Fabrice Lebeault © éditions Delcourt

10. il n'est pas imposé
de collecter
le consentement
si le traitement
est nécessaire :
b) à l'exécution
d'un contrat /
pré-contrat
c) au respect d'une
obligation légale
d) à la
sauvegarde
des intérêts
vitaux e) à une mission
d'intérêt public
f) aux fins des intérêts légitimes
du responsable du traitement
à moins que
ne prévalent les intérêts ou les
libertés et droits fondamentaux
de la personne concernée…
10
"GRDP"
2016/679
données
personnelles
Ledieu-Avocats © 2017
"Horologiom" par Fabrice Lebeault © éditions Delcourt

11. la plupart des exceptions
au consentement préalable
ne sont pas nouvelles
e)
traitement
nécessaire à une
mission d'intérêt
public
4/5
c)
traitement
nécessaire au
respect d'une
obligation
légale
2/5
b) traitement
nécessaire à
l'exécution d'un
contrat…
1/5
d) traitement
nécessaire à la
sauvegarde des
intérêts vitaux
3/5
Ledieu-Avocats © 2017 11
"GRDP"
2016/679
données
personnelles
"Horologiom" par Fabrice Lebeault © éditions Delcourt

12. Ledieu-Avocats © 2017 12
a) principe du
consentement à
traitement pour des
finalités
explicites
b) traitement
nécessaire à l'exécution
d'un contrat auquel la
personne concernée est partie
ou à l'exécution de mesures
précontractuelles prises à
la demande de celle-ci
1/5
L'exception de
"traitement nécessaire
à l'exécution d'un
contrat"
exceptions :
"GRDP"
2016/679
données
personnelles
➡ art. 6.1. al.1)
"Horologiom" par Fabrice Lebeault © éditions Delcourt
©PhilippeGauckler2016
si vous
commandez un
livre online…
le
traitement des
données de votre
adresse physique est
nécessaire au
vendeur pour la
livraison
votre
consentement
n'est alors pas
obligatoire !
précision

13. Ledieu-Avocats © 2017 13
a) principe du
consentement à
traitement pour des
finalités
explicites traitement
nécessaire aux fins
des intérêts légitimes
poursuivis par le
responsable du
traitement ou par
un tiers5/5
nouveau
exceptions :
"GRDP"
2016/679
données
personnelles
➡ art. 6.1. al.1)
©PhilippeGauckler2016
les "intérêts
légitimes du
responsable du
traitement" ?
ça me rappelle
quelque chose…
voyons voir…
L'exception de
"traitement nécessaire
aux fins des intérêts
légitimes du responsable
du traitement"
"Horologiom" par Fabrice Lebeault © éditions Delcourt
à moins que ne
prévalent les intérêts
ou les libertés et droits
fondamentaux
de la
personne
concernée qui exigent
une protection des
données [personnelles],
notamment lorsque la
personne concernée
est un enfant
précision

14. 14
"Horologium"parFabriceLebeau©éditionsDelcourt
Ledieu-Avocats © 2017
6/6L'ULTIME DÉROGATION
➡ art. 49.1 al.2
UNE 6°
EXCEPTION ?
L'INTÉRÊT LÉGITIME ET IMPÉRIEUX
DU RESPONSABLE DU TRAITEMENT ?
RÈGLEMENT UE
"GRDP"
N°2016/679
DONNÉES
PERSONNELLES
LES TRANSFERTS
INTERNATIONAUX
DE DONNÉES
rapPel
"Horologiom" par Fabrice Lebeault © éditions Delcourt

