SlideShare une entreprise Scribd logo

Cpas divers sujets

Télécharger en tant que PPTX, PDF
Prof. Jacques Folon (Ph.D), profile picture
Prof. Jacques Folon (Ph.D)

Le document traite des codes de conduite et de certification en matière de protection des données personnelles selon le RGPD, soulignant l'importance d'élaborer des normes spécifiques pour différents secteurs. Il explique également que des mécanismes de certification peuvent être mis en place pour démontrer la conformité des responsables du traitement et des sous-traitants, tout en précisant que ces normes doivent respecter des critères rigoureux en lien avec la législation de l'UE. Enfin, il aborde les implications des décisions judiciaires récentes concernant le transfert de données vers les États-Unis et la nécessité d'évaluer les garanties adéquates dans ces transferts.

Formation
1  sur  36
Télécharger pour lire hors ligne
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
Cpas divers sujets
GRAPHICBULB jacques.folon@ichec.be linkedin.com/in/folon … CEO PROFESSEUR DATA PRIV. OFFICER GDPR DIRECTOR KEYNOTE SPEAKER ESSAYISTE Jacques Folon, Ph. D., DPO
Code de conduite Art 40-43 RGPD
Codes de conduite 1. Les États membres, les autorités de contrôle, le comité et la Commission encouragent l'élaboration de codes de conduite destinés à contribuer à la bonne application du présent règlement, compte tenu de la spécificité des différents secteurs de traitement et des besoins spécifiques des micro, petites et moyennes entreprises.
2. Les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants peuvent élaborer des codes de conduite, les modifier ou les proroger, aux fins de préciser les modalités d'application du présent règlement, telles que: a)le traitement loyal et transparent; b)les intérêts légitimes poursuivis par les responsables du traitement dans des contextes spécifiques; c)la collecte des données à caractère personnel; d)la pseudonymisation des données à caractère personnel; e)les informations communiquées au public et aux personnes concernées; f)l'exercice des droits des personnes concernées; g)les informations communiquées aux enfants et la protection dont bénéficient les enfants et la manière d'obtenir le consentement des titulaires de la responsabilité parentale à l'égard de l'enfant; h)les mesures et les procédures visées aux articles 24 et 25 et les mesures visant à assurer la sécurité du traitement visées à l'article 32; i)la notification aux autorités de contrôle des violations de données à caractère personnel et la communication de ces violations aux personnes concernées; j)le transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales; ou k)les procédures extrajudiciaires et autres procédures de règlement des litiges permettant de résoudre les litiges entre les responsables du traitement et les personnes concernées en ce qui concerne le traitement, sans préjudice des droits des personnes concernées au titre des articles 77 et 79.
3. Outre leur application par les responsables du traitement ou les sous-traitants soumis au présent règlement, les codes de conduite qui sont approuvés en vertu du paragraphe 5 du présent article et qui sont d'application générale en vertu du paragraphe 9 du présent article peuvent aussi être appliqués par des responsables du traitement ou des sous-traitants qui ne sont pas soumis au présent règlement en vertu de l'article 3, afin de fournir des garanties appropriées dans le cadre des transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale dans les conditions visées à l'article 46, paragraphe 2, point e). Ces responsables du traitement ou sous-traitants prennent l'engagement contraignant et doté de force obligatoire au moyen d'instruments contractuels ou d'autres instruments juridiquement contraignants, d'appliquer ces garanties appropriées, y compris en ce qui concerne les droits des personnes concernées. 4. Le code de conduite visé au paragraphe 2 du présent article comprend les mécanismes permettant à l'organisme visé à l'article 41, paragraphe 1, de procéder au contrôle obligatoire du respect de ses dispositions par les responsables du traitement ou les sous-traitants qui s'engagent à l'appliquer, sans préjudice des missions et des pouvoirs de l'autorité de contrôle qui est compétente en vertu de l'article 55 ou 56. 5. Les associations et autres organismes visés au paragraphe 2 du présent article qui ont l'intention d'élaborer un code de conduite ou de modifier ou proroger un code de conduite existant soumettent le projet de code, la modifications ou la prorogation à l'autorité de contrôle qui est compétente en vertu de l'article 55. L'autorité de contrôle rend un avis sur la question de savoir si le projet de code, la modification ou la prorogation respecte le présent règlement et approuve ce projet de code, cette modification ou cette prorogation si elle estime qu'il offre des garanties appropriées suffisantes. 6. Lorsque le projet de code, la modification ou la prorogation est approuvé conformément au paragraphe 5, et lorsque le code de conduite concerné ne porte pas sur des activités de traitement menées dans plusieurs États membres, l'autorité de contrôle enregistre et publie le code de conduite.
7. Lorsque le projet de code de conduite concerne des activités de traitement menées dans plusieurs États membres, l'autorité de contrôle qui est compétente en vertu de l'article 55 soumet le projet de code, la modification ou la prorogation, avant approbation, selon la procédure visée à l'article 63, au comité, qui rend un avis sur la question de savoir si le projet de code, la modification ou la prorogation respecte le présent règlement ou, dans la situation visée au paragraphe 3 du présent article, s'il offre des garanties appropriées. 8. Lorsque l'avis visé au paragraphe 7 confirme que le projet de code, la modification ou la prorogation respecte le présent règlement ou, dans la situation visée au paragraphe 3, offre des garanties appropriées, le comité soumet son avis à la Commission. 9. La Commission peut décider, par voie d'actes d'exécution, que le code de conduite, la modification ou la prorogation approuvés qui lui ont été soumis en vertu du paragraphe 8 du présent article sont d'application générale au sein de l'Union. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 93, paragraphe 2. 10. La Commission veille à garantir une publicité appropriée aux codes approuvés dont elle a décidé qu'ils sont d'application générale conformément au paragraphe 9. 11. Le comité consigne dans un registre tous les codes de conduite, les modifications et les prorogations approuvés et les met à la disposition du public par tout moyen approprié.
