2019

PRIVACY BY DESIGN & PRIVACY BY DEFAULT: NEW EDPB GUIDELINES UNDER CONSULTATION

DATA PROTECTION BY DESIGN AND BY DEFAULT : NEW GUIDELINES FROM THE EUROPEAN DATA PROTECTION BOARD

The European Data Protection Board (EDPB) published the Guidelines 4/2019 on Article 25 Data protection by design and by default (DPbDD).

The EDPB emphasizes the need to implement the GDPR obligations when designing processing operations. Technology-providers should then design solutions that embed data protection into the processing at all stages.

PRIVACY BY DESIGN?

PRIVACY BY DESIGN?

What are the EDPB recommendations?

European Data Protection Board recommended to take into account the following points:

 • Controllers should think of DPbDD from the initial stages of planning a processing operation, even before the time of determination of the means of processing.

• A processing operation may be certified for DPbDD. Such a certification may provide an added value to a controller when choosing between different processing systems from technology providers. A certification seal may also guide data subjects in their choice between different goods and services, such as applications, software, systems, Internet of Things, including wearables and implants. Having a DPbDD-seal can therefore serve as a competitive advantage for both technology providers and controllers, and may even enhance data subjects’ trust in the processing of their personal data.

• Technology providers should seek to support controllers in complying with DPbDD. Controllers, on the other hand, should not choose providers who do not propose systems enabling the controller to comply with Article 25, because controllers will be held accountable for the lack of implementation thereof.

• Technology providers should play an active role in ensuring that the criteria for the “state of the art” are met, and notify controllers of any changes to the “state of the art” that may affect the effectiveness of the measures they have in place. Controllers should include this requirement as a contractual clause to make sure they are kept up to date.

• Controllers should take into account the cost element when choosing a provider or planning a technology or organisational practice or solution, and take into account the potential cost of monetary fines as a result of non-compliance with the GDPR.

• Controllers should always seek to effectively mitigate risk when observing data protection by design within the nature, scope and context of their processing operations, including when accounting for the related cost and state of the art of their chosen technical and organisational measures and safeguards.

• The EDPB encourages technology providers to take the opportunity to use DPbDD as a competitive advantage in the market.

• The EDPB recommends controllers to require that technology providers demonstrate accountability on how they have complied with DPbDD, for example by using key performance indicators to demonstrate the effectiveness of the measures and safeguards at implementing the principles.

• The EDPB emphasizes the need for a harmonized approach to implement principles in an effective manner and encourages associations or bodies preparing codes of conduct in accordance with Article 40 to also incorporate DPbDD. Adopted - version for public consultation 27

• Controllers should be fair to data subjects and transparent on how they assess and demonstrate effective DPbDD implementation, in the same manner as controllers demonstrate compliance with the GDPR under the principle of accountability.

The aforementioned guidelines are proposed to public comments until January 16th. Knowing that such principles are to be carefully taken into account by controllers when implementing new processings of personal datas.

, ,

COOKIES: Article de Jérôme DEROULEZ dans la Semaine Juridique du 25 novembre 2019.

, ,

Jérôme Deroulez a rédigé un article consacré à la publicité ciblée sur internet et au rejet des recours contre les lignes directrices de la CNIL par le Conseil d’Etat. A retrouver dans le JCP du 25 novembre 2019.

2019 11 02 JCP.jpg

Cookies - quel cadre juridique?

DPO ET GOUVERNANCE DES DONNEES: INTERVENTION DE JEROME DEROULEZ AU SEMINAIRE DE FORMATION RGPD - EFB - CERCLE MONTESQUIEU

Jérôme DEROULEZ est intervenu le 28 novembre 2019 lors du séminaire de formation organisé par l’EFB et le Cercle Montesquieu au sujet de la protection des données personnelles (29 novembre 2019). Il animait cette formation avec Sophie NERBONNE (CNIL) et Emeline BISSONI (DPO ADP). Ce module avait pour objectif de former les directeurs juridiques et avocats sur les questions de gouvernance des données personnelles et de mise en place du DPO.