15. Ledieu-Avocats © 2017
TRANSFERT HORS UE…
DONNÉES
[PERSONNELLES]
4)
information du
transfert
5)
information
au "fiché"
TRANSFERT SI
INTÉRÊT LÉGITIME ET
IMPÉRIEUX DU
RESPONSABLE NE
PRÉVALANT PAS SUR LES
INTÉRÊTS OU LES DROITS
ET LIBERTÉS DES
"FICHÉS"
1) pas de
transfert
répétitif
2) nombre
limité de
"fichés"
collecte directe
[art. 13]
collecte indirecte
[art.14]
du
transfert
de l'intérêt
légitime et
impérieux
sauf
prérogatives
de puissance
publique
6/6L'ULTIME DÉROGATION
➡ art. 49.1 al.2
15
SEULEMENT SI :
"Horologium"parFabriceLebeau©éditionsDelcourt
DÉCISION
D'ADÉQUATION
Commission
1/6
[art.47]
[B.C.R.]
3/6
dérogations
spéciales
sous
CONDITION
[art.49] 5/6
GARANTIES !!!
[art.46]
APPROPRIÉES
2/6
dérogations
spéciales
sous
CONDITION
[art.49]
autorité
de contrôle
[art.4.21]
RÈGLEMENT UE
"GRDP"
N°2016/679
DONNÉES
PERSONNELLES
rapPel
registre
[art. 30]
3) évaluation
et garanties
appropriées de
protection

16. Marc-Antoine Ledieu
Avocat à la Cour
www.ledieu-avocats.fr
"Horologiom" par Fabrice Lebeault
© éditions Delcourt
LES TRANSFERTS
INTERNATIONAUX
DE DONNÉES
Règlement
"RGDP"
Data Protection
n°2016/679
pour alLerplus loin

17. "GRDP"
2016/679
données
personnelles
Ledieu-Avocats © 2017 17
les 6
conditions
de collecte
et de
traitement
des données
[personnelles]
➡ art. 5.1
"Horologiom" par Fabrice Lebeault © éditions Delcourt

18. 6 conditions
de collecte
et de
traitement
➡ art. 5.1
Ledieu-Avocats © 2017
"GRDP"
2016/679
données
personnelles
18
a) traitement
licite, loyal et
transparent
1/6
f)
garantie de
sécurité des
données
6/6
e)
durée de
conservation
des données
limitée
5/6
c) finalité
de traitement
et données
adéquates,
pertinentes
et limitées
3/6
b) finalité de
traitement
déterminée,
explicite et
légitime
2/6
d) données
exactes
et, si nécessaire,
tenues à jour
4/6
[art.4.7]
responsable
de traitement
nouveau
"Horologiom" par Fabrice Lebeault © éditions Delcourt

19. Ledieu-Avocats © 2017
"GRDP"
2016/679
données
personnelles
19
a) traitement
licite, loyal et
transparent
1/6
©PhilippeGauckler2016
les 6 conditions
de collecte
et de
traitement
➡ art. 5.1
b) finalité de
traitement
déterminée,
explicite et
légitime
2/6
d) données
exactes
et, si nécessaire,
tenues à jour
4/6
e)
durée de
conservation
des données
limitée
5/6
la plupart des
conditions de traitement
ne sont pas nouvelles
orologiom"parFabriceLebeault©éditionsDelcourt

20. Ledieu-Avocats © 2017
"GRDP"
2016/679
données
personnelles
20
©PhilippeGauckler2016
les 6 conditions
de collecte
et de
traitement
➡ art. 5.1
c'est le principe de
"minimisation"
c) données
adéquates,
pertinentes et
limitées
3/6
doivent être
adéquates,
pertinentes
et limitées
à ce qui est
nécessaire
au regard
des finalités
pour lesquelles
elles sont traitées.
QUI ?
directement
indirectement
données [personnelles]
[art.4.1]
"Horologiom"parFabriceLebeault©éditionsDelcourt

21. Ledieu-Avocats © 2017
"GRDP"
2016/679
données
personnelles
21
f)
garantie de
sécurité des
données
6/6
nouveau
©PhilippeGauckler2016
les 6 conditions
de collecte
et de
traitement
➡ art. 5.1
préparez vous à la grande
nouveauté de la GRDP :
L'obligation de sécurité
des donNées
"Horologiom" par Fabrice Lebeault © éditions Delcourt
MESURES
APPROPRIÉES
[art.32]
SÉCURITÉ
techniques
organisationnelles
faille - fuite
SÉCURITÉ

22. Règlement
"RGDP"
Data Protection
n°2016/679
Marc-Antoine Ledieu
Avocat à la Cour
www.ledieu-avocats.fr
PRINCIPE
ET
CONDITIONS
DE VALIDITÉ
données
[personnelles]
traitement
[art.4.2]
Ledieu-Avocats © 2017
"Horologiom" par Fabrice Lebeault © éditions Delcourt

