Le RGPD et la gestion de flotte automobile
AMRAE, le jeudi 4 avril 2019
Hervé Gabadou, Deloitte Legall Taj
Les contrôles, les plaintes, les sanctions
Protection des données -préambule
© 2019 Deloitte Legal l Taj
•En2017,laCNILaprocédéà65contrôlesenligneetàprèsd’une
vingtainedecontrôlessurpièces.
•LaCNILaréaliséunecinquantained’auditsàl’occasionduSweepDay.
•En2017,laCNILareçu8360plaintes:unnombrerecord.
•Lesplaintesconcernentprincipalementlessecteursinternet/téléphonieet
commercequireprésententàeuxdeux52%desplaintesreçues.
•Les contrôles
•Les sanctions
•Les plaintes
Les changements
01
Lesprincipauxrepères
02
Sommaire
© 2019 Deloitte Legal l Taj
03
Q&A
Les changements
01
© 2019 Deloitte Legal l Taj
Panorama des principaux changements
© 2019 Deloitte Legal l Taj
Renforcement des droits des
individus
Le consommateur devient
«Consom’acteur »
Suppression des formalités
déclaratives
Les entreprises doivent être en
mesure de rendre compte à tout
moment de l’effectivité de la
protection
Pour les individus
l’empowerment
Pour les
entreprises,
l’accountability
Amended’unmontantde
2%duCAHTmondialou
10millionsd’eurosvoire,
danslescaslesplus
graves, une amende
pouvantatteindre4%du
CAHTmondialou20
millionsd’euros
Premières sanctions:
les casGoogle et
Facebook
Renforcementdes
pouvoirsde
sanctions
Un changement de paradigme!
RGPD : panorama des principaux changements
Les obligations du RT maintenues
→Respect du principe de finalité
→Respect du principe de proportionnalité(=
minimisation)
→Limitation de ladurée de conservation des
données
→Obligationd’informationdes personnes
Les obligations du RT préexistantes renforcées
→Encadrer lestransfertsde données
→Assurer lasécurité du traitement
→Garantir lesdroits des personnes
→Recueil duconsentement (mais nouvelle
définition)
Création de nouvelles obligations pour le RT et le ST
→Garantir les nouveaux droits des personnes
concernées (droit à l’effacement, droit à la limitation
du traitement, droit à la portabilité des données)
→Notifier les failles de sécurité dans les 72 heures
→Etablir un registre des activités de traitement
→Désigner un DPO
→Mener une étude d’impact
→Documenter sa conformité (accountability)
RGPD = LIL ++RGPD = LIL RGPD
© 2019 Deloitte Legal l Taj
Les principaux repères
02
Qui ?
Quoi ?
Pourquoi faire ?
Où ?
Jusqu’à quand ?
Comment ?
© 2019 Deloitte Legal l Taj
Qui sont les principaux acteurs ?
© 2019 Deloitte Legal l Taj
Qualification juridique des acteurs
Responsablesdetraitement
Sous-traitants
Destinataires
Responsablesdetraitementconjoint
Gestionnairede flotte
Loueurde véhicules
Courtier
Assureur
Autrespartenaires(expert, gestionnairede sinistres, avocat…)
Qualification!
Qui ?
Quelles sont les obligations des acteurs ?
© 2019 Deloitte Legal l Taj
Obligations des responsables de traitement et des sous -traitants
Principed’accountability
Principedeminimisation
Privacybydesign/bydefault
Principedetransparence
Principed’intégrité,deconfidentialitéetderésilience
Obligation de sécurité des données à la charge du responsable de traitement y compris lorsque les données sont confiées à des sous-
traitants, tous deux étant solidairement responsables
Obligations des responsables de traitement
Obligationdemiseenœuvredesmesurestechniqueset
organisationnellesappropriéespours’assureretêtreenmesure
dedémontrerlaconformitéauRGPD
Obligations des sous-traitants
Obligationdetransparenceetdetraçabilité
Obligationdelaprotectiondesdonnéesdèslaconceptionou
pardéfaut
Obligationdegarantirlasécuritédesdonnéestraitées
Obligationd’assistance,d’alerteetdeconseil
Quelles sont les catégories de données traitées ?