1. Sans préjudice des missions et des pouvoirs de l'autorité de contrôle compétente au titre des articles 57 et 58, le contrôle du respect du code de conduite en vertu de l'article 40 peut être effectué par un organisme qui dispose d'un niveau d'expertise approprié au regard de l'objet du code et qui est agréé à cette fin par l'autorité de contrôle compétente. 2. Un organisme visé au paragraphe 1 peut être agréé pour contrôler le respect d'un code de conduite lorsque cet organisme a: a)démontré, à la satisfaction de l'autorité de contrôle compétente, son indépendance et son expertise au regard de l'objet du code; b)établi des procédures qui lui permettent d'apprécier si les responsables du traitement et les sous-traitants concernés satisfont aux conditions pour appliquer le code, de contrôler le respect de ses dispositions et d'examiner périodiquement son fonctionnement; c)établi des procédures et des structures pour traiter les réclamations relatives aux violations du code ou à la manière dont le code a été ou est appliqué par un responsable du traitement ou un sous-traitant, et pour rendre ces procédures et structures transparentes à l'égard des personnes concernées et du public; et d)démontré, à la satisfaction de l'autorité de contrôle compétente, que ses tâches et ses missions n'entraînent pas de conflit d'intérêts. 3. L'autorité de contrôle compétente soumet le projet de critères d'agrément d'un organisme visé au paragraphe 1 du présent article au comité en application du mécanisme de contrôle de la cohérence visé à l'article 63. 4. Sans préjudice des missions et des pouvoirs de l'autorité de contrôle compétente et des dispositions du chapitre VIII, un organisme visé au paragraphe 1 du présent article prend, sous réserve des garanties appropriées, des mesures appropriées en cas de violation du code par un responsable du traitement ou un sous- traitant, et peut notamment suspendre ou exclure le responsable du traitement ou le sous-traitant concerné de l'application du code. Il informe l'autorité de contrôle compétente de ces mesures et des raisons pour lesquelles elles ont été prises. 5. L'autorité de contrôle compétente révoque l'agrément d'un organisme visé au paragraphe 1 si les conditions d'agrément ne sont pas ou ne sont plus réunies ou si les mesures prises par l'organisme constituent une violation du présent règlement. 6. Le présent article ne s'applique pas au traitement effectué par les autorités publiques et les organismes publics.
Cpas divers sujets
certification
Article 42 Certification 1. Les États membres, les autorités de contrôle, le comité et la Commission encouragent, en particulier au niveau de l'Union, la mise en place de mécanismes de certification en matière de protection des données ainsi que de labels et de marques en la matière, aux fins de démontrer que les opérations de traitement effectuées par les responsables du traitement et les sous-traitants respectent le présent règlement. Les besoins spécifiques des micro, petites et moyennes entreprises sont pris en considération. 2. Outre l'application par les responsables du traitement ou les sous-traitants soumis au présent règlement, les mécanismes de certification, les labels ou les marques en matière de protection des données approuvés en vertu du paragraphe 5 du présent article peuvent être établis aux fins de démontrer que des responsables du traitement ou des sous-traitants qui ne sont pas soumis au présent règlement en vertu du l'article 3 fournissent des garanties appropriées dans le cadre des transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale dans les conditions visées à l'article 46, paragraphe 2, point f). Ces responsables du traitement ou sous-traitants prennent l'engagement contraignant et exécutoire, au moyen d'instruments contractuels ou d'autres instruments juridiquement contraignants, d'appliquer ces garanties appropriées, y compris en ce qui concerne les droits des personnes concernées. 3. La certification est volontaire et accessible via un processus transparent. 4. Une certification en vertu du présent article ne diminue par la responsabilité du responsable du traitement ou du sous-traitant quant au respect du présent règlement et est sans préjudice des missions et des pouvoirs des autorités de contrôle qui sont compétentes en vertu de l'article 55 ou 56. 5. Une certification en vertu du présent article est délivrée par les organismes de certification visés à l'article 43 ou par l'autorité de contrôle compétente sur la base des critères approuvés par cette autorité de contrôle compétente en application de l'article 58, paragraphe 3, ou par le comité en application de l'article 63. Lorsque les critères sont approuvés par le comité, cela peut donner lieu à une certification commune, le label européen de protection des données. 6. Le responsable du traitement ou le sous-traitant qui soumet son traitement au mécanisme de certification fournit à l'organisme de certification visé à l'article 43 ou, le cas échéant, à l'autorité de contrôle compétente toutes les informations ainsi que l'accès à ses activités de traitement, qui sont nécessaires pour mener la procédure de certification. 7. La certification est délivrée à un responsable du traitement ou à un sous-traitant pour une durée maximale de trois ans et peut être renouvelée dans les mêmes conditions tant que les exigences applicables continuent d'être satisfaites. La certification est retirée, s'il y a lieu, par les organismes de certification visés à l'article 43 ou par l'autorité de contrôle compétente lorsque les exigences applicables à la certification ne sont pas ou plus satisfaites. 8. Le comité consigne dans un registre tous les mécanismes de certification et les labels ou les marques en matière de protection des données et les met à la disposition du public par tout moyen approprié.
Article 43 Organismes de certification 1. Sans préjudice des missions et des pouvoirs de l'autorité de contrôle compétente au titre des articles 57 et 58, les organismes de certification disposant d'un niveau d'expertise approprié en matière de protection des données délivrent et renouvellent les certifications, après en avoir informé l'autorité de contrôle pour qu'elle puisse exercer au besoin les pouvoirs qui lui sont dévolus en vertu de l'article 58, paragraphe 2, point h). Les États membres veillent à ce que ces organismes de certification soient agréés par une des entités suivantes ou les deux: a)l'autorité de contrôle qui est compétente en vertu de l'article 55 ou 56; b) l'organisme national d'accréditation désigné conformément au règlement (CE) no 765/2008 du Parlement européen et du Conseil (20), conformément à la norme EN-ISO/IEC 17065/2012 et aux exigences supplémentaires établies par l'autorité de contrôle qui est compétente en vertu de l'article 55 ou 56.
