CELUI QUI JONGLE AVEC LES DONNÉES          PERSONNELLES… … fait bien de suivre l’évolution du projet de règlement européen...
Celui qui jongle avec les données personnelles…2      Qui suis-je ?          Consultant - droit des nouvelles technologie...
Celui qui jongle avec les données personnelles…3    La protection des données personnelles en 2012 : un bilan    très miti...
Celui qui jongle avec les données personnelles…4    La récurrence des atteintes de sécurité…© T. Devergranne – td@hstd.net
Celui qui jongle avec les données personnelles…5    Le régulateur    réagit…
Celui qui jongle avec les données personnelles…6        Des changements nécessaires !    •    La directive date de 1995…  ...
Celui qui jongle avec les données personnelles…7     D’abord en prévoyant de réelles sanctions…       Art. 79 - sanctions ...
Celui qui jongle avec les données personnelles…8    Un texte unique•      27 pays, un texte!         •    Directive vs règ...
Celui qui jongle avec les données personnelles…9    Fini les déclarations !       •     Vrai-Faux bénéfice : le responsabl...
Celui qui jongle avec les données personnelles…10     Et bonjour la documentation…     •   Le responsable du traitement de...
Celui qui jongle avec les données personnelles…11     Attention, les autorisations existent     toujours…       •     Les ...
Celui qui jongle avec les données personnelles…12     De nouvelles obligations de sécurité…      •     L’évaluation des ri...
Celui qui jongle avec les données personnelles…13     Et bienvenue à la nouvelle obligation de notification…      Vivianne...
Celui qui jongle avec les données personnelles…14                                                                         ...
Celui qui jongle avec les données personnelles…15                                                                  Article...
Celui qui jongle avec les données personnelles…16      Projet de règlement européen                             Art 32   ...
Celui qui jongle avec les données personnelles…17     Il reste encore du chemin à faire…           •     Adoption vraisemb...
Celui qui jongle avec les données personnelles…18     Questions ?      Thiébaut DEVERGRANNE             Contact : td@hstd....
Prochain SlideShare
Chargement dans…5
×

Protection des données personnelles : le nouveau projet de règlement européen

15 502 vues

Publié le

Publié dans : Business
1 commentaire
7 j’aime
Statistiques
Remarques
Aucun téléchargement
Vues
Nombre de vues
15 502
Sur SlideShare
0
Issues des intégrations
0
Intégrations
9 513
Actions
Partages
0
Téléchargements
0
Commentaires
1
J’aime
7
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Protection des données personnelles : le nouveau projet de règlement européen

  1. 1. CELUI QUI JONGLE AVEC LES DONNÉES PERSONNELLES… … fait bien de suivre l’évolution du projet de règlement européen ! Thiébaut DEVERGRANNE Docteur en droit Consultant Paris – 9 octobre 2012
  2. 2. Celui qui jongle avec les données personnelles…2 Qui suis-je ?  Consultant - droit des nouvelles technologies  +10 ans d’expérience, dont 6 pour les services du Premier ministre (SGDN/DCSSI) en qualité de conseil juridique  Docteur en droit privé sciences criminelles  Formation d’avocat (CAPA)  Passionné de nouvelles technologies - programmation / sysadmin depuis +15 ans http://www.donneespersonnelles.fr© T. Devergranne – td@hstd.net
  3. 3. Celui qui jongle avec les données personnelles…3 La protection des données personnelles en 2012 : un bilan très mitigé…© T. Devergranne – td@hstd.net
  4. 4. Celui qui jongle avec les données personnelles…4 La récurrence des atteintes de sécurité…© T. Devergranne – td@hstd.net
  5. 5. Celui qui jongle avec les données personnelles…5 Le régulateur réagit…
  6. 6. Celui qui jongle avec les données personnelles…6 Des changements nécessaires ! • La directive date de 1995… • L’objectif de la réforme est de simplifier et de renforcer les droits des citoyens • Nombreuses révolutions informatiques ont eu • Ex: droit à l’oubli, consentement au lieu ; impacts majeurs sur le traitement des traitement données personnelles : • Internet • Attention les principes posés par la directive ne • Réseaux sociaux sont pas remis en cause • Mobiles • Géolocalisation • Convaincre et s’imposer… • Biométrie • Cloud • SaaS, IaaS, Paas • … • Complexité également au niveau de l’adaptation de la directive : 27 pays européens, 27 transpositions…
  7. 7. Celui qui jongle avec les données personnelles…7 D’abord en prévoyant de réelles sanctions… Art. 79 - sanctions :  2% du CA global d’un groupe  1.000.000 euros A 2% annual turnover fine would have meant 1.2 Billion dollars in 2008 for a company like Microsoft ! http://www.donneespersonnelles.fr Effet de levier important, mais est-ce que la CNIL utilisera ces moyens à pleine capacité ?
  8. 8. Celui qui jongle avec les données personnelles…8 Un texte unique• 27 pays, un texte! • Directive vs règlement • Le règlement sera d’application directe • Comptoir unique• … mais un gros texte quand même… • +80 pages • Un peu moins de 100 articles • Des procédures complexes • Pour le PME : la digestion sera difficile• Le règlement sera d’application très large… Le présent règlement sapplique au traitement [réalisé par un] responsable du • Innovation très importante – art. 3 traitement qui nest pas établi dans lUnion, lorsque les activités de traitement sont liées: • Toute personne traitant des données a) à loffre de biens ou de services à ces personnes concernées dans lUnion; ou personnelles d’un citoyen EU tombera sous le b) à l’observation de leur comportement. coup du texte© T. Devergranne – td@hstd.net
  9. 9. Celui qui jongle avec les données personnelles…9 Fini les déclarations ! • Vrai-Faux bénéfice : le responsable du traitement doit conserver une trace documentée de tous les traitements réalisés (art. 28) • La mesure est censée faire économiser 130 millions d’euros aux Etats (mais transfert de charge vers les entreprises…) • Cependant le responsable devra nommer un DPO, obligatoire dans 3 cas (art. 35) : • Pour toute autorité publique • Entreprises > 250 personnes • Quelques cas particuliers • Le DPO est indépendant et ne reçoit aucune instruction pour la conduite de sa mission© T. Devergranne – td@hstd.net
  10. 10. Celui qui jongle avec les données personnelles…10 Et bonjour la documentation… • Le responsable du traitement devra démontrer que la loi est bien respectée au sein de son organisation • Obligation de documentation • Obligation de réaliser une étude d’impact pour les traitements à risque (données sensibles, biométrie…) – art. 33 • Cette documentation pourra être vérifiée à tout moment par l’autorité nationale de contrôle, sous peine de sanctions© T. Devergranne – td@hstd.net
  11. 11. Celui qui jongle avec les données personnelles…11 Attention, les autorisations existent toujours… • Les autorisations restent en vigueur (art. 34) ! • L’autorité de contrôle établit une liste des traitements à risque nécessitant une autorisation • Le responsable du traitement devra fournir une étude d’impact – art. 33 • Cette étude d’impact doit être réalisée systématiquement lorsque le traitement présente des risques particuliers pour les droits et libertés des personnes ; ex : • Données sensibles • Fichiers de grande ampleur concernant des enfants, des données génétiques, biométriques…© T. Devergranne – td@hstd.net
  12. 12. Celui qui jongle avec les données personnelles…12 De nouvelles obligations de sécurité… • L’évaluation des risques de sécurité est Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des maintenant explicite et obligatoire pour risques présentés par le traitement, pour préserver la sécurité des chaque traitement données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. • La Commission pourra préciser Art. 34 actuel : L