Droit du

numérique
Outils de protection
des données à
caractère personnel
 Qui suis-je ?

 Responsable de projets au sein du 1er groupe français

en protection sociale
 Senior Consultant Cybersécurité et RGPD
 Ancien Directeur des SI et du Contrôle de la CDP du
Sénégal
 Ancien CT du DG de la Poste en sécurité informatique
 Master 2 en Droit du numérique à l’Université de la
Rochelle
 Master 2 en Cybersécurité à l’université de Grenoble –
Alpes
 Certifé ISO 27001 LI, CIPT-IAPP
 A votre tour !

I
1. Quel est votre 3. Quelles sont
parcours vos attentes par

S
académique et/ou rapport au
professionnel ? module ?

M
2. Avez-vous une expérience en protection
des données à caractère
Interne Orange personnel et/ou un
Sommaire
1. Introduction : le droit à l’ère du numérique

2. Respect de la vie privée vs Protection des données à caractère personnel

3. Les sources du droit de la protection des données à caractère personnel

4. Terminologie de la protection des données à caractère personnel

5. Principes clés en matière de protection des données à caractère personnel

6. Réglementation en matière de protection des données

7. Défs modernes pour la protection des données à caractère personnel

8. Cas du Sénégal : Focus sur la Loi 2008-12 du 25 janvier 2008

9. Focus sur le Règlement européen sur la protection des données (RGPD)

10. Mise en conformité à la réglementation protection des données : démarche et outils pratiques

11. Etude de cas : audit de conformité d’une société basée à Dakar

Introduction : le droit à
l’ère du numérique
Question ?
L’émergence des technologies numériques depuis la fn du 20ième
siècle a profondément bouleversé nos vies quotidiennes et celles
des organisations humaines.

Selon vous, comment le numérique

impacte les métiers du droit ?
Focus sur l’Estonie : les piliers d’un Etat numérique

Exemple de services publics

1. L’identité numérique 2. La X-Road 3. Le portail numérique numériques de proximité

 Ouvrir un compte bancaire

Pilier fondateur de cet Etat Ensemble de services et  Créer son entreprise

numérique encadré par une d’infrastructures permettant  Voter avec sa carte numérique
Portail d’accès unique à plus
loi permettant la à toutes les agences de l’Etat
de 2691 services diférents.  Payer ses impôts
reconnaissance de la valeur et les ministères de
99% des démarches
l’identité numérique au communiquer entre eux dans  Récupérer ses médicaments
administratives se font via ce
même titre qu’une identité un système de
portail sauf se marier,  Accéder aux transports en commun
sur les papiers. Elle permet déconcentration des données
divorcer et acheter un bien
des signatures électroniques permettant ainsi une  Suivre les résultats de ses enfants à
immobilier
qui facilitent des démarches importante résilience en cas
en ligne d’attaque informatique l’école
 Efectuer sa demande de subvention
agricole
Focus sur l’Estonie : les dérives possibles

 Mauvaise utilisation des données des citoyens par un gouvernement autoritaire :

 Conception des services et des institutions de telle sorte que toute manipulation de donnée par un
fonctionnaire estonien se fasse au su et au vu du citoyen concerné avec un registre qui indique la date,
l’heure et la nom du fonctionnaire ;

 En cas d’abus, possibilité de porter plainte avec la garantie d’une célérité dans son traitement et pouvant
conduire à de lourdes sanctions ;

 L’identité numérique : un sujet important car c’est le premier terrain sur lequel les GAFAM
commence à grignoter sur les prérogatives régaliennes :

 Le modèle estonien est un exemple d’un Etat moderne et démocratique capable de défendre ses
prérogatives régaliennes à la fois dans le numérique et dans la vie concrète
Droit et numérique

Droit d’auteur et
Marchés publics
Propriété intellectuelle

Dématérialisation / E- Economie numérique

administration (acteurs, outils)

Commerce Protection de la vie

électronique / Usage privée et des données
des plateformes Les activités numérique personnelles
ayant impacter les
Cybersécurité / Lutte métiers du droit
contre la Contrats IT
cybercriminalité

Internet / Activités en
Cyberjustice
ligne

Archivage électronique Signature électronique

Vie privée vs Protection des
données à caractère
personnel
Vie privée vs Protection des données personnelles
 Le droit au respect de la vie privée et le droit à la protection des données à caractère
personnel, bien qu’étroitement liés, sont des droits distincts;

 L’article 12 de la Déclaration universelle des droits de l’homme (DUDH) de 1948 dispose :

« Nul ne sera l’objet d’immixtion arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d’atteintes
à son honneur et à sa réputation . Toute personne a le droit à la protection de la loi contre de telles immixtions ou de telles
atteintes »

 Ce thème est repris par la Convention européenne des droits de l’homme (CEDH) en 1950 en
son article 8 qui dispose que toute personne a droit au respect de sa vie privée et familiale, de
son domicile et de sa correspondance

 La DUDH et la CEDH ont été adoptées bien avant le développement des ordinateurs et
d’internet et l’émergence de la société de l’information;

 Ces développements ont apporté des avantages considérables aux individus et à la société
mais aussi de nouveaux risques pour le droit au respect de la vie privée;

 La nécessité de disposer de règles spécifques pour la collecte et l’utilisation de données

personnelles a conduit à l’élaboration de réglementations spécifques qui prévoient leur
protection;

 Toutes les données personnelles ne relèvent pas de la vie privée;

Vie privée vs Protection des données personnelles

La protection de la vie privée en

Afrique : est-elle consacrée dans nos
législations ?
Les sources du droit de la
protection des données à
caractère personnel
1. Les textes internationaux
 Historiquement, le droit de la protection des données personnelles s’est constitué avec le
développement de l’informatique;

 En Europe, la protection des données est apparue dans les années 1970 avec l’adoption d’une
législation – par certains États – visant à contrôler le traitement d’informations personnelles par
les autorités publiques et les grandes entreprises ;