23. RÈGLEMENT UE
2016/679
DONNÉES
PERSONNELLES
➡ art. 5 - 1
[art.4.7]
responsable
de traitement
39
le principe
de responsabilité
du responsable du traitement
"GRDP"
2016/679
données
personnelles
23
"Horologiom" par Fabrice Lebeault © éditions Delcourt
Marc-Antoine Ledieu
Avocat à la Cour
www.ledieu-avocats.fr
LE PRINCIPE DE
RESPONSABILITÉ

24. est responsable
du respect
des 6 conditions
de collecte et de
traitement.
[doit être]
en mesure
de démontrer
qu'il respecte
les 6 conditions de
collecte et de
traitement.
RÈGLEMENT UE
2016/679
DONNÉES
PERSONNELLES
et
➡ art. 5 - 1
[art.4.7]
le responsable
de traitement
39
le principe
de responsabilité
du responsable du traitement
➡ art. 5.2
➡ art. 5.1
➡ art. 5.1
"GRDP"
2016/679
données
personnelles
24Ledieu-Avocats © 2017
"Horologiom" par Fabrice Lebeault © éditions Delcourt

25. a
donné son
est en
mesure de
démontrer
que
[art.4.7]
le responsable
de traitement
concernée
la personne
consentement
?
traitement
[art.4.2]42
et si
"le traitement repose
sur le consentement" ?
"GRDP"
2016/679
données
personnelles
➡ art. 7.1
au
25Ledieu-Avocats © 2017
"Horologiom" par Fabrice Lebeault © éditions Delcourt

26. c'est à celui
qui traite des
données de prouver
qu'il respecte la GRDP.
[art.4.7]
responsable
de traitements
26
Ledieu-Avocats © 2017
CHARGE DE
LA PREUVE
"GRDP"
2016/679
données
personnelles
LE PRINCIPE DE
RESPONSABILITÉ
"Horologiom" par Fabrice Lebeault © éditions Delcourt

27. 2727
Ledieu-Avocats © 2017
"GRDP"
2016/679
données
personnelles
vous n'êtes pas
encore convaincu(e) ?
LES GARANTIES
DE RESPECT
DES OBLIGATIONS
DE LA "GRDP"
LE PRINCIPE DE
RESPONSABILITÉ
"Horologiom" par Fabrice Lebeault © éditions Delcourt

28. ! ! ! !
Règlement
Data Protection
n°2016/679
LES GARANTIES
DE RESPECT
DES OBLIGATIONS
DE LA "GRDP"
Marc-Antoine Ledieu
Avocat à la Cour
www.ledieu-avocats.fr
28
compliant
GRDP
MESURES
APPROPRIÉES
techniques
organisationnelles
[art. 24]
CONFORMITÉ
"Horologiom" par Fabrice Lebeault © éditions Delcourt

29. Règlement
"Data Protection"
n°2016/679
Marc-Antoine Ledieu
Avocat à la Cour
www.ledieu-avocats.fr
29
"Horologiom" par Fabrice Lebeault © éditions Delcourt
compliant
GRDP
MESURES
APPROPRIÉES
techniques
organisationnelles
[art. 24]
CONFORMITé

30. attention
de ne pas
confondre…
"GRDP"
2016/679
données
personnelles
30Ledieu-Avocats © 2017
garanties
de respect
garanties
de sécurité
compliant
GRDP
MESURES
APPROPRIÉES
techniques
organisationnelles
[art. 24]
CONFORMITÉ
… MESURES
APPROPRIÉES
[art.32]
SÉCURITÉ
techniques
organisationnelles
"Horologiom" par Fabrice Lebeault © éditions Delcourt

