Support de conférence - Webinar : Comprendre les enjeux liés à la protection des données personnelles

+
Une heure pour comprendre les enjeux liés à la protection des données personnelles Florence BONNET - 13 novembre 2014

+
AU SOMMAIRE
1- Dans quels cas doit-on appliquer la « loi informatique et libertés » ?
2- Quelles sont les règles à respecter ?
3- Pourquoi est-ce important ?
4- Que faut-il faire pour être en conformité avec la loi et se préparer à la réforme européenne?
2
© Copyright CIL Consulting 2014. Tous droits réservés

+
QUI SOMMES-NOUS ?
3
CIL Consulting est une société de conseil en protection des données personnelles créée en 2010. Elle accompagne les organisations souhaitant se mettre en conformité avec la réglementation :
Réalisation des formalités préalables auprès de la CNIL et mise en conformité
Audit de conformité des traitements de données personnelles
Accompagnement de projets innovants (étude d’impacts sur la vie privée, Privacy By Design …)
Formations / sensibilisation des décideurs et de leurs équipes
CIL Consulting est désigné comme Correspondant Informatique et libertés (CIL) pour des entreprises de tailles diverses (startups, groupes internationaux implantés en France).
Pour plus d’informations : www.protection-des-donnees.fr
Hapsis est un cabinet de conseil indépendant spécialisé dans le domaine de la gestion des risques et de la sécurité numérique.
Pour répondre aux préconisations de la CNIL, Hapsis a créé un parcours ludique et efficace pour accompagner les entreprises dans la sensibilisation de leurs collaborateurs en matière de protection des données à caractère personnel.
Cette campagne de sensibilisation couvre les thèmes suivants :
Risques liés au traitement de données à caractère personnel (DCP)
Traitement des DCP et des données sensibles
Cadre juridique de la protection des DCP
Obligations d'un responsable de traitement
Droits des personnes face aux traitements de leurs DCP
Protection des DCP au quotidien
Rôle du CIL et/ou du référent CNIL
Pour plus d’informations : www.hapsis.fr

+
1- Dans quels cas doit-on appliquer la « loi informatique et libertés » ?
Cadre juridique européen et français: 2 textes principaux ….mais pas seulement
Directive 95/46/UE et Loi « informatique et libertés» (LIL) du 6 janvier 1978 modifiée en 2004
La loi s'applique :
-Aux traitements automatisés (informatiques) ou non (papier),
-De données à caractère personnel (DCP),
-Contenues ou appelées à figurer dans des fichiers
Traitement : toute opération ou tout ensemble d’opérations (ex. hébergement, collecte, transmission, l’interconnexion, analyse…) portant sur des DCP,
Données personnelles : informations qui permettent d’identifier directement, indirectement ou par recoupement une personne (ex. caractéristiques, comportement, données utilisées pour influencer le traitement ou l’évaluation d’une personne).
Fichier : ensemble structuré et stable (ex. dossiers indexés).
Qui? Responsable de traitement vs Sous-traitant
-Le responsable de traitement: celui qui détermine les finalités et les moyens du traitement
-Le sous-traitant: celui qui traite les DCP selon les instructions du responsable de traitement
Principe de territorialité: traitement relevant des activités exercées dans la cadre du principal établissement du responsable de traitement ou selon localisation des moyens de traitement
4

+
Principe : Sauf dispense, il est obligatoire de notifier la CNIL AVANT la mise en oeuvre du traitement de DCP.
Déclaration préalable (simplifiées ou normales) pour les traitements les plus courants.
Ex. NS 48 clients et prospects
Sauf Correspondant Informatique et Libertés
Autorisation préalable (pour les traitements sensibles ou à risques).
Ex. transferts de données vers un pays tiers hors UE
Conséquences du non respect des formalités préalables :
-Passible de sanction par la CNIL,
-Illicéité du traitement :
Ex. La vente d’un fichier client non déclaré à la CNIL porte sur un objet illicite (Cass.25-06-13)
Ex. Licenciement invalidé car l’outil de contrôle de la messagerie de la salarié déclaré tardivement à la CNIL (Cass.08-10-14)
Les formalités préalables
Ex. ci-dessus : informations relatives aux mesures de sécurité d’une demande d’autorisation
5

