RGPD et violations de données: Jérôme Deroulez a participé au premier Digital Breakfast organisé par Effective IP

RGPD: Jérôme Deroulez a participé le 11 avril 2019 au premier Digital Breakfast organisé par Effective IP, avec Alexandra Guérin et François-Xavier Boulin.

Ce petit déjeuner avait pour objet d’évoquer les violations de données personnelles et de mettre en commun les expériences des intervenants. Comment anticiper, comment réagir, quelles bonnes pratiques mettre en place? Cet événement a permis des échanges concrets pour dégager des objectifs communs et des pratiques respectueuses du droit des données personnelles.

DATA BREACH.jpg

LUXEMBOURG : article de Jérôme DEROULEZ dans la revue Finance, insurance, fintechs et insurtechs (Luxembourg)

Jérôme DEROULEZ a rédigé un article consacré aux enjeux de la blockchain dans le domaine du droit des assurances, à l’échelle de l’Union européenne. Publiée le numéro 3-4 de la revue, cette contribution évoque les récentes applications fondées sur la blockchain comme Fizzy et les expérimentations en cours (B3i ou InsurTechCuvva). Elle établit aussi une première liste des promesses offertes par la blockchain, du fait du recours aux smart-contracts notamment.

DONNEES PERSONNELLES ET BLOCKCHAIN: Publication d'une étude de Jérôme DEROULEZ (LAMYLINE)

DONNEES PERSONNELLES: Jérôme Deroulez a publié une nouvelle étude sur les interactions entre le droit de la protection des données (RGPD) et la blockchain. Cette étude publiée en ligne a pour objet de recenser la plupart des défis juridiques posés par la blockchain pour assurer une protection effective des données personnelles et les solutions pouvant être mises en oeuvre. Cette publication s’inscrit également dans un contexte européen et international marqué par les débats sur l’opportunité ou non de légiférer sur la blockchain.

https://lamyline.lamy.fr/Content/Document.aspx?params=H4sIAAAAAAAEAMtMSbF1CTEwMDAxtDCwMDFVK0stKs7Mz7MNy0xPzStJBQCCqPusIAAAAA==WKE

BELGIQUE : Publication d'un article de Jérôme DEROULEZ dans la revue Verzekeringnieuws.

Publication dans la revue Verzekeringsnieuws (mars 2019) d’un article de Jérôme DEROULEZ sur la blockchain et ses enjeux au regard du droit des assurances, notamment à l’échelle européenne. Etat des lieux et pistes de réflexion alors que l’Union européenne envisage de premières pistes de réglementation.

BLOCKCHAIN: Interview de Jérôme Deroulez dans Actualités du Droit le 20 février 2019

BLOCKCHAIN: Interview de Jérôme Deroulez dans la revue Actualités du Droit le 20 février 2019 (Wolters Kluwers) au sujet de la blockchain et de la protection des données personnelles et de sa dernière publication.

https://www.actualitesdudroit.fr/browse/tech-droit/blockchain/19892/jerome-deroulez-avocat-aux-barreaux-de-paris-et-bruxelles-desormais-il-s-agit-d-apporter-des-reponses-aux-problematiques-precises-posees-par-les-regulateurs-pour-definir-des-applications-concretes-du-principe-de-privacy-by-design-a-la-blockchain


BLOCKCHAIN: Intervention de Jérôme Deroulez lors de la conférence inaugurale du cycle organisé par France Amériques sur la blockchain "utopie ou promesse".

La première conférence du cycle blockchain de l’association France Amériques a eu lieu le 11 février 2019. Jérôme Deroulez est intervenu sur les questions de régulation et de réglementation de la blockchain, avec:

Simon de CHARENTENAY – Maître de conférences – Université de Montpellier – CEO Openflow
Luc JARRY-LACOMBE – CEO BC Diploma
Dominique LEGEAIS – Professeur agrégé des facultés de droit – Université de Paris Descartes
Jean-Michel MIS – Député – Rapporteur sur les chaînes de blocs – Membre du Conseil National du Numérique
Rémy OZCAN – CEO Crypto4all

Les débats ont été modérés par M. Dominique LEGEAIS.

https://france-ameriques.org/evenement/blockchain-utopie-ou-promesse-davenir/

RGPD: Condamnation de Google par la CNIL. Publication d'un article par Jérôme Deroulez au sujet de cette délibération. (Semaine Juridique - 7 février 2019)

RGPD: Jérôme Deroulez a commenté la délibération de la CNIL du 21 janvier 2019 condamnant Google à une sanction de 50 millions d’euros pour manque de transparence, d’information et de consentement préalable.

Dans cet article publié dans la Semaine Juridique du 7 février 2019 (JCP E), Jérôme Deroulez a souligné le raisonnement repris par la formation restreinte de la CNIL et les griefs établis à l’encontre de Google. Il a notamment noté marqué les conséquences juridiques du recours au consentement lors du traitement de données personnelles.

http://www.lexiskiosque.com/catalog/jcp-e/jcp-e/n6-2019

RGPD: La révolution du consentement?

Jérôme Deroulez a publié dans la Semaine Juridique (JCP G du 28 janvier 2019) un article sur la condamnation par la CNIL de Google en janvier 2019.

