Étiquette: RGPD

Lumières sur le projet de lignes directrices du CEPD sur les Responsables de traitement et Sous-traitants dans le cadre du RGPD (4ème partie)

Partie 4 : Les tiers et destinataires

Cet article est le quatrième d’une série sur le projet de Lignes directrices 07/2020 sur les notions de responsable de traitement et de sous-traitant dans le cadre du RGPD publié par le Comité Européen de la Protection des Données (« CEPD ») le 7 septembre 2020 (le « projet de lignes directrices »). Il traite des notions de « tiers » et « destinataire » dans le projet de lignes directrices.

Lire la suite

Lumières sur le projet de lignes directrices du CEPD sur les Responsables de traitement et Sous-traitants dans le cadre du RGPD (3ème partie)

Partie 3 : Les responsables conjoints de traitement

Cet article est le troisième d’une série sur le projet de Lignes directrices 07/2020 sur les notions de responsable de traitement et de sous-traitant dans le cadre du RGPD, en anglais Guidelines 07/2020 on the concepts of controller and processor in the GDPR, publié par le Comité Européen de la Protection des Données (« CEPD ») le 7 septembre 2020 (le « projet de lignes directrices »). 

Lire la suite

Lumières sur le projet de lignes directrices du CEPD sur les Responsables de traitement et Sous-traitants dans le cadre du RGPD (2ème partie)

Partie 2 : Les responsables de traitement

EU FlagCet article est le deuxième d’une série sur le projet de Lignes directrices 07/2020 sur les notions de responsable du traitement et de sous-traitant dans le cadre du RGPD en anglais  Guidelines 07/2020 on the concepts of controller and processor in the GDPR, publié par le Comité Européen de la Protection des Données (CEPD) le 7 septembre 2020 (le « projet de lignes directrices »).

Lire la suite

Lumières sur le projet de lignes directrices du CEPD sur les responsables de traitement et sous-traitants dans le cadre du RGPD (1ère partie)

EU FlagCet article est le premier d’une série destinée à aborder les concepts et questions clefs traités dans le projet d’un ensemble de lignes directrices récemment publié par le Comité Européen de Protection des Données « CEPD » ou en anglais « EDPB ».  Les commentaires sur le projet de lignes directrices devaient être soumis avant le 19 octobre 2020.

Partie 1 : Les sous-traitants

Le CEPD a publié le 7 septembre 2020 un projet de Lignes directrices 07/2020 sur les notions de responsable de traitement et sous-traitant dans le cadre du RGPD,  en anglais  Guidelines 07/2020 on the concepts of controller and processor in the GDPR.

Lire la suite

La CJUE condamne le Privacy Shield et sauve les Clauses Contractuelles Type mais avec d’importantes mises en garde.

privacy shieldArrêt en grande chambre de la CJUE du 16 juillet 2020 dans l’affaire C311/18   (dite « Schrems II ») http://curia.europa.eu/juris/document/document.jsf?text=&&docid=228677&&pageIndex=0  

La CJUE a rendu le 16 juillet 2020 une décision historique (dite « Schrems II ») concernant le transfert international de données personnelles. Cette décision invalide la décision d’adéquation de la Commission européenne sur le Privacy Shield (« bouclier de protection des données ») entre l’UE et les Etats-Unis sur lequel s’appuyaient des milliers d’entreprises américaines pour transférer légalement des données personnelles de l’Union vers les Etats-Unis.

Lire la suite

Invalidation du Privacy Shield mais pas des Clauses Contractuelles Types par la CJUE (« Schrems II »)

privacy shield

Décision de la cour de Justice de l’Union Européenne du 16 juillet 2020 Affaire C311/18

Communiqué de presse https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091fr.pdf

La décision tant attendue et redoutée dans l’affaire « Shrems II » vient de tomber. La Cour de Justice de l’Union Européenne vient d’invalider le Privacy Shield !

Lire la suite

Lignes directrices sur le champ d’application territorial du RGPD / GDPR

Le Comité Européen de Protection des Données (CEPD ; en anglais EDPB) a enfin publié la version finale  (pour l’instant en anglais) de ses lignes directrices sur l’article 3 du Règlement Général sur la Protection des Données (RGPD)[1].  Ceci est une mise à jour de notre précédent article sur le projet de lignes directrices.