+
Les données sont collectées et traitées de manière LOYALE et LICITE (1/2)
Pas de traitement à l’insu des personnes.
−consentement de la personne,
−obligation légale,
−« intérêt légitime" du RT ou du destinataire,
−exécution d’un contrat,
−sauvegarde de la vie humaine,
−mission de service public
Le consentement :
Manifestation de volonté, sans ambigüité, libre, spécifique
L’intérêt légitime du RT:
Balance avec intérêts et droits fondamentaux des personnes,
Doit être analysé (ex. risques d’impacts/mesures de protection en place),
Pour prévaloir, il doit être proportionné et nécessaire
Les principes applicables aux traitements de données
Consentement:
Il ne peut être déduit de l’acceptation de CGU d’un site internet ;
Il faut 2 consentements distincts si finalités différentes : ex. enquête de satisfaction et prospection par un tiers. Intérêt légitime:
Détection de fraude ou blanchiment ;
Contrôle des salariés pour raison de sécurité ;
Recouvrement de créances ;
Publicité… Mais consentement exprès et préalable dans certains cas : Ex. Prospection via automates d’appel, courrier électronique, SMS ou MMS, sauf produits ou services analogues Ex. Données sensibles
Illustration
Vous êtes-vous assuré de la base légale de votre traitement?
Quid de la source des données?
6

+
Les données sont collectées et traitées de manière LOYALE et LICITE (2/2)
Les données sensibles : interdiction de principe
Données qui font apparaître, directement ou indirectement :
–les origines raciales ou ethniques,
–les opinions politiques, philosophiques ou religieuses,
–ou l’appartenance syndicale des personnes,
–ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci.
Exceptions prévues par la loi :
Ex. consentement exprès de la personne; données rendues publiques…cf.art.8
Exceptions prévues par la loi avec autorisation préalable de la CNIL :
Ex. traitements appelés à être anonymisés à bref délai
Etes-vous certain de ne pas traiter de données sensibles ?
7

+
Les données sont collectées pour des FINALITES SPECIFIQUES, EXPLICITES et LEGITIMES,
Et elles ne sont pas traitées ultérieurement de manière incompatible avec ces finalités
Trois hypothèses :
1/ Compatibilité évidente,
2/ Compatibilité pas évidente-besoin d’une analyse cas/cas,
3/ Incompatibilité évidente.
Ex. vidéosurveillance pour la sécurité – utilisé pour contrôle absences du salariés en croisant avec fichier des plaintes pour absence du poste de travail.
Ex. Traitement de profilage pour marketing direct / publicité comportementale : besoin du consentement spécifique de la personne.
Illustration: finalité spécifique
Comment savoir si la réutilisation des données est compatible avec la finalité initiale ?
8

+
Proportionnalité : Les données sont ADEQUATES, PERTINENTES et NON EXCESSIVES au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.
Les données sont exactes, complètes et si nécessaire mises à jour.
Durée de conservation limitée à la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.
Ex. 230 caméras pour 240 salariés - surveillance des toilettes et salles de pause. Ex. maintien de personnes dans le fichier FICP malgré régularisation arriérés de paiement. Ex. pas de conservation des données relatives à la CB au-delà du paiement effectif sauf exception:
−consentement préalable de la personne
−organisme soumis aux oblig.de lutte c/ le blanchiment
−lutte contre la fraude ( si intérêt légitime + autorisation)
Illustration
Qui s’assure de la mise à jour ? Comment ? Auprès de qui? Avez-vous déterminé une durée de conservation ?
9