 Deux organismes internationaux ont travaillé en parallèle sur des textes relatifs à la protection
des données personnelles sous deux angles diférents :

 L’organisation de coopération et de développement économique (OCDE) avec la priorité d’éliminer tout

obstacle aux fux économiques;

 Le Conseil de l’Europe dans un impératif d’équilibrer le droit des individus face aux nouvelles
possibilités données aux gestionnaires de fchiers par l’informatique;

 Il en résulte deux textes pour concilier ces deux exigences :

 La recommandation du Conseil de l’OCDE concernant les lignes directrices régissant la protection de la vie privée et
les fux transfrontières de données à caractère personnel du 23 septembre 1980;

 La Convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des
données à caractère personnel, du 28 janvier 1981, dite Convention 108;
2. Les textes internationaux
Principes de protection des données personnelles issus des textes internationaux

Droit d’accès, de modifcation et d’opposition :

Toute personne physique obtenir du « maître du fchier » les données la concernant et de les faire le cas échéant
rectifer, efacer ou compléter
NB: les textes internationaux
Finalité du traitement
Un traitement doit avoir une fnalité explicite et préalable. Les données collectées ne peuvent être ensuite utilisées pour raisonnent en termes de
une autre fnalité « fchier », qui était le seul
mode d’organisation des
Information et consentement
Toute personne physique doit être informée que ses données vont faire l’objet d’un traitement pour une fnalité donnée
données à l’époque
et ce traitement ne peut avoir lieu qu’avec son consentement

Information et consentement
Toute personne physique doit être informée que ses données vont faire l’objet d’un traitement pour une fnalité donnée Les principales exceptions à
et ce traitement ne peut avoir lieu qu’avec son consentement
ces principes concernent :
Qualité des données
Les données traitées doivent être exactes, complètes et à jour  La sécurité de l’Etat
 La répression des infractions
Limitation de la durée de conservation
Les données ne peuvent être conservées que pendant la durée nécessaire à la fnalité du traitement pénales
 La sauvegarde de la vie humaine
Protection des « données sensibles »
 La recherche
Le traitement de certaines catégories de données (origine raciale, opinions politiques, philosophique ou religieuses,
santé , etc.) font l’objet de mesures particulières  Les traitements statistiques

Limitation de l’exportation
Les données ne peuvent être exportées que dans un pays garantissant un niveau comparable de protection
Sécurité des données
Des mesures de sécurité appropriées doivent être prises pour empêcher l’altération, la destruction, l’accès ou la
divulgation
2. Le droit de l’Union européenne en matière de protection des
données
Le (1/2)
droit de l’UE se compose du droit primaire et du droit dérivé de l’UE

 Les traités, à savoir le Traité sur l’Union européenne (TUE) et le Traité sur le fonctionnement
de l’Union européenne (TFUE), ont été adoptés par tous les États membres de l’UE ; ils
forment le « droit primaire de l’UE »;

 Les règlements, les directives et les décisions de l’UE sont adoptés par les institutions de l’UE
auxquelles les traités ont conféré cette compétence ; ils constituent le « droit dérivé de l’UE
».
1978 […] 1995 […] 2008 […] 2012 2013 2014 2015 2016 2017 2018

Adoption Transpositio
2 3 4 du RGPD : n du RGPD
en lois
Décision- Proposition Règlement (UE)
Directive locales
cadre d’une réforme 2016/679
95/46 du 24 du Parlement
Octobre 2008/977 globale des
du Conseil règles en européen et du
1995 Conseil du 27 avril
du 27 matière de
novembre protection des 2016 Application
2008 données efective du
personnelles RGPD
dans l’UE
(RGPD)
Mars 2017

1 5 6
Loi Loi Valter Loi Lemaire
informatique et relative à la (Loi pour une
libertés gratuité et aux République
modalités de la Numérique)
Loi n°78-17 réutilisation
Loi n° 2016-
du 6 janvier des
1321
1978 informations
du 7 octobre
du secteur
Loi n° 2015-1779 2016
public
du 28 Décrets
décembre d’application en
2. Le droit de l’Union européenne en matière de protection des
données (2/2)
 De 1995 à mai 2018, le principal instrument juridique de l’UE en matière de protection des
données était la Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995
relative à la protection des personnes physiques à l’égard du traitement des données à
caractères personnel et à la libre circulation de ces données (Directive relative à la protection des
données) ;

 Elle a été adoptée en 1995, à un moment où plusieurs États membres avaient déjà adopté des
législations nationales de protection des données et répondait à la nécessité d’harmoniser ces
législations afn d’assurer un niveau élevé de protection et la libre circulation des données à
caractère personnel entre les États membres;

 La Directive relative à la protection des données refétait les principes de protection déjà
contenus dans les législations nationales et dans la Convention 108, tout en les étofant souvent;

 La Directive relative à la protection des données a établi un système détaillé et exhaustif de

protection des données dans l’UE. Toutefois, conformément au système juridique de l’UE, les
directives ne sont pas directement applicables et doivent être transposées dans le droit national
des États membres;

 Inévitablement, les États membres disposent d’une marge de pouvoir discrétionnaire dans la
transposition des dispositions de la directive;

 Bien que l’objectif de la directive ait été de parvenir à une harmonisation complète (et à une
3. Les textes africains sur la protection des données
personnelles
Le droit à la protection des données à caractère personnel est consacré par divers instruments en
Afrique notamment par les organisations communautaires l’UEMOA et la CEDEAO, par l’Union
Africaine ainsi que par plusieurs pays du continent.
UEMOA
Directive n°1/2006/CM/UEMOA du 23 mars 2006
relative à l’harmonisation des politiques de
contrôle et de régulation du secteur des
télécommunication
Directive n°4/2006/CM/UEMOA du 23 mars 2006
relative au service universel et aux obligations de
performance du réseau
Union Africaine (UA)
Convention de l’union Africaine sur la
Cybersécurité et la protection des données à
caractère personnel adoptée le 27 juin 2014 à
Malabo et ouverte à tous les Etats membres de
l’UA pour signature, ratifcation et adhésion.
CEDEAO
Adoption d’un Acte additionnel sur la protection des
données personnelles le 16 février 2010 qui est
d’application directe dans le droit positif des Etats
membres
Directive de la CEDEAO du 19 août 2011 portant sur
la cybercriminalité qui détermine les infractions
pénales en matière de protection des données
personnelles
Loi internes sur la protection des données
Plusieurs pays disposent d’un cadre normatif sur
la protection des données à caractère personnel
(une loi et une Autorité de Contrôle chargé de
veiller à l’application de la loi)
Les sources du droit à la protection des données
personnelles