Cpas divers sujets
Cpas divers sujets
Historique • 2015 première décision contre Safe Harbour • 2016 Début du Privacy shield • 2020 Décision de la CJUE • 2020 plainte contre 101 sociétés européennes (en Belgique Bpost, Roularta) • Décision de l’EDPD de coordonner les réponses des APD • …
Décision de la CJUE concernant le PS • La Cour a examiné la validité de la décision «bouclier de protection des données» (décision 2016/1250 relative à l'adéquation de la protection fournie par le Privacy Shield UE- États- Unis) • La Cour a considéré que les exigences de la législation nationale des États-Unis, et notamment certains programmes autorisant les organismes du secteur public d'accéder à des données à caractère personnel transférées de l'UE vers les États-Unis à des fins de sécurité nationale, entraînent des restrictions en matière de protection des données à caractère personnel qui ne sont pas circonscrites de manière à être conformes aux exigences substantiellement équivalentes aux exigences requises en vertu du droit de l'Union , et que cette législation ne confère aux personnes concernées aucun droit d'action devant les tribunaux contre les autorités américaines. • En conséquence d'un tel degré d'interférence avec les droits fondamentaux des personnes dont les données sont transférées vers ce pays tiers, la Cour a invalidé la décision d’adéquation du bouclier de protection des données.
La réaction américaine
Avons du temps? Existe-t-il une période de grâce pendant laquelle je peux continuer à transférer des données vers les États-Unis sans avoir à évaluer ma base juridique du transfert? Non La Cour a invalidé la décision «bouclier de protection des données» sans en maintenir les effets, car le droit américain évalué par la Cour ne fournit pas un niveau de protection substantiellement équivalent à celui de l'UE. Cette évaluation doit être prise en compte pour tout transfert effectué vers les États-Unis.
https://www.lalibre.be/debats/opinions/protection-des-donnees-personnelles-vers-une-disparition-de-facebook-et-des-gafa-en-europe-5f758663d8ad586219d12163 Ou en sommes- nous?
Cpas divers sujets
Avons-nous des solutions? • Relire les contrats • Clauses contractuelles types ? • Consentement ? • Anonymisation? • Cryptage? • Binding corporate rules? • Intérêt public? • Autres?
Clauses contractuelles types • La Cour a conclu que le droit des États-Unis ne garantit pas un niveau de protection substantiellement équivalent. • La possibilité de transférer ou non des données à caractère personnel sur la base de clauses contractuelles types dépendra du résultat de votre évaluation, en tenant compte des circonstances des transferts, et des mesures supplémentaires que vous pourriez mettre en place. • Les mesures supplémentaires ainsi que les clauses contractuelles types émergeant d'une analyse au cas par cas des circonstances relatives au transfert doivent assurer que le droit des États-Unis n'affecte pas le niveau de protection adéquat qu'elles garantissent. • Si vous en arrivez à la conclusion que, compte tenu des circonstances du transfert et des éventuelles mesures supplémentaires, les garanties appropriées ne seraient pas garanties, vous êtes tenu de suspendre ou de mettre fin au transfert de données à caractère personnel. • Toutefois, si vous avez l'intention de continuer à transférer des données malgré cette conclusion, vous devez en informer l'autorité de contrôle dont vous relevez . • Source EDPB
DONC Le droit américain ne garantit pas le niveau de sécurité suffisant Par conséquent les clauses types ne sont plus possibles Vous pouvez essayer en contactant l’APD…
CONSENTEMENT ? => NON Il convient notamment de rappeler que, lorsque les transferts sont fondés sur le consentement de la personne concernée, ledit consentement doit être: explicite, spécifiquement donné pour le transfert ou l’ensemble de transferts de données en question (ce qui signifie que l'exportateur de données doit s'assurer d'obtenir un consentement spécifique avant la mise en place du transfert, même si cela se produit après la collecte des données), et éclairé, en particulier en ce qui concerne les éventuels risques du transfert (autrement dit, la personne concernée doit également être informée des risques spécifiques résultant du fait que ses données seront transférées vers un pays qui ne fournit pas une protection adéquate et qu'aucune garantie appropriée visant à protéger les données n'est mise en œuvre).
Cryptographie ? 1.Encryption. State-of-the-art encryption for data both in transit, including transit through a non- destination country, and held in storage by a destination country, may be an effective supplementary measure provided certain conditions applicable to each scenario are met. 2. For example, encryption is considered an effective supplementary measure where a data exporter uses a hosting service provider in a third country to store personal data (e.g., to store files on a website for backup purposes), provided a number of conditions are satisfied, including that the personal data is processed using strong encryption prior to transmission and that the encryption algorithm is flawlessly implemented.
Pseudonymisation
Binding corporate rules
Intérêt public ? • En ce qui concerne les transferts nécessaires pour des motifs importants d’intérêt public (qui doivent être reconnus par le droit de l’UE ou des États membres ), le comité européen de la protection des données rappelle que l'exigence essentielle pour l'applicabilité de cette dérogation consiste à constater un intérêt public important et ne réside pas dans la nature de l'organisation, et bien que cette dérogation ne se limite pas aux transferts de données «occasionnels», cela ne signifie pas que les transferts de données effectués sur la base de la dérogation d'intérêt public important peuvent être réalisés à grande échelle et de manière systématique. • Au contraire, il convient de respecter le principe général selon lequel les dérogations prévues à l'article 49 du RGPD ne doivent pas devenir «la règle» en pratique, mais qu'elles doivent se limiter à des situations spécifiques, et que chaque exportateur de données doit s'assurer que le transfert répond au critère de stricte nécessité.
Article 49
Alors on fait quoi ? Qy’allez-vous faire?
To do list aujourd’hui Ne pas oublier de TOUT documenter
APD Role de l’APD
Cpas divers sujets
Cpas divers sujets
Audit
Cpas divers sujets

