Publié le 10 février 2021

RGPD e-Privacy données personnelles + jurisprudence 2011 -> 2021

Écrit par
Marc-Antoine LEDIEU - Avocat associé - Constellation

RGPD e-Privacy données personnelles + jurisprudence 2011 -> 2021 : tel est le thème de cette matinée de formation Les Echos Lamy du 10 février 2021. En distanciel (hélas…).

L’après midi ? formation pratique avec les DPO pro de DIBB !

Ce matin, c’est RGPD et e-Privacy (Directive 2002/58 en attendant le Règlement e-Privacy…).

Nous évoquerons beaucoup la jurisprudence depuis 2011 et les aspects contractuels, cela permet de rendre la matière plus… plus… pratique (?).

Voici le plan de la matinée :

PS : nous ne traiterons pas du problème très spécifique et encore assez polémique des cookies / traceurs qui donne lieu à une abondante jurisprudence récente

les slides d'introduction

RGPD e-Privacy : les textes en vigueur et 10 ans de jurisprudence

Faire le point sur les textes en vigueur ne prend qu’un instant.

Mais parcourir la liste des décisions de jurisprudence en matière de données personnelles en demande un peu plus.

Depuis 10 ans, nous ne manquons pas de décisions de la CNIL, du Conseil d’Etat, de la Cour de cassation et de la Cour de Justice de l’Union Européenne.

Faisons un point à jour au 10 février 2021 ?

RGPD : les pouvoirs de la CNIL et les sanctions pénales

Voyons ce que peut faire la CNIL en matière d’enquête et de sanctions administratives.

Et comme nous sommes en France, voyons aussi une partie de la litanie des sanctions pénales potentielles (bien que la jurisprudence en la matière soit… inexistante !).

RGPD e-Privacy : données de contenu / métadonnées / données à caractère personnel

Pour bien comprendre la jurisprudence et surtout être en mesure de faire une juste application de cette législation pas si simple, il est nécessaire de faire cette distinction technique et juridique.

Si vous passez à coté des métadonnées, vous ratez un épisode essentiel !  

RGPD e-Privacy données personnelles : consentement et droit à l'oubli

ça parait tellement simple, cette notion de « consentement RGPD »… Voyons ce que nous dit le texte du Règlement Européen, et regardons surtout les décisions de jurisprudence : vous devriez avoir les idées au clair après cela.

RGPD : la notion de "traitement" de données personnelles

C’est une étape incontournable de la compréhension de la matière : quand y a-t-il « traitement » ? Quels sont les 6 grands principes applicables à tout « traitement de données à caractère personnel » ?

RGPD e-Privacy données personnelles : l'obligation d'information des personnes

Le principe est (pourtant) plutôt simple : vous collecter / traitez des données  numériques identifiant directement ou indirectement des personnes ? 

IL FAUT LES EN INFORMER ! 

C’EST OBLIGATOIRE !

Même pour les traitements SANS consentement ! 

Pour le détail de l’information à fournir, tout est dans l’article 13 RGPD pour les collectes directes.

RGPD : la base juridique obligatoire pour TOUT traitement de données à caractère personnel

C’est une des nouveautés du RGPD : définir sur quelle base légale s’opère chacun de vos traitements. 

Il y a le consentement (bien sur) et cinq autres fondements SANS consentement « nécessaires à »…

RGPD e-Privacy données personnelles : les obligations du Responsable de Traitement et du Sous-Traitant

Vous traitez des données personnelles pour des finalités que vous déterminez ? Vous êtes responsable de traitement.

Vous traitez les données de vos clients ? Vous êtes sous-traitant.

Alors, quelles obligations pour le Responsable de traitement et son sous-traitant ?

l'obligation de sécurité de l'article 32 RGPD

Ahhhhhhhhhh, l’obligation de sécurité…

Il était temps ! 

Oui, vous êtes légalement tenu(e) d’assurer un minimum de sécurité des traitements des données personnelles auxquelles vous avez accès (RT ou St, même combat  !).

Découvrez la « pseudonymisation », le chiffrement… l’obligation d’assurer la résilience des données personnelles… 

C’est un peu technique mais ça demande surtout un peu de bon sens.

RGPD e-Privacy données personnelles : violation de données et cyber attaque

Vous suivez l’actualité des cyber attaques ? Et bien lorsque votre système d’information / votre site web se fait « spawner », vous devez en informer la CNIL ! 

C’est ici que vous trouverez un résumé des condamnations prononcées par la CNIL  en 2018 contre des entreprises cyber attaquées :

RGPD e-Privacy données personnelles : les transferts HORS UE de données personnelles

Hélas, en une seule matinée, il n’est pas possible de voir tout le RGPD.

Nous terminerons sur les transferts hors UE de données.

Voyons rapidement les décisions d’adéquations (elles ne sont pas nombreuses) et les clauses type de l’UE.

Attention : ces clauses type de 2010 sont en cours de refonte par l’UE à l’heure ou j’écris ces lignes.

Merci aux éditions Delcourt / Soleil !!!

Contactez-nous

Nous écrire un mail