Les entreprises françaises ont intérêt à pouvoir déterminer si le RGPD s’applique ou non à leur partenaire situé en dehors de l’UE et les conséquences qui s’en suivent.

Lire la suite

Utilisation du numéro de sécurité sociale sous le RGPD et la loi Informatique et libertés

En application de l’article 87 du Règlement Général sur la Protection des Données ou « RGPD »[1], la loi nationale peut préciser les conditions spécifiques du traitement d’un numéro d’identification national ou de tout autre identifiant d’application générale tel que le numéro de sécurité sociale ou « NIR ».

Ce numéro est considéré en France comme une donnée personnelle à protéger tout particulièrement en raison d’une part, de son caractère unique et d’autre part, du fait que le numéro en lui-même contient des données personnelles.

Lire la suite

Un des nombreux visages de RGPD alias GDPR

Après avoir été personnifié(e) par Stephanie Faber à l’université des DPO de Janvier 2018 de l’AFCDP  (« Radio, Golf, Papa, Delta »),  RGPD est revenu(e) en janvier 2019 sous la forme d’un personnage de cartoon avec une hotte de Noël remplie de Lignes directrices et autres compléments du Comité Européen à la Protection des Données (CEPD ou EDPB en anglais).

« Le G29 est mort, vive le CEPD ! 



Lire la suite

Lignes directrices de l’EDPB sur le champ d’application territorial du RGPD / GDPR

Le Comité Européen de Protection des Données (en anglais EDPB) a enfin publié un projet (en anglais) de lignes directrices « draft guidelines » sur l’article 3 du Règlement Général sur la Protection des Données (RGPD).  Ce projet est soumis à consultation jusqu’au 18 janvier 2019.

Les entreprises françaises ont intérêt à pouvoir déterminer si le RGPD s’applique ou non à leur partenaire situé en dehors de l’UE et les conséquences qui s’en suivent.

Lire la suite

Dans quelle mesure le RGPD a-t-il aussi un impact en dehors de l’Union européenne ?

Applicable depuis le 25 mai 2018 dans chaque État membre de l’UE, le règlement général sur la protection des données (RGPD) a vocation à s’étendre à l’Espace économique européen dès que celui-ci l’aura adopté[1] , mais il aura un impact au-delà de ces pays.

 

Les entreprises établies dans l’UE

Le règlement général sur la protection des données (RGPD) s’applique aux entreprises « établies » dans l’Union européenne (UE) qui agissent en tant que « responsable de traitement » (entité qui décide des finalités et des moyens d’un traitement de données) ou « sous-traitant » (prestataire n’agissant que pour le compte du client et sur instruction).

Lire la suite

La CNIL a publié le bilan des 4 premiers mois du RGPD

Les professionnels en France

– 24 500 organismes ont désigné un délégué à la protection des données (personnes physiques ou morales) ; ce qui représente 13 000 DPO.
– Plus de 600 notifications de violations de données ont été reçues, concernant environ 15 millions de personnes, soit environ 7 par jour depuis le 25 mai.
– Plus d’une centaine de demandes d’autorisation « santé », notamment en matière de recherche.

Lire la suite

Le RGPD couvre désormais l’EEE !

www.efta.int/EEA/news/General-Data-Protection-Regulation-GDPR-entered-force-EEA-509576

L’Espace Économique Européen ou « EEE » est constitué par les États membres de l’Union Européenne (actuellement 28 États jusqu’au Brexit) et trois des quatre États membres de l’Association européenne de libre-échange (AELE), à savoir : l’Islande, la Norvège et le Liechtenstein (le quatrième membre de l’AELE étant la Suisse).

Lire la suite

Attention aux courriers frauduleux sur la « Mise en conformité RGPD »

Bon nombre de sociétés (dont certains de nos clients) ont reçus des courriers trompeurs, certains ressemblant à des mises en demeure d’une autorité publique fictive ou reproduisant le logo de la CNIL.