Contenu connexe

PDF
Workshop Sécurité des données
FrenchTechCentral
 
PDF
Données personnelles [RGPD] : le projet de loi adopté
Société Tripalio
 
PDF
Afcdp 2017 mesures de protection des dcp
Denis VIROLE
 
PDF
Projet de loi RGPD : version de la commission au Sénat
Société Tripalio
 
PDF
Protection des donnees (RGPD) : projet de loi adopté
Société Tripalio
 
PDF
Directive GPDR/RGPD du 28/11/2017
Zyxel France
 
PDF
Loi relative à la protection des données personnelles
Société Tripalio
 
PDF
LOI n o 2018-493 du 20 juin 2018 relative à la protection des données ...
Market iT
 
Workshop Sécurité des données
FrenchTechCentral
 
Données personnelles [RGPD] : le projet de loi adopté
Société Tripalio
 
Afcdp 2017 mesures de protection des dcp
Denis VIROLE
 
Projet de loi RGPD : version de la commission au Sénat
Société Tripalio
 
Protection des donnees (RGPD) : projet de loi adopté
Société Tripalio
 
Directive GPDR/RGPD du 28/11/2017
Zyxel France
 
Loi relative à la protection des données personnelles
Société Tripalio
 
LOI n o 2018-493 du 20 juin 2018 relative à la protection des données ...
Market iT
 

Plus de Prof. Jacques Folon (Ph.D) (20)

PPTX
Introduction to digital strategy
Prof. Jacques Folon (Ph.D)
 
PPTX
Ifc jour 1 dpo
Prof. Jacques Folon (Ph.D)
 
PPTX
Ferrer premier cours octobre 2021
Prof. Jacques Folon (Ph.D)
 
PPTX
premier cours saint louis sept 2021
Prof. Jacques Folon (Ph.D)
 
PPTX
Cmd premier cours sept 2021
Prof. Jacques Folon (Ph.D)
 
PPTX
CPAS ET RGPD : direction et DPO
Prof. Jacques Folon (Ph.D)
 
PPTX
le RGPD fossoyeur du marketing digital ?
Prof. Jacques Folon (Ph.D)
 
PPTX
Ifc gdpr strat digit mai 2021
Prof. Jacques Folon (Ph.D)
 
PPTX
Pandemie et vie privee
Prof. Jacques Folon (Ph.D)
 
PPTX
GDPR & digital strategy
Prof. Jacques Folon (Ph.D)
 
PPTX
Cmd de la stratégie au marketing digital
Prof. Jacques Folon (Ph.D)
 
PPTX
Ichec ipr feb 2021
Prof. Jacques Folon (Ph.D)
 
PPTX
Strategy for digital business class #1
Prof. Jacques Folon (Ph.D)
 
PPTX
E comm et rgpd
Prof. Jacques Folon (Ph.D)
 
PPTX
Cmd premier cours
Prof. Jacques Folon (Ph.D)
 
PDF
Cmd cours 1
Prof. Jacques Folon (Ph.D)
 
PPTX
Le dossier RGPD
Prof. Jacques Folon (Ph.D)
 
PPTX
Rh et data DANS LE MONDE APRÈS LE CONFINEMENT
Prof. Jacques Folon (Ph.D)
 
PPTX
RGPD et stratégie digitale
Prof. Jacques Folon (Ph.D)
 
PPTX
Rgpd et rh formation en ligne mars 2020
Prof. Jacques Folon (Ph.D)
 
Introduction to digital strategy
Prof. Jacques Folon (Ph.D)
 
Ifc jour 1 dpo
Prof. Jacques Folon (Ph.D)
 
Ferrer premier cours octobre 2021
Prof. Jacques Folon (Ph.D)
 
premier cours saint louis sept 2021
Prof. Jacques Folon (Ph.D)
 
Cmd premier cours sept 2021
Prof. Jacques Folon (Ph.D)
 
CPAS ET RGPD : direction et DPO
Prof. Jacques Folon (Ph.D)
 
le RGPD fossoyeur du marketing digital ?
Prof. Jacques Folon (Ph.D)
 
Ifc gdpr strat digit mai 2021
Prof. Jacques Folon (Ph.D)
 
Pandemie et vie privee
Prof. Jacques Folon (Ph.D)
 
