droit partiel Flashcards
exo droit gdp
Que contient la note de cadrage (5) ? Quels sont les eléments de droit au moment de l’expression des besoins et de la note de cadrage (3) ?
-Dates de lancement du site
-Définition du site (produits, catalogue, paiement, logistique, profils, etc.) ;
-Budget validé par le CFO (Chief Finance Officer) ;
-Périmètre géographique (espace Schengen) ;
-Stakeholders
Les principaux éléments de droit sont :
-budget
-signification de certains termes clés
-l’analyse de conformité et de risque des prestataires avec qui on travaille (pas sur de ce point)
exo droit gdp
Quels sont les éléments de droit dans le cdc (4)
-Accord de confidentialité
-RACI
-DueDiligence
-Projet de contrat
exo droit gdp
Quels sont les éléments de droit dans le projet de contrat/contrat ? (6)
-propriété intellectuelle
-pénalités
-responsabilités
-clauses de durée
-conditions de renouvellement et de résiliation
-clauses de données personnelles
exo droit gdp
que faut il éventuellement inclure dans un contrat ? (2)
-clauses de non-concurence
-clauses de benchmark
exo droit gdp
que faut il prévoir dans le contrat avec un prestataire étranger ?
se mettre d’accord sur quel droit prévaut (de quel pays)
exo droit gdp
Quels documents peuvent être inclus en annexe d’un contrat pour engager le prestataire au niveau opérationnel ? (3)
en annexe le cdp peut mettre :
-conditions financières (budget)
-sa note de cadrage
-son cdc
exo droit gdp
quelle est la composante droit de la recette
il est possible d’émettre des réserves lors de la recette ce qui revient à exiger des corrections.
exo droit gdp
quels sont les aspects législatifs présents lors de la production ? (5-7)
création de compte -> cocher les case relatives aux :
-CGU
-utilisation des données
-prospection commerciale
-l’utilisation des données est détaillée dans la Privacy Policy
-cookie policy
-conditions générales de vente (CGV)
-conditions générales d’utilisation (CGU)
exo droit gdp
à quoi sert un contrat cadre ?
Les contrats cadres permettent de refaire un contrat en ne renégociant que les conditions financières.
Quels sont les différents types de résiliations ?
Lorsqu’un prestataire ne respecte pas les clauses du contrat, on peut soit lui payer des
pénalités, soit résilier le contrat. La résiliation de contrat comporte différents types de
résiliations, ce qui permet à la partie lésée d’avoir des indemnités, avec la résiliation pour
faute, ou la résiliation pour convenance (difficilement acceptée).
Le principe d’accountability ?
dit que l’on laisse à l’entreprise le choix de décider de la
durée pendant laquelle elle peut traiter des données, en fonction d’une finalité légitime. C’est
l’entreprise qui détermine elle-même si son choix est justifié. Mais elle peut se faire
sanctionner tout de même en vertu de ce droit « mou ».
l’article 30 du RGPD oblige les entreprises
à garder en interne un registre de tout ce qu’elles font avec les données, combien de
temps celles-ci sont conservées, comment sont-elles utilisées, par qui, dans quels pays,
comment les personnes peuvent utiliser leurs droits, comment elles sont informées,
quelles sont les mesures de sécurité implémentées, etc.
Limites du RGPD ?
Théoriquement, le RGPD s’applique directement sans transposition puisqu’il s’agit
d’un règlement et non d’une directive. Mais l’harmonisation ne fonctionne pas car le texte
reste à un niveau d’abstraction élevé et renvoie aux règlementations nationales pour
l’application concrète de ce règlement.
Définition d’une donnée personnelle
Une donnée personnelle renvoie à toute information qui permet d’identifier un
individu (personne physique), de manière directe ou indirecte. Une donnée indirectement
identifiante demande une table de correspondance pour trouver l’individu auquel la donnée
est rattachée, mais peut in fine permettre de retrouver la personne en question.
comment peut on identifier ?
Une personne physique peut être identifiée :
-directement (exemple : nom et prénom) ;
-indirectement (exemple : par un numéro de téléphone ou de plaque d’immatriculation,
un identifiant tel que le numéro de sécurité sociale, une adresse postale ou courriel,
mais aussi la voix ou l’image).
L’identification d’une personne physique peut être réalisée :
-à partir d’une seule donnée (exemple : nom) ;
-à partir du croisement d’un ensemble de données (exemple : une femme vivant à telle
adresse, née tel jour et membre dans telle association).
données sensibles def et exemples ? (5)
ne peuvent être collectées qu’avec le consentement de la personne, ou en cas d’intérêt vital. Les opinions politiques sont sensibles car elles peuvent
conduire à des discriminations.
