# GDPR Book Club frama.link/gdprbookclub :::info ### Avant de commencer... - [Le site officiel de notre GDPR Book Club parisien](https://vergnolle.org/index.php/2017/11/10/gdpr-book-club/) - [L'idée du "book club", cercle de discussion](https://medium.com/@giacecco/the-gdpr-book-club-start-yours-now-4b10bfb505bb) - [Le texte du RGPD](http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32016R0679) - [On peut aussi lire et commenter le texte in-line !](https://mymadison.io/documents/rgpd) ### Quelques liens utiles - [Démystifions le RGPD !](https://cpu.dascritch.net/post/2017/11/30/Ex0067-D%C3%A9mystifions-le-RGPD) ([quizz bonus](https://dascritch.net/vrac/Supports/1711-CAPITOLEDULIBRE-RGPD/1711-CAPITOLEDULIBRE-RGPD.html#/17)) - [GDPR Expert](http://gdpr-expert.eu/) (permet de mettre en lien les articles, considérants et l'ancien droit) - [RGPD : Guide du sous-traitant (CNIL)](https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-un-guide-pour-accompagner-les-sous-traitants) - [Rapide Commentaire du texte](http://oncela.net/gdpr/) - [Le RGPD expliqué ligne par ligne par Marc Rees](https://www.nextinpact.com/news/106135-le-rgpd-explique-ligne-par-ligne-articles-1-a-23.htm) ::: ## 2017-11-27 Première session du cercle ### >>> [Extrait du texte discuté](https://vergnolle.org/wp-content/uploads/2017/11/Re%CC%81glement-2711.pdf) <<< ### Intro Objectifs // Champ d’application matériel // Champ d’application territorial //Définitions // Grands principes de la protection des données. Existaient dans la directive de 95 (95/46) // Conditions applicables au consentement //Données particulières pour la protection de l’enfance//Données sensibles. Ce qui ne sera pas vu ce soir : responsabilité, transfert hors UE, droits utilisateurs, sanction. Le SGAE a repéré 55 points qui demanderont des transcriptions en droit interne, articles qui laissent une marge aux Etat membres, alors qu’en théorie, le règlement est d’application directe. Ils n’ont pas abouti à un texte totalement harmonisé au niveau européen, ce qui était l’ambition initiale. La directive de 1995 n’avait pas vraiment de fondement au niveau des traités, sujet un peu éloigné, d’où un traitement sous l’angle de la libre circulation des données (approche de marché). Seuil minimal permettant de faire circuler des données. Avec le traité de Lisbonne, la place des droits fondamentaux est consacrée en 2009, ce qui permet de traiter de ces questions. Le considérant 12 fait référence claire à l’article 16 : L'article 16, paragraphe 2, du traité sur le fonctionnement de l'Union européenne donne mandat au Parlement européen et au Conseil pour fixer les règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel ainsi que les règles relatives à la libre circulation des données à caractère personnel. La charte des droits fondamentaux (article 8) consacre le droit à la protection. ### On attaque les considérants, 1 à 13 relatifs à l'article 1 du règlement (_Objet et objectifs_) #### Premier considérant paragraphe 1, 2 et 3. "Tout personne" : pas uniquement les citoyens de l'UE. Les règles ne sont pas liées à des conditions de citoyenneté et de résidence.Inclut un touriste qui serait sur le territoire de l'UE. --> volonté d'inclusion large. Inversement, Aux US, la protection est accordée pour un type de données, avec un type de secteurs d'activité et certains acteurs de ce secteurs : conditions cumulatives exclusives. Personnes physiques (PP) versus personnes morales (PM) - entreprises, associations - : le règlement ne s'applique qu'à l'égard des PP. Orientation = ambivalence entre la logique de marché et la protection des données. Libre circulation de principe mais protection. V. Redding affirme que pour un marché numérique fort, il faut qu'il ait une spécificité - par rapport au marché US et cie... - la vie privée est cette spécificité. #### Considérant 4 Conçu pour "servir l'humanité". Emancipation de la protection des données personnelles par rapport à la protection de la vie privée, c'est une différence par rapport