Conférence Maître LAMACHI-ELKILANI ACSS 2018
- 1. L’impact du Règlement Général sur la Protection des Données personnelles (« RGPD ») sur les sociétés africaines 5 avril 2018 Nacima Lamalchi-Elkilani Avocat IP/IT Europe-Afrique Data Protection Officer A SECURE DIGITAL AFRICA 03-05 avril 2018, Hôtel Sheraton, Oran
- 2. 1. De quoi parle-t-on ? Données personnelles : Toute information identifiant directement ou indirectement une personne physique (ex. nom, no d’immatriculation, no identification nationale, no de téléphone, photographie, date de naissance, commune de résidence, empreinte digitale, adresse IP, données génétiques, photo, vidéo, voix etc.).
- 3. Vous détenez tous des fichiers contenant des données personnelles : - Fichiers RH : vidéosurveillance, badgage… - Données clients/prospects : newsletters, sites… - Fichiers banque/assurance : scoring, fraude - Données de santé - Données chez les opérateurs de communications électroniques…
- 4. Conséquence : Responsable de traitement » (RT) : personne physique ou morale, l'autorité publique, le service ou un autre organisme qui détermine les finalités et les moyens du traitement « Sous-traitant » (ST) : personne physique ou morale, autorité publique, service ou organisme qui traite des données au nom et pour le compte du RT
- 5. Légitime Justifié dans un but défini Minimisée Adéquates, nécessaires Exacte, limitée dans le temps: mise à jour Transparente: Information des personnes Confidentialité Mesures appropriées Conformité ! Les 5 grands principes 5
- 6. 2. Cadre juridique en Afrique 20 législations relatives à la protection des données personnelles et seulement 8 autorités de contrôle REGION PAYS AUTORITE DE CONTRÔLE AFRIQUE DE L’OUEST CAP-VERT Pas d’autorité BURKINA FASO Commission de l’informatique et des libertés (cil.bf) SENEGAL Commission des données personnelles (cdp.sn) BENIN Commission nationale de l’informatique et des libertés (cnilbenin.bj) GHANA Data Protection Commission (dataprotection.org.gh) CÔTE D’IVOIRE Pas d’autorité MALI Pas d’autorité GUINEE CONAKRY Pas d’autorité NIGER Pas d’autorité
- 7. REGION PAYS AUTORITE DE CONTRÔLE AFRIQUE DU NORD MAROC Commission nationale des données personnelles (cndp.ma) TUNISIE Instance Nationale de Protection des Données Personnelles (inpdp.nat.tn) AFRIQUE CENTRALE ANGOLA Pas d’autorité GABON Commission de protection des données personnelles TCHAD Pas d’autorité AFRIQUE AUSTRALE MAURICE Data Protection Office (dataprotection.govmu.org) DJIBOUTI Pas d’autorité SWAZILAND Pas d’autorité AFRIQUE DU SUD Pas d’autorité LESOTHO Pas d’autorité ZIMBABWE Pas d’autorité
- 8. Et l’Algérie ? Loi n°04-15 du 10 novembre 2004 relative aux atteintes aux systèmes de traitement automatisés de données (STAD) Loi 09-04 du 5 août 2009 relative à la prévention et à la lutte contre les infractions liées aux TIC Projet de loi relatif à la protection des personnes physiques en matière de traitement des données personnelles a été adopté le 28 mars 2018 par l’APN
- 9. 3. Pourquoi l’Afrique est concernée par le RGPD ? Champ extraterritorial : responsables du traitement RT ou sous-traitants ST traitant des données de personnes se trouvant sur le territoire de l’UE dans le cadre : a) d’une offre de biens ou de services à ces personnes concernées dans l'Union, à titre onéreux ou gratuit b) du suivi du comportement de ces personnes, dans la mesure où il s'agit d'un comportement qui a lieu au sein de l'Union. »
- 10. Quels risques en cas de non-conformité ? Sanctions financières : 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, de 2% jusqu’à 4% du chiffre d'affaires annuel mondial Actions des personnes concernées Actions en responsabilité contractuelle du RT contre le ST Sanction de perte d’image/réputation : la presse
- 11. 4. L’impact du RGPD sur les sociétés africaines Principales obligations de l’ « Accountability » Désigner un Data Protection Officer (DPO) Obligatoire pour le RT et le ST s’ils appartiennent au secteur public (i) ; si leurs activités principales les amènent à réaliser un suivi régulier et systématique à grande échelle des personnes (ii) ou à traiter, à grande échelle, les données dites « sensibles » ou relatives à des condamnations pénales et à des infractions (iii). 1
- 12. Respecter les droits des personnes fichées Droit d’accès, de rectification et de suppression Droit à l’effacement (droit à l’oubli) Droit à la limitation du traitement Droit à la portabilité des donnes Droit de s’opposer à la prise de décision automatisée (y compris le profilage)
- 13. Documenter la conformité : le registre
- 14. Rédiger les processus internes : - Rédaction des politiques de gestion de données personnelles et confidentialité - Procédures relatives à l'exercice des droits des personnes concernées, notices d'information.. - Procédures d’archivage et de purge - Charte informatique interne - PSSI, PCA/PRA, PAS
- 15. Assurer la sécurité informatique Mesures techniques et organisationnelles : pseudonymisation, chiffrement des données Pseudonymisation : technique qui consiste à traiter les données à caractère personnel de sorte qu’elles ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations complémentaires, ces dernières devant être conservées séparément.