Cet article évoque le contexte de cette condamnation et sa motivation, notamment au vu des éléments constitutifs du consentement retenus par la CNIL. Cette dernière a aussi insisté sur l’obligation d’information et de transparence à charge des responsables de traitement et leurs conséquences (par exemple sur l’ergonomie des choix).

https://web.lexisnexis.fr/unerevues/pdf/une/sjg1904.pdf

ETATS GENERAUX DU DROIT DE LA FAMILLE et RGPD: Intervention de Jérôme DEROULEZ. 24 janvier 2019

Jérôme Deroulez est intervenu dans le cadre des états généraux du droit de la famille au sujet du RGPD et de ses enjeux pour les cabinets d’avocats. Il a ainsi participé à l’atelier consacré à évolution du numérique, avec Alain Bensoussan, Béatrice Weiss-Gout et Philippe Baron.

https://www.cnb.avocat.fr/fr/actualites/etats-generaux-du-droit-de-la-famille-2019-retour-sur-le-rendez-vous-annuel-du-barreau-de-la-famille

Réseau judiciaire européen en matière civile et commerciale: Intervention de Jérôme Deroulez lors de la réunion du 10 décembre 2018

Jérôme Deroulez est intervenu lors de la réunion du RJECC le 10 décembre 2018 à Paris. Il a notamment présenté les enjeux du RGPD pour les professions juridiques et les étapes de la mise en conformité.

http://www.justice.gouv.fr/europe-et-international-10045/la-justice-europeenne-10282/reseau-judiciaire-europeen-en-matiere-civile-et-commerciale-18326.html

Avocat spécialiste du RGPD : intervention de Jérôme DEROULEZ à l'école de formation des avocats de Montpellier le 9 novembre 2018

Avocat spécialiste RGPD, Jérôme DEROULEZ est intervenu sur les principes généraux du RGPD. Cette formation était organisée à l'école de formation des avocats centre-sud de Montpellier le 9 novembre 2018.

Elle avait pour public les avocats et élèves avocats.

Jérôme DEROULEZ a notamment rappelé l'architecture du règlement européen et les principaux changements apportés.

Cette formation avait enfin lieu dans le cadre du séminaire européen de formation TRADATA.

DEROULEZ AVOCAT rejoint le GFII (Groupement Français de l'Industrie de l'Information)

ACTUALITES DU CABINET: DEROULEZ AVOCAT a rejoint en novembre 2018 le GFII.  

Think-tank des acteurs du marché de l'information et de la connaissance, le GFII est un lieu de rassemblement unique en France des acteurs de l'information professionnelle. A ce titre, il réunit les acteurs des secteurs publics et privés (producteurs d'information, prestataires de solutions), éditeurs, diffuseurs, agences d'abonnements, cabinets de conseils, avocats etc...

 

Le GFIIhttps://www.gfii.fr/fr/ est aussi un lieu unique d'échanges entre professionnels de l'information unique et ses groupes de travail participent pleinement de cette réflexion pluri-disciplinaire.

 

En rejoignant le GFII, DEROULEZ AVOCAT manifeste son engagement à contribuer à cette réflexion, alors que les données sont aujourd'hui au coeur des nouveaux modèles économiques, techniques, sociaux et juridiques.

Les clés pour réussir son audit RGPD par DEROULEZ AVOCATS

Les clés pour réussir son audit RGPD

AUDIT

AUDIT

L’audit RGPD est une étape clé de la mise en conformité pour les entreprises et toutes les organisations privées ou publiques. La CNIL a d’ailleurs indiqué que la cartographie de l’ensemble des traitements constituait l’une des étapes indispensables d’un plan d’action réussi, au même titre que la désignation d’un pilote ou la gestion des risques.

Nous proposons ici quelques conseils et retours d’expérience au sujet des audits RGPD pour faire de cette étape obligée un outil efficace de mise en conformité et une nouvelle étape dans la valorisation et l’utilisation de données personnelles.

Pourquoi faire un audit RGPD ?

Réaliser un audit RGPD de l’ensemble des traitements de données personnelles peut apparaître comme une étape contraignante mais un tel exercice constitue en réalité l’étape préalable à toute mise en conformité. En effet, c’est cet audit RGPD qui permettra de dresser un état des lieux du niveau de conformité en matière de protection des données. Ce n’est pas une fin en soi non plus mais le début du processus de mise en œuvre du RGPD avec pour objectif de disposer d’un aperçu global et exhaustif des différents traitements de données.

Une vision à 360 degrés

L’audit RGPD ne doit pas seulement lister l’ensemble des données personnelles traitées et les traitements. Au contraire. Il s’agit :

  • d’évaluer la pertinence des données traitées de leur collecte à leur conservation ;

  • de suivre les différents traitements de données et leur historique ;

  • de questionner les prestataires et sous-traitants sur leur politique protection des données ;

  • d’attester des outils mis en place pour permettre l’exercice des droits des personnes concernées (droit d’accès, droit à l’oubli ou à la portabilité) et garantir la transparence ;

  • de vérifier le niveau de sécurité des données et les mesures mises en place (chiffrement, pare-feu, anti-virus etc…).

Un audit spécifique RGPD ?

Cette analyse permet d’avoir une vision objective et exhaustive permettant ensuite de prendre des mesures concrètes et les plus adaptées aux besoins de chaque structure. Cette tâche d’analyse des process et de la documentation peut sembler fastidieuse mais elle doit être considérée avec intérêt car elle constitue la première étape de votre mise en conformité.

Cet exercice fait aussi appel à des notions juridiques, complexes et techniques et il est nécessaire de bien comprendre les contours et les enjeux des notions qui sont mobilisées. Une mauvaise compréhension de ces différents éléments (par exemple des mesures à mettre en place obligatoirement ou non) induira nécessairement une mauvaise réalisation de votre audit et du plan de conformité qui en découle.

Pourquoi désigner un pilote de la conformité ?

C’est la personne en charge de la mise en conformité RGPD, le pilote de la conformité qui devra prendre en charge la réalisation de l’audit. Son rôle est central pour permettre de disposer de toutes les informations nécessaires, depuis la documentation contractuelle, l’historique Informatique et libertés ou les projets impliquant de nouveaux traitements de données.

Le pilote devra aussi mobiliser tous les salariés et personnels concernés ainsi que les équipes techniques et informatiques pour vérifier qu’aucun aspect n’a été oublié. Il ne s’agit pas seulement d’établir un audit exhaustif mais aussi de poser les bases de la documentation RGPD.

Audit RGPD : Quelle approche ?

La réalisation d’un outil RGPD doit mobiliser des outils interactifs et dynamiques ainsi que des normes et des méthodes rigoureuses. En effet, si ce type d’audit diffère d’autres types d’audits (audit produit, audit processus et audit systèmes), l’objectif reste le même : une vérification exhaustive des processus en regard des exigences identifiées, une étude de l’ensemble des processus et du rôle de chaque acteur.