à la philosophie de 95. Toute donnée relative à l'individu sera protégée, même si elle n'apparaît pas directement en lien avec l'intimité. Le droit n'est pas absolu : il est mis en balance avec des intérêts légitimes (sécurité publique, concurrence) #### Considérant 5 Pourquoi créer ces règles = augmentation considérable de la circulation des données entre les pays --> besoin de coopération et d'encadrement "solide et plus cohérent". Le considérant 6 est dans la même optique. Logique de marché : il faut de la confiance dans l'économie numérique pour que le marché fonctionne, d'où l'acceptation par les libéraux de certaines protections. Idée de confiance est déjà dans la convention 108 : sans confiance, plus de service. Uniformisation par rapport à l'échelle européenne qui est un niveau pertinent pour éviter le dumping en la matière. "Les personnes physiques devraient avoir le contrôle des données à caractère personnel les concernant" (cons 7) = une influence du droit US. Que signifie ce contrôle : droit de regard, maîtrise ? La sécurité juridique et pratique doit être renforcée (inclusion d'une préoccupation pour les questions pratiques). #### Considérant 8 Le règlement prévoit dans certains cas la possibilité de préciser ou limiter les règles prévues. Le principe n'est pas le mieux disant. Critique du système de 95 : fragmentation dans la législation et la mise en oeuvre (autorités de protection, leurs moyens - ex : critiques sur la CNIL irlandaise - ) --> pas de confiance suffisante du public. D'où la nécessité de ce règlement. #### Considérant 10 Besoin de cohérence et d'homogénéité. "Niveau cohérent et élevé". Mais possibilité pour les Etats de maintenir une différence et de faire une législation sectorielle spécifique, notamment pour les données sensibles. Sans préciser dans quel sens peuvent aller ces marges de manoeuvre, cela sera précisé au cas par cas (ou pas dans certains cas qui ont trait à la liberté d'expression) #### Considérant 11 Les invidus ont des droits vis à vis de ces données, les responsables de traitement ont des obligations. Le fondemement du texte (cons 1 et 12) est l'article 16. #### Considérant 13 Tient compte de la taille des entreprises - certaines obligations ne s'appliqueront pas pour les entreprises de moins de 250 employés. Cela porte sur les **registres des traitements** qui sont fait : obligation de tenir les registres a priori. --> comment est déterminé le nombre d'employé (sur le sol de l'UE ? hors UE ?) Le terme utilisé est "organisation" ce qui est plus large que l'entreprise commerciale. Est ce que ce seuil est pertinent alors que bcq de sociétés ont commencé beaucoup plus bas ? D'où vient de seuil (élevé par rapport aux seuils du droit du travail français) --> article 1, point 3 : "La libre circulation des données à caractère personnel au sein de l'Union n'est ni limitée ni interdite pour des motifs liés à la protection des personnes physiques à l'égard du traitement des données à caractère personnel." L'idée d'absence de limitation est liée à l'objectif d'un marché unique. La circulation n'est pas entravée car règles uniformisées. ### Considérants 14-21, relatifs à l'article 2 du règlement (_Champ d'application matériel_) #### Considérant 14 - "Indépendamment de leur nationalité ou de leur lieu de résidence". Ex : un touriste non européen en Europe, mais aussi des personnes situées hors UE qui achètent sur internet à partir du moment ou l'entreprise se situe dans l'UE. - Exclusion des personnes morales (PM) --> éviter que la protection des intérêts industriels se fasse sur cette base. Il y a déjà eu des tentatives sur la protection du domicile par exemple : des entreprises invoquent ça en justice. #### Considérant 15 Règles technologiquement neutres. #### Considérant 16 Exclusion aux secteurs de la sécurité nationale. Débat sur l'application vis à vis des entreprises US : la limite à la protection ne s'exporte pas. #### Considérant 17 sur l'accès aux données produites par les institutions européennes elles-mêmes. #### Cons 