La newsletter juridique sur la protection de la vie privée

Juillet 2019

Conseil DPO

Conseil DPO ON-X groupe/ IRenard avocats

2

TABLE DES MATIERES

LES NEWS ................................................................................................................................... 3

Une sanction record prononcée contre British Airways ..................................................................................... 3

Marriott International dans le viseur de l’ICO .................................................................................................... 4

Suivre les sanctions prononcées par les autorités de contrôle européennes .................................................... 4

bientôt de nouvelles lignes directrices pour la gestion des cookies................................................................... 5

La quadrature du net attaque l’application ALICEM .......................................................................................... 6

Sécurité des systèmes de vote par internet ....................................................................................................... 7

5 milliards de dollars d’amende contre Facebook pour violation de la vie privée ............................................. 7

Le bilan annuel du CEPD ..................................................................................................................................... 8

LE SUJET DU MOIS ...................................................................................................................... 9

Les lignes directrices du CEPD sur les traitements par videosurveillance .......................................................... 9

Conseil DPO ON-X groupe/ IRenard avocats

3

LES NEWS

UNE SANCTION RECORD PRONONCEE CONTRE BRITISH AIRWAYS

Suite à une violation de données à caractère personnel intervenue courant 2018, l’autorité de contrôle

britannique (ICO) vient d’annoncer son intention de prononcer une amende de 204 millions d’euros (soit 1,5%

du chiffre d’affaires) à l’encontre de la compagnie aérienne British Airways.

La violation en question a été rendue possible en raison du faible niveau de sécurité du site internet de la

compagnie. Les attaquants ont pu établir une redirection depuis ce site vers un site frauduleux à partir duquel ils

ont exfiltré les données personnelles d’environ 500 000 clients (parmi lesquelles des données bancaires, des

données nominatives et des données de connexion).

La décision de sanction n’est pas encore arrêtée. L’autorité de contrôle peut encore tenir compte de la

coopération de British Airways et de l’élévation de son niveau de sécurité depuis l’incident afin de réduire le

montant de l’amende.

RGPD

Article ICO

Conseil DPO ON-X groupe/ IRenard avocats

4

MARRIOTT INTERNATIONAL DANS LE VISEUR DE L’ICO

Le groupe hôtelier Marriott International a subi en fin d’année 2018 une violation de données à caractère

personnel concernant environ 339 millions de réservations dont 30 millions sur des citoyens européens.

Informée, l’autorité de contrôle britannique (ICO) a mené une enquête sur cet incident, laissant à penser que la

vulnérabilité date de 2014 et qu’elle n’a été détectée qu’en 2018. Celle-ci aurait pour origine la base de

réservation de la chaine d’hôtel Starwood rachetée par Marriott International. De nombreuses informations ont

pu être volées et notamment des données d’identité, des numéros de passeport et dans certains cas des

coordonnées bancaires.

L’autorité de contrôle a annoncé son intention d’infliger une amende de 110 millions d’euros à Marriott pour

manquement à son obligation de sécurité. Selon l’ICO, le nouveau propriétaire n’a pas exercé la diligence requise

lorsqu’il a procédé au rachat de l’entreprise Starwood.

Lors d’une opération de rachat d’entreprise, l’acquéreur doit impérativement faire des « due diligence »

rigoureuses sur le respect du RGPD, non seulement au niveau documentaire mais également, en pratique, sur

le niveau de sécurité informatique offert par l’entreprise rachetée.

SUIVRE LES SANCTIONS PRONONCEES PAR LES AUTORITES DE CONTROLE EUROPEENNES

Pour garder un œil sur les sanctions prononcées depuis l’entrée en application du RGPD, le site

www.enforcementtracker.com est particulièrement utile. Il répertorie l’ensemble des sanctions rendues

publiques et émises par les autorités de contrôle européennes de façon chronologique. Il résume également en

quelques lignes les éléments ayant concouru à la sanction.

RGPD

Article ICO

Lien vers le site

Conseil DPO ON-X groupe/ IRenard avocats

5

BIENTOT DE NOUVELLES LIGNES DIRECTRICES POUR LA GESTION DES COOKIES

L’autorité française devrait bientôt publier ses nouvelles lignes directrices sur les cookies et autres traceurs

remplaçant celles de 2013.