NOUVELLE SANCTION DE LA CNIL DE 500 000 EUROS POUR MANQUEMENTS AU RGPD (FUTURA INTERNATIONALE)

La CNIL a prononcé une sanction de 500 000 euros ainsi qu’une injonction de se mettre en conformité sous astreinte à l’encontre de la société de démarchage téléphonique FUTURA INTERNATIONALE le 21 novembre 2019. Cette sanction faisait suite à la plainte d’une personne démarchée et à un contrôle de la CNIL. La société condamnée traitait de données clients et prospects obtenues par différents canaux et notamment par l’intermédiaire de centres d’appel situés hors Union européenne.

PHOTO CALL CENTER.jpg


Lors des contrôles effectués par la CNIL, il ressortait qu’en dépit des courriers d’opposition à la prospection envoyés par un nombre important de particuliers, ladite société ne cessait pas les appels. De plus d’autres manquements étaient signalés comme l’enregistrement des appels par les téléopérateurs des sous-traitants sans information des particuliers ou encore le renseignement de zones de champ libre par ces mêmes téléopérateurs, avec des mentions relatives à l’état de santé des personnes démarchées ou des propos injurieux à leur encontre.

Cette délibération est intéressante à plusieurs titres :

1/ Sur le droit en vigueur :

La CNIL a indiqué dans sa délibération que le droit en vigueur au moment des faits à l’origine de sa saisine était la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Pour autant, les manquements étaient continus puisqu’ils avaient commencé avant l’entrée en vigueur du RGPD et perduré après cette date. Dès lors, les violations relevées devaient faire échec au principe de non rétroactivité puisqu’il convenait de tenir compte de la loi applicable lors du dernier état du manquement. Aussi, le RGPD avait vocation à s’appliquer à l’espèce.

2/ Sur les manquements constatés :

La CNIL a relevé plusieurs manquements et notamment celui concernant le droit à l’information des personnes des articles 12, 13 et 14 du règlement. En effet, l’information dont devaient bénéficier les particuliers ne devait pas se limiter à mentionner l’enregistrement de l’appel mais inclure notamment la finalité du traitement, l’identité du responsable de traitement ou encore les droits dont disposait la personne sollicitée. Ce qui n’était pas le cas.

Par ailleurs, la CNIL a souligné que le droit d’opposition supposait la mise en place d’un mécanisme effectif permettant de s’assurer que l’opposition exprimée par une personne démarchée auprès d’un sous-traitant puisse être centralisée et retransmise au responsable de traitement. Etait ainsi insuffisant un simple tableau recensant les oppositions, eu égard au nombre d’appels important que réalisaient chaque jour les téléopérateurs. Le fait de ne pas traiter le nombre significatif de demandes transmises par les personnes concernées caractérisait l’absence de procédure de réponse efficace.

Autre impératif mis en avant par la CNIL, celui d’un encadrement contractuel effectif des transferts de données à caractère personnel hors de l’Union européenne. En l’espèce, la société effectuait un transfert de données vers des Etats considérés comme n’assurant pas un niveau de protection adéquat au regard de l’article 45 du RGPD (Côte d’Ivoire, Maroc, Tunisie) et à destination de 36 centres d’appel.

Enfin, les notes internes rédigées par les sous-traitants concernant les personnes contactées et à destination des salariés de la société condamnée constituaient un traitement de données à caractère personnel qui devait être adéquat, pertinent et limité. Plus qu’une simple purge de tels commentaires, un système de détection automatique de ces propos inadéquats et excessif était nécessaire pour en empêcher automatiquement la saisie.

Quels enseignements retirer de cette délibération de la CNIL ?

1/ Un courrier d’information concernant le recueil de données, postérieurement à l’appel, n’est pas suffisant au regard de l’article 13 du RGPD. Il est nécessaire que l’information soit fournie au moment de la collecte des données personnelles et donc pendant l’appel. Information qui doit être exhaustive.

2/ Le droit d’opposition doit faire l’objet d’une attention particulière en matière de démarchage téléphonique. Le responsable de traitement doit ainsi mettre en place un système garantissant l’effectivité de ce droit (tel est le cas par exemple d’un système automatisé empêchant un téléopérateur d’appeler un numéro présent sur la liste d’opposition).