31. "GRDP"
2016/679
données
personnelles
31
COMPTE TENU :
DE LA NATURE
DE LA PORTÉE
DU CONTEXTE
DES FINALITÉS DU TRAITEMENT
DES RISQUES DONT LE DEGRÉ DE PROBABILITÉ
ET DE GRAVITÉ VARIE POUR LES DROITS ET
LIBERTÉS DES PERSONNES PHYSIQUES
COMPTE TENU :
DE L'ÉTAT DES CONNAISSANCES,
DES COÛTS DE MISE EN ŒUVRE
DE LA NATURE
DE LA PORTÉE
DU CONTEXTE
DES FINALITÉS DU TRAITEMENT
DES RISQUES DONT LE DEGRÉ DE PROBABILITÉ
ET DE GRAVITÉ VARIE POUR LES DROITS ET
LIBERTÉS DES PERSONNES PHYSIQUES
"GRDP"
2016/679
données
personnelles
31Ledieu-Avocats © 2017
[art.4.7]
responsable
de traitement
sous-traitant
[art.4.8]
[art.4.7]
responsable
de traitement
garanties de respect
garanties de sécurité
➡ art. 24
➡ art. 32
"Horologiom"parFabriceLebeault©éditionsDelcourt
MESURES
APPROPRIÉES
techniques
organisationnelles
CONFORMITÉ
MESURES
APPROPRIÉES
SÉCURITÉ
techniques
organisationnelles

32. OUI… JE SAIS, C'EST COMPLIQUÉ… JE VOUS SENS UN
PEU PERDU… ALORS COMmENÇONS PAR
LES GARANTIES DE CONFORMITÉ
32
Ledieu-Avocats © 2017
"GRDP"
2016/679
données
personnelles
MESURES
APPROPRIÉES
techniques
organisationnelles
CONFORMITÉ"Horologiom" par Fabrice Lebeault © éditions Delcourt

33. "GRDP"
2016/679
données
personnelles
33
[art.4.7]
le responsable
de traitement
pour
s'assurer
données
[personnelles]
traitement
[art.4.2]
met en
œuvre
COMPTE TENU :
DE LA NATURE
DE LA PORTÉE
DU CONTEXTE
DES FINALITÉS DU TRAITEMENT
DES RISQUES DONT LE DEGRÉ DE PROBABILITÉ
ET DE GRAVITÉ VARIE POUR LES DROITS ET
LIBERTÉS DES PERSONNES PHYSIQUES
et être
en mesure
de démontrer
que
est effectué conformément à la GRDP
"GRDP"
2016/679
données
personnelles
33Ledieu-Avocats © 2017
seulement
➡ art. 24
"Horologiom"parFabriceLebeault©éditionsDelcourt
compliant
GRDP
MESURES
APPROPRIÉES
techniques
organisationnelles
[art. 24]
CONFORMITÉ

34. 34Ledieu-Avocats © 2017
"Lorsque cela est
proportionNé
au regard des activités
de traitement"
[art.4.7]
du responsable
de traitement
de
politiques
appropriées en
matière de
protection QUI ?
directement
indirectement
données [personnelles]
[art.4.1]
privacy policy
à faire accepter
par l'internaute
"GRDP"
2016/679
données
personnelles
➡ art. 24.2
comprennent
la mise en
œuvre
compliant
GRDP
MESURES
APPROPRIÉES
techniques
organisationnelles
[art. 24]
CONFORMITÉ
"Horologiom" par Fabrice Lebeault © éditions Delcourt

35. et si on disait les
choses clairement ?
©PhilippeGauckler2016
A défaut de
disposer de
"privacy policy"
publique
le
prestataire ne
sera pas présumé
respecter la
GRDP
"GRDP"
2016/679
données
personnelles
35Ledieu-Avocats © 2017
soyons fous ! compliant
GRDP
MESURES
APPROPRIÉES
techniques
organisationnelles
[art. 24]
CONFORMITÉ
"Horologiom" par Fabrice Lebeault © éditions Delcourt

36. "GRDP"
2016/679
données
personnelles
36
certification
label
code de conduire
[art.42]
[art.40]
➡ art.24.3
le responsable du traitement
est présumé agir en conformité avec la GRDP
s'il respecte un code de conduite
ou un programme de certification.
[art.4.7]
le responsable
de traitement
peut
démontrer
qu'il respecte
la GRDP
en cas
d'application
de
Ledieu-Avocats © 2017
"Horologiom" par Fabrice Lebeault © éditions Delcourt

37. Ledieu-Avocats © 2017
"GRDP"
2016/679
données
personnelles
37
"Privacy
by
default"…
"Privacy
by
design" ?
"Horologiom" par Fabrice Lebeault © éditions Delcourt