+
Information préalable des personnes concernées
Exceptions :
Personne déjà informée,
Impossible ou exige des efforts disproportionnés,
Disposition légale,
Anonymisation à bref délai.
Information préalable en cas d’utilisation de logiciels espions, de cookies ou de témoins de connexion (Article 32-II – LIL et Art.5 e-privacy)
Les droits des personnes
Droit d’accès,
Droit de rectification,
Droit d’opposition.
Réponse du responsable : 2 mois (8 j si données de santé)
L’information est- elle :
complète ? Lisible ?
Visible ?
Quelle est la procédure en place ?
Qui ? Quand ? Comment ?
10

+
Principe: interdiction
Exceptions :
Art.69 de la loi IL (interprétation stricte),
Consentement exprès de la personne,
Pays offrant un niveau de protection adéquat,
Safe Harbor,
Clauses Contractuelles signées entre les deux entreprises,
Règles internes d'entreprises (BCR).
N.B. Formalités préalables liées au traitement principal + formalités liées au transfert si nécessaire.
N.B. Information obligatoire et complète des personnes
Finalité
Données
Destinataire
Pays
Niveau de protection
Droits des personnes
Les transferts de données personnelles hors UE (1/2)
Source CNIL : http://www.cnil.fr/linstitution/international/les- autorites-de-controle-dans-le-monde/
Avez-vous vérifié la légalité de vos transferts de données vers vos sous-traitants (ex. cloud) ?
11

+
Quel avenir pour l’accord de Safe Harbor ?
Quoi ?
Principes de protection des données publiés par le Département du Commerce américain (FTC) , auquel des entreprises établies aux USA adhèrent volontairement afin de pouvoir recevoir des DCP en provenance de l'UE.
Le constat,
L’effet Snowden,
La suspension de l’accord n’est pas exclue,
Enjeu principal: obtenir pour les Européens les mêmes droits aux Etats-Unis que les Américains en Europe.
Les transferts de données personnelles hors UE (2/2)
Avez-vous vérifié les garanties proposées par votre prestataire américain
12

+
L’obligation de sécurité des données personnelles (1/2)
Art. 34 « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».
Maitriser les risques liées à: volume de DCP, sources multiples, environnement décentralisé et multi-canal, globalisation, multitude d’acteurs…
Sécurité logique, physique, organisationnelle
Disponibilité, Intégrité, Confidentialité, Auditabilité
Tout au long du cycle de vie des données
Prendre des mesures de sécurité, c’est bien, encore faut-il qu’elles soient adaptées et conformes à la loi,
Gare à la mauvaise gestion des mots de passe et aux flux non sécurisés,
Vous êtes responsables des failles dues aux défaillances techniques des solutions applicatives,
Vous devez veiller au respect des mesures de sécurité par vos sous-traitants.
Pour plus de détails
http://www.journaldunet.com/ebusiness/expert/58371/les-sanctions-prononcees-par-la-cnil-a- travers-le-prisme-de-la-securite.shtml
Que dit la CNIL dans ses mises en demeures et ses sanctions ?
« Il est indispensable qu’une entreprise française qui envisage de recourir au Cloud Computing réalise une analyse de risques ». Source CNIL
13

+
Ex. énervement, interdiction bancaire, perte d’emploi, décès…
Ex. détournement de finalité du traitement, accès illégitime, altération des données…
L’obligation de sécurité des données personnelles (2/2)
14

+
Art. 35
–Le responsable de traitement est responsable de la mise en oeuvre de mesures de protection des DCP par ses sous-traitants,
–Le sous-traitant agit sur « instruction du responsable de traitement»,
–Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en oeuvre des mesures de sécurité,
–Le contrat avec le sous-traitant comporte les obligations incombant au sous-traitant.
1.Choisir ses prestataires,
2.Déterminer si le prestataire est co- responsable ou sous-traitant. Faisceau d’indices cumulatifs (CNIL):
−Niveau d’instruction donné par le client,
−Degré de contrôle du client sur l’exécution de la prestation,
−Valeur ajoutée fournie par le prestataire sur le traitement des données,
−Degré de transparence du client sur le recours à un prestataire.
3.Cadre contractuel
En pratique que dit la CNIL?
N.B. « Le déséquilibre entre une petite entreprise et FAI ne peut justifier d’accepter des clauses contractuelles non conformes aux règles de protection des données » (G29)
« Les prestataires qui n’offrent pas les garanties essentielles dans leurs contrats et qui refusent toute négociation avec leurs clients potentiels ne devraient pas être sélectionnés » (CNIL)
La gestion des relations avec les sous-traitants
15