GDPR & digital strategy
Prof. Jacques Folon (Ph.D)
 
Cmd de la stratégie au marketing digital
Prof. Jacques Folon (Ph.D)
 
Ichec ipr feb 2021
Prof. Jacques Folon (Ph.D)
 
Strategy for digital business class #1
Prof. Jacques Folon (Ph.D)
 
E comm et rgpd
Prof. Jacques Folon (Ph.D)
 
Cmd premier cours
Prof. Jacques Folon (Ph.D)
 
Cmd cours 1
Prof. Jacques Folon (Ph.D)
 
Le dossier RGPD
Prof. Jacques Folon (Ph.D)
 
Rh et data DANS LE MONDE APRÈS LE CONFINEMENT
Prof. Jacques Folon (Ph.D)
 
RGPD et stratégie digitale
Prof. Jacques Folon (Ph.D)
 
Rgpd et rh formation en ligne mars 2020
Prof. Jacques Folon (Ph.D)
 
Publicité

Dernier (20)

PPT
مبادئ و هدف الحركة الكشفية عرض تقديمي.ppt
ssuser23bc2d
 
PPTX
LACTION-DIDACTIQUE-Les-theories-dapprentissage.pptx
OUEDRAOGOISSIAKA1
 
PPTX
Conception de documents et d'interfaces numériques.pptx
boykara096
 
PDF
Cours: Introduction à la Sécurité des Données
HassanSaadaoui2
 
PPTX
Marketing de l'Artisanat et la technique
abderahimAbderahimDj
 
PDF
Mémorisation: guide à l'usage des professeurs en recherche de nouvelles idées
François MEULEMAN
 
PPTX
Approches-et-Statistiques-dEnseignement-Apprentissage.pptx
OUEDRAOGOISSIAKA1
 
PPTX
L'évaluation-Pédagogique pour enseignants.pptx
OUEDRAOGOISSIAKA1
 
PPTX
3.1 COMPRENDRE LES NICHES sur les réseaux.pptx.pptx
Hulda14
 
PPTX
Les-Principales METHODES-PEDAGOGIQUES.pptx
OUEDRAOGOISSIAKA1
 
PPTX
domaine 1.pptxhorgnv,,odl,vjfnghburjf,c,el
zozo50
 
PPT
diaporama pictogrammes de securité2.ppt
AfricanIntelligenceC1
 
PDF
🎓 Le Secret des Profs Captivants - 💡 Pourquoi l’oral est stratégique en class...
Julien Doureve
 
PPTX
Introduction à la gestion des projets et au suivi
PapeSanogo
 
PPTX
le-present-de-lindicatif-ou-le-subjonctif-present-exercice-grammatical-feuill...
reemfarouk4
 
PPTX
Formation Equipement de protection .pptx
AfricanIntelligenceC1
 
PDF
🎓 Le Secret des Profs Captivants - 💡 Enseigner, c’est parler - Introduction_v2
Julien Doureve
 
PDF
_LEAN_MANAGEMENT_Am_lioration_continue_�_1724845102.pdf
medi medi
 
PPTX
4.1 EXEMPLES DE NICHES sur les réseaux.pptx.pptx
Hulda14
 
PDF
Créer sa vidéo pédagogique: interface nomade et principes pédas appliqués aux...
François MEULEMAN
 
مبادئ و هدف الحركة الكشفية عرض تقديمي.ppt
ssuser23bc2d
 
LACTION-DIDACTIQUE-Les-theories-dapprentissage.pptx
OUEDRAOGOISSIAKA1
 
Conception de documents et d'interfaces numériques.pptx
boykara096
 
Cours: Introduction à la Sécurité des Données
HassanSaadaoui2
 
Marketing de l'Artisanat et la technique
abderahimAbderahimDj
 
Mémorisation: guide à l'usage des professeurs en recherche de nouvelles idées
François MEULEMAN
 
Approches-et-Statistiques-dEnseignement-Apprentissage.pptx
OUEDRAOGOISSIAKA1
 
L'évaluation-Pédagogique pour enseignants.pptx
OUEDRAOGOISSIAKA1
 
3.1 COMPRENDRE LES NICHES sur les réseaux.pptx.pptx
Hulda14
 
Les-Principales METHODES-PEDAGOGIQUES.pptx
OUEDRAOGOISSIAKA1
 
domaine 1.pptxhorgnv,,odl,vjfnghburjf,c,el
zozo50
 
diaporama pictogrammes de securité2.ppt
AfricanIntelligenceC1
 
🎓 Le Secret des Profs Captivants - 💡 Pourquoi l’oral est stratégique en class...
Julien Doureve
 
Introduction à la gestion des projets et au suivi
PapeSanogo
 
le-present-de-lindicatif-ou-le-subjonctif-present-exercice-grammatical-feuill...
reemfarouk4
 
Formation Equipement de protection .pptx
AfricanIntelligenceC1
 
🎓 Le Secret des Profs Captivants - 💡 Enseigner, c’est parler - Introduction_v2
Julien Doureve
 
_LEAN_MANAGEMENT_Am_lioration_continue_�_1724845102.pdf
medi medi
 
4.1 EXEMPLES DE NICHES sur les réseaux.pptx.pptx
Hulda14
 
Créer sa vidéo pédagogique: interface nomade et principes pédas appliqués aux...
François MEULEMAN
 