1. Quelles articles dans les Directives de l’UEMOA évoquent la protection des données
personnelles ?

2. Quel est l’Etat d’avancement de l’adhésion des pays membres à la Convention sur la
Cybersécurité et la protection des données? Le Sénégal a-t-il adhéré à la Convention si oui
quand ?

3. Quels sont les pays africains qui disposent d’une législation en protection des données à
caractère personnel ?

4. Quelles autres initiatives africaines, internationales ou communautaires en matière de

protection des données personnelles ?
Terminologie de la protection
des données à caractère
personnel
Qu’est-ce qu’une donnée à caractère personnel ?

Constitue une donnée à caractère personnel (DCP) toute information relative à une personne physique identifée ou
pouvant être identifée, directement ou indirectement, par référence à un numéro d’identifcation ou à un ou
plusieurs éléments qui lui sont propres.

Quand suis-je en présence de données personnelles ?

Il peut s’agir :

⁄ De données directement identifantes : nom et prénom, photos, vidéos, e-mail nominatif…

⁄ De données indirectement identifantes : identifant de compte, numéro de sécurité sociale, numéro d’employé, RIB, données
biométriques (empreinte digitale, image de la rétine, réseau veineux de la main…)

⁄ D’un recoupement d’informations : le fls du notaire habitant au 11, bd Raspail à Paris…

Les personnes morales sont-elles concernées ?

Les personnes morales, en tant que telles, ne sont pas concernées par le dispositif. La défnition de donnée à caractère personnel
ne vise que les personnes physiques.
Ex : serviceclient@ism.edu.sn n’est pas une donnée à caractère personnel.
En revanche : yves.marie@ism.edu.sn est une donnée à caractère personnel.
Notion de traitement de données à caractère
personnel
Un traitement de données est toute opération ou tout ensemble d’opérations efectuées à l’aide
de procédés automatisés ou non et appliquées à des données à caractère personnel ou à
des ensembles de données à caractère personnel.

Organisation
Collecte
Enregistrement
Communication
Extraction
Consultation Adaptation ou Archivage
modifcation
Rapprochement
et Transfert
Difusion interconnexion
Accès à distance Destruction
Structuration
Efacement

Exemples de types de
traitements
Responsabilité – Finalité - Moyens de traitement

Responsable de traitement : Personne physique ou morale, autorité publique, service ou

autre organisme qui détermine la fnalité et les moyens du traitement.

Une personne morale peut être représentée par plusieurs personnes physiques via les
mécanismes de délégation de pouvoir

Les moyens du traitement désignent les mesures mises en œuvre pour atteindre cette
fnalité (l’équipement, le matériel informatique, les logiciels, les services associés, le budget,
le personnel…)

La fnalité est la raison principale pour laquelle le traitement est réalisé (gestion des
ressources humaines, recrutement, contrôle de l'accès physique aux locaux, gestion d’une
base de données clients, prospection commerciale…)

Chaque traitement de données à caractère personnel doit être mis en œuvre

sous la responsabilité d’un responsable de traitement qui peut le déléguer à un sous-
traitant

Le sous-traitant est : « la personne physique ou morale, l'autorité publique, le service ou tout

autre organisme qui traite des données à caractère personnel pour le compte du responsable du
traitement ».
Organiser les relations entre les acteurs du
traitement
La gestion des relations entre les
acteurs d’un traitement implique de :
⁄ Demander au sous-traitant quelle est sa
politique en matière de protection
des données à caractère personnel ;
⁄ Documenter les instructions données
au sous-traitant en matière de sécurité et
de confdentialité des données ;
⁄ D’élaborer des modèles de clauses
contractuelles ou des contrats types à
conclure entre les diférents acteurs ;
⁄ D’efectuer une revue des contrats
existants conclus avec les sous-traitants
pour vérifer si les stipulations
obligatoires y fgurent et, à défaut, les
intégrer par voie d’avenant ou lors du
renouvellement du contrat pour qu’ils
soient conformes au RGPD.
Le contrat entre le responsable du traitement et le sous-
traitant doit prévoir que :
⁄ Le sous-traitant traite les données uniquement selon les instructions du
responsable du traitement ;
⁄ Le sous-traitant doit s’assurer que son personnel est soumis à une
obligation de confdentialité ;
⁄ Le sous-traitant doit mettre en place des mesures techniques et
organisationnelles appropriées pour assurer aux données personnelles un
niveau de sécurité proportionnel au risque ;
⁄ Le sous-traitant ne peut pas sous-traiter le traitement des données sans
l’autorisation préalable écrite du responsable du traitement ;
⁄ Tout contrat entre un sous-traitant et un sous-traitant de rang
ultérieur doit prévoir les mêmes obligations de protection des
données que celles prévues par le contrat conclu avec le responsable du
traitement ;
⁄ Le sous-traitant doit assister le responsable du traitement pour assurer la
conformité aux obligations de sécurité, à l’évaluation de l’impact sur
la vie privée, et à la consultation préalable avec les autorités de
contrôle pour le traitement des données à haut risque ;
⁄ Le sous-traitant doit efacer ou retourner les données personnelles une
fois le traitement terminé ;
⁄ Le sous-traitant doit fournir au responsable du traitement toutes les
informations nécessaires pour démontrer la conformité et permettre ou
contribuer aux audits.
Principes clés en matière de
protection des données à
caractère personnel
Principes clés en matière de protection des
données
De manière quasi universelle et quelque soit la juridiction considérée, la
protection des données personnelles repose sur un ensemble de principes
fondamentaux à respecter lors de la mise en œuvre d’un traitement de
données personnelles :

1) Responsabilité

2) Licéité, loyauté et transparence

3) Limitation de la fnalité

4) Minimisation de la collecte

5) Exactitude des données

6) Limitation de la conservation

7) Sécurité des données personnelles

Le degré d’afrmation de ces principes peuvent diférer d’une législation à une autre.
1) Le principe de la responsabilité

⁄ La responsabilité requiert la mise en oeuvre active et continue de mesures par les responsables du traitement et les sous-
traitants pour promouvoir et garantir la protection des données dans le cadre de leurs activités de traitement.