18 exclusions des règles sur la protection des données. Une PP qui fait un traitement à des fins domestique (ex : système de domotique, tenue du carnet d'adresse, échange de correspondance) #### Cons 19 Texte spécifique pour les traitements à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales --> relèvent de la directive (UE) 2016/680 du Parlement européen et du Conseil. #### Cons 20 s'applique, entre autres, aux activités des juridictions et autres autorités judiciaires --> les Etats peuvent gérer cela de manière autonome. Les traitements sur les condamnations sont particuliers. #### Cons 21 directive sur le commerce électronique. Comment la protection générale s'applique par rapport à ce texte sectoriel ? Le règlement s'applique ### Considérants 22-25, relatifs à l'article 3 du règlement (_Champ d'application territorial_) #### Cons 22 - article 3 Application territoriale - inclut les sous-traitants sur le territoire de l'UE. "Responsable du traitement ou d'un sous-traitant sur le territoire de l'Union, que le traitement ait lieu ou non dans l'Union." Avec internet, le champ d'application territorial est remis en cause/questionné. Les gens qui accèdent à internet depuis son territoire, les services qui se dirigent vers un territoire ? Définition la plus large possible : pas de compromis fait avec les droits étrangers. Exercice effectif et réelle d'une activité : critère d'activité + de stabilité. Peu importe que ce soit une filiale. #### Cons 23 Etablissement dans l'UE --> application du droit de l'UE. Quid des entreprise qui ont une activité ciale sur le territoire de l'UE ? "lorsque les activités de traitement sont liées à l'offre de biens ou de services à ces personnes, qu'un paiement soit exigé ou non" --> le règlement s'applique. Ex : si FB n'avait pas de filiale en Irlande, cela s'appliquerait quand même. Comment le déterminer ? "Clair que le responsable du traitement ou le sous-traitant envisage d'offrir des services à des personnes concernées dans un ou plusieurs États membres de l'Union." Accessibilité du site internet, utilisation d'une langue européenne : ne suffit pas en tant que tel. Ce qui détermine = monnaie d'usage, selon la méthode du faisceau d'indices (le juge n'a pas besoin de prouver qu'il y a une activité en europe, c'est au responsable de traitement de pprouver qu'il n'a pas d'activité ) pour déterminer la compétence. #### Cons 24 "lorsque ledit traitement est lié au suivi du comportement de ces personnes dans la mesure où il s'agit de leur comportement au sein de l'Union" --> la définition de comportement est large pour un champ d'application large. #### Cons 25 Si des règles de droit international public disent que c'est applicable, c'est applicable (ex : inclut les ambassades) ### DEFINITIONS - à partir du considérant 26. #### Article 4. «données à caractère personnel" : élément se rapportant à une PP identifiée ou identifiable. Identification directe ou indirecte. ex d'identifiant : "tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale". Même définition que la directive de 95. En france, dans la loi de 78, référence aux données nominatives puis avec la loi de transposition, données à caractère personnelle (plus large et englobant) --> qu'est ce qui rend identifiable ? Moyens raisonnablement susceptibles d'être utilisés En france, le mot "raisonnablement" n'avait pas été repris lors de la transposition de la directive. Donc raisonnablement est un recul en terme de protection. (le terme "raisonnablement" est dans le cons 26) - coût de l'identification - temps nécessaire. Intègre à la fois ce qui se passe à la création du traitement mais aussi ce qui se passe dans le futur et qui détermine si c'est identifiable. "pseudonymisation" (point 5) : pas identifiable directement (éléments extérieurs à la base de données) --> données personnelles. Si données anonymes, le règlement ne s'applique pas - mais si qqun désanonymise, c'est la responsabilité du responsable de traitement et qu'il l'a fait raisonnablement. Y compris