Exemples

Exemple

Il s’agit notamment de :

  • Faux formulaires « Déclaration normale RGPD » reproduisant frauduleusement le logo de la CNIL
  • Courriers ayant pour objet « Mise en conformité –rappel » avec le logo usurpé de la CNIL ou des fax « RGPD – Mise en conformité » invitant à appeler un service d’assistance téléphonique centralisé.


Lire la suite

RGPD/ GDPR te voilà !

Le compte à rebours est presque terminé puisque le vendredi 25 mai 2018, après les ponts et entre les jours de grève, le RGPD (ou GPDR pour les anglophones) prend effet.

 

 

RGPD/ GDPR te voilà !

Si vous avez besoin d’aide, que ce soit en France, dans d’autres pays européens, ou dans vos relations avec des sociétés basées en dehors de l’UE, n’hésitez pas à avoir recours aux services de notre équipe internationale « Données Personnelles et Cyber-sécurité ».

Lire la suite

Quelles directives officielles pour la mise en œuvre du Règlement Européen sur la Protection des Données ?

Plus que 4 mois pour se mettre en conformité avec le Règlement Européen sur la Protection des Données ! Les entreprises doivent désormais se mobiliser de toute urgence afin de mettre en place les mesures requises par le RGPD.

Bien que la plupart des principes et des obligations énoncés dans le RGDP ne soient pas nouveaux, le RGPD met en place une série de règles complexes et interdépendantes dont l’application pratique est souvent très floue.

Lire la suite

Le projet de loi adaptant la Loi informatique et libertés au RGPD

Projet de loi relatif à la protection des données personnelles

Le gouvernement a rendu public le 13 décembre 2017 « le projet de loi relatif à la protection des données personnelles », ayant pour but d’accompagner la prise d’effet en France du Règlement Général sur la Protection des Données, Règlement  2016/679 (« RGPD ») et la Directive 2016/680 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités à des fins de prévention et de détection des pénales, et à la libre circulation de ces données.

Lire la suite

RGPD : Le G29 met à jour les documents sur les BCR ou « Règles d’entreprise contraignantes »

http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083

Le G 29 a publié les documents suivants, adoptés le 29 novembre 2017, mettant à jour les règles gouvernant les BCR ou Règles d’entreprise contraignantes :

  • WP 256, Document de travail établissant un tableau reprenant les éléments et les principes contenus dans les BCR, et
  • WP 257, Document de travail établissant un tableau avec les éléments et les principes qui se trouvent dans les BCR « sous-traitants ».


Lire la suite

RGDP : Le G29 met à jour les documents sur les BCR ou « Règles d’entreprise contraignantes »

http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083

Le G 29 a publié les documents suivants, adoptés le 29 novembre 2017, mettant à jour les règles gouvernant les BCR ou Règles d’entreprise contraignantes :

  • WP 256, Document de travail établissant un tableau reprenant les éléments et les principes contenus dans les BCR, et
  • WP 257, Document de travail établissant un tableau avec les éléments et les principes qui se trouvent dans les BCR « sous-traitants ».


Lire la suite

Un outil pratique de conformité RGPD : la CNIL met à disposition un Logiciel pour DPIA

Le 22 novembre 2017, la CNIL a mis à disposition du public, à titre gratuit, un logiciel open source PIA « prêt à l’emploi » qui facilite la conduite et la formalisation d’analyses d’impact sur la protection des données, telles que prévues par le RGPD (en anglais PIA ou DPIA).

Le logiciel est disponible en deux version (i) une « Version portable » qui se télécharge directement sur le poste de travail et se lance sans installation et (ii) une version web qui se déploie sur les serveurs de l’entreprise (disponible en mode front end ou en mode back end).

Lire la suite

RGPD : Guide de la CNIL pour les sous-traitants

www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-un-guide-pour-accompagner-les-sous-traitants

La CNIL a publié un guide pour sensibiliser et accompagner les sous-traitants dans la mise en œuvre concrète de leurs obligations au titre du RGPD. A savoir :

  • Les sous-traitants sont tenus de respecter des obligations spécifiques en matière de sécurité, de confidentialité et de documentation de leur activité.


Lire la suite
LexBlog