⁄ Les responsables du traitement et les sous-traitants répondent de la conformité de leurs traitements avec le droit en matière
de protection des données et leurs obligations respectives.

⁄ Les responsables du traitement doivent être en mesure de démontrer à tout moment aux personnes concernées, au grand
public et aux autorités de contrôle la conformité avec les dispositions relatives à la protection des données. Les sous-traitants
doivent également se conformer à certaines obligations strictement liées à la responsabilité (comme la tenue d’un registre
des traitements et la désignation d’un délégué à la protection des données).

⁄ Le responsable du traitement peut se conformer à cette exigence de diférentes manières, notamment :

• en tenant un registre des activités de traitement et en le mettant à la disposition de l’autorité de contrôle à sa demande
• dans certains cas, en désignant un délégué à la protection des données, qui est associé à toutes les questions relatives à la
protection des données à caractère personnel ;
• en réalisant une analyse d’impact relative à la protection des données pour les types de traitement susceptibles d’engendrer un
risque élevé pour les droits et libertés des personnes physiques ;
• en intégrant la protection des données dès la conception et par défaut ;
• en mettant en oeuvre des modalités et des procédures pour l’exercice des droits des personnes concernées ;
• en adhérant à un code de conduite ou à un mécanisme de certifcation approuvé ;
2) Les principes de licéité, de loyauté et de transparence du
traitement
Les principes de licéité, de loyauté et de transparence s’appliquent à tout traitement de données à caractère personnel :

⁄ Conformément au RGPD, la licéité requiert :

• le consentement de la personne concernée,
• la nécessité de conclure un contrat,
• une obligation légale,
• la nécessité de protéger les intérêts vitaux de la personne concernée ou d’une autre personne physique,
• la nécessité d’exécuter une tâche dans l’intérêt public,
• la nécessité de protéger les intérêts légitimes du responsable du traitement ou d’un tiers, lorsque les intérêts et les
droits de la personne concernée ne priment pas sur ceux-ci

⁄ Les données à caractère personnel doivent être traitées de manière loyale c’est-à-dire que la personne concernée doit
être informée du risque afn de s’assurer que le traitement n’a pas d’efets négatifs imprévisibles.

⁄ Les données à caractère personnel doivent être traitées de manière transparente :

• Les responsables du traitement doivent informer les personnes concernées du traitement de leurs données,
notamment de la fnalité du traitement ainsi que de l’identité et de l’adresse du responsable du traitement.
• Les informations relatives au traitement doivent être communiquées en termes clairs et simples afn de permettre
aux personnes concernées de comprendre aisément les règles, les risques, les garanties et les droits concernés.
• Les personnes concernées ont le droit d’accéder à leurs données chaque fois qu’elles sont traitées.
3) Principe de limitation de la fnalité

⁄ La fnalité du traitement des données doit être défnie avant le début du traitement.

⁄ Il ne peut y avoir de traitement ultérieur des données incompatible avec la fnalité initiale, bien que le Règlement général
sur la protection des données prévoie des exceptions à cette règle à des fns archivistiques dans l’intérêt public, à des
fns de recherche scientifque ou historique et à des fns statistiques.

⁄ Fondamentalement, le principe de la limitation de la fnalité signife que tout traitement de données à caractère
personnel doit être réalisé pour une fnalité particulière bien défnie et uniquement pour des fnalités supplémentaires
spécifques compatibles avec la fnalité initiale.
4) Le principe de minimisation de la collecte

⁄ Le traitement des données doit être limité à ce qui est nécessaire au regard d’une fnalité légitime.

⁄ Le traitement de données à caractère personnel ne devrait avoir lieu que lorsque la fnalité du traitement ne peut
raisonnablement pas être atteinte par d’autres moyens.

⁄ Le traitement des données ne peut interférer de manière disproportionnée avec les intérêts, les droits et les libertés en
cause.

⁄ Ne sont traitées que les données qui sont « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des
fnalités pour lesquelles elles sont collectées et/ou traitées ultérieurement
5) Le principe de l’exactitude des données

⁄ Le responsable du traitement doit appliquer le principe de l’exactitude des données à tous les traitements.

⁄ Les données inexactes doivent être efacées ou corrigées sans délai.

⁄ Il peut être nécessaire de vérifer et de mettre à jour régulièrement les données afn de garantir leur exactitude

⁄ L’obligation de garantir l’exactitude des données doit être considérée dans le contexte de la fnalité du traitement des
données.
6) Le principe de la limitation de la conservation
⁄ Le principe de la limitation de la conservation implique que les données à caractère personnel doivent être supprimées
ou anonymisées dès qu’elles ne sont plus nécessaires pour les fnalités pour lesquelles elles ont été collectées.

⁄ La limitation dans le temps de la conservation de données à caractère personnel ne s’applique toutefois qu’aux données
conservées sous une forme permettant l’identifcation des personnes concernées.

⁄ La conservation licite de données qui ne sont plus nécessaires pourrait donc être obtenue par l’anonymisation des
données.