Elles ont pour objectif de s’aligner sur les règles édictées par le comité européen de protection des données

(CEPD). Les anciennes lignes directrices de l’autorité n’étant plus conformes à l’état de l’art depuis que le comité

a exclu la poursuite de la navigation sur un site comme expression valable du consentement.

Une période transitoire de 12 mois sera laissée aux acteurs afin de se conformer aux nouvelles exigences. Cette

période supplémentaire accordée aux acteurs français est critiquée par la Quadrature du net qui a annoncé

vouloir attaquer cette décision. Selon l’association laisser un tel délai pour intégrer cette exigence alors qu’elle

devrait déjà être appliquée depuis le 25 mai 2018 est contraire au règlement.

Dans le prolongement la CNIL a prévu d’organiser des groupes de travail au cours du second semestre 2019, afin

de réétudier plus globalement les modalités pratiques de recueil du consentement.

Article CNIL

Conseil DPO ON-X groupe/ IRenard avocats

6

LA QUADRATURE DU NET ATTAQUE L’APPLICATION ALICEM

L’application ALICEM (Authentification en LIgne CErtifiée sur Mobile) développée par l’Etat vise à permettre aux

détenteurs d’un passeport biométrique ou d’un titre de séjour électronique de se créer une identité numérique

pour faciliter l’accès aux services Internet qui accepteront ce moyen d’identification, que ce soit dans la sphère

publique ou privée.

Une personne détenant un titre avec une puce biométrique télécharge l’application sur son smartphone. Pour

créer un compte sur l’application, l’utilisateur procède à la lecture avec son téléphone de la puce. L’application

a alors accès aux données qui y sont stockées (hors les empreintes digitales). Enfin, pour activer le compte, il faut

se soumettre à un dispositif de reconnaissance faciale pour vérifier l’identité. Alors seulement, l’identité

numérique est générée et la personne peut utiliser ALICEM pour s’identifier auprès de fournisseurs de services

en ligne.

Cette application mobile fait l’objet d’un recours devant le Conseil d’Etat initiée par la Quadrature du net.

L’association estime que le consentement au traitement des données biométriques ne peut être considéré

comme libre, et justifiant le traitement de données particulières telles que les données biométriques. En effet

l’association, reprenant les arguments de la CNIL qui s’était opposée au projet, relève que le consentement n’est

pas donné librement puisque la personne concernée n’a pas d’autre choix que de se soumettre au dispositif de

reconnaissance faciale pour utiliser l’application.

Pour reprendre les propos de l’association, « un projet d’identité numérique, fondé sur un dispositif de

reconnaissance faciale obligatoire (au mépris du RGPD) et ayant pour objectif avoué d’identifier chaque personne

sur Internet pour ne plus laisser aucune place à l’anonymat ne peut qu’être combattu. C’est l’objet de ce recours ».

Quadrature du net

Conseil DPO ON-X groupe/ IRenard avocats

7

SECURITE DES SYSTEMES DE VOTE PAR INTERNET

Au mois d’avril dernier, la CNIL a adopté une recommandation relative à la sécurité des systèmes de vote par

correspondance électronique. Elle profite du mois de Juillet pour revenir sur celle-ci. La recommandation

propose une approche par niveau de risque et par objectifs de sécurité à atteindre permettant aux responsables

de traitement de choisir une solution adaptée.

L’autorité fournit une grille d’analyse permettant de déterminer le niveau de risque tolérable. Une fois cette

étape franchie, le responsable de traitement peut déterminer les objectifs de sécurité que la solution de vote

devra remplir.

Les fournisseurs de solutions de système de vote sont ainsi libres de fournir tout moyen adéquat permettant de

répondre aux objectifs. L’expertise indépendante de la solution devra mettre en évidence si la solution proposée

est pertinente.

5 MILLIARDS DE DOLLARS D’AMENDE CONTRE FACEBOOK POUR VIOLATION DE LA VIE PRIVEE

5 milliards de dollars, c’est le montant de l’amende votée aux Etats-Unis par la Federal Trade Commision (FTC) à

l’encontre de Facebook. Ce montant représente environ 10% du chiffre d’affaires de l’entreprise sur 2018.