3/ Un transfert de données personnelles hors de l’Union européenne suppose des mesures adéquates effectives et notamment dans le cadre du recours à des sous-traitants. Des clauses contractuelles non adoptées par la Commission européenne ni par une autorité de contrôle se révèlent insuffisante. De plus ces clauses doivent être soumises au droit de l’Etat membre exportateur des données (en l’occurrence la France).

4/ Enfin, cette délibération démontre en creux la nécessité de mettre en place une gouvernance en matière de données personnelles. L’absence de coopération avec la CNIL est ici sanctionnée au vu de l’absence claire de prise en compte de ses demandes.

DEROULEZ AVOCATS classé en "pratique réputée" en droit des données personnelles par Leaders League

Le Cabinet a été classé en “pratique réputée” par Leaders League dans son classement des cabinets d’avocats 2019.

https://www.magazine-decideurs.com/classements/technologies-internet-telecommunications-droit-des-donnees-personnelles-classement-2019-cabinet-d-avocats-france?locale=fr

RGPD et violations de données: Jérôme Deroulez a participé au premier Digital Breakfast organisé par Effective IP

RGPD: Jérôme Deroulez a participé le 11 avril 2019 au premier Digital Breakfast organisé par Effective IP, avec Alexandra Guérin et François-Xavier Boulin.

Ce petit déjeuner avait pour objet d’évoquer les violations de données personnelles et de mettre en commun les expériences des intervenants. Comment anticiper, comment réagir, quelles bonnes pratiques mettre en place? Cet événement a permis des échanges concrets pour dégager des objectifs communs et des pratiques respectueuses du droit des données personnelles.

DATA BREACH.jpg

LUXEMBOURG : article de Jérôme DEROULEZ dans la revue Finance, insurance, fintechs et insurtechs (Luxembourg)

Jérôme DEROULEZ a rédigé un article consacré aux enjeux de la blockchain dans le domaine du droit des assurances, à l’échelle de l’Union européenne. Publiée le numéro 3-4 de la revue, cette contribution évoque les récentes applications fondées sur la blockchain comme Fizzy et les expérimentations en cours (B3i ou InsurTechCuvva). Elle établit aussi une première liste des promesses offertes par la blockchain, du fait du recours aux smart-contracts notamment.

DONNEES PERSONNELLES ET BLOCKCHAIN: Publication d'une étude de Jérôme DEROULEZ (LAMYLINE)

DONNEES PERSONNELLES: Jérôme Deroulez a publié une nouvelle étude sur les interactions entre le droit de la protection des données (RGPD) et la blockchain. Cette étude publiée en ligne a pour objet de recenser la plupart des défis juridiques posés par la blockchain pour assurer une protection effective des données personnelles et les solutions pouvant être mises en oeuvre. Cette publication s’inscrit également dans un contexte européen et international marqué par les débats sur l’opportunité ou non de légiférer sur la blockchain.

https://lamyline.lamy.fr/Content/Document.aspx?params=H4sIAAAAAAAEAMtMSbF1CTEwMDAxtDCwMDFVK0stKs7Mz7MNy0xPzStJBQCCqPusIAAAAA==WKE

BLOCKCHAIN: Interview de Jérôme Deroulez dans Actualités du Droit le 20 février 2019

BLOCKCHAIN: Interview de Jérôme Deroulez dans la revue Actualités du Droit le 20 février 2019 (Wolters Kluwers) au sujet de la blockchain et de la protection des données personnelles et de sa dernière publication.

https://www.actualitesdudroit.fr/browse/tech-droit/blockchain/19892/jerome-deroulez-avocat-aux-barreaux-de-paris-et-bruxelles-desormais-il-s-agit-d-apporter-des-reponses-aux-problematiques-precises-posees-par-les-regulateurs-pour-definir-des-applications-concretes-du-principe-de-privacy-by-design-a-la-blockchain


BLOCKCHAIN: Intervention de Jérôme Deroulez lors de la conférence inaugurale du cycle organisé par France Amériques sur la blockchain "utopie ou promesse".