⁄ Les données archivées dans l’intérêt du public, à des fns scientifques ou historiques ou à des fns statistiques peuvent
être conservées pour des durées plus longues pour autant qu’elles soient traitées exclusivement à ces fns.
7) Le principe de la sécurité des données

⁄ La sécurité et la confdentialité des données à caractère personnel sont essentielles pour prévenir tout efet négatif pour
la personne concernée.

⁄ Les mesures de sécurité peuvent être d’ordre technique et/ou organisationnel.

⁄ La pseudonymisation est un processus permettant de protéger des données à caractère personnel.

⁄ Le caractère approprié des mesures de sécurité doit être déterminé au cas par cas et réexaminé régulièrement.

⁄ Le principe de la sécurité des données impose que des mesures techniques ou organisationnelles appropriées soient
mises en œuvre lors du traitement de données à caractère personnel afn de les protéger contre un accès, une utilisation,
une modifcation, une divulgation, une perte, une destruction ou un dommage accidentel, non autorisé ou illicite.

⁄ Le RGPD précise que le responsable du traitement et le sous-traitant devraient tenir compte « de l’état des
connaissances, des coûts de mise en oeuvre et de la nature, de la portée, du contexte et des fnalités du traitement ainsi
que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques »
lorsqu’ils mettent en oeuvre ces mesures.
Règlementation en matière
de protection des données
Le modèle européen : RGPD

TOP 3 technologies qui mettent en

danger la vie privée : wif public,
drones et technologies de
surveillance dans
l’espace public

Meilleure appréhension du Rupture

Services personnalisés
risque
Ofre élargie technologique

Tarifs mieux adaptés

La donnée est au cœur du Business

Model
Évolution
des comportements

8 français sur 10 se
déclarent inquiets quant à la
protection de leurs données
personnelles…

Face à l’évolution rapide des technologies et à l’utilisation croissante des données personnelles,
l’Union Européenne a défni de nouvelles dispositions pour :

Créer un niveau élevé et uniforme

Rendre aux citoyens le contrôle de Défnir un cadre juridique adapté à
de protection des données à travers
leurs données personnelles l'ère numérique
l'UE
RGPD : Application territoriale élargie

Le RGPD s’applique :

 Aux traitements efectués dans le cadre des activités de RT ou de ST établis sur le territoire
de l’UE (critère de l’établissement)

 Mais aussi aux traitements efectués pour le compte de RT ou ST non établis sur le territoire
de l’UE dès lors qu’ils visent des personnes se trouvant sur le territoire de l’UE dans le cadre
des activités suivantes (critère du ciblage) :

 Ofre à ceux-ci de biens ou de services ou

 Suivi de leur comportement au sein de l’UE

RGPD : Application territoriale élargie
RGPD : Réseau d’autorités de protection des
données
Mécanisme du «guichet unique» et autorité chef de fle
(article 56 et lignes directrices du CEPD)

 Si traitement transfrontalier (traitement d’établissements d’un RT ou d’un ST dans plusieurs EM ou

si traitement d’un établissement unique d’un RT ou d’un ST mais qui afecte ou est susceptible
d’afecter sensiblement des personnes dans plusieurs EM),alors l’autorité de contrôle chef de fle est
celle de l’établissement principal ou de l’établissement unique

 Cette autorité sera le seul interlocuteur du RT ou du ST («guichet unique»)

 Notion d’établissement principal = en principe lieu de son administration centrale (là où sont prises
les décisions sur les moyens et fnalités du traitement ) sauf si décisions prises dans un autre
établissement de l’Union (voir critères du CEPD pour identifer l’établissement principal )
RGPD : Renforcement de la transparence et exercice des droits
facilité
 Renforcement des droit existants :

 Obligation générale de faciliter l’exercice des droits : information concise, transparente, compréhensible et
aisément accessible
 Information renforcée : coordonnées du délégué, durée de conservation, icônes normalisées…
 Droit d’accès précisé et droit de rectifcation maintenu
 Droit à être informé d’une violation des données en cas de risques élevés pour les intéressés
 Droit d’opposition renforcé : le RT doit prouver l’existence d’un intérêt légitime supérieur à celui de la personne
concernée
 Droit à l’efacement («droit à l’oubli») confrmé

 Nouveaux droits :

 Droit à la limitation du traitement

 Droit à la portabilité des données

RGPD : Renforcement de la transparence et exercice des droits
facilité
RGPD : Renforcement de la transparence et exercice des droits
facilité
RGPD : Consentement des mineurs
RGPD : Consécration du droit à l’oubli
RGPD : Nouveaux droits
RGPD : Nouveaux droits
RGPD : Les responsabilités des acteurs et le rôle central du délégué
à la protection des données

Logique de responsabilisation de tous les

acteurs
RGPD : Les responsabilités des acteurs et le rôle central du délégué
à la protection des données

Logique de responsabilisation de tous les

acteurs
RGPD : Les responsabilités des acteurs et le rôle central du délégué
à la protection des données

Responsabilité conjointe des RT

RGPD : Les responsabilités des acteurs et le rôle central du délégué
à la protection des données

Responsabilité spécifique des ST

RGPD : Les responsabilités des acteurs et le rôle central du délégué
à la protection des données

Sanctions et voies de recours

RGPD : Les responsabilités des acteurs et le rôle central du délégué
à la protection des données

Sanctions et voies de recours

RGPD : Les responsabilités des acteurs et le rôle central du délégué
à la protection des données

Délégué à la protection des données

RGPD : Les responsabilités des acteurs et le rôle central du délégué
à la protection des données

Les missions du délégué

RGPD : Les responsabilités des acteurs et le rôle central du délégué
à la protection des données

Les cas de désignation, mutualisation et externalisation

RGPD : Les responsabilités des acteurs et le rôle central du délégué
à la protection des données

Mutualisation et externalisation
RGPD : Les responsabilités des acteurs et le rôle central du délégué
à la protection des données

Que dois-je vérifier avant d’être désigné?