38. Ledieu-Avocats © 2017
"GRDP"
2016/679
données
personnelles
38
"privacy by
design"
le (logiciel de) traitement
des données [personnelles]
a été conçu
dans le respect des règles de la GRDP.
"Horologiom" par Fabrice Lebeault © éditions Delcourt

39. COMPTE TENU :
DE L'ÉTAT DES CONNAISSANCES
DES COÛTS DE MISE EN ŒUVRE
DE LA NATURE
DE LA PORTÉE
DU CONTEXTE
DES FINALITÉS DU TRAITEMENT
DES RISQUES DONT LE DEGRÉ DE PROBABILITÉ
ET DE GRAVITÉ VARIE POUR LES DROITS ET
LIBERTÉS DES PERSONNES PHYSIQUES
[art.4.7]
le responsable
de traitement
met en
œuvre
au
moment de la
détermination
des moyens
du traitement
seulement
"GRDP"
2016/679
données
personnelles
au moment
du traitement
lui-même
et
!39
"privacy by
design"
➡ art.25.1
1/2
compliant
GRDP
MESURES
APPROPRIÉES
techniques
organisationnelles
[art. 24]CONFORMITÉ
"Horologiom" par Fabrice Lebeault
© éditions Delcourt
Ledieu-Avocats © 2017

40. [art.4.7]
le responsable
de traitement
compliant
GRDP
techniques
des MESURES
APPROPRIÉES
organisationnelles
[art. 24]
met en
œuvre
pour
appliquer
"de façon effective"
les principes
de protection
des données
seulement
pseudonymisation
des données
minimisation
des données
afin de répondre aux
exigences de la GRDP
!40
"privacy by
design"
➡ art.25.1
2/2
compliant
GRDP
MESURES
APPROPRIÉES
techniques
organisationnelles
[art. 24]
CONFORMITÉ
Ledieu-Avocats © 2017
"Horologiom" par Fabrice Lebeault
© éditions Delcourt

41. on regarde
quand même les
définitions de la
pseudonymisation
et du concept
de "minimisation ?
la "pseudonymisation"
➡ art.4.5
le principe de
"minimisation"
➡ art.5.1.c)
"GRDP"
2016/679
données
personnelles
Ledieu-Avocats © 2017 41
"Horologiom" par Fabrice Lebeault © éditions Delcourt

42. LA
"PSEUDONYMISATION"
DES DONnÉES ?
Ledieu-Avocats © 2017
"GRDP"
2016/679
données
personnelles
42
le traitement de données
[personnelles] de telle façon que
celles-ci ne puissent plus être
attribuées à une personne
concernée précise sans avoir
recours à des informations
supplémentaires…
pour autant que ces informations
supplémentaires soient
conservées séparément et
soumises à des mesures
techniques et
organisationnelles
afin de garantir que les données
[personnelles] ne sont pas
attribuées à une personne
physique identifiée ou identifiable
➡ art.4.5
"Horologiom" par Fabrice Lebeault © éditions Delcourt

43. Ledieu-Avocats © 2017
"GRDP"
2016/679
données
personnelles
43
"Horologiom" par Fabrice Lebeault
© éditions Delcourt

44. Ledieu-Avocats © 2017
"GRDP"
2016/679
données
personnelles
44
M. Donald Truc = ID 12.693 = data1 + data2 + data3 + etc.
Mme Bidule = ID 7.242 = data1 + data2 + data3 + etc.
QUI ?
directement
indirectement
données [personnelles]
[art.4.1]
[méta]données
quand ? depuis où ?
combiendetemps?
quel n° tel ? quelle adresse IP ?
typedeterminal?
n° identifiant
de corrélation
B CA
Si j'ai
accès à
A+B+C,
je fais un
"Horologiom"parFabriceLebeault©éditionsDelcourt
données
[personnelles
traitement
[art.4.2]
+ +
©PhilippeGauckler2016
c'est un
problème de
croisement de bases
de données
la "pseudonymisation"
➡ art.4.5