Publicité

Cpas divers sujets

  • 2. GRAPHICBULB [email protected] linkedin.com/in/folon … CEO PROFESSEUR DATA PRIV. OFFICER GDPR DIRECTOR KEYNOTE SPEAKER ESSAYISTE Jacques Folon, Ph. D., DPO
  • 4. Codes de conduite 1. Les États membres, les autorités de contrôle, le comité et la Commission encouragent l'élaboration de codes de conduite destinés à contribuer à la bonne application du présent règlement, compte tenu de la spécificité des différents secteurs de traitement et des besoins spécifiques des micro, petites et moyennes entreprises.
  • 5. 2. Les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants peuvent élaborer des codes de conduite, les modifier ou les proroger, aux fins de préciser les modalités d'application du présent règlement, telles que: a)le traitement loyal et transparent; b)les intérêts légitimes poursuivis par les responsables du traitement dans des contextes spécifiques; c)la collecte des données à caractère personnel; d)la pseudonymisation des données à caractère personnel; e)les informations communiquées au public et aux personnes concernées; f)l'exercice des droits des personnes concernées; g)les informations communiquées aux enfants et la protection dont bénéficient les enfants et la manière d'obtenir le consentement des titulaires de la responsabilité parentale à l'égard de l'enfant; h)les mesures et les procédures visées aux articles 24 et 25 et les mesures visant à assurer la sécurité du traitement visées à l'article 32; i)la notification aux autorités de contrôle des violations de données à caractère personnel et la communication de ces violations aux personnes concernées; j)le transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales; ou k)les procédures extrajudiciaires et autres procédures de règlement des litiges permettant de résoudre les litiges entre les responsables du traitement et les personnes concernées en ce qui concerne le traitement, sans préjudice des droits des personnes concernées au titre des articles 77 et 79.
  • 6. 3. Outre leur application par les responsables du traitement ou les sous-traitants soumis au présent règlement, les codes de conduite qui sont approuvés en vertu du paragraphe 5 du présent article et qui sont d'application générale en vertu du paragraphe 9 du présent article peuvent aussi être appliqués par des responsables du traitement ou des sous-traitants qui ne sont pas soumis au présent règlement en vertu de l'article 3, afin de fournir des garanties appropriées dans le cadre des transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale dans les conditions visées à l'article 46, paragraphe 2, point e). Ces responsables du traitement ou sous-traitants prennent l'engagement contraignant et doté de force obligatoire au moyen d'instruments contractuels ou d'autres instruments juridiquement contraignants, d'appliquer ces garanties appropriées, y compris en ce qui concerne les droits des personnes concernées. 4. Le code de conduite visé au paragraphe 2 du présent article comprend les mécanismes permettant à l'organisme visé à l'article 41, paragraphe 1, de procéder au contrôle obligatoire du respect de ses dispositions par les responsables du traitement ou les sous-traitants qui s'engagent à l'appliquer, sans préjudice des missions et des pouvoirs de l'autorité de contrôle qui est compétente en vertu de l'article 55 ou 56. 5. Les associations et autres organismes visés au paragraphe 2 du présent article qui ont l'intention d'élaborer un code de conduite ou de modifier ou proroger un code de conduite existant soumettent le projet de code, la modifications ou la prorogation à l'autorité de contrôle qui est compétente en vertu de l'article 55. L'autorité de contrôle rend un avis sur la question de savoir si le projet de code, la modification ou la prorogation respecte le présent règlement et approuve ce projet de code, cette modification ou cette prorogation si elle estime qu'il offre des garanties appropriées suffisantes. 6. Lorsque le projet de code, la modification ou la prorogation est approuvé conformément au paragraphe 5, et lorsque le code de conduite concerné ne porte pas sur des activités de traitement menées dans plusieurs États membres, l'autorité de contrôle enregistre et publie le code de conduite.
  • 7. 7. Lorsque le projet de code de conduite concerne des activités de traitement menées dans plusieurs États membres, l'autorité de contrôle qui est compétente en vertu de l'article 55 soumet le projet de code, la modification ou la prorogation, avant approbation, selon la procédure visée à l'article 63, au comité, qui rend un avis sur la question de savoir si le projet de code, la modification ou la prorogation respecte le présent règlement ou, dans la situation visée au paragraphe 3 du présent article, s'il offre des garanties appropriées. 8. Lorsque l'avis visé au paragraphe 7 confirme que le projet de code, la modification ou la prorogation respecte le présent règlement ou, dans la situation visée au paragraphe 3, offre des garanties appropriées, le comité soumet son avis à la Commission. 9. La Commission peut décider, par voie d'actes d'exécution, que le code de conduite, la modification ou la prorogation approuvés qui lui ont été soumis en vertu du paragraphe 8 du présent article sont d'application générale au sein de l'Union. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 93, paragraphe 2. 10. La Commission veille à garantir une publicité appropriée aux codes approuvés dont elle a décidé qu'ils sont d'application générale conformément au paragraphe 9. 11. Le comité consigne dans un registre tous les codes de conduite, les modifications et les prorogations approuvés et les met à la disposition du public par tout moyen approprié.