La qualité de cet audit doit faire l’objet d’une réflexion en amont. La CNIL[1] comme d’autres autorités de contrôles (l’ICO[2] britannique notamment) ont ainsi eu l’occasion de préciser leurs exigences et de mettre en place leurs référentiels et labels. Elles ont également proposé des bonnes pratiques qui constituent autant d’outils disponibles pour accompagner au mieux les structures auditées.

Les audits doivent ainsi intégrer des exigences fortes en termes de connaissances utilisées, d’identification des structures auditées, d’identification des traitements et de leur licéité ou d’étude de la sécurité.

Ils doivent aussi prendre en compte les autres démarches initiées ou existantes au sein des entreprises ou des structures concernées (au titre de la démarche qualité, de la RSE ou des normes ISO/IEC 27001 ou ISO/IEC 27552, bonnes pratiques génériques de protection de la vie privée de l’AFNOR ISO/IEC 29151 par exemple).

Choisir un cabinet d’avocat pour réaliser un audit RGPD présente le double avantage de bénéficier de compétences fortes en droit de la protection des données personnelles et d’être conseillé juridiquement tout au long de ce processus.

Réaliser un audit peut enfin être une opportunité pour associer différents partenaires et rassembler des compétences diversifiées, sous réserve des rôles et responsabilités de chacun des acteurs impliqués (cabinets d’avocats, sociétés de conseil, prestataires informatiques et experts en sécurité informatique).

Méthode : comment commencer ?

Un audit RGPD doit être exhaustif et efficace. A ce titre, il importe de pouvoir rapidement disposer d’une grille de lecture d’ensemble. Pour cette raison il est important de privilégier les points suivants :

  • une session de formation et d’information destinée à mobilier autour de ce projet ;

  • la mise en place d’un questionnaire qui permettra de sérier l’ensemble des questions à se poser et de constituer une trame pour l’audit ;

  • le recueil d’information sur la structure à auditer et ses enjeux de développement ;

  • le suivi de l’actualité juridique dans le domaine d’activité audité et les questions spécifiques et ;

  • la compilation des mesures prises avant l’entrée en application du RGPD (déclarations ou autorisations à la CNIL, nomination d’un CIL etc…).

Cartographier

L’audit a pour objectif d’aboutir à une cartographie synthétique de l’ensemble des traitements de données personnelles, depuis leur collecte jusqu’à leur effacement ou leur destruction. Ce travail de cartographie ne doit pas oublier non plus les données conservées en format papier (archives, listings etc…), bien au contraire.

Cet exercice de cartographie suppose de suivre la démarche suivante :

  • Identifier les données personnelles (par exemple les adresses IP, adresses MAC ou les données relatives aux habitudes de vie) ;

  • Classer les données personnelles par catégories et identifier les données sensibles (données d’état-civil, données de santé, données bancaires etc…) ;

  • Evaluer la pertinence des données collectées, dans une visée de minimisation et de proportionnalité ;

  • Recenser les différents traitements effectués sur les données personnelles (pour mémoire la notion de traitement de données englobe toute opération, ou ensemble d’opérations, portant sur de telles données, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction, ...).

Il convient aussi de prendre en compte les éléments suivants :

  • Identifier les différents acteurs et leurs responsabilités (responsable de traitement, sous-traitant, sous-traitant ultérieur etc…), condition indispensable de la définition d’un cadre clair et de la révision de la documentation contractuelle ;

  • Noter les procédures mises en place ou non pour assurer les droits des personnes et le respect des règles en matière de consentement ;

  • Tracer les éventuels transferts internationaux de données (notamment dans le cadre du recours à des sous-traitants et prestataires hors UE ou de recours au cloud) afin de leur apporter les garanties nécessaires ;

  • Revue des mesures de sécurité des données permettant de garantir un niveau de sécurité adapté au risque ;

Audit RGPD : Et après ?

Une fois avoir répondu à toutes ces questions et dressé un panorama exhaustif des traitements de données, un rapport d’audit sera rédigé qui prendra en compte l’ensemble des éléments recueillis.

Ce rapport d’audit donnera lieu à un plan d’action RGPD adapté à votre structure et qui fera apparaître les différentes missions par liste de priorités. Enfin, la mise en place de solutions adaptées à vos besoins vous sera proposée au titre de votre mise en conformité.

Cet audit pourra enfin constituer une base à la documentation devant être constituée au titre de l’accountability.

L’audit RGPD permettra aussi d’interroger l’ensemble des traitements effectués sur la base des principes du RGPD et de la législation Informatique et libertés (proportionalité, minimisation etc…).

A cet égard, la réalisation d’un audit doit également permettre de promouvoir une réflexion interne sur la gouvernance de la donnée et les usages. De plus, la mise en place d’outils privacy-by-design suppose souvent une approche globale technique et juridique qui doit être pensée en amont, afin de pouvoir développer des applications et des solutions plus respectueuses de la vie privée. Dans le cas des environnements les plus complexes

Le cabinet DEROULEZ AVOCAT vous accompagne dans la réalisation de votre audit RGPD et reste à votre disposition pour toutes vos questions.

[1]https://www.cnil.fr/fr/les-labels-cnil

[2]https://ico.org.uk/media/for-organisations/documents/1533/auditing_data_protection.pdf

NUIT DU DROIT 2018 et RGPD: Jérôme DEROULEZ a participé à la conférence organisée par la Cour d'Appel de Bordeaux au sujet de la protection des données - 4 octobre 2018

RGPD: A l'invitation de la Cour d'Appel de Bordeaux, Jérôme Deroulez est intervenu lors de la conférence organisée sur le RGPD et la protection des données personnelles. Cette conférence organisée le 4 octobre avait pour objet de rappeler les enjeux de la négociation du RGPD et le nouveau cadre applicable aux données personnelles.

Collectivités locales, stationnement payant et RGPD : quels enjeux et quels dispositifs ?

données

données

COLLECTIVITES LOCALES : La CNIL a annoncé dans le cadre de son programme de contrôle 2018 que l'une de ses priorités sera de contrôler la conformité des traitements relatifs à la gestion des services de stationnements payants réalisés au moyen d’équipements connectés. Cette annonce intervient dans un contexte d'évolutions importantes concernant ces services.