RGPD : Les responsabilités des acteurs et le rôle central du délégué
à la protection des données

Que dois-je vérifier avant d’être désigné?

RGPD : Les responsabilités des acteurs et le rôle central du délégué
à la protection des données

Un délégué, ce n’est pas…

Modèle africain : cas du Sénégal

La Commission de Protection des Données Personnelles (CDP)

 La CDP est une Autorité Administrative Indépendante (AAI) instituée par la Loi 2008-12 du 25
janvier 2008 portant sur la protection des données personnelles ;

 C’est l’Autorité régulatrice des traitements de données au Sénégal par l’autorisation, l’encadrement
de ces traitements ;

 Elle rend également des avis sur toutes les saisines relative à des actes réglementaire portant
mise en œuvre de traitements automatisé de données personnelles par l’Etat et ses
démembrements ;

 Elle dispose d’un pouvoir de contrôle et de sanction ;

Modèle africain : cas du Sénégal
Les missions de la CDP

Instruction des
dossiers

Contrôle de
conformité et
investigation

Veille,
Sensibilisation,
Conseils et
propositions
Modèle africain : cas du Sénégal

Mission d’instruction des dossiers

 Réception des formalités préalables (déclarations, demandes d’autorisation) liées aux traitements de données
personnelles des RT

 Réception et traitement des réclamations, pétitions et plaintes relatives à la mise en œuvre de traitements de
DCP et information des auteurs de la suite

 Répond à toute demande d’avis du Gouvernement

 Autorisation des transferts transfrontaliers de données à caractère personnel

Modèle africain : cas du Sénégal

Mission de contrôle et d’investigation

 La CDP a le pouvoir de charger un ou plusieurs de ses membre ou agents de ses services de procéder à des
vérifications portant sur tout traitement de données personnelles et, le cas échéant, d’obtenir des copies de tout
document ou support d’information utile à sa mission;

 L CDP a le pouvoir de prononcer une sanction à l’égard d’un Responsable de traitement en cas de
manquement ;

 La CDP peut informer sans délai le procureur de la République des infractions en matière de protection des
données personnelles dont elle a connaissance;
Modèle africain : cas du Sénégal

Mission de veille, de sensibilisation et de conseil (1/2)

 Veiller à ce que les traitements de données personnelles soient mis en œuvre conformément aux disposition de
la loi 2008-12 du 25 janvier 2008;

 Informer les personnes concernées et les responsables de traitement de leurs droits et obligations;

 S’assurer que les Technologies de l’Information et de la Communication ne portent pas atteinte aux droits et
libertés des personnes physiques

 Homologuer les chartes d’utilisation de données personnelles des responsables de traitement

 Tenir un répertoire des traitements de données personnelles à la disposition du public;

 Conseiller les personnes et les organismes réalisant des traitements de données ou procédant à des essais ou
expériences pouvant engendrer des traitements de données personnelles;

 Présenter au gouvernement toute suggestion susceptible de simplifier ou d’améliorer le cadre législatif et

réglementaire en matière de protection des données;
Modèle africain : cas du Sénégal

Mission de veille, de sensibilisation et de conseil (2/2)

 Publier les autorisations accordées et les avis émis dans le répertoire des traitements de données personnelles ;

 Etablir chaque année un rapport annuel d’activités remis eu Président de la République et au Président de
l’Assemblée nationale ;

 Formuler des recommandations utiles pour que les traitements de données personnelles soient mis en œuvre
conformément aux dispositions en vigueur;

 Coopérer avec les Autorités de protection des données des pays tiers

 Participer aux négociations internationales en matière de protection des données personnelles;

Modèle africain : Etat des lieux de la CDP
Transferts internationaux et
fux transfrontaliers de
données à caractère
personnel
Transferts internationaux de données personnelles vus par le RGPD
(1/2)
 Le RGPD prévoit la libre circulation des données au sein de l’Union européenne mais contient toutefois des exigences spécifiques
concernant le transfert de données à caractère personnel vers des pays tiers en dehors de l’UE et à des organisations internationales;

 Le règlement reconnaît l’importance de ces transferts, notamment en raison de la coopération et du commerce internationaux, mais le risque
accru pour les données à caractère personnel.

 Il vise donc à offrir le même niveau de protection aux données à caractère personnel qui sont transférées vers des pays tiers que celui dont
elles bénéficient dans l’UE ;

 La libre circulation des données à caractère personnel vers des pays tiers offrant un niveau de protection des données adéquat est prévue à
l’article 45 du RGPD

 La Cours de Justice de l’UE a expliqué que l’expression « niveau de protection adéquat » implique que le pays tiers assure un niveau de
protection des libertés et droits fondamentaux « substantiellement équivalent » à celui garanti dans l’ordre juridique de l’UE;

 Les moyens auxquels ce pays tiers a recours pour assurer un tel niveau de protection peuvent être différents de ceux mis en œuvre au sein
de l’UE, le critère d’adéquation n’exigeant pas une reproduction à l’identique des règles de l’UE;

 La Commission européenne évalue le niveau de protection des données dans les pays étrangers en examinant leur législation nationale et
les obligations internationales applicables;

 Lorsque la Commission européenne considère que le pays tiers ou l’organisation internationale assure un niveau de protection adéquat, elle
peut adopter une décision d’adéquation qui a un effet contraignant
Transferts internationaux de données personnelles vus par le RGPD
(2/2)
 Le transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale est autorisé lorsque le responsable du
traitement ou le sous-traitant offre des garanties appropriées et des droits opposables et lorsque des recours juridiques efficaces sont mis à
la disposition des personnes concernées ;

 La liste des « garanties appropriées » acceptables figure exclusivement dans la législation de l’UE en matière de protection des données

 Des garanties appropriées peuvent être fournies par :

 un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics ;

 des règles d’entreprise contraignantes ;
 des clauses types de protection des données adoptées soit par la Commission européenne soit par une autorité de contrôle ;
 des codes de conduite ;
 des mécanismes de certification