données anonymes traitements à des fins de recherche ou statistique : volonté de réaffirmer leur exclusion. #### Cons 27 Pas applicable aux personnes décédées. PSYCHANALYSE COLLECTIVE. LES MEMBRES DU BOOKCLUB ONT UN PROBLEME "RAISONNABLEMENT IDENTIFIABLE" AVEC LA MORT. #### Cons 29 Conditions de pseudonymisation - avoir des données séparées. Les conditions applicables aux données pseudonymisées ont un régime un peu spécial - marges de manoeuve (allègement des obligations dans la documentation en prouvant que la donnée est pseudonymisée) #### Cons 30 Les traces permettent d'identifier les personnes. Ex : Adresses IP, cookies. étiquettes d'identification par radiofréquence = ex, le pacemaker, le pass navigo. Le considérant ne tranche pas le débat si ce sont ou non des données personnelles. #### Cons 31 Autorités publiques ont des données perso (fiscales par exemple) mais intérêt général justifie qu'il y ait des règles différentes. ### LE CONSENTEMENT Définition : manifestation de volonté, libre, spécifique, éclairée et univoque + par une déclaration ou par un acte positif clair --> grand changement par rapport à 95 : exclusion du consentement implicite (silence, case cochée par défaut) = inverse du consentement cookies qui existe aujourd'hui. ### DONNEES SENSIBLES Données génétiques, ADN - définition de l'article 4. #### Cons 35 Définition des données de santé. Données sensibles. Sous traitants - établissement principal - groupe d'entreprises. ### PROTECTION DES ENFANTS Protection spécifique --> droits supplémentaires accordés aux enfants en terme de droit à l'oubli. ## 2017-12-18 Deuxième session du cercle :::success ### Point d'actu - [#PJLRGPD](https://twitter.com/hashtag/PJLRGPD) - Publication du [Projet de loi relatif à la protection des données personnelles](http://www.assemblee-nationale.fr/15/projets/pl0490.asp) (transposition du RGPD en droit français) - [Début des auditions à l'AN](http://www2.assemblee-nationale.fr/static/15/lois/auditions/protection_donnees_personnelles.pdf) _**et pendant ce temps-là...**_ - [_1.4 Billion Clear Text Credentials Discovered in a Single Database_](https://medium.com/4iqdelvedeep/1-4-billion-clear-text-credentials-discovered-in-a-single-database-3131d0a1ae14) - Le Luxembourg va t-il devenir un _data paradise_? [_Luxembourg gov't forces potato farmer to sell land to Google_](http://www.datacenterdynamics.com/content-tracks/colo-cloud/luxembourg-govt-forces-potato-farmer-to-sell-land-to-google/99006.fullarticle) ::: ### >>> [Extrait du texte discuté](https://vergnolle.org/wp-content/uploads/2017/12/ici.pdf) <<< ### [Chapitre 2 (principes)](https://mymadison.io/documents/rgpd?page=2#toc-heading-5) : Article 5 _Lié au [considérant 39](https://mymadison.io/documents/rgpd#toc-heading-39)_ La définition du "traitement" des données personnelles est extrêmement large. Le simple fait d'ouvrir un fichier contenant des données personnelles est un traitement est a pour conséquence que le Rgpd s'applique. Le rôle du responsable du traitement est important danns le sens où il doit garantir et pouvoir démontrer qu'il est en coformmité pour respecter la protection de données. On attend du gestionnaire qu'il mettent en oeuvre des moyens raisonnables pour garantir la sécurité. ([Voir guide du sous-traitant](https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-un-guide-pour-accompagner-les-sous-traitants)) ### Article 6 1. Condition de la **licéité** des traitements : - consentement - contrat (cf. considération 44) - obligation légale (cons. 45) - sauvegarde des intérêts vitaux - intérêt légitime (cf considérant 47, 49) - mission d'intérêt publique (recensement ?) 4. Lorsque la collecte des données est effectuée dans d'autres finalité que la collecte initiale. Son utilisation finale doit être justifiée par la raison de collecte initiale. #PrivacyByDesign. Elle doivent compte d'au moins quatre éléments : - Existence éventuelle d'un lien entre la collecte initiale et l'usage final. - Le contexte - De la nature de données - Des conséquences possible de la collecte - De l'éxistence de garanties. ### Article 7 _[Considérants 42 et 43](https://mymadison.io/documents/rgpd#toc-heading-42)_ 1. Charge de la preuve Si vous êtes responsable de traitement vous devez prouver que vous avez obtenu le consentement. 