45. Ledieu-Avocats © 2017
"GRDP"
2016/679
données
personnelles
45
47
"Horologiom"parFabriceLebeault©éditionsDelcourt
Si moi, prestataire,
je n'ai accès qu'à B+C,
je traite seulement des
données pseudonymisées
M. Donald Truc = ID 12.693 = data1 + data2 + data3 + etc.
Mme Bidule = ID 7.242 = data1 + data2 + data3 + etc.
QUI ?
directement
indirectement
données [personnelles]
[art.4.1]
[méta]données
quand ? depuis où ?
combiendetemps?
quel n° tel ? quelle adresse IP ?
typedeterminal?
A B C
n° identifiant
de corrélation
la "pseudonymisation"
➡ art.4.5

46. le principe de
"minimisation"
des données ?
"GRDP"
2016/679
données
personnelles
46
QUI ?
directement
indirectement
les données [personnelles]
[art.4.1]
doivent être
(i) adéquates,
(ii) pertinentes et
(iii) limitées
à ce qui est nécessaire au
regard des finalités du
traitement
Ledieu-Avocats © 2017
le principe de
"minimisation"
➡ art.5.1.c)
"Horologiom" par Fabrice Lebeault © éditions Delcourt

47. Ledieu-Avocats © 2017
"GRDP"
2016/679
données
personnelles
47
le prestataire
a l'obligation
de ne collecter
qu'une quantité
"pertinente"
de données
pour rendre son service.
PAS PLUS…
le principe de "minimisation"
➡ art.5.1.c)
"Horologiom" par Fabrice Lebeault © éditions Delcourt

48. Ledieu-Avocats © 2017
"GRDP"
2016/679
données
personnelles
"Privacy by
default" ?
48
"Horologiom" par Fabrice Lebeault
© éditions Delcourt
privacy
by design
privacy
by default

49. "GRDP"
2016/679
données
personnelles
49
"Privacy
by default"
49
[art.4.7]
le responsable
de traitement
met en
œuvre
pour
garantir que,
par défaut…
compliant
GRDP
MESURES
APPROPRIÉES
techniques
organisationnelles
[art. 24]
CONFORMITÉ
"Horologiom" par Fabrice Lebeault
© éditions DelcourtLedieu-Avocats © 2017

50. Ledieu-Avocats © 2017
"GRDP"
2016/679
données
personnelles
"Privacy by default" ?
nécessaires
au regard de
chaque finalité
spécifique
du traitement
50
le principe
QUI ?
directement
indirectement
les données [personnelles]
[art.4.1]
pour
garantir que,
par défaut,
seules sont
traitéescompliant
GRDP
MESURES
APPROPRIÉES
techniques
organisationnelles
[art. 24]
CONFORMITÉ
"Horologiom" par Fabrice Lebeault © éditions Delcourt

51. Ledieu-Avocats © 2017
"GRDP"
2016/679
données
personnelles
51
"Privacy by default" ?
nécessaires
au regard de
chaque finalité
spécifique
du traitement
quantité
de données
[personnelles]
collectées
étendue
de leur
traitement
leur durée de
conservation
leur
accessibilité
le détail
"GRDP"
2016/679
données
personnelles
pour
garantir que,
par défaut,
seules sont
traitées QUI ?
directement
indirectement
les données [personnelles]
[art.4.1]
compliant
GRDP
MESURES
APPROPRIÉES
techniques
organisationnelles
[art. 24]
CONFORMITÉ
"Horologiom" par Fabrice Lebeault
© éditions Delcourt

52. "Privacy by
default" ?
ben en fait, ça veut dire que tous les traitements
doivent respecter les principes de la GRDP.
Même ceux qui n'avaient pas prévus
ces contraintes juridiques
"GRDP"
2016/679
données
personnelles
Ledieu-Avocats © 2017 52
"Horologiom" par Fabrice Lebeault
© éditions Delcourt