Cette amende n’est pas prononcée sur le fondement du RGPD mais vient sanctionner la violation d’un accord

conclu entre Facebook et le gouvernement américain relatif au respect de la vie privée des utilisateurs. La

violation de l’accord a été commise lors de l’affaire Cambridge Analytica survenue en mars 2018. L’entreprise

Cambridge Analytica ayant pu accéder aux données de millions d’utilisateurs sans leur consentement. Cette

sanction reste à valider par le ministère de la justice américain.

De son côté Facebook n’a pas réagi suite à la proposition de l’amende. L’entreprise n’a pas été surprise, elle avait

déjà provisionné 3 milliards de dollars dans la perspective de cette amende. Cette amende ne semble pas

davantage inquiéter les investisseurs. Le jour du prononcé, les actions à la bourse de la firme américaine ont

clôturé à la hausse.

Publication RGPD

Publication

RGPD

Conseil DPO ON-X groupe/ IRenard avocats

8

LE BILAN ANNUEL DU CEPD

Le comité européen de protection des données a publié son rapport pour l’année 2018. Celui-ci revient sur

l’ensemble des actions menées par le comité au cours de l’année. Ce bilan rappelle notamment l’ensemble des

lignes directrices éditées par l’autorité. Outre les 16 lignes directrices produites antérieurement par le G29, 4

nouvelles lignes directrices ont été publiées dans l’année, portant à vingt le nombre de lignes directrices

actuellement en vigueur :

1. Guidelines on consent under Regulation 2016/679, WP259 rev.01

2. Guidelines on transparency under Regulation 2016/679, WP260 rev.01

3. Guidelines on Automated individual decision making and Profiling for the purposes of Regulation 2016/679,

WP251rev.01

4. Guidelines on Personal data breach notification under Regulation 2016/679, WP250 rev.01

5. Guidelines on the right to data portability under Regulation 2016/679, WP242 rev.01

6. Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in

a high risk” for the purposes of Regulation 2016/679, WP248 rev.01

7. Guidelines on Data Protection Officers (‘DPO’), WP243 rev.01

8. Guidelines for identifying a controller or processor’s lead supervisory authority, WP244 rev.01

9. Position Paper on the derogations from the obligation to maintain records of processing activities pursuant to Article

30(5) GDPR

10. Working Document Setting Forth a Co-Operation Procedure for the approval of “Binding Corporate Rules” for

controllers and processors under the GDPR, WP 263 rev.01

11. Recommendation on the Standard Application for Approval of Controller Binding Corporate Rules for the Transfer

of Personal Data, WP 264

12. Recommendation on the Standard Application form for Approval of Processor Binding Corporate Rules for the

Transfer of Personal Data, WP 265

13. Working Document setting up a table with the elements and principles to be found in Binding Corporate Rules, WP

256 rev.01

14. Working Document setting up a table with the elements and principles to be found in Processor Binding Corporate

Rules, WP 257 rev.01

15. Working Document on Adequacy Referential, WP 254 rev.01

16. Guidelines on the application and setting of administrative fines for the purpose of the Regulation 2016/679, WP

17. EDPB Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43

of the Regulation 2016/679

18. EDPB Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679

19. EDPB Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) - version for public consultation

20. EDPB Guidelines 4/2018 on the accreditation of certification bodies under Article 43 of the General Data Protection

Regulation (2016/679)

Le comité a présenté son programme de travail pour l’année 2019/2020. Le CEPD souhaite établir des supports

sur les droits des personnes concernées et le concept de responsable de traitement et sous-traitant sous l’angle

de l’intérêt légitime. Le comité ambitionne également d’aborder le sujet des véhicules connectés, de la

blockchain, de l’intelligence artificielle, de la vidéosurveillance, du déréférencement sur les moteurs de

recherche et de l’application des principes de privacy by design et by default.

Rapport annuel CEPD

Conseil DPO ON-X groupe/ IRenard avocats

9

LE SUJET DU MOIS

LES LIGNES DIRECTRICES DU CEPD SUR LES TRAITEMENTS PAR VIDEOSURVEILLANCE SOUMISES

A CONSULTATION PUBLIQUE

L’utilisation intensive de la vidéosurveillance impacte les comportements des citoyens. La mise en place de ces

outils dans les différentes sphères de la vie accentue la pression supportée par les personnes concernées.

Généralement, la vidéosurveillance est acceptée lorsqu’elle a pour objectif la sécurité des biens et des personnes.