En effet, la loi « MAPTAM » n° 2014-58 du 27 janvier 2014 de modernisation de l'action publique territoriale et d'affirmation des métropoles avait modifié les règles en la matière à compter de janvier 2018 et il incombe désormais aux collectivités locales de prendre en charge la gestion du stationnement payant sur la voie publique. Cette loi dépénalise notamment certaines infractions liées au stationnement payant avec la disparition de l’amende au profit d’un forfait de post-stationnement (FPS).

Le contrôle du paiement des redevances de stationnement et la notification des forfaits de post-stationnement pouvant être traités par des prestataires, de nombreuses données personnelles des usagers seront donc transférées à ces derniers dans des conditions qui doivent être encadrées.

La CNIL relève dans son programme de contrôle que de nouveaux outils vont être mis en œuvre comme les dispositifs de lecture automatisée de plaques d’immatriculation (LAPI) pour accroître l’efficacité des procédures de contrôle et du paiement du stationnement. Dispositif qui pose de nombreuses questions et au sujet duquel la CNIL avait déjà formulé des recommandations[1] :

  • Quel contrôle des données collectées, de leur qualité et de la proportionnalité de la collecte?

  • Quel choix des outils, par exemple au regard du principe du privacy-by-design?

  • Comment faciliter l'exercice des droits des personnes concernées?

QUELS ENJEUX RGPD?

Ces enjeux sont potentiellement très nombreux pour les collectivités locales et concernent les éléments suivants:

  • la cartographie des données collectées et leur classement par catégories de données par les collectivités et les prestataires qui devront les identifier;

  • le traitement des risques pour la vie privée à propos de la collecte de données sensibles;

  • la marge de latitude laissée par les collectivités locales à ces prestataires dans le cadre de ces traitements de données;

Par ailleurs, le traitement de ces données peut aussi interpeller au regard du niveau de sécurité qui sera défini et mis en place, alors que la collecte et le traitement de ces données pourra s'apparenter à une forme de profilage.

Enfin, si ce traitement de données était encadré par un mécanisme de formalités préalables et avait fait l’objet d’une délibération de la CNIL n°2018-137 du 19 avril 2018 autorisant l’Agence nationale du traitement automatisé des infractions (ANTAI) à mettre en œuvre un traitement de données à caractère personnel dénommé « Service FPS – ANTAI », le cadre légal post-RGPD supprime ces déclarations mais renforce les obligations des collectivités locales et de leurs prestataires.

QUELLES OBLIGATIONS POUR LES COLLECTIVITES LOCALES ET LEURS SOUS-TRAITANTS?

Les obligations pesant sur les collectivités locales et leurs prestataires sont nombreuses. Ces derniers devront notamment:

  • Assurer une information des personnes concernées (quelles sont les données collectées, pour quelles finalités, à qui sont-elles transférées, comment peuvent-elles y avoir accès) : cette information devra ensuite être portée à la connaissance des personnes de manière effective et transparente (l’information ne devra pas être diluée dans les CGU d’une application mobile ou lors de l’inscription à un abonnement);

  • Respecter les bases légales du traitement de données;

  • Respecter les principes de finalités et éviter les détournements de finalités lors d’un traitement de données ou de recoupements d’informations);

  • Respecter les principes de minimisation des données (la collecte devra respecter les principes de nécessité et de pertinence et devra être accompagnée par des formulaires, des lignes directrices ou des chartes encadrant de manière préventive les conditions de collectes des données. Ces démarches concernent également toutes les applications mobiles, logiciels et de manière générale les outils informatiques qui devront être conçus « privacy-by-design» en protégeant la vie privée des personnes dès la conception de ces applications;

  • Prévoir des durées de conservations (par exemple en prévoyant que les bases de données permettent des suppressions automatiques de données une fois les vérifications effectuées);

  • Assurer la sécurité des données et vérifier que les sous-traitants présentent des garanties de sécurité suffisante.

  • Gérer les destinataires des données et créer un système d'habilitations.

Ces obligations pourront être déclinées à travers les mesures concrètes suivantes:

  • La mise en place du DPO, obligatoire pour les collectivités et en charge du respect du RGPD;

  • Le registre des activités de traitement, tenu par le responsable de traitement et chaque sous-traitant;

  • Des analyses d’impact;

  • Des contrats formalisant la relation avec les prestataires et sous-traitants pour formaliser la répartition des rôles et insérer le cas échéant des dispositions relatives à la confidentialité.

Ce dispositif nouveau s’inscrit dans une démarche de plus en plus connectée des collectivités locales, liée aux développement des applications smart-city et à l'essor de l'Open data. La ville intelligente repose ainsi sur des mécanismes permettant de collecter des données en masse pour les réutiliser afin d’améliorer les infrastructures, d'optimiser l’espace ou de mieux gérer les transports publics. De telles mutations continuent cependant à interpeller du fait des risques de profilage ou de surveillance qu'elles génèrent. Autant de questions qui seront à suivre de près au fur et à mesure de la mise en conformité des collectivités locales et de leurs prestataires et sous-traitants.

Références

[1]https://www.cnil.fr/fr/reforme-du-stationnement-payant-les-recommandations-de-la-cnil

[2]https://www.collectivites-locales.gouv.fr/reforme-stationnement-payant-nouvelle-competence-pour-collectivites-0

[3]https://www.legifrance.gouv.fr/affichJuriAdmin.do?&idTexte=CETATEXT000034017907

[4]https://www.cnil.fr/fr/profilage-et-decision-entierement-automatisee

https://www.cnil.fr/sites/default/files/atoms/files/20171025_wp251_enpdf_profilage.pdf

HOTELS ET RGPD: Quelle sécurité des données personnelles ?

Hôtels et RGPD: Cet article constitue la seconde partie de notre étude relative à la conformité RGPD des hôtels. Il abordera la problématique de la sécurité des données personnelles.