2. Principe des clauses abusives Une clause abusive est considérée comme inconséquente 3. Le consentement peut être retiré à tout moment. "Il est aussi simple de retirer que de donner son consentement." 4. Le RGPD défend (sans l'expliciter) le principe qu'on ne peut pas payer un service avec ses données. ### Article 8 1. Consentement licite à partir de 16 ans. Les États membres peuvent prévoir par la loi un âge inférieur mais pas en-dessous de 13 ans. ### Article 9 ### Article 10 ### Article 11 _Considérant 57_ ### Article 12 Le responsable doit donner accès aux données de manière aisément accessible. Elles peuvent être données par orale à condition que l'identité soit garanties. ### Article 13 ## 2018-01-08 Troisième session du cercle de discussion :::success - [#PJLRGPD](https://twitter.com/hashtag/PJLRGPD) **Rappel définitions** - Responsable de traitement : toute personne physique ou morale qui traite des données à caractères personnelles. Ne serait-ce qu'ouvrir un fichier contenant des données à caractère personnel constitue un *traitement*. _**et pendant ce temps-là...**_ - Attaques [Meltdown](https://en.wikipedia.org/wiki/Meltdown_(security_vulnerability)) et [Spectre](https://en.wikipedia.org/wiki/Spectre_(security_vulnerability)) ([site officiel](https://meltdownattack.com/)) ::: ### >>> [Extrait du texte discuté](https://vergnolle.org/wp-content/uploads/2018/01/GDPR3.pdf) <<< ### [Chapitre 3 (Droits de la personne concernée)](https://mymadison.io/documents/rgpd?page=2#toc-heading-13) ### Article 12 _Lié au [considérant 58](https://mymadison.io/documents/rgpd#toc-heading-58)_ Droits de la personne dont les données ont été traitées. Le texte doit être aisément compréhensible, même par des enfants. Les informations doivent être fournies par écrit : besoin de rapporter la preuve. Possible par oral mais conditions particulières qui s'appliquent. Le responsable de traitement doit répondre à une demande dans les meilleurs délais ### Articles 13 et 14 Collecte directe (ou pas) des données auprès de la personne concernée. Ex : utilisateur veut créer un compte sur Youtube, Google doit fournir l'identité et les coordonnées du responsable du traitement (personne morale ou physique), les coordonnées du DPD s'il y en a un ### Article 15 Droit d'accès aux données et aux finalités du traitement ## 2017-01-30 Quatrième session du cercle :::success ### Point d'actu - [#PJLRGPD](https://twitter.com/hashtag/PJLRGPD) [#MesDonnéesPerso](https://twitter.com/hashtag/MesDonn%C3%A9esPerso) - Le texte de transposition a été adopté en commission des lois de l'AN. - Les actions de groupe ont été reconnues en droit français. Cool. - Arrêt de la CJUE dans l'affaire C-498/16 (Schrems, N° 7/2018, 25 janvier 2018) ::: ### >>> [Extrait du texte discuté](https://vergnolle.org/wp-content/uploads/2018/01/BookClub4.pdf) <<< ### [Article 17](https://donnees-personnelles.parlement-ouvert.fr/reglement-2016-679/chapitre-iii/section-3/article-17) : Droit à l'oubli "En résumé c'est compliqué et pas clair." -- Suzanne Vergnolle ### Article 18 : Droit à la limitation du traitement _Lié au [considérant 67](https://donnees-personnelles.parlement-ouvert.fr/reglement-2016-679/considerants/considerant-67)_ En gros la personne a droit à ce que le traitement soit limité dans certains cas. Peu d'applications concrètes en fait. ### Article 19 : Obligation de notification en ce qui concerne la rectification ou l'effacement de données à caractère personnel ou la limitation du traitement Une entreprise travaille avec d'autres entreprises partenaires, avec lesquelles elle échange des données. ## 2018-02-19 Cinquième session du cercle :::success ### Rappels - [Définitions](https://donnees-personnelles.parlement-ouvert.fr/reglement-2016-679/chapitre-i/article-4) (article 