Pour autant, des garde-fous doivent être prévus pour éviter tout usage abusif à des fins différentes de celles

prévues initialement.

Avant la mise en place d’un système de vidéosurveillance il est nécessaire que le responsable de traitement

s’interroge sur la nécessité d’une telle mesure pour atteindre l’objectif fixé.

CHAMP D’APPLICATION

La vidéosurveillance consiste à collecter et la plupart du temps à conserver des images sur toutes les personnes

entrant dans l’espace surveillé. L'identité de ces personnes peut le cas échéant être déduite des informations

ainsi captées.

Tous les systèmes de vidéosurveillance sont concernés par l’application de ces lignes directrices, sauf ceux qui

ont une vocation purement domestique.

FINALITE ET LICEITE DU TRAITEMENT

Avant de recourir à la vidéosurveillance, les finalités du traitement doivent être déterminées précisément. En

effet la vidéosurveillance peut poursuivre des finalités différentes, telles que la protection des biens et des

personnes, la collecte de preuves aux fins de requêtes judiciaires … Ces finalités doivent être documentées et

expliquées pour chacune des caméras utilisées, sauf si les caméras sous le contrôle du même responsable de

traitement ont toutes la même finalité.

Les finalités de « sécurité » ou « pour votre sécurité » ne sont pas considérées comme suffisamment précises et

déterminées.

Les traitements de vidéosurveillance peuvent être fondés par trois des bases légales de l’article 6 du RGPD:

- L’intérêt légitime poursuivis par le responsable de traitement ;

- L’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est

investi le responsable de traitement ;

- Enfin dans des cas très exceptionnels le consentement est utilisé.

L’intérêt légitime poursuivi par le responsable de traitement

L’intérêt légitime poursuivi par le responsable de traitement ou par un tiers peut être de différentes natures. Il

peut être légal, économique ou immatériel.

Cet intérêt légitime doit exister et être actuel. Cela signifie qu’il ne doit être ni fictif ni spéculatif.

Conseil DPO ON-X groupe/ IRenard avocats

10

Avant l’installation de la vidéosurveillance, le responsable de traitement doit examiner de manière critique si la

mise en place d’un tel système peut permettre d’atteindre l’objectif souhaité et est adéquat et nécessaire pour

la finalité visée. En effet, la vidéosurveillance ne doit être utilisée que si la finalité du traitement ne peut pas être

atteinte par d’autres moyens moins intrusifs.

Par exemple, un responsable de traitement souhaitant prévenir les vols peut, plutôt que d’installer de la

vidéosurveillance, mettre en œuvre une surveillance par gardien.

Dans le respect du principe de minimisation, le lieu d’installation des caméras et les périodes de surveillance

doivent également être examinés afin de ne collecter que les images strictement nécessaires. Il est conseillé

d’envisager le recours à des solutions de type « boîte noire », dans lesquelles la séquence est automatiquement

supprimée après une certaine période de stockage et n’est accessible qu’en cas d’incident. Dans d'autres

situations, une surveillance en temps réel peut suffire.

Enfin, les droits et libertés des personnes concernées et l’intérêt légitime du responsable de traitement doivent

être évalués et mis en balance. Dès lors, la décision de mise en place de la vidéosurveillance doit être faite au cas

par cas. Parmi les facteurs permettant de prendre une décision, la dimension de la zone surveillée et le nombre

de personne concernée doivent être pris en compte. Doivent également être pris en compte les attentes

raisonnables des personnes concernées au moment et dans le contexte du traitement de données à caractère

personnel. Par exemple, dans la plupart des cas un employé ne s’attend pas à être surveillé en permanence par

son employeur. En revanche, les clients d’une banque peuvent s’attendre à être surveillé lorsqu’ils pénètrent

dans les locaux.

Dans le cadre de cette base légale, si une personne concernée s’oppose à la vidéosurveillance (article 21 du

règlement) le responsable de traitement ne peut procéder à la captation d’image de cette personne si ses

intérêts l’emportent sur ceux du responsable de traitement.

L’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est

investi le responsable de traitement

Les données à caractère personnel peuvent être traitées par surveillance vidéo en vertu de l'article 6, paragraphe

1, point e), s'il est nécessaire d'accomplir une mission exécutée dans l'intérêt public ou dans l'exercice de

l'autorité publique.