A quelques jours des départs pour les vacances d’été, de nombreuses personnes vont séjourner dans des hôtels ou y utiliser des services en ligne. Les vacanciers sont de plus en plus connectés et élèvent désormais en critère de choix la mise à disposition d’un réseau WIFI dans les chambres d'hôtels. Ce critère était même le plus important selon une enquête réalisée par Hotels.com[1]. Ces « vacances connectées » ne sont cependant pas sans risques comme le rappelle la CNIL dans son article « utiliser un WIFI public ? Voici 5 précautions à prendre... »[2].

données

données

Les hôtels connectés : quels enjeux au regard du RGPD?

RGPD: Les hôtels, en plus de fournir une connexion WIFI, mettent également en place d’autres mesures qui peuvent présenter des risques pour la sécurité des données personnelles de leurs clients et leur bon fonctionnement : mesures de sécurité par des badges, cartes, à l’aide parfois de procédés biométriques, caméra de vidéosurveillance... Or des dispositifs de sécurité adaptés sont nécessaires afin de garantir que les données de leurs clients, simples vacanciers ou même professionnels, dans le cadre de voyages d’affaires soient protégées efficacement.

En effet, le secteur de l’hôtellerie est particulièrement impacté par les nouvelles dispositions du RGPD et devra ainsi en respecter les obligations (mise en place de registre des activités de traitement, réalisation d’études d’impact, désignation d’un DPO). L'obligation de sécurité des données figure également expressément dans le règlement (article 32), à la charge des responsables de traitement et de leurs sous-traitants. Des mesures de sécurité adaptées sont donc nécessaires, avec pour objectif d’éviter des difficultés de type scandale « Dark Hôtel » (quand des hackers avaient exploité des réseaux WIFI d’hôtels de luxe) ou encore de type ransomware[3] (avec en l'espèce une paralysie des systèmes d’ouverture des chambres d’hôtels).

Les enjeux liés à la sécurité des hôtels débordent aussi largement du seul droit à la protection des données personnelles et s'étendent au secret professionnel, au secret des affaires, à la propriété intellectuelle, à la concurrence entre entreprises ou encore à l’e-réputation des établissements en cas de violation de données personnelles. Comme indiqué dans notre précédent article, les données collectées sont aussi potentiellement très sensibles (convictions religieuses, opinion politiques, données relatives à la santé, préférence et style de vie...) et doivent à ce titre faire l’objet d’une protection particulière.

I/ Quelles obligations ?

Responsables de traitement, les hôtels devront respecter les principes fondamentaux de la protection des données et se conformer aux nouvelles obligations RGPD. 

Les responsables de traitement devront dans un premier temps faire une cartographie détaillée des données collectées dans le but d’établir un registre des activités de traitement. Chaque traitement de données devra faire l’objet d’une fiche à part entière, comme par exemple une fiche pour le traitement des données RH, une fiche pour le traitement des données clients, une fiche pour le traitement de données par l’intermédiaire de vidéosurveillance ou par le formulaire de collecte du site...

Les responsables de traitement devront prendre en compte des mesures de sécurité adaptées, et ce de manière encore plus importante quand l’hôtel sera connecté.

Caméra de vidéosurveillance, badge contrôlant l’accès aux locaux ou aux chambres, sécurité des sites internet, sécurité des bases de données, conformité des différents sous-traitants et prestataires, sécurité de la mise à disposition du réseau WIFI pour les clients... En cas de mise à disposition d’ordinateurs, TV connectés ou autres objets connectés, il sera également conseillé d’encadrer leur usage par l’intermédiaire d’une charte d’utilisation des ressources informatiques. Cette charte pourra être signée lors de la réservation de la chambre d’hôtel.

Les responsables de traitement devront aussi veiller aux durées de conversation et à leur conformité aux recommandations de la CNIL. A ce titre, ils pourront se référer au référentiel de durées de conservation[4].

Par exemple, en cas de :

  • Données de vidéo surveillance : des caméras de vidéosurveillance peuvent être installées dans les parties communes d’un hôtel à des fins de sécurité par exemple. Les données ne peuvent être conservées que pour une durée de 30 jours (article L.251-1 du code de la sécurité intérieure).

  • Données de trafic (lors de l'utilisation du réseau WIFI d'un hôtel: adresses IP, date, heure, durée de chaque connexion, informations permettant d’identifier le destinataire d’une communication). Si ces données doivent être conservées, ce n'est pas le cas du contenu des communications qui ne doit pas être conservé (par exemple l’objet ou le corps d’un courrier électronique). Ces données peuvent être conservées 1 an à compter de leur enregistrement (article L.34-1 du code des codes et des communications électroniques).

Les responsables de traitement devront également informer les personnes concernées des différents traitements de données les concernant. Il conviendra d’assurer une information des personnes concernées, que ce soit par le moyen d’un panneau d’affichage dans les locaux de l'hôtel ou lors de la réservation de la chambre. Cette information devra être mise à disposition dans des termes simples, de façon claire, non ambiguë et accessible. Ainsi, cette information ne devra pas être communiquée dans le cadre de conditions générales de vente par exemple mais de manière distincte et visible.

Enfin, les responsables de traitement devront mettre en œuvre des mécanismes destinés à assurer une effectivité des droits (droit d’accès, droit à la rectification, droit d’opposition et droit à l’effacement des données personnelles). Une adresse mail contact pourra être mise à disposition des personnes concernées afin de les informer de leurs droits.

II/ Quelle politique de sécurité des données personnelles?

La sécurité n’est pas absolue et les failles de sécurité demeurent possibles. A ce titre, il importe de souligner la nécessité d’une vigilance au quotidien et de l’adoption de bonnes pratiques quant à l’utilisation des outils informatiques.

Des conseils pourront notamment être apportés à la clientèle et par exemple :

  • Ne pas utiliser le WIFI pour communiquer des données sensibles (santé, données bancaires) et privilégier sa propre connexion 3 ou 4G. Désormais avec la fin des frais de d’itinérance à l’intérieur de l’Union européenne, les opérateurs ne facturent plus de supplément au sein de l’UE et cette option est donc à privilégier.