+
Un enjeu de confiance
Pour l’adoption des nouvelles technologies par les individus
Vis-à-vis des entreprises
Une problématique internationale
Plus de 100 lois de protection des données et de la vie privée dans le monde (outre les lois sectorielles US)
Une faille ne connait pas de frontières - c’est une problématique locale et globale
Federal Communication Commission
October 24, 2014
Source: computerworld
Un enjeu de confiance et une problématique internationale
16

+
Sanctions administratives
-Avertissement (public ou pas),
-Injonction de cesser le traitement,
-Retrait de l’autorisation,
-Amendes 150 K€-300 K€ si récidive (peuvent être rendues publiques)
Sanctions pénales
−5 ans d’emprisonnement et 300 K€ d’amende
N.B. Les agents de la DGCCRF sont habilités à constater les manquements à la loi informatique et libertés.
Conséquences
Un sujet à risque pour les entreprises
Conséquences pénales
Risque d’exploitation Interne et externe
Conséquences sur la profession
Page FB- gestion de crise
Image/ réputation
Economique
Financier
Social
pénal
17

+
Objectifs du projet de règlement
Haut niveau de protection des droits fondamentaux des citoyens européens,
Uniformisation et simplification : 1 même texte, une autorité « lead », moins de formalités
Possible actes délégués de la commission (critères et exigences techniques).
Où en est-on ?
Vote du parlement,
Accord partiel du conseil des ministres,
Prochaine étape importante: 05/12 pour arriver à un accord sur le ‘one stop shop’ et sur le secteur public,
Objectif: adoption fin 2015,
Des dispositions déjà prises en compte dans les recommandations des régulateurs et de la commission UE.
Les grandes tendances :
Hausse des sanctions:
1 M € ou 100 M€ ?
2% ou 5% du C.A. ?
Responsabilisation des acteurs (y compris ss-tt):
Vers une co-régulation
Approche par les risques
Renforcement des droits des personnes
Transparence
Evolution de la réglementation européenne : objectif fin 2015 (1/4)
18

+
Le principe d’ « accountability » (art.22 GDPR)
Quoi ? Mise en oeuvre de règles internes pour garantir et démontrer le respect du règlement
Qui ? Le responsable de traitement, le responsable « conjoint », le sous-traitant
Comment ?
Documentation obligatoire sur chaque traitement,
Audits,
Analyse d’impact relative à la protection des données (art.33): si risques élevés pour les droits et libertés – consultation de la CNIL s’il persiste des risques,
Art. 23: « Data protection by design »: par défaut et dès la conception,
-Traitement des seules données nécessaires,
-Collecte minimum,
-Durée de conservation limitée,
-Accès limité par défaut,
-Exigences supplémentaires par actes délégués.
Codes de conduites et Certifications
19

+
L’approche par les risques au coeur de la réforme
Mesures de sécurité prises « à la suite de l’évaluation des risques » art.30
Notification des violations de données personnelles
Du régulateur: sans retard, au plus tard dans les 72h ?
Le sous-traitant doit alerter le responsable
Communication à la personne concernée
Etude d’impact et notification des violations de données personnelles: seulement en cas de « risques élevés » ?
Risques « élevés » : discrimination, usurpation ID, fraude, perte financière, réputation, secret professionnel, faille de pseudonymes, préjudice social ou économique significatif.
Les traitements concernés :
-Profilage: si impact → interdit sauf consentement ou contrat ou loi,
-Traitement relatifs aux données sensibles, sur les enfants, aux données biométriques, données sur des condamnations ou des peines (si prise de décisions c/ attentes de la pers.)
-Contrôle d’espaces publics à large échelle, spécialement avec des systèmes optiques électroniques,
-Traitements à grande échelle,
-Cas jugés à risques par le régulateur national ,
Quoi ? Qui ?
Etes-vous prêt ?
20

+
Renforcement des droits des personnes
Applicabilité: y compris si offre de produits et services payants aux citoyens de l’UE ou profilage ou « tracking »,
Plus d’informations (cf. durée de conservation, origine des données, droit d’introduire une réclamation, logique du profilage),
Exercice des droits facilité cf. de manière électronique,
Nouvelles possibilités d’ester en justice pour les associations,
Portabilité des données,
Du droit à l’oubli au droit au déréférencement.
21

+
Plan d’actions priorisées
Documentation
Sensibilisation et formation
Les différentes étapes
Amélioration
Rôles et responsabilités
Sensibilisation-Communication
Inventaire détaillé des traitements de DCP
Etat des formalités préalables
Evaluation des écarts de conformité par traitement
Recensement des mesures de sécurité
Classification des traitements à risques
Analyse des risques liés aux traitements à risques élevés
Vérification
Au-delà de la loi « informatique et libertés » :
•Projet de règlement/Texte voté par le parlement/Proposition du Conseil Européen
•Recommandations et jurisp. de la CNIL
•Recommandations de la commission UE
•Avis du G29
•Sécurité: Bonnes pratiques et état de l’art
•Recommandations de l’ANSSI
•Recommandations de l’ENISA
•Lois sectorielles…
22

+
Le Correspondant Informatique et Libertés (CIL) / Data Protection Officer
A quoi sert le CIL ?
-Traitements soumis à déclaration préalable selon article 22 de la loi I&L
-Mission
-Désignation partielle, générale ou étendue
Qui peut être CIL ? Interne, externe, mutualisé
Quel est l’intérêt de désigner un CIL ?
Le « Data protection Officer » ou Correspondant à la Protection des Données dans le projet de règlement UE
-A priori volontaire ou rendu obligatoire par la loi nationale
-Nouveau statut? compétences ?
-Une certitude: un élément clé dans la mise en place du principe d’ « Accountability ».
23

+
Nouveaux business model, Nouveaux positionnements stratégiques
Gagnant-gagnant: Des données de meilleure qualité, plus de données, expérience utilisateur (client, salarié, patient)
Changer d’approche: « User-centric », « Customer empowerment», « Privacy By Design»
Démarche proactive – réforme UE
Nouvelles obligations
Marchés publics
Eviter la remise en cause coûteuse d’un projet non conforme
Préparation aux nouvelles certifications
Sensibilisation des personnes
Rejet de solutions intrusives ou « opaques »
Communiquer pour rassurer (cf. étude d’impact)
« Privacy is good for business », et certains l’ont compris…
Numerama – 7 novembre 2013
http://www.autoblog.com/2014/08/26/privacy- data-ford-connected-car-concern/
Conclusion: la protection des données, nouvel avantage concurrentiel?
24

+
Florence BONNET – florence.bonnet@cil-consulting.com
@FlorenceBonnet
Merci de votre attention
www.cil-consulting.com
171 avenue Charles de Gaulle
2200 NEUILLY SUR SEINE
www.hapsis.fr
45 rue de la Chaussée d’Antin
75009 Paris

Support de conférence - Webinar : Comprendre les enjeux liés à la protection des données personnelles

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

En vedette

En vedette (17)

Similaire à Support de conférence - Webinar : Comprendre les enjeux liés à la protection des données personnelles

Similaire à Support de conférence - Webinar : Comprendre les enjeux liés à la protection des données personnelles (20)

Plus de Hapsis

Plus de Hapsis (6)

Support de conférence - Webinar : Comprendre les enjeux liés à la protection des données personnelles