  • 8. 1. Sans préjudice des missions et des pouvoirs de l'autorité de contrôle compétente au titre des articles 57 et 58, le contrôle du respect du code de conduite en vertu de l'article 40 peut être effectué par un organisme qui dispose d'un niveau d'expertise approprié au regard de l'objet du code et qui est agréé à cette fin par l'autorité de contrôle compétente. 2. Un organisme visé au paragraphe 1 peut être agréé pour contrôler le respect d'un code de conduite lorsque cet organisme a: a)démontré, à la satisfaction de l'autorité de contrôle compétente, son indépendance et son expertise au regard de l'objet du code; b)établi des procédures qui lui permettent d'apprécier si les responsables du traitement et les sous-traitants concernés satisfont aux conditions pour appliquer le code, de contrôler le respect de ses dispositions et d'examiner périodiquement son fonctionnement; c)établi des procédures et des structures pour traiter les réclamations relatives aux violations du code ou à la manière dont le code a été ou est appliqué par un responsable du traitement ou un sous-traitant, et pour rendre ces procédures et structures transparentes à l'égard des personnes concernées et du public; et d)démontré, à la satisfaction de l'autorité de contrôle compétente, que ses tâches et ses missions n'entraînent pas de conflit d'intérêts. 3. L'autorité de contrôle compétente soumet le projet de critères d'agrément d'un organisme visé au paragraphe 1 du présent article au comité en application du mécanisme de contrôle de la cohérence visé à l'article 63. 4. Sans préjudice des missions et des pouvoirs de l'autorité de contrôle compétente et des dispositions du chapitre VIII, un organisme visé au paragraphe 1 du présent article prend, sous réserve des garanties appropriées, des mesures appropriées en cas de violation du code par un responsable du traitement ou un sous- traitant, et peut notamment suspendre ou exclure le responsable du traitement ou le sous-traitant concerné de l'application du code. Il informe l'autorité de contrôle compétente de ces mesures et des raisons pour lesquelles elles ont été prises. 5. L'autorité de contrôle compétente révoque l'agrément d'un organisme visé au paragraphe 1 si les conditions d'agrément ne sont pas ou ne sont plus réunies ou si les mesures prises par l'organisme constituent une violation du présent règlement. 6. Le présent article ne s'applique pas au traitement effectué par les autorités publiques et les organismes publics.
  • 11. Article 42 Certification 1. Les États membres, les autorités de contrôle, le comité et la Commission encouragent, en particulier au niveau de l'Union, la mise en place de mécanismes de certification en matière de protection des données ainsi que de labels et de marques en la matière, aux fins de démontrer que les opérations de traitement effectuées par les responsables du traitement et les sous-traitants respectent le présent règlement. Les besoins spécifiques des micro, petites et moyennes entreprises sont pris en considération. 2. Outre l'application par les responsables du traitement ou les sous-traitants soumis au présent règlement, les mécanismes de certification, les labels ou les marques en matière de protection des données approuvés en vertu du paragraphe 5 du présent article peuvent être établis aux fins de démontrer que des responsables du traitement ou des sous-traitants qui ne sont pas soumis au présent règlement en vertu du l'article 3 fournissent des garanties appropriées dans le cadre des transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale dans les conditions visées à l'article 46, paragraphe 2, point f). Ces responsables du traitement ou sous-traitants prennent l'engagement contraignant et exécutoire, au moyen d'instruments contractuels ou d'autres instruments juridiquement contraignants, d'appliquer ces garanties appropriées, y compris en ce qui concerne les droits des personnes concernées. 3. La certification est volontaire et accessible via un processus transparent. 4. Une certification en vertu du présent article ne diminue par la responsabilité du responsable du traitement ou du sous-traitant quant au respect du présent règlement et est sans préjudice des missions et des pouvoirs des autorités de contrôle qui sont compétentes en vertu de l'article 55 ou 56. 5. Une certification en vertu du présent article est délivrée par les organismes de certification visés à l'article 43 ou par l'autorité de contrôle compétente sur la base des critères approuvés par cette autorité de contrôle compétente en application de l'article 58, paragraphe 3, ou par le comité en application de l'article 63. Lorsque les critères sont approuvés par le comité, cela peut donner lieu à une certification commune, le label européen de protection des données. 6. Le responsable du traitement ou le sous-traitant qui soumet son traitement au mécanisme de certification fournit à l'organisme de certification visé à l'article 43 ou, le cas échéant, à l'autorité de contrôle compétente toutes les informations ainsi que l'accès à ses activités de traitement, qui sont nécessaires pour mener la procédure de certification. 7. La certification est délivrée à un responsable du traitement ou à un sous-traitant pour une durée maximale de trois ans et peut être renouvelée dans les mêmes conditions tant que les exigences applicables continuent d'être satisfaites. La certification est retirée, s'il y a lieu, par les organismes de certification visés à l'article 43 ou par l'autorité de contrôle compétente lorsque les exigences applicables à la certification ne sont pas ou plus satisfaites. 8. Le comité consigne dans un registre tous les mécanismes de certification et les labels ou les marques en matière de protection des données et les met à la disposition du public par tout moyen approprié.
  • 12. Article 43 Organismes de certification 1. Sans préjudice des missions et des pouvoirs de l'autorité de contrôle compétente au titre des articles 57 et 58, les organismes de certification disposant d'un niveau d'expertise approprié en matière de protection des données délivrent et renouvellent les certifications, après en avoir informé l'autorité de contrôle pour qu'elle puisse exercer au besoin les pouvoirs qui lui sont dévolus en vertu de l'article 58, paragraphe 2, point h). Les États membres veillent à ce que ces organismes de certification soient agréés par une des entités suivantes ou les deux: a)l'autorité de contrôle qui est compétente en vertu de l'article 55 ou 56; b) l'organisme national d'accréditation désigné conformément au règlement (CE) no 765/2008 du Parlement européen et du Conseil (20), conformément à la norme EN-ISO/IEC 17065/2012 et aux exigences supplémentaires établies par l'autorité de contrôle qui est compétente en vertu de l'article 55 ou 56.