  • Minimiser les informations qui circulent et les connexions à ses comptes personnels

  • Se déconnecter systématiquement après chaque session et ne pas laisser ses affaires personnelles à libre disposition

  • S’assurer de se connecter au bon réseau WIFI et non pas à des WIFI qui porteraient le nom de l’établissement afin de détourner des connexions

  • Ne pas de connecter à des réseaux WIFI non sécurisés

Les hôtels, dans le cadre de la fourniture d’une connexion WIFI devront également penser à :

  • Suivre les recommandations de sécurité relatives aux réseaux WIFI de l’ANSSI[5]

  • Evaluer la sécurité de leurs systèmes informatiques et évaluer le niveau de garantie que présentent leurs sous-traitants et prestataires

  • En cas de traitement de données sensibles, particulières et à grande échelle, procéder à une étude d’impact aux risques de manière à identifier le risque pour ensuite adapter les mesures de sécurité à mettre en place

La sécurité des données personnelles est une obligation à part entière au titre du RGPD. En cas de faille de sécurité, les conséquences sont potentiellement importantes, qu'il s'agisse des risques de sanctions ou des enjeux sur la réputation des hôtels concernés. Alors que l'hôtellerie évolue rapidement pour prendre en compte les besoins d'une clientèle connectée et mobile, ces enjeux ne doivent pas être négligés.

Références : 

[1]https://www.lexpress.fr/tendances/voyage/le-wifi-gratuit-premier-critere-de-choix-d-un-hotel_1230486.html

[2]https://www.cnil.fr/fr/utiliser-un-wifi-public-voici-5-precautions-prendre

[3]http://www.lefigaro.fr/secteur/high-tech/2017/01/30/32001-20170130ARTFIG00169-un-virus-informatique-paralyse-un-hotel-de-luxe-en-autriche.php

[4]https://www.cnil.fr/fr/limiter-la-conservation-des-donnees

[5]https://www.ssi.gouv.fr/guide/recommandations-de-securite-relatives-aux-reseaux-wifi/

Quelle application du RGPD au secteur de l'hôtellerie?

RGPD: Quelle application au secteur de l'hôtellerie?

RGPD""

RGPD""

RGPD: Le secteur de l’hôtellerie collecte aujourd’hui de plus en plus de données personnelles, qu’il s’agisse de données nominatives, des données relatives à la réservation d’une chambre ou de celles liées aux préférences, goûts et habitudes de vie, ou de la santé des clients.

Ces données personnelles sont destinées à satisfaire la clientèle des hôtels et offrir des services de plus en plus personnalisés. Ces données peuvent être ensuite réutilisées et transférées à différents partenaires dans un but de fidélisation ou d’amélioration des prestations.

Cet article constitue un premier volet sur le thème de la conformité RGPD dans le secteur de l’hôtellerie et a pour but de recenser les différentes données collectées par l’hôtellerie et d’aborder les premières questions relatives à leur mise en conformité.

I/ Quelle collecte des données personnelles dans le secteur de l’hôtellerie ?

Différents types de données personnelles de clients sont collectées lors d’une réservation de chambre d’hôtel :

- Des données personnelles peu sensibles, relatives à l’identité (nom, prénom, âge, date de naissance, numéro de téléphone, adresse e-mail etc.) ou à la vie familiale (nombre d’enfants, mariés, célibataires etc.)

- Des données personnelles particulières ou sensibles liées à des allergies ou intolérances alimentaires, à la nécessité d’une chambre aménagée pour des personnes handicapées, ou encore des données issues de moyens biométriques lors de contrôle d’accès.

- Des données relatives aux convictions religieuses ou philosophiques du fait d’un régime alimentaire spécifique en raison de convictions religieuses ou d’une réservation liée à un événement particulier (réunion politique ou syndicale).

Certains hôtels sont également amenés à collecter davantage de données dans le but d’offrir des prestations et une expérience client très qualitative, notamment dans le secteur du luxe.

II/ La collecte de ces données est soumise au RGPD

Toutes ces données peuvent être qualifiées de données personnelles au sens du RGPD, voire de données sensibles : leur recueil devra être encadré et leur collecte respecter les critères de licéité de l’article 5 du RGPD.

Cela signifie que les données collectées doivent être :

  • Traitées de manière licite, loyale, transparente au regard de la personne concernée

  • Collectées pour des finalités déterminées, explicites et légitimes

  • Adéquates, pertinentes et limitées à ce qui est strictement nécessaire au regard des finalités pour lesquelles elles sont traitées

  • Exactes et, si nécessaires, tenues à jour

  • Conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées

  • Traitées de façon à garantir une sécurité appropriée des données à caractère personnel

III/ Quelles obligations au titre du RGPD ?

Des mentions d’informations:

Le traitement et l’utilisation de ces données impliquent de nombreuses obligations, de la mise à disposition d’une information transparente, au recueil du consentement :

- Les gérants d’un hôtel devront mettre à disposition de manière claire, facile et intelligible, les différentes données qu’ils collectent dans le cadre de la relation contractuelle avec leurs clients et prospects.

- Les mentions d’informations devront être adaptées en fonction du mode de recueil : site internet, téléphone, salon du voyage...

- La personne concernée doit être informée des mentions des articles 12 et 13 du RGPD de manière « concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples » et notamment:

  • de l’identité et des coordonnées du responsable du traitement

  • le cas échéant des coordonnées du DPO

  • des finalités du traitement et la base juridique du traitement

  • les destinataires ou les catégories de destinataires des données à caractère personnel

  • les transferts de données en dehors de l’Union européenne

L’intensité de l’obligation d’information pourra également varier en fonction de la nature de la donnée collectée, par exemple dans le cadre d’une utilisation de la biométrie: 

- Les sites Internet devront enfin être mis à jour (mentions légales, mentions obligatoires RGPD et clause données personnelles dans les CGV). Une adresse de contact devra être mise à disposition des personnes concernées de manière à recevoir les questions, les demandes de suppression, de rectification ou d’information sur leurs données.

Registre de traitement

L’article 30 du RGPD impose la tenue d’un registre des activités de traitement afin de recenser l’intégralité des traitements réalisés au sein de l’organisme. Ce registre doit être mis à jour régulièrement, être clair, facilement accessible et compréhensible en cas de procédure de contrôle de la CNIL.

Dans le cas d’un hôtel « connecté » (wifi, caméra de surveillance, sécurité et biométrie), les dispositifs devront aussi être encadrés et documentés afin d’attester de leur conformité.

A suivre dans un prochain article, les enjeux liés à la sécurité des données dans les hôtels.

RGPD: Jérôme DEROULEZ a dispensé le 3 juillet 2018 une formation lors du CAMPUS AVOCATS : "le RGPD, nouveaux métiers pour l'avocat"

Jérôme DEROULEZ a dispensé avec Elise LATIFY,  le 3 juillet 2018, une formation RGPD lors du CAMPUS AVOCATS. Cette formation avait pour objet d'évoquer le RGPD et les nouveaux métiers pour l'avocat. Cette formation a permis d'évoquer les enjeux liés au RGPD et à la mise en conformité des avocats ainsi que les nouvelles opportunités au titre de ce règlement.

BLOCKCHAIN: Jérôme DEROULEZ a animé l'atelier consacré aux smart-contracts lors du colloque Interdisciplinay Workshop on Blockchains organisé le 2 juillet 2018 à l'ENS.

BLOCKCHAIN: Jérôme DEROULEZ a participé et animé l'atelier consacré aux smart-contracts lors du colloque organisé à l'Ecole Normale Supérieure le 2 juillet 2018 à Paris. Ce colloque organisé par Alexis COLLOMB (ILB, CNAM), Vincent DANOS (CNRS, INRIA, ENS-PSL), Primavera DE FILIPPI (CNRS/CERSA, Harvard/Berkman Center) et  Florence G’SELL (IFG, Université de Lorraine) était soutenu par BNP PARIBAS et la CAISSE DES DEPOTS.

Ont été abordées les questions liées à la gouvernance de la blockchain, sa régulation, les smart-contracts et la token economy.

ICO, BLOCKCHAIN et PROJET DE LOI PACTE : QUELLES AVANCEES?

ICO: Le projet de loi relatif à la croissance et à la transformation des entreprises a été présenté en Conseil des ministres ce mercredi 20 juin 2018. Il vient jeter les bases d’une future réglementation des ICO alors que ces levées de fond reposant sur la blockchain étaient jusque là peu encadrées. L'objectif est clairement affiché: offrir un cadre juridique compréhensible et protecteur alors que le financement de l'innovation par les ICO est en plein essor. Ce dernier rejoint une des finalités de la loi PACTE visant à renforcer l'attractivité de la Place de Paris. Le Conseil d'Etat dans son avis a relevé le caractère innovant de cette proposition et l'évolution probable de cet environnement technologique.  

Ce projet de loi PACTE constitue aussi un prolongement des travaux menés par l’Autorité des Marchés Financiers sur ce thème et notamment après la présentation de la synthèse de sa consultation publique portant sur les ICO et marquant un point d'étape du programme UNICORN - consultation publique rendue le 22 février 2018 "UNICORN".

Ce projet de loi contient unchapitre 2relatif aux « émetteurs de jetons ».

Plusieurs points sont à souligner au titre de ce nouveau cadre juridique inédit :

1/ Les dispositions relatives à l’objet de l’ICO

a) La soumission à un visa de l'AMF des offres au public de jetons

Le projet d’article L. 552-1 du code monétaire et financier dispose qu’ « est soumis aux obligations du présent chapitre tout émetteur qui procède à une offre au public de jetons et qui sollicite un visa de l’Autorité des marchés financiers dans les conditions prévues aux articles L.552.4 et suivants ».

Il consacre ainsi le mécanisme du visa dans le cadre d’une démarche volontaire des émetteurs de jetons, à la suite des préconisations faites en ce sens par l'AMF.

b) La définition d’un jeton

Un jeton est qualifié dans le projet de loi comme « tout bien incorporel représentant, sous forme numérique, un ou plusieurs droits, pouvant être émis, inscrits, conservés ou transférés au moyen d’un dispositif d’enregistrement électronique partagé permettant d’identifier, directement ou indirectement, le propriétaire dudit bien ».

Un jeton est donc représentatif d’un droit qui peut être émis, inscrit, conservé, transféré au moyen d’un DEEP, c'est-à-dire une technologie de registre distribué (blockchain).

Faut-il comprendre de ce projet d'article que le jeton sera uniquement représentatif d’un droit ? Dans la pratique, il existe différentes typologies très différentes de jetons qui ne visent pas seulement à représenter un droit. Cette disposition pourra faire l'objet de débats.

Cette disposition indique aussi au titre de la définition du jeton que ce dernier permet également l’identification directe ou indirecte du propriétaire dudit bien. Cette dénomination proche du droit des données personnelles interpelle, au vu de la portée et des conséquences liées au mécanisme d'identification. L'objectif d'une telle référence dépasse le seul enjeu de la protection des données et semble à rapprocher de la lutte contre la corruption et le blanchiment.

c) Qualification de l'offre au public de jetons

Toutes les offres d’ICO ne sont pas concernées par ces dispositions. En effet, le projet d’article L.552-3 du code monétaire et financier dispose que : « une offre au public de jetons consiste à proposer au public, sous quelque forme que ce soit, de souscrire à ces jetons ». « Ne constitue pas une offre au public de jetons, l’offre de jetons ouverte à la souscription par un nombre limité de personnes, fixé par le règlement général de l’Autorité des marchés financiers, agissant pour compte propre ».

Cet article vient préciser le champ d’application de ces dispositions en ajoutant un seuil minimal à la qualification « d’offre au public » de jetons. Certaines ICO seront par conséquent exclues de ce régime.

2/ Les dispositions relatives au contenu des ICO

Un formalisme documentaire imposé

Les ICO ne sont aujourd'hui pas encadrées sur le plan juridique en dépit d'une documentation de plus en plus étoffée en pratique (White paper, conditions générales etc) et ces dernières peuvent présenter des risques pour les souscripteurs. Ce projet de loi PACTE instaure donc un mécanisme destiné à fournir aux souscripteurs des documents d’information encadrés.

Le projet d’article L.552-4 du code monétaire et financier dispose ainsi « que préalablement à toute offre au public de jetons, les émetteurs peuvent solliciter un visa de l’Autorité des marchés financiers ». Dans ce cadre, les émetteurs établissent

  • « Un document destiné à donner toute information utile au public sur l’offre proposée et sur l’émetteur».

  • « Ce document d’information et les communications à caractère promotionnel relatives à l’offre au public présentent un contenu exact, clair et non trompeur et permettent de comprendre les risques afférents à l’offre».

  • « Les modalités de la demande de visa préalable, les pièces nécessaires à l’instruction du dossier et le contenu du document d’information sont précisés par le règlement général de l’Autorité des marchés financiers».

Ce projet de loi vient donc encadrer la documentation que chaque projet devra mettre à disposition des investisseurs. Le contenu devra être clair et non trompeur et permettre aux investisseurs de l’ICO de comprendre les risques afférents à l’offre, ce qui en pratique pourra être complexe à déterminer.

3/ Le rôle de l’AMF et procédure de visa

a) Introduction du mécanisme du visa non obligatoire

Le projet d’article L.552-4 du code monétaire et financier dispose que « préalablement à toute offre au public de jetons, les émetteurs peuvent solliciter un visa de l’Autorité des marchés financiers ».

Le mécanisme du visa n’est pas obligatoire pour faire une levée de fonds par le biais d'une ICO mais il s’inscrit dans une démarche de certification et d’accompagnement volontaire à l’image de procédures mises en œuvre jusqu'aujourd'hui par l’AMF. Il est possible d'imaginer qu'un tel visa constituera une des étapes clés dans la mise en oeuvre d'une ICO et au vu de sa crédibilité.

b) La procédure de contrôle et de révocation de visa devant l’AMF

Ce mécanisme du visa fait l'objet d'un suivi spécifique de la part de l'AMF. En effet, le projet d’article L.552-6 du code monétaire et financier dispose que « si, après avoir apposé son visa, l’Autorité des marchés financiers constate que l’offre proposée au public n’est plus conforme au contenu du document d’information ou ne présente plus les garanties prévues à l’article précédent, elle peut ordonner qu’il soit mis fin à toute nouvelle souscription ou émission, ainsi qu’à toute communication à caractère promotionnel concernant l’offre, et retirer son visa dans les conditions précisées par son règlement général ».

Le visa est donc révocable en cas d’offres qui seraient devenues non conformes aux exigences précitées, avec la possibilité de faire mettre fin aux communications concernant l'offre comme aux nouvelles souscriptions et émissions.

c) Le rôle de l’AMF : de nouveaux pouvoirs de vérification et d’examen?

Ce projet de loi confère à l’AMF un pouvoir de contrôle lorsque les porteurs de projet ICO décideront de se soumettent à cette procédure de visa.

Le projet d’article L.552-5 du code monétaire et financier précise que « l’Autorité des marchés financiers vérifie si l’offre envisagée présente les garanties exigées d’une offre destinée au public et notamment que l’émetteur de jetons :

  • Est constitué sous la forme d’une personne morale établie ou immatriculée en France

  • Met en place tout moyen permettant le suivi et la sauvegarde des actifs recueillis dans le cadre de l’offre

L’Autorité des marchés financiers examine le document d’information, les projets de communications à caractère promotionnel destinées au public postérieurement à la délivrance du visa et les pièces justificatives des garanties apportées. Elle apporte son visa sur le document d’information selon les modalités et dans le délai fixés par son règlement général ».

L’AMF a dès lors un pouvoir de contrôle sur l’entier projet et également sur les documents de publicités qui doivent être clairs et transparents.

4/Les critères relatifs aux parties : l’émetteur et le souscripteur

a) Les qualités de l’émetteur de jetons

Le projet de loi réglemente également la qualité d'émetteur de jeton. En effet, le projet d’article L.552-5 du code monétaire et financier dispose que « l’Autorité des marchés financiers vérifie si l’offre envisagée présente les garanties exigées d’une offre destinée au public et notamment que l’émetteur de jetons :

  • « Est constitué sous la forme d’une personne morale établie ou immatriculée en France

  • Met en place tout moyen permettant le suivi et la sauvegarde des actifs recueillis dans le cadre de l’offre »

Cet article énonce les conditions relatives à l’émetteur de jetons, ce dernier devant être une personne morale immatriculée en France. Cette condition est considérée comme donnant une certaine transparence et des garanties supplémentaires pour les souscripteurs, elle permet aussi d'encourager des porteurs de projets ICO à s'immatriculer en France dans le cadre de leur développement.

Par ailleurs, l’émetteur de jetons doit fournir un moyen permettant le suivi et la sauvegarde des actifs recueillis dans le cadre de l’offre.

b) Le souscripteur de jetons : des garanties renforcées

Enfin le projet d’article L. 552-7 du code monétaire et financier précise que « les souscripteurs sont informés des résultats de l’offre et, le cas échéant, de l’organisation d’un marché secondaire des jetons selon les modalités précisées par le règlement général de l’Autorité des marchés financiers ». 

La protection apportée à ces derniers est renforcée et leur information élargie, en l'absence de tout cadre en la matière. De la même façon l'information sur l'organisation d'un éventuel marché secondaire entrera dans le cadre des compétences de l'AMF.

Ce projet de loi attendu marque une nouvelle étape dans la construction d'un cadre juridique relatif à la blockchain et en l'espèce aux ICO. Si la future loi PACTE devra nécessairement intégrer des aspects fiscaux et comptables à terme pour assurer une réelle attractivité, elle témoigne de l'intérêt grandissant pour ces nouvelles levées de fonds.

Ces dispositions sont aussi un exemple intéressant de "bac à sable", un tel régime optionnel étant de nature à accroître encore les dispositifs juridiques mis en oeuvre par les porteurs de projets.