Le consentement

Pour justifier un traitement de vidéosurveillance, le recueil du consentement est une base légale à éviter. En

effet le consentement doit être donné librement, de manière spécifique et sans ambiguïté. Or il est difficile pour

le responsable de traitement de s’assurer que seules les personnes concernées qui ont consenti au traitement

auront leur image collectée. De plus, dans une relation salariale, la position hiérarchique de l’employeur peut

faire craindre un recueil de consentement contraint.

LA DIVULGATION DES IMAGES

La divulgation de données personnelles est en soi un traitement de données pour lequel le responsable de

traitement doit choisir une base légale conformément à l’article 6 du règlement.

Par exemple, la communication d’enregistrements vidéo aux autorités judiciaires est un traitement à part

entière, qui doit aussi être justifié par le responsable de traitement. Dans cette hypothèse la base légale du

traitement est le respect d’une obligation légale. En effet dans la plupart des Etats, la communication des preuves

dans le cadre d’une procédure judiciaire est encadrée par la loi.

Conseil DPO ON-X groupe/ IRenard avocats

11

LES TRAITEMENTS DE DONNEES PARTICULIERES

Dans certains cas la vidéosurveillance peut aboutir à révéler des données particulières. De prime abord les

données d’images ne présentent pas de sensibilité, toutefois elles peuvent être utilisées pour déduire d’autres

informations afin d’atteindre un objectif différent. Par exemple le recours à la reconnaissance faciale impliquant

des données biométriques. Dans une telle hypothèse le traitement devra répondre aux exigences des

traitements de données particulières au sens du règlement.

L’utilisation des données biométriques et en particulier la reconnaissance faciale, implique des risques

importants pour les droits des personnes concernées. Le recours à ces technologies doit s’effectuer dans le

respect des principes de légalité, de nécessité, de proportionnalité et de minimisation des données. Bien que

l'utilisation de ces technologies puisse être perçue comme particulièrement efficace, les responsables du

traitement devraient tout d'abord en évaluer l'impact sur les libertés et droits fondamentaux et envisager des

moyens moins intrusifs pour atteindre leur objectif.

La séquence vidéo n’est pas en soi une donnée biométrique. Elle doit faire l’objet d’un traitement spécifique en

vue de contribuer à l’identification d’une personne afin de devenir une donnée biométrique. Dès lors, lorsque

les données font l’objet d’un tel traitement, le consentement explicite des personnes concernées (au sens de

l’article 9, paragraphe 2, point a) devra être recueilli.

LES DROITS DES PERSONNES CONCERNEES

Tous les droits prévus par la réglementation sont applicables aux images de vidéosurveillance (en fonction de la

base légale choisie). Certains d’entre eux ont plus particulièrement retenu l’attention du comité.

Le droit d’accès

Les personnes concernées ont le droit d’obtenir la confirmation que leurs données font l’objet d’un traitement.

Lorsqu’aucune donnée de vidéosurveillance n’est ni sauvegardée ni transférée, le responsable de traitement

peut simplement donner l’information que des données ont été traitées mais qu’il ne dispose plus de ces

informations. En revanche si des données sont encore en cours de traitement au moment de la demande (c'est-

à-dire si les données sont stockées ou traitées), la personne concernée devrait recevoir un accès auxdites

données et une information conformément à l'article 15 du RGPD.

Le responsable du traitement doit parfois refuser la demande d’accès lorsque la séquence vidéo pourrait

permettre d'identifier d'autres personnes. La protection des droits des tiers ne doit toutefois pas servir d'excuse

pour empêcher des demandes légitimes d'accès. Le responsable du traitement doit donc tenter de mettre en

œuvre des mesures techniques pour donner suite à la demande d'accès (par exemple le masquage ou le

brouillage des tiers présents sur les images).

Autre hypothèse susceptible de paralyser l’exercice du droit d’accès : l’impossibilité de retrouver une séquence

lorsqu’une grande quantité d’image est conservée. La personne concernée devrait, dans sa demande, spécifier

à quel moment son image a pu être enregistrée. Malgré tout, si le responsable du traitement n'est pas en mesure

d'identifier la personne concernée, il doit en informer la personne concernée et rejeter sa demande.

Enfin, en cas de demande excessive ou manifestement infondée, le responsable du traitement peut soit facturer

des frais raisonnables, soit refuser de donner suite à la demande s’il est en mesure de justifier son refus.