4 RGPD) - [Dossier législatif](https://donnees-personnelles.parlement-ouvert.fr/) ### Point d'actu - [#PJLRGPD](https://twitter.com/hashtag/PJLRGPD) [#MesDonnéesPerso](https://twitter.com/hashtag/MesDonn%C3%A9esPerso) - Texte de loi adopté en première lecture à l'AN ::: ### >>> [Extrait du texte discuté](https://vergnolle.org/wp-content/uploads/2018/02/GDPR-5.pdf) <<< ### [Article 24](https://donnees-personnelles.parlement-ouvert.fr/reglement-2016-679/chapitre-iv/section-1/article-24) : Responsabilité des responsables de traitement _Considérants [74](https://donnees-personnelles.parlement-ouvert.fr/reglement-2016-679/considerants/considerant-74), [75](https://donnees-personnelles.parlement-ouvert.fr/reglement-2016-679/considerants/considerant-75)_ ### Article 25 : Principes du Privacy by design et privacy by default ## 2018-03-26 6ème session du cercle :::success ### Rappels ### Point d'actu - [#PJLRGPD](https://twitter.com/hashtag/PJLRGPD) [#MesDonnéesPerso](https://twitter.com/hashtag/MesDonn%C3%A9esPerso) - Cambridge Analytica - CLOUD Act - Passage au Sénat ::: ### Article 30: Registre de traitements - Obligatoire pour entreprises de plus de 250 employés ou traitements non-occassionels/risque aux libertés/.. - [Exemple CNIL](https://www.cnil.fr/fr/cartographier-vos-traitements-de-donnees-personnelles) ### Article 31: Obligation de coopération avec l'autorité de contrôle (CNIL) ### Article 32: Sécurité des données - Chiffrement/Pseudo-anonymisation des données personnelles ### Article 33: Notifier une violation de données personnelles ex: faille de sécurité, 72h pour le notifier à la CNIL ### Article 34 ### Article 35 ## 2018-04-09 7ème session du cercle :::success ### Point d'actu - Cambridge Analytica - Passage au Sénat - [Publishers Haven't Realized How Big a Deal GDPR Is](https://baekdal.com/strategy/publishers-havent-realized-just-how-big-a-deal-gdpr-is/) - Discussion qui contient cette perle : > Honestly, the best thing to do if you don’t have a high percentage of EU users/customers is to simply block EU IPs. First it was the completely useless cookie notifications, now it’s GDPR, and nobody knows what the next thing will be - we only know that there _will_ be a next thing (there always is), and that it too will be costly and burdensome to comply with. Unless you derive a significant percentage of your revenue from EU users, it just isn’t worth it to try to keep up with the increasingly demanding whims of a heavy-handed European government. - [Zucky prend la parole](https://www.facebook.com/zuck/posts/10104797374385071) et annonce la création d'une "commission indépendante" sur les élections, et financée par "Laura and John Arnold Foundation, Democracy Fund, the William and Flora Hewlett Foundation, the John S. and James L. Knight Foundation, the Charles Koch Foundation, the Omidyar Network, and the Alfred P. Sloan Foundation" ::: ### Article 36 : Consultation préalable - le paragraphe 4 définit l'encadrement est mal écrit mais le considérant 96 aide à sa compréhension ## Section 4 : Délégué à la protection des données ### Article 37 Désignation du délégué à la protection des données - Discussion sur l'exclusion des juridictions du 1a). Le regime dérogatoire peut s'expliquer par la nature des activités (on ne veut pas supprimer la mention d'une condamnation) - Quel écart à la réalité ? Les DPO sont parfois à l'informatique. Dans ses fonctions de DPO est indépendant. ### Article 38 Fonction du délégué à la protection des données Le DPO doit dire de faire mais n'est pas responsable du fait que cela ait été fait ou non. Il s'agit de ne pas responsabiliser le DPO en lieu et place de l'entreprise et du responsable du traitement. ### Article 38 Fonction du délégué à la protection des données ## Section 5 : Code de conduite et certification *Partie la moins palpilante selon les considérations de certaines ou certaines* ### Article 40, 41 et 42 *Le responsable de la prise de note a beaucoup trop décroché pour faire une prise de note*