-Données de santé
-Condamnation
-ADN / Biométrie / Génétique
-Opinions politiques
-Numéro de sécurité sociale
données mid touchy (3)
-Bancaires
-Fiches de paye
-Géolocalisation
Données pseudonymisées def (nommer le principe)
Les données pseudonymisées ne sont pas des données directement identifiantes, mais
d’autres informations qui permettent indirectement (via une table de correspondance)
d’identifier la personne, comme une adresse IP. Derrière un pseudo qui ne donne pas le nom,
il peut y avoir une adresse, un RIB, etc. C’est un niveau supplémentaire de sécurité, qui joue
sur le principe de minimisation.
Données anonymisées def
Les données anonymisées sont des données personnelles ou pseudonymisées qui ont
été connues un jour, mais qui ont été anonymisées de manière irréversible, c’est-à-dire qu’il
n’y a plus de tables de correspondance.
L’anonymisation est un traitement qui consiste à utiliser un ensemble de techniques
de manière à rendre impossible, en pratique, toute identification de la personne par quelque
moyen que ce soit et de manière irréversible.
C’est un processus extrêmement difficile à faire, et la réglementation qui l’entoure est
floue. Si ce processus est réversible, les données restent pseudonymisées à cause des tables de
correspondance, d’où l’importance de l’irréversibilité. Les tables de correspondance ne sont
pas nécessairement détenues par le prestataire qui anonymise les données. Ex : c’est le
fournisseur internet qui détient la table de correspondance qui permet de retrouver l’identité
de la personne derrière une adresse IP.
Texte : le RGPD s’applique avant et pendant l’anonymisation, mais après le traitement qui
anonymise la donnée, le RGPD ne s’applique plus. Cela permet aux entreprises d’être
« tranquilles » lorsqu’elles traitent ces données anonymisées. Cela est valable également sur
les données stratégiques et non personnelles.
Données anonymes def
Une donnée anonyme est une donnée qui n’a jamais été personnelle, on ne peut
jamais identifier qui que ce soit dès le départ.
Privacy By Design def
Appliquer ce principe de Privacy by Design permet de mettre en place des mesures préventives limitant, dès la conception d’un projet, les risques éventuels de violation des données personnelles. Ces mesures mises en œuvre doivent empêcher la collecte de
données personnelles sans raison légitime et impliquer la suppression de données personnelles
dans une base de données, s’il n’y a pas lieu de les garder par la suite.
privacy by design 7 principes
●L’adoption de mesures préventives
– et non correctives – permettant d’empêcher ou
de limiter les potentielles violations de protection des données personnelles.
●Mettre en œuvre un principe de protection des données personnelles par défaut,
c’est-à-dire une protection automatique et implicite de ces données.
●Prendre en compte la protection de la vie privée des internautes concernés dès la
conception des systèmes de collecte de données personnelles, et adopter les bonnes
pratiques entrepreneuriales à cet effet.
●La sécurité et la protection de la vie privée des utilisateurs dont les données
personnelles ont été collectées doivent être assurées tout au long du projet, mais aussi
durant la période de conservation des données personnelles.
●L’entreprise doit se montrer transparente dans ses pratiques vis-à-vis des
informations à caractères personnelles.
●Le respect de la vie privée des utilisateurs concernés par cette collecte doit être
assuré.
●La protection des données personnelles doit être holistique et optimale.
privacy by default
Le Privacy by Default est un principe s’appliquant une fois qu’un produit ou service a
été rendu public. Les standards en matière de protection des données personnelles
s’appliquent alors par défaut, et ce sans l’exercice de manipulations extérieures permettant
cette protection. Le Privacy by Default est la garantie d’un niveau maximal de protection des
données à caractère personnel.
Le principe de privacy by default signifie que dès la conception du projet, il faut
mettre ne place les mesures qui permettent la protection optimum pour la personne concernée.
La nuance est fine avec le principe de privacy by design. Il faut que tout ce qui est mis en
place pour protéger au maximum l’utilisateur.
Finalité du traitement
Tout traitement doit avoir une finalité. La finalité du traitement est l’objectif principal
de l’utilisation de données personnelles. Les données sont collectées pour un but bien
déterminé et légitime et ne sont pas traitées ultérieurement de façon incompatible avec cet
objectif initial. Les finalités sont l’outil de l’autorité (ex : CNIL) pour vérifier le bon usage
des données. Ce principe de finalité limite la manière dont le responsable de traitement peut
utiliser ou réutiliser ces données dans le futur. Ex : gestion des recrutements, gestion des
paies, gestion des clients, enquête de satisfaction, surveillance des locaux, amélioration des
performances des services, etc.
principe de minimisation
une entreprise doit collecter uniquement le strict
minimum de données pour répondre à une finalité donnée. Les responsables de traitement
traitent les données d’identification, les données relatives à la gestion du contrat, à la situation
familiale, à la situation économique, patrimoniale et financière, etc. uniquement lorsqu’elles
sont pertinentes et strictement nécessaires au regard de l’objectif poursuivi par le
traitement.