© 2019 Deloitte Legal l Taj
Données
de santé
o Données d'identification (pièce
d’identité, image…)
o Données d’ordre économique et
financier (emploi, revenus,
situation financière…)
o Données de connexion (adresse IP,
logs…)
o Données de localisation
(déplacements, données GPS,
GSM)
o Relevé d’information (Télématique)
Données personnelles
Données sensibles
Obligations supplémentaires
pourleresponsabledetraitement
etdeseséventuelssous-traitants:
-lanominationd’undéléguéà
laprotectiondesdonnées
-latenued’unregistredes
traitements
-Uneanalysepréalabled’impact
desrisques
Gestionnairede flotte
Autrespartenaires Loueurde véhicules
CourtierAssureur
Quoi ?
Quelle est la base juridique du traitement ?
© 2019 Deloitte Legal l Taj
Le consentement
La satisfaction d’uneobligation
légale
L’intérêtlégitime
L’exécutiond’un contratou
mesurespré-contractuelles
la sauvegardedes intérêts
vitaux
Mission d’intérêtpublic
Quoi ?
Quelles sont les finalités de traitement de données ?
© 2019 Deloitte Legal l Taj
Pourquoi faire ?
Gestionnairede flotte Loueurde véhicules
•Optimiserle coût
global de possession
(TCO) de
l’entreprise
•Améliorer
l’expériencedu
salariéconducteur
•Gestion de la flotte
automobile
•Gestion de la conduite
du salariéconducteur
(télématique)
Finalités de traitement
Sous-finalités de traitement
•Optimiserla location
des véhicules
•Géolocaliserle
véhicule
•Etablirle profildu
salariéconducteur
(Profilage)
Gestion de la location
automobile
•Promouvoirl’éco-
conduite
•Favoriserla sécurité
routière
•Maitrîserles coûts
•Géolocaliserle
salariéconducteur
•Profilagedes
salariésconducteurs
Quelles sont les finalités du traitement des données ?
© 2019 Deloitte Legal l Taj
Courtier/Assureur Autrespartenaires
Finalités de traitement
Sous-finalités de traitement
Experts
Gestionet prévention
des sinistres
•Traitementdes
donnéesdes
bénéficiairespour
les accidents
responsables
•Traitementdes
donnéesdes
bénéficiairesen vue
optimisationratio
•Les avocats
•Les administrations
Où sont hébergées les données ?
© 2019 Deloitte Legal l Taj
Où ?
Pays membres de l’Union Européenne ou de l’Espace
Economique Européen, pays adéquat ou présentant des
garanties appropriées
Pays tiers
Quelle est la durée de conservation des données ?
© 2019 Deloitte Legal l Taj
Jusqu’à quand ?
Données personnelles
Données sensibles
Donnéesd’identification, d’ordreéconomiqueet financier et de connexion: 5 ansà compterdu
termedu contratde prêt du véhicule
Donnéesde localisation: 2 moisà
compterde la collectede cesdonnées
Données de profilage : durée n’excédant pas celle nécessaire au regard des finalités pour
lesquelles elles sont traitées
Données de santé : durée n’excédant pas celle nécessaire au regard des finalités pour
lesquelles elles sont traitées
Comment documenter la mise en conformité ?
© 2019 Deloitte Legal l Taj
Comment ?
LES CONTRATS QUI DÉFINISSENT LES RÔLES ET LES RESPONSABILITÉS DES ACTEURS
Lescontrats avec les sous-traitants et les co-responsables de traitement
Lesprocédures internes en cas de violations de données
Lespreuves que lespersonnes concernées ont donné
leurconsentement lorsque le traitement de leursdonnées repose sur cette base
Les flux de données en dehors de l’Union Européenne
L'INFORMATION DES PERSONNES
Les mentions d’information
Les modèles derecueil du
consentement des personnes
concernées
Les procédures mises en place
pourl'exercice des droits
LA DOCUMENTATION SUR LES TRAITEMENTS DE DONNÉES PERSONNELLES
Le registre des traitements
Lesanalyses d’impact sur la protection des données (DPIA)
L'encadrement des transferts de données hors de l'Union Européenne
Que faire en cas de faille de sécurité ?