  • 15. Historique • 2015 première décision contre Safe Harbour • 2016 Début du Privacy shield • 2020 Décision de la CJUE • 2020 plainte contre 101 sociétés européennes (en Belgique Bpost, Roularta) • Décision de l’EDPD de coordonner les réponses des APD • …
  • 16. Décision de la CJUE concernant le PS • La Cour a examiné la validité de la décision «bouclier de protection des données» (décision 2016/1250 relative à l'adéquation de la protection fournie par le Privacy Shield UE- États- Unis) • La Cour a considéré que les exigences de la législation nationale des États-Unis, et notamment certains programmes autorisant les organismes du secteur public d'accéder à des données à caractère personnel transférées de l'UE vers les États-Unis à des fins de sécurité nationale, entraînent des restrictions en matière de protection des données à caractère personnel qui ne sont pas circonscrites de manière à être conformes aux exigences substantiellement équivalentes aux exigences requises en vertu du droit de l'Union , et que cette législation ne confère aux personnes concernées aucun droit d'action devant les tribunaux contre les autorités américaines. • En conséquence d'un tel degré d'interférence avec les droits fondamentaux des personnes dont les données sont transférées vers ce pays tiers, la Cour a invalidé la décision d’adéquation du bouclier de protection des données.
  • 18. Avons du temps? Existe-t-il une période de grâce pendant laquelle je peux continuer à transférer des données vers les États-Unis sans avoir à évaluer ma base juridique du transfert? Non La Cour a invalidé la décision «bouclier de protection des données» sans en maintenir les effets, car le droit américain évalué par la Cour ne fournit pas un niveau de protection substantiellement équivalent à celui de l'UE. Cette évaluation doit être prise en compte pour tout transfert effectué vers les États-Unis.
  • 21. Avons-nous des solutions? • Relire les contrats • Clauses contractuelles types ? • Consentement ? • Anonymisation? • Cryptage? • Binding corporate rules? • Intérêt public? • Autres?
  • 22. Clauses contractuelles types • La Cour a conclu que le droit des États-Unis ne garantit pas un niveau de protection substantiellement équivalent. • La possibilité de transférer ou non des données à caractère personnel sur la base de clauses contractuelles types dépendra du résultat de votre évaluation, en tenant compte des circonstances des transferts, et des mesures supplémentaires que vous pourriez mettre en place. • Les mesures supplémentaires ainsi que les clauses contractuelles types émergeant d'une analyse au cas par cas des circonstances relatives au transfert doivent assurer que le droit des États-Unis n'affecte pas le niveau de protection adéquat qu'elles garantissent. • Si vous en arrivez à la conclusion que, compte tenu des circonstances du transfert et des éventuelles mesures supplémentaires, les garanties appropriées ne seraient pas garanties, vous êtes tenu de suspendre ou de mettre fin au transfert de données à caractère personnel. • Toutefois, si vous avez l'intention de continuer à transférer des données malgré cette conclusion, vous devez en informer l'autorité de contrôle dont vous relevez . • Source EDPB
  • 23. DONC Le droit américain ne garantit pas le niveau de sécurité suffisant Par conséquent les clauses types ne sont plus possibles Vous pouvez essayer en contactant l’APD…
  • 24. CONSENTEMENT ? => NON Il convient notamment de rappeler que, lorsque les transferts sont fondés sur le consentement de la personne concernée, ledit consentement doit être: explicite, spécifiquement donné pour le transfert ou l’ensemble de transferts de données en question (ce qui signifie que l'exportateur de données doit s'assurer d'obtenir un consentement spécifique avant la mise en place du transfert, même si cela se produit après la collecte des données), et éclairé, en particulier en ce qui concerne les éventuels risques du transfert (autrement dit, la personne concernée doit également être informée des risques spécifiques résultant du fait que ses données seront transférées vers un pays qui ne fournit pas une protection adéquate et qu'aucune garantie appropriée visant à protéger les données n'est mise en œuvre).
  • 25. Cryptographie ? 1.Encryption. State-of-the-art encryption for data both in transit, including transit through a non- destination country, and held in storage by a destination country, may be an effective supplementary measure provided certain conditions applicable to each scenario are met. 2. For example, encryption is considered an effective supplementary measure where a data exporter uses a hosting service provider in a third country to store personal data (e.g., to store files on a website for backup purposes), provided a number of conditions are satisfied, including that the personal data is processed using strong encryption prior to transmission and that the encryption algorithm is flawlessly implemented.
  • 28. Intérêt public ? • En ce qui concerne les transferts nécessaires pour des motifs importants d’intérêt public (qui doivent être reconnus par le droit de l’UE ou des États membres ), le comité européen de la protection des données rappelle que l'exigence essentielle pour l'applicabilité de cette dérogation consiste à constater un intérêt public important et ne réside pas dans la nature de l'organisation, et bien que cette dérogation ne se limite pas aux transferts de données «occasionnels», cela ne signifie pas que les transferts de données effectués sur la base de la dérogation d'intérêt public important peuvent être réalisés à grande échelle et de manière systématique. • Au contraire, il convient de respecter le principe général selon lequel les dérogations prévues à l'article 49 du RGPD ne doivent pas devenir «la règle» en pratique, mais qu'elles doivent se limiter à des situations spécifiques, et que chaque exportateur de données doit s'assurer que le transfert répond au critère de stricte nécessité.
  • 30. Alors on fait quoi ? Qy’allez-vous faire?
  • 31. To do list aujourd’hui Ne pas oublier de TOUT documenter
  • 35. Audit