- 16. Obligation de notification des failles de sécurité à l’autorité de contrôle et à la personne concernée (art. 33 et 34 du RGPD) Failles de sécurité 72h pour notifier à l’autorité de contrôle (art. 33 du RGPD) Si risque élevé : communication à la personne concernée (art. 34 du RGPD) Contenu de la notification : • Nature de la violation ; • Nom et coordonnées du DPO ; • Conséquences probables de la violation ; • Mesures prises pour y remédier. Communication dans les meilleurs délais qui décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et les informations et mesures visées à l’article 33 Sauf si : • Le RT a mis en œuvre de mesures techniques et organisationnelles appliquées aux DP affectées ; • Le RT a mis en œuvre des mesures ultérieures garantissant que le risque n’est plus susceptibles de se matérialiser ; • La communication exige des efforts disproportionnés.
- 17. Nouvelles obligations des sous-traitants Conclure un contrat de sous-traitance : Objectif : définir l’étendue de la mission, les obligations (ex: confidentialité, conditions de recrutement d’un autre sous-traitant, gestion des droits des personnes, sort des données à la fin du contrat…), modalités droit d’audit par le RT, formalités de transfert Devoirs de sécurité, de conseil et d’alerte envers le responsable de traitement : analyses d'impact (PIA); prévention et procédures en cas de failles de sécurité
- 18. Les étapes à suivre vers la conformité2 Désigner un DPO Désignation obligatoire dans certains cas et recommandée dans d’autres. Peut être interne ou externe à l’entreprise. « Chef d’orchestre » de la démonstration de conformité. Cartographier vos traitements de données à caractère personnel Registre des traitements : acteurs du traitement, catégories de données traitées, finalités, flux indiquant origine et destination des données, durées de conservation, mesures de sécurité Prioriser les actions à mener Minimisation des données, base juridique du traitement, MàJ des mentions d’information, révision des contrats et engagement des ST, modalités et procédures d’exercice des droits
- 19. Les étapes à suivre2 Gérer les risques Pré-analyse succincte Mener une Analyse d’Impact (PIA) si risque élevé Organiser les processus internes Registre des traitements, analyses d’impact (PIA) encadrement des transferts de données hors UE, information des personnes, modèles de recueil du consentement Documenter la conformité Politique de confidentialité des données et de formation / sensibilisation, procédures de gestion des failles de sécurité, de traitement des demandes des personnes concernées, de conservation des consentement et de gestion des flux de données
- 20. 5. Par où commencer ?
- 21. Les livrables
- 22. Le diagnostic / état des lieux va vous permettre : d’évaluer le Niveau de Maturité de votre organisme par rapport aux dispositions de la loi nationale le cas échéant, mais également au RGPD d’établir le Niveau de Risques actuel de votre organisme de disposer d’une Feuille de Route pour initier la démarche de mise en conformité, décomposée par service de vous proposer une réflexion de Mise en Conformité par service de Réfléchir sur vos processus internes pour démontrer la mise en place de mesures organisationnelles et techniques