© 2019 Deloitte Legal l Taj
•la nature de la violation;
•si possible, les catégorieset le nombre
approximatif de personnes concernées
par la violation;
•les catégorieset le nombre approximatif
d'enregistrements de données à
caractère personnel concernés;
•décrire les conséquences probables de
la violation de données ;
•décrire les mesures prises ou que vous
envisagez de prendre pour éviter que cet
incident se reproduise ou atténuer les
éventuelles conséquences négatives.
Si la faille présenteun risque:
obligation de notifier à la CNIL
Si la faille présenteun risqueélevé:
obligation de notifier à la CNIL et à la
personneconcernée
Documenter en interne la faille
en déterminant : Notification de la faille
de sécuritéà la Cnildans
les 72 heuresà
compterde la constatation
de la violation et à la
personneconcernée
dans les meilleursdélais
Lesous-traitant informe
immédiatement le
responsabledetraitementsi
lesinstructionsdocumentées
constituent selonluiune
violationduRGPDousiune
failledesécuritéseproduit
Les nouveaux droits
© 2019 Deloitte Legal l Taj
Droit à la
portabilité
Droit
d’opposition
Droit de retirer
le
consentement
Droit à la
limitation
Droit au
déréférencement
Destinataires
© 2019 Deloitte Legal l Taj
03
Q&A
Vos contacts
© 2019 Deloitte Legal l Taj
Hervé Gabadou
Avocat Associé
+33 1 55 61 65 56
hgabadou@taj.fr
Hervé assiste ses clients dans la structuration juridique de leur informatique et de
leurs projets numériques (politique contractuelle, sécurisation juridique des actifs
immatériels, réflexes en matière de sécurité et de confidentialité des données
personnelles, spécifications juridiques d’un projet informatique pour un secteur
réglementé).
Il maîtrise également les questions associées à la protection des données
personnelles dans un contexte national et international, gère les relations auprès
de la CNIL et fournit toute son assistance dans le cadre d’audits de conformité à
la loi Informatique, fichiers et libertés et au Règlement Européen en matière de
Protection des Données personnelles (RGPD).
Hervé a été chargé d’enseignement en DESS de Méthodes expertaleset arbitrales
en informatique et techniques associées à Paris II.
Il a également été en charge d’un groupe de travail e-santé au sein d’une
association qui regroupe les industries de santé.
Enfin, il a présidé le comité Outsourcing de l’association internationale ItechLaw
et a été un des membres fondateurs de l’Outsourcing Law Group regroupant des
cabinets d’avocats indépendants étrangers, leaders dans ce domaine.
Droit de l’informatique : les expertises de Taj
Contrats et marchés
informatiques
Signature électronique,
Informatique et Libertés
Réseaux et Internet
A propos de Taj
Taj est l’un des premiers cabinets d’avocats français, spécialisé en stratégies fiscales et juridiques internationales. Il compte
aujourd’hui 545 professionnels parmi lesquels62 associés, basés à Paris, Bordeaux, Lille, Lyon etMarseille. Ses expertises les
plus réputées couvrent la fiscalité internationale et les prix de transfert, les fusions acquisitions, la fiscalité indirecte, le contrôle
fiscal et contentieux, la fiscalité de la mobilité internationale, le droit social, le droit des affaires et des entreprises en difficulté.
Taj estune entité du réseauDeloitte et s’appuie sur l’expertise de44 000 juristes et fiscalistes de Deloitte situés dans 150 pays.
Pour en savoir plus, www.taj.frou www.taj-strategie.fr
A propos de Deloitte
Deloitte fait référence à un ou plusieurs cabinets membres de Deloitte Touche Tohmatsu Limited, société de droit anglais («
privatecompanylimitedby guarantee»), et à son réseau de cabinets membres constitués en entités indépendantes et
juridiquement distinctes. Pour en savoir plus sur la structure légale de Deloitte Touche Tohmatsu Limited et de ses cabinets
membres, consulter www.deloitte.com/about. En France, Deloitte SA est le cabinet membre de Deloitte Touche Tohmatsu
Limited, et les services professionnels sont rendus par ses filiales et ses affiliés.
