Please enable JavaScript.
Coggle requires JavaScript to display documents.
Module 3 : Cadre juridique applicable à la protection des données…
Module 3 : Cadre juridique applicable à la protection des données personnelles dans le monde
Lois sur la protection des données personeles dans le monde
Présentation des lois majeures
RGPD
CCPA
LGPD (Brésil)
Nécessité d'une veille réglementaire
service juridique
cabinet spécialisé
Les lois se répartissent selon 3 grandes approches :
basées sur les droits findamentaux
ex : RGPD
basée sur les pratiques commerciales équitables
approche hybride
Défis pour le programme de conformité
hétérogénéité des législations
nécessite une veille juridique continue
transferts transfrontaliers complexes
double ou triple conformité
quand une entreprise opère dans plusieurs juridictions
application extraterritoriale
le RGPD s'applique fors UE si des données de résidents européens sont traitées
Bonnes pratiques à lettre en place
collaborer étroitement avce les services juridiques
cartographier les flux de données internationaux
élaborer un référentiel de conformité par région
mettre en oeuvre des clauses contractuelles adaptées aux juridictions concernées
Transferts des données transfrontaliers
Principaux mécanismes de transfert de données fors UE
clauses contractuelles types
modèle de clauses adopté par la commission européenne, à intégrer dans les contrats avec les destinataires hors EEE
BCR
Règles internes approuvées par une autorité de contrôle, utilisées dans les groupes internationaux
décisions d'adéquation
art 45 RGPD
Pays reconnus par la commission européenne comme offrant un niveau de protection équivalent au RGPD
pas de formalité supplémentaire requise
dérogation
art 49
pour les transfert occasionnel mais moins sécurisées juridiquement
consentement explicite
contrat avce la personne concernée
interet légitime impérieux
Risques liés au cloud et à l'externalisation
risques de non conformité
sanctions financières (jusqu'à 20 M euros ou 'ù du CA)
interdictio de traitement par les autorités de contrôle
risques réputationnels majeurs
Qu'est ce qu'un transfert international de données ?
Lorsque les données personnelles sont :
envoyées vers un pays tiers (hors UE)
consultées, stockées ou traitées par une entités dans un pays tiers
hébergées sur un cloud dont les serveurs ou les équipes de supports sont hors UE
Autorégulation : normes industrielles et codes de conduite
Utilisation de cadres volontaires
Normes industrielles et standards reconnus
NIST Privacy Framework
ISO 27701
Codes de conduite et mécanisme de certification
obj : montrer une conformité proactive
codes de conduite sectoriels
mécanismes de certification
article 42 du RGPD
BCR
pour encadrer les transfert intragroupe de données à l'international
^programmes volontaires de conformité
Privacy Shield et Data privacy framework
Rôle des bonnes pratiques sectorielles
marketing, finance, santé, etc.
Pourquoi adopter ces cadres ?
démonstration d'un engagement volontaire au delà de la loi
renforcement de la confiance des clients et des partenairess
uniformisation des pratiques dans des groupes internationaux
anticipation des exigences légales futures
Equilibre organisationnel et soutien
Eléments clés du soutien organisationnel
leadership visible
sponsor exécutif pour porter publiquement le programme
implication des parties prenantes internes
comité ou gouvernance dédiée
allocation de ressources
outils, logiciels, temps dédié, consultants
sensibilisation continue
culture d'entreprise (newsletter, campagnes internes, rappels, messages de la direction)
Alignement avec la stratégie de gouvernance globale
équilibre entre conformité, IT, gestion des risques, stratégie
Sanction pour non conformité
Amendes administratives
Risques réputationnels et juridiques
Pouvoirs des autorités de contrôle
Rôle des autorités
contrôle
enquete
sanctions administratives ou pénales
Droit d'accès, d'audit, d'interdiction de traitement
Pouvoirs
pouvoirs d'enquetes
interroger le personnel
demander des infos utiles
accès à tous les locaux, documents, synthèses, traitements de donnéers
pouvoirs correctifs
émettre des avertissements ou rappels à la loi
ordonner la mise en conformité dans un délai donné
limiter temporairement ou définitivement un traitement
suspendre les transferts de données
imposer une amendes administratives
pouvoirs consultatifs
émettre des avis et remmandations
publier des lignes directrices
accompagner les DPO
Coopération entre autorités
harmonisation des décisions
coopération transfrontalière
adoption de décisions contraignantes
Autres considérations
Lois sectorielles ou spécifiques à certains types de données
Interconnexion avec le droit des contrats, du travail ou de la cybersécurité
Data processing agreements (DPA) entre responsables de traitement et sous-traitants
Suivi des lois et réglementations
Outils pour assurer la conformité continue
audits
logiciels de veille
abonnements à des bases de données juridiques
obj : anticiper les risques juridiques
Ressources externes tierces
avocats spécialisés
consultants
solutions logicielles de conformité