Le droit à l’oubli

Sur demande, le responsable du traitement est tenu d'effacer les données à caractère personnel sans retard indu

si l'une des circonstances énumérées à l'article 17 du règlement s'applique. Cela inclut l'obligation d'effacer les

données personnelles lorsqu'elles ne sont plus nécessaires aux fins pour lesquelles elles ont été initialement

stockées, ou lorsque le traitement est illégal.

Conseil DPO ON-X groupe/ IRenard avocats

12

En outre, en fonction de la base juridique du traitement, les données personnelles doivent être effacées :

- Lorsque la personne concernée retire son consentement ;

- Lorsque la personne concernée exerce son droit et qu’il n’existe pas de motifs légitimes et impérieux

justifiant le traitement ;

- En cas de marketing direct (y compris le profilage) lorsque la personne concernée s’oppose au

traitement (exemple : publicité ciblée en fonction des caractéristiques de sexe et d’âge du client

capturées par un système de surveillance vidéo).

Le droit d’opposition

Pour la vidéosurveillance fondée sur l'intérêt légitime ou sur l’exécution d’une mission d'intérêt public, la

personne concernée a le droit de s'opposer au traitement pour des motifs tenant à sa situation particulière. Dans

cette hypothèse le traitement doit être interrompu sauf si le responsable de traitement oppose des motifs qui

l’emportent sur les droits et libertés de la personne concernée.

TRANSPARENCE ET OBLIGATION D’INFORMATION

Pour l’information, c’est l’article 13 du règlement qui s’applique puisque les données à caractère personnel sont

indirectement collectées auprès de la personne concernée. Compte tenu du volume d'informations à fournir à

la personne concernée, les responsables du traitement des données peuvent suivre une approche progressive.

Le premier niveau d’information peut être transmis par un panneau d'avertissement indiquant les informations

principales (les finalités du traitement, l'identité du responsable du traitement et l'existence des droits de la

personne concernée, ainsi que des informations sur les impacts majeurs du traitement). Les informations doivent

être placées à une distance raisonnable des lieux surveillés.

Les informations du deuxième niveau doivent également être mises à disposition dans un endroit facilement

accessible pour la personne concernée et si possible en dehors de la zone surveillée. Le panneau d'avertissement

du premier niveau doit faire clairement référence aux informations du deuxième niveau. S’agissant du contenu,

il doit reprendre l’ensemble des informations requises par l’article 13 du règlement.

DUREE DE CONSERVATION

Les données à caractère personnel ne doivent être stockées que le temps nécessaire à l’accomplissement des

finalités pour lesquelles elles ont été traitées. En France, la CNIL a défini une durée maximale de conservation

d’un mois.

MESURES TECHNIQUES ET ORGANISATIONNELLES

Le traitement des données à caractère personnel de vidéosurveillance doit être sécurisé de manière adéquate.

Les mesures techniques et organisationnelles mises en œuvre doivent être proportionnées aux droits et libertés

des personnes physiques.

Ces mesures doivent être mises en œuvre avant de commencer la collecte et le traitement des séquences vidéo.

La plupart des mesures pouvant être utilisées pour sécuriser la vidéosurveillance, en particulier lorsque des

équipements et logiciels numériques sont utilisés, ne différeront pas de celles utilisées dans d'autres systèmes

informatiques. Cependant, quelle que soit la solution choisie, le contrôleur doit protéger tous les composants

d’un système de surveillance vidéo.

Conseil DPO ON-X groupe/ IRenard avocats

13

www.on-x.com www.irenard-avocat.com

rgpd@on-x.com

01 40 99 29 70 ON-X Groupe

NOUS CONTACTER

ANALYSE D’IMPACT

Les responsables de traitement sont tenus de réaliser des analyses d’impact sur la protection des données si le

traitement constitue une surveillance systématique à grande échelle d'une zone accessible au public ou lorsque

le responsable du traitement a l'intention de traiter des catégories particulières de données à grande échelle.

Publication

RGPD

Toute représentation ou reproduction par quelque procédé que ce soit du présent document sans autorisation préalable de ON-X

groupe constituerait une contrefaçon sanctionnée par les articles L 335-2 et suivants du code de propriété intellectuelle