Pour en savoir plus, www.deloitte.com/about
© 2019 Deloitte Legal l Taj
Annexe I
© 2019 Deloitte Legal l Taj
Glossaire
•Responsable de traitement : personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec
d'autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union
ou le droit d'un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus
par le droit de l'Union ou par le droit d'un État membre.
•Sous-traitant: personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le
compte du responsable du traitement.
•Destinataire: personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère
personnel, qu'il s'agisse ou non d'un tiers.
•Traitement: toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des
ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la
modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre formede mise à disposition, le
rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.
•Données à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne
concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement,
notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifianten ligne, ou à un ou
plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
Annexe I
© 2019 Deloitte Legal l Taj
Glossaire
•Données sensibles:informationsquirévèlentlaprétendueorigineracialeouethnique,lesopinionspolitiques,lesconvictionsreligieusesou
philosophiquesoul'appartenancesyndicale,ainsiqueletraitementdesdonnéesgénétiques,desdonnéesbiométriquesauxfinsd'identifierunepersonne
physiquedemanièreunique,desdonnéesconcernantlasantéoudesdonnéesconcernantlaviesexuelleoul'orientationsexuelled'unepersonnephysique.
•Donnéesdesanté:donnéesàcaractèrepersonnelrelativesàlasantéphysiqueoumentaled'unepersonnephysique,ycomprislaprestationdeservices
desoinsdesanté,quirévèlentdesinformationssurl'étatdesantédecettepersonne.
•Consentement :toutemanifestationdevolonté,libre,spécifique,éclairéeetunivoqueparlaquellelapersonneconcernéeaccepte,parunedéclarationou
parunactepositifclair,quedesdonnéesàcaractèrepersonnellaconcernantfassentl'objetd'untraitement.
•Profilage:touteformedetraitementautomatisédedonnéesàcaractèrepersonnelconsistantàutilisercesdonnéesàcaractèrepersonnelpourévaluer
certainsaspectspersonnelsrelatifsàunepersonnephysique,notammentpouranalyserouprédiredesélémentsconcernantlerendementautravail,la
situationéconomique,lasanté,lespréférencespersonnelles,lesintérêts,lafiabilité,lecomportement,lalocalisationoulesdéplacementsdecette
personnephysique.
•Limitationdutraitement:lemarquagededonnéesàcaractèrepersonnelconservées,envuedelimiterleurtraitementfutur.
Annexe I
© 2019 Deloitte Legal l Taj
Glossaire
•Traitementtransfrontalier:
a)untraitementdedonnéesàcaractèrepersonnelquialieudansl'Uniondanslecadredesactivitésd'établissementsdansplusieursÉtats
membresd'unresponsabledutraitementoud'unsous-traitantlorsqueleresponsabledutraitementoulesous-traitantestétablidans
plusieurs Étatsmembres;
b)untraitementdedonnéesàcaractèrepersonnelquialieudansl'Uniondanslecadredesactivitésd'unétablissementuniqued’un
responsabledutraitementoud'unsous-traitant,maisquiaffectesensiblementouestsusceptibled'affectersensiblementdespersonnes
concernéesdansplusieursÉtatsmembres.
•Violationdedonnéesàcaractèrepersonnel:uneviolationdelasécuritéentraînant,demanièreaccidentelleouillicite,ladestruction,laperte,
l'altération,ladivulgationnonautoriséededonnéesàcaractèrepersonneltransmises,conservéesoutraitéesd'uneautremanière,oul'accèsnonautoriséà
detellesdonnées.
Le RGPD et la gestion de flotte automobile - Avril 2019
Le RGPD et la gestion de flotte automobileAMRAE, le jeudi 4 avril 2019
Hervé Gabadou, Deloitte Legal l Taj
1. Les changements
2. Les principaux repères
3. Q&A