 Des clauses contractuelles personnalisées entre le responsable du traitement ou le sous-traitant de l’UE et le destinataire des données dans
un pays tiers sont un autre moyen d’offrir des garanties appropriées;

 De telles clauses contractuelles doivent, toutefois, être admises par l’autorité de contrôle compétente avant de pouvoir être utilisées comme
instrument pour le transfert de données à caractère personnel.
Transferts internationaux de données personnelles vus par la Loi
2008-12
 Le responsable d’un traitement ne peut transférer des données à caractère personnel vers un pays tiers que si cet Etat
assure un niveau de protection suffisant de la vie privée, des libertés et droits fondamentaux des personnes à l’égard du
traitement dont ces données font ou peuvent faire l’objet;

 Avant tout transfert des données à caractère personnel vers un pays tiers, le responsable du traitement doit préalablement
informer la Commission des Données Personnelles

 Le responsable d’un traitement peut transférer des données à caractère personnel vers un pays tiers ne répondant pas aux
conditions prévues à l’article précédent si le transfert est ponctuel, non massif et que la personne à laquelle se rapportent
les données a consenti expressément à leur transfert ou si le transfert est nécessaire à l’une des conditions suivantes :

1. à la sauvegarde de la vie de cette personne ;

2. à la sauvegarde de l’intérêt public ;
3. au respect d’obligations permettant d’assurer la constatation, l’exercice ou la défense d’un droit en justice ;
4. à l’exécution d’un contrat entre le responsable du traitement et l’intéressé, ou de mesures précontractuelles prises à la
demande de celui-ci
Mise en conformité à la
réglementation protection
des données : démarche et
outils pratiques
Pour opérationnaliser un programme de protection des données
personnelles au sein d’une organisation, vous devez :
 Comprendre les activités de l’organisation, son business model et ce qui génère du revenu et comment
la protection des données et la sécurité s’intègrent dans ce modèle

 Comprendre le risques auquel l’organisation fait face, car il peut différer d’une activité à une autre

 Se positionner et positionner ton rôle comme une personne qui à cœur de protéger l’image de son
organisation et ne pas perdre du temps et des ressources pour juste que le travail soit fait. Tu fais un
focus sur ce qui compte pour l’organisation

 Intégrer les activités de protection des données personnelles dans les initiatives existantes au sein de
l’organisation autant que possible

 Rechercher le support et l’engagement du top management et des unités d’affaires au sein de

l’organisation

 Développer des partenariats avec d’autres groupes, branches ou départements sur des sujets d’intérêt
commun

 Comprendre que la protection des données personnelles N’EST PAS juste un enjeu légal ou de
conformité
(…) et évaluer la situation actuelle en matière de protection des
données
 Analyse des:exigences légales applicables à l’organisation

 Evaluation des standards et pratiques existants en matière de protection des données personnelles

 Evaluation des pratiques en matière de sécurité de l’information

 Evaluation des pratiques de collecte, d’utilisation et de partage des données personnelles

 Comprendre le type de technologie utilisée au sein de l’organisation

 Evaluation des pratiques d’accès aux données personnelles

 Intégrité des données

 Conservation et disposition des données personnelles

 Connaissance et compréhension des employés sur la protection des données

 Processus documentés

 Organisation interne (ex. comités) en lien avec la protection des données

Audit de conformité
Objectifs d’une mission d’audit de conformité


Initier le registre des traitements de données personnelles


Analyser la conformité des traitements avec la réglementation protection des données


Evaluer la capacité de l’organisation à répondre aux exigences de la réglementation


Elaborer un plan d’actions et des recommandations claires, opérationnelles et priorisées
Audit de conformité
Démarche

Réunions de présentation de la mission (kick-of)

Atelier d’aide au questionnaire

Interviews réalisés sur place et à distance

Analyse des sites internets

Rédaction, envoi, réception et traitement des questionnaires aux services

Livrables

Diagnostic sur les écarts de conformité vis-à-vis des exigences liées à la réglementation


Registre des traitements

Plan d’action opérationnel détaillé et priorisé
 Chantiers possibles à l’issue d’une mission d’audit
 Chantier 1 : Conformité des traitements
 Chantier 2 : Registre des traitements
 Chantier 3 : Gouvernance et accountability
 Chantier 4 : Information des personnes
 Chantier 5 : Gestion du consentement
 Chantier 6 : Gestion des droits des personnes
 Chantier 7 : Sous-traitants
 Chantier 8 : IT et sécurité des données
 Chantier 9 : Gestion des violations de données
 Chantier 10 : Ressources humaines
 Chantier 11 : Sensibilisation/Formation
 Chantier 12 : Gestion des durées de conservation
 Chantier 13 : Gestion des transferts internationaux de données
Mission d’audit de conformité
1. Conformité des traitements 2. Registre des traitements

Formalités auprès de l’Autorité de contrôle 
Entretiens avec les opérationnels

Complétude des questionnaires adressés au

Identifcation des bases juridiques des
opérationnels
traitements 
Validation des fches de traitement par les
opérationnels

Identifcation des données sensibles 
Mise à jour du registre en cas de modifcation des

Défnition des durées de conservation traitements existants

Mise en qualité des données et
minimisation
3. Gouvernance et Accountability

Elaboration d'un RACI avec des rôles et responsabilités Clairs;

Mise en place d'une gouvernance de pour la gestion des sous-traitants et partenaires impliquant
le Legal, Achat, les opérationnels, l'équipe protection des données et la sécurité

Politique de protection des données déclinées en procédures

Mise en place d’un gouvernance de gestion des nouveaux projets

Audit et contrôle de l'application des procédures internes
Mission d’audit de conformité
4. Information des personnes

Mise en place de notices d'information à
destination des salariés pour l'ensemble des
traitements RH;

Mise en place de notices d'information à
destination des clients, partenaires, pour
l'ensemble des traitements les concernant ;

Mise en conformité des sites internet (politique
de protection des données, cookies ….);
5. Gestion du consentement