53. Ledieu-Avocats © 2017
"GRDP"
2016/679
données
personnelles
53
vous avez remarqué
dans le "Privacy by default" ?
Y'a pas le gros pavé
avec son inventaire à la prévert
comMe pour le "Privacy by design" ?
COMPTE TENU :
DE L'ÉTAT DES CONNAISSANCES,
DES COÛTS DE MISE EN ŒUVRE
DE LA NATURE
DE LA PORTÉE
DU CONTEXTE
DES FINALITÉS DU TRAITEMENT
DES RISQUES DONT LE DEGRÉ DE PROBABILITÉ
ET DE GRAVITÉ VARIE POUR LES DROITS ET
LIBERTÉS DES PERSONNES PHYSIQUES
"Privacy
by default"[art. 25.2]
[art. 25.1]
compliant
GRDP
MESURES
APPROPRIÉES
techniques
organisationnelles
[art. 24]
CONFORMITÉ
"Horologiom" par Fabrice Lebeault © éditions Delcourt

54. Ledieu-Avocats © 2017
"GRDP"
2016/679
données
personnelles
54
"Privacy by default" ?
QUI ?
directement
indirectement
les données [personnelles]
[art.4.1] ne sont pas
rendues accessibles
à un nombre
indéterminé de
personnes
sans
l'intervention
de la personne
physique
concernée
la précision qui tue
garantissent
que, par
défaut,
en
particulier
compliant
GRDP
MESURES
APPROPRIÉES
techniques
organisationnelles
[art. 24]
CONFORMITÉ
"Horologiom" par Fabrice Lebeault © éditions Delcourt

55. Ledieu-Avocats © 2017
"GRDP"
2016/679
données
personnelles
55
"Privacy by default" ?
QUI ?
directement
indirectement
les données [personnelles]
[art.4.1] ne sont pas
rendues accessibles
à un nombre
indéterminé de
personnes
sans
l'intervention de
la personne
physique
concernée
©PhilippeGauckler2016
intervention ?
= consentement ?
©PhilippeGauckler2016
mes données personnelles
ne sont pas diffusées
sur Facebook
sans mon "intervention" ?
PAR DEFAUT et à la charge du
prestataire ?
garantissent
que, par
défaut,
en
particulier
compliant
GRDP
MESURES
APPROPRIÉES
techniques
organisationnelles
[art. 24]
CONFORMITÉ

56. "GRDP"
2016/679
données
personnelles
56
➡ art.25.3
ça veut dire - ici aussi -
que le responsable du traitement
est présumé agir en conformité avec la GRDP
s'il a mis en place
un programme de certification.
[art.4.7]
le responsable
de traitement
peut
démontrer
qu'il respecte
la GRDP si
Ledieu-Avocats © 2017
certification
[art.42]
"Privacy by design"
"Privacy by default"
© Philippe Gauckler 2016
mais
PAS un code
de conduite
"Horologiom" par Fabrice Lebeault
© éditions Delcourt

57. compliant
GRDP
MESURES
APPROPRIÉES
techniques
organisationnelles
[art. 24]
CONFORMITÉ
RESPONSABILITÉ
[art.4.7]
responsable
de traitements
Ledieu-Avocats © 2017
"GRDP"
2016/679
données
personnelles
57
"Horologiom"parFabriceLebeault©éditionsDelcourt

58. Règlement
"Data Protection"
n°2016/679
Marc-Antoine Ledieu
Avocat à la Cour
www.ledieu-avocats.fr
compliant
GRDP
MESURES
APPROPRIÉES
techniques
organisationnelles
[art. 24]
CONFORMITÉ
RESPONSABILITÉ
[art.4.7]
responsable
de traitements
"Horologiom" par Fabrice Lebeault
© éditions Delcourt

59. un très grand merci à
Sébastien LE FOLL et
Lucie MASSENA
des éditions Delcourt
"Horologiom" 7 tomes
par Fabrice Lebeault
éditions Delcourt © 1994 à 2014
"Horologiom" par Fabrice Lebeault © éditions Delcourt
59
Ledieu-Avocats © 2017

60. un immense merci
à Fabrice Lebeault
pour son autorisation de
détourner les phylactères
originaux
"Horologiom" 7 tomes
par Fabrice Lebeault
éditions Delcourt © 1994 à 2014
cycle 2
60

61. Fabrice
Lebeault
c'est aussi :
L'AUTEUR
BIBLIOGRAPHIE SUR
www.bedetheque.com/
61

62. les éditions ce sont aussi :
62

63. MERCI À PHILIPPE GAUCKLER
©PhilippeGauckler2016
transformer un
moustachu en jolie
brune, fallait oser.
Il a osé…
nouveau
63