La première conférence du cycle blockchain de l’association France Amériques a eu lieu le 11 février 2019. Jérôme Deroulez est intervenu sur les questions de régulation et de réglementation de la blockchain, avec:

Simon de CHARENTENAY – Maître de conférences – Université de Montpellier – CEO Openflow
Luc JARRY-LACOMBE – CEO BC Diploma
Dominique LEGEAIS – Professeur agrégé des facultés de droit – Université de Paris Descartes
Jean-Michel MIS – Député – Rapporteur sur les chaînes de blocs – Membre du Conseil National du Numérique
Rémy OZCAN – CEO Crypto4all

Les débats ont été modérés par M. Dominique LEGEAIS.

https://france-ameriques.org/evenement/blockchain-utopie-ou-promesse-davenir/

RGPD: Condamnation de Google par la CNIL. Publication d'un article par Jérôme Deroulez au sujet de cette délibération. (Semaine Juridique - 7 février 2019)

RGPD: Jérôme Deroulez a commenté la délibération de la CNIL du 21 janvier 2019 condamnant Google à une sanction de 50 millions d’euros pour manque de transparence, d’information et de consentement préalable.

Dans cet article publié dans la Semaine Juridique du 7 février 2019 (JCP E), Jérôme Deroulez a souligné le raisonnement repris par la formation restreinte de la CNIL et les griefs établis à l’encontre de Google. Il a notamment noté marqué les conséquences juridiques du recours au consentement lors du traitement de données personnelles.

http://www.lexiskiosque.com/catalog/jcp-e/jcp-e/n6-2019

RGPD: La révolution du consentement?

Jérôme Deroulez a publié dans la Semaine Juridique (JCP G du 28 janvier 2019) un article sur la condamnation par la CNIL de Google en janvier 2019.

Cet article évoque le contexte de cette condamnation et sa motivation, notamment au vu des éléments constitutifs du consentement retenus par la CNIL. Cette dernière a aussi insisté sur l’obligation d’information et de transparence à charge des responsables de traitement et leurs conséquences (par exemple sur l’ergonomie des choix).

https://web.lexisnexis.fr/unerevues/pdf/une/sjg1904.pdf

ETATS GENERAUX DU DROIT DE LA FAMILLE et RGPD: Intervention de Jérôme DEROULEZ. 24 janvier 2019

Jérôme Deroulez est intervenu dans le cadre des états généraux du droit de la famille au sujet du RGPD et de ses enjeux pour les cabinets d’avocats. Il a ainsi participé à l’atelier consacré à évolution du numérique, avec Alain Bensoussan, Béatrice Weiss-Gout et Philippe Baron.

https://www.cnb.avocat.fr/fr/actualites/etats-generaux-du-droit-de-la-famille-2019-retour-sur-le-rendez-vous-annuel-du-barreau-de-la-famille

Réseau judiciaire européen en matière civile et commerciale: Intervention de Jérôme Deroulez lors de la réunion du 10 décembre 2018

Jérôme Deroulez est intervenu lors de la réunion du RJECC le 10 décembre 2018 à Paris. Il a notamment présenté les enjeux du RGPD pour les professions juridiques et les étapes de la mise en conformité.

http://www.justice.gouv.fr/europe-et-international-10045/la-justice-europeenne-10282/reseau-judiciaire-europeen-en-matiere-civile-et-commerciale-18326.html

Avocat spécialiste du RGPD : intervention de Jérôme DEROULEZ à l'école de formation des avocats de Montpellier le 9 novembre 2018

Avocat spécialiste RGPD, Jérôme DEROULEZ est intervenu sur les principes généraux du RGPD. Cette formation était organisée à l'école de formation des avocats centre-sud de Montpellier le 9 novembre 2018.

Elle avait pour public les avocats et élèves avocats.

Jérôme DEROULEZ a notamment rappelé l'architecture du règlement européen et les principaux changements apportés.

Cette formation avait enfin lieu dans le cadre du séminaire européen de formation TRADATA.

Suivez nous sur les réseaux sociaux

Follow us on social networks

// Aseptio