Identifcation des traitements dont la base légale est le
consentement ;

Identifcation des traitements pour lesquels le
consentement est une condition du traitement ;

Mise en place d'un process de collecte du consentement
(avec conservation de la preuve) et de retrait de celui-
ci ;

Paramétrage des outils et intégration des fonctionnalités
permettant la collecte du consentement ;

6. Gestion des droits des personnes


Elaboration d’une Politique de gestion des droits des personnes
concernées déclinée en procédure;


Formation des opérationnels sur les droits des personnes concernées et
les obligations liés à leur gestion;


Surveillance de la volumétrie des demandes d'exercice des droits
Mission d’audit de conformité
7. Gestion de la sous-traitance 8. IT et Sécurité des données

Identifcation claire de l'ensemble des sous 
Identifcation et documentation des mesures de sécurité
traitants; adaptées aux risques associés aux traitements ;

Mise en conformité de l'ensemble des contrats
avec les sous-traitants ; 
Impacts IT liés aux processus de protection des données;

Audit des sous-traitants avant contractualisation
et pendant la relation contractuelle ; 
Garanties de sécurité des sous traitants

Mise en place d'une gouvernance avec un RACI
clair des rôles et responsabilités (achats,
juridique, DPO, sécurité, Business Unit …)
9. Gestion des violations de données

Politique de gestion des incidents de sécurité déclinée en procédure ;

Mise en place d'un RACI clair des rôles et responsabilités ( sécurité, DPO, ..)

Mise en place d'une méthode (Template) d'analyse du risque sur la vie privée des
individus

Réalisation d'études d'impact des violations sur la vie privée

Notifcation de la violation de données à l’Autorité de contrôle

Communication aux personnes concernées

Tenir un registre des incidents et mesures d’amélioration
Mission d’audit de conformité
10. Traitements Ressources humaines 11. Sensibilisation/Formation

Inscrire dans le registre des traitements; 
Formation générique sur la protection des données
personnelles

Information des salariés sur l’ensemble des
traitements les concernant; 
Formation spécifque et adaptée à chaque département


Gestion des droits des salariés 
Formation cyber sécurité


Sensibilisation des externes/sous traitants aux règles
internes de protection des données

12. Gestion des durées de 13. Sensibilisation/Formation


conservation
Construction d'un référentiel des durées de 
Identifcation des transferts internationaux;
conservation légal;

Mise en place des outils de conformité des transferts

Construction d'un référentiel de durées de ( BCR, CCT …);
conservations sur la base du besoin
opérationnel ; 
Evaluation des risques pour les transferts
internationaux

Implémentation des durées de conservations
dans les supports IT;


Politique de gestion des durées de conservation
Panorama de quelques outils de conformité
 Cartographie des données personnelles

 Politiques / Procédures / Guides / Standards

 Outils d’évaluation des risques

 Exigences de formation et de sensibilisation

 Gestion de la réponse aux incidents et violations de données

 Gestion des tiers fournisseurs

 Outils de communication

 Autres
 Outils de conformité
Cartographie des données personnelles
Cartographie des données personnelles
Cartographie des données personnelles
Outils de conformité
Analyse d'impact : un outil d’évaluation du risque
Outils de conformité
Analyse d'impact
Outils de conformité
Analyse d'impact
Outils de conformité
Analyse d'impact
Outils de conformité
Analyse d'impact
Outils de conformité
Analyse d'impact
Outils de conformité
Analyse d'impact
Outils de conformité
Analyse d'impact : logique générale
Outils de conformité
Gestion et notification des violations de données
Outils de conformité
Qualifier un incident en une violation de données
Outils de conformité
Notifications des violations de données
Outils de conformité
Certification et codes de conduite
Outils de conformité
Codes de conduite
Outils de conformité
Certification
Outils de conformité
Certification et codes de conduite
Outils de conformité
Les indispensables
Outils de conformité
Norme ISO 27701: 2019
Techniques de sécurité — Extension d'ISO/IEC 27001 et ISO/IEC
27002 au management de la protection de la vie privée — Exigences
et lignes directrices

 Spécife les exigences et fournit des recommandations pour la création, la mise en œuvre, le
maintien et l'amélioration continue d'un système de management de la protection de la vie privée
(PIMS) sous la forme d'une extension de l'ISO/IEC 27001 et l'ISO/IEC 27002 pour le management de
la protection de la vie privée dans le contexte de l'organisation.

 Spécife les exigences liées au PIMS et fournit des recommandations destinées aux responsables de
traitement de DCP et aux sous-traitants de DCP chargés de et responsables du traitement des DCP.

 S’applique aux organisations de tous types et de toutes tailles, y compris les entreprises publiques
et privées, les entités gouvernementales et les organisations à but non lucratif, qui sont des
responsables de traitement de DCP et/ou des sous-traitants de DCP qui traitent les DCP à l'aide
d'un SMSI.
Outils de conformité

Norme ISO 27701: 2019

Emplacement des exigences spécifiques au PIMS et des informations
supplémentaires pour la mise en œuvre des mesures de l'ISO/IEC 27001:
2013
Outils de conformité
Norme ISO 27701: 2019
Objectifs et mesures de référence spécifiques au PIMS (responsables de traitement de DCP)
Outils de conformité
Norme ISO 27701: 2019
Objectifs et mesures de référence spécifiques au PIMS (responsables de traitement de DCP)
Outils de conformité
Norme ISO 27701: 2019
Objectifs et mesures de référence spécifiques au PIMS (responsables de traitement de DCP)
Outils de conformité
Norme ISO 27701: 2019
Objectifs et mesures de référence spécifiques au PIMS (responsables de traitement de DCP)
Outils de conformité
Norme ISO 27701: 2019
Objectifs et mesures de référence spécifiques au PIMS (responsables de traitement de DCP)
Outils de conformité
Norme ISO 27701: 2019
Objectifs et mesures de référence spécifiques au PIMS (responsables de traitement de DCP)