data

PRIVACY BY DESIGN & PRIVACY BY DEFAULT: NEW EDPB GUIDELINES UNDER CONSULTATION

DATA PROTECTION BY DESIGN AND BY DEFAULT : NEW GUIDELINES FROM THE EUROPEAN DATA PROTECTION BOARD

The European Data Protection Board (EDPB) published the Guidelines 4/2019 on Article 25 Data protection by design and by default (DPbDD).

The EDPB emphasizes the need to implement the GDPR obligations when designing processing operations. Technology-providers should then design solutions that embed data protection into the processing at all stages.

PRIVACY BY DESIGN?

PRIVACY BY DESIGN?

What are the EDPB recommendations?

European Data Protection Board recommended to take into account the following points:

 • Controllers should think of DPbDD from the initial stages of planning a processing operation, even before the time of determination of the means of processing.

• A processing operation may be certified for DPbDD. Such a certification may provide an added value to a controller when choosing between different processing systems from technology providers. A certification seal may also guide data subjects in their choice between different goods and services, such as applications, software, systems, Internet of Things, including wearables and implants. Having a DPbDD-seal can therefore serve as a competitive advantage for both technology providers and controllers, and may even enhance data subjects’ trust in the processing of their personal data.

• Technology providers should seek to support controllers in complying with DPbDD. Controllers, on the other hand, should not choose providers who do not propose systems enabling the controller to comply with Article 25, because controllers will be held accountable for the lack of implementation thereof.

• Technology providers should play an active role in ensuring that the criteria for the “state of the art” are met, and notify controllers of any changes to the “state of the art” that may affect the effectiveness of the measures they have in place. Controllers should include this requirement as a contractual clause to make sure they are kept up to date.

• Controllers should take into account the cost element when choosing a provider or planning a technology or organisational practice or solution, and take into account the potential cost of monetary fines as a result of non-compliance with the GDPR.

• Controllers should always seek to effectively mitigate risk when observing data protection by design within the nature, scope and context of their processing operations, including when accounting for the related cost and state of the art of their chosen technical and organisational measures and safeguards.

• The EDPB encourages technology providers to take the opportunity to use DPbDD as a competitive advantage in the market.

• The EDPB recommends controllers to require that technology providers demonstrate accountability on how they have complied with DPbDD, for example by using key performance indicators to demonstrate the effectiveness of the measures and safeguards at implementing the principles.

• The EDPB emphasizes the need for a harmonized approach to implement principles in an effective manner and encourages associations or bodies preparing codes of conduct in accordance with Article 40 to also incorporate DPbDD. Adopted - version for public consultation 27

• Controllers should be fair to data subjects and transparent on how they assess and demonstrate effective DPbDD implementation, in the same manner as controllers demonstrate compliance with the GDPR under the principle of accountability.

The aforementioned guidelines are proposed to public comments until January 16th. Knowing that such principles are to be carefully taken into account by controllers when implementing new processings of personal datas.

, ,

COOKIES: Article de Jérôme DEROULEZ dans la Semaine Juridique du 25 novembre 2019.

, ,

Jérôme Deroulez a rédigé un article consacré à la publicité ciblée sur internet et au rejet des recours contre les lignes directrices de la CNIL par le Conseil d’Etat. A retrouver dans le JCP du 25 novembre 2019.

2019 11 02 JCP.jpg

Cookies - quel cadre juridique?

DEROULEZ AVOCATS classé en "pratique réputée" en droit des données personnelles par Leaders League

Le Cabinet a été classé en “pratique réputée” par Leaders League dans son classement des cabinets d’avocats 2019.

https://www.magazine-decideurs.com/classements/technologies-internet-telecommunications-droit-des-donnees-personnelles-classement-2019-cabinet-d-avocats-france?locale=fr

RGPD et violations de données: Jérôme Deroulez a participé au premier Digital Breakfast organisé par Effective IP

RGPD: Jérôme Deroulez a participé le 11 avril 2019 au premier Digital Breakfast organisé par Effective IP, avec Alexandra Guérin et François-Xavier Boulin.

Ce petit déjeuner avait pour objet d’évoquer les violations de données personnelles et de mettre en commun les expériences des intervenants. Comment anticiper, comment réagir, quelles bonnes pratiques mettre en place? Cet événement a permis des échanges concrets pour dégager des objectifs communs et des pratiques respectueuses du droit des données personnelles.

DATA BREACH.jpg

DONNEES PERSONNELLES ET BLOCKCHAIN: Publication d'une étude de Jérôme DEROULEZ (LAMYLINE)

DONNEES PERSONNELLES: Jérôme Deroulez a publié une nouvelle étude sur les interactions entre le droit de la protection des données (RGPD) et la blockchain. Cette étude publiée en ligne a pour objet de recenser la plupart des défis juridiques posés par la blockchain pour assurer une protection effective des données personnelles et les solutions pouvant être mises en oeuvre. Cette publication s’inscrit également dans un contexte européen et international marqué par les débats sur l’opportunité ou non de légiférer sur la blockchain.

https://lamyline.lamy.fr/Content/Document.aspx?params=H4sIAAAAAAAEAMtMSbF1CTEwMDAxtDCwMDFVK0stKs7Mz7MNy0xPzStJBQCCqPusIAAAAA==WKE

RGPD: Condamnation de Google par la CNIL. Publication d'un article par Jérôme Deroulez au sujet de cette délibération. (Semaine Juridique - 7 février 2019)

RGPD: Jérôme Deroulez a commenté la délibération de la CNIL du 21 janvier 2019 condamnant Google à une sanction de 50 millions d’euros pour manque de transparence, d’information et de consentement préalable.

Dans cet article publié dans la Semaine Juridique du 7 février 2019 (JCP E), Jérôme Deroulez a souligné le raisonnement repris par la formation restreinte de la CNIL et les griefs établis à l’encontre de Google. Il a notamment noté marqué les conséquences juridiques du recours au consentement lors du traitement de données personnelles.

http://www.lexiskiosque.com/catalog/jcp-e/jcp-e/n6-2019

RGPD: La révolution du consentement?

Jérôme Deroulez a publié dans la Semaine Juridique (JCP G du 28 janvier 2019) un article sur la condamnation par la CNIL de Google en janvier 2019.

Cet article évoque le contexte de cette condamnation et sa motivation, notamment au vu des éléments constitutifs du consentement retenus par la CNIL. Cette dernière a aussi insisté sur l’obligation d’information et de transparence à charge des responsables de traitement et leurs conséquences (par exemple sur l’ergonomie des choix).

https://web.lexisnexis.fr/unerevues/pdf/une/sjg1904.pdf

DATA: Proposition pour un marché européen de la donnée

DATA: La Commission européenne a déposé une proposition de règlement ( http://ec.europa.eu/transparency/regdoc/rep/1/2017/EN/COM-2017-495-F1-EN-MAIN-PART-1.PDF ) visant à mettre en oeuvre un marché unique de la donnée. Parallèlement aux règles déjà en vigueur pour les données à caractère personnel, ces futures dispositions devraient permettre le stockage et le traitement des données à caractère non personnel dans l'ensemble de l'Union de manière à stimuler la compétitivité des entreprises européennes et à moderniser les services publics dans un véritable marché unique européen des services de données. Ce règlement devrait ainsi permettre l'émergence d'un marché unique européen des services de données et favoriser la croissance des entreprises innovantes dont l'importance avait été soulignée par le Conseil Européen de décembre 2016. Libre circulation de la data

Ce futur cadre prévoit un principe de libre circulation des données à caractère non personnel dans l'Union européenne, un principe de disponibilité des données à des fins de contrôle réglementaire et l'élaboration de codes de conduite de l'Union européenne. Ces mesures devraient, pour la Commission européenne (http://europa.eu/rapid/press-release_IP-17-3190_fr.htm) consolider le marché européen du stockage et du traitement de données, en facilitant notamment le recours aux services en cloud.

Data et données personnelles

A noter: ces mesures compléteront les dispositions applicables à la protection des données personnelles pour aboutir à terme à un corps de règles européennes des données, étape-clé dans la stratégie de l'UE pour un marché unique numérique. Parallèlement à ces travaux la Commission a lancé une consultation publique sur la ré-utilisation des données publiques, prélude à une révision du texte.

Suivez nous sur les réseaux sociaux

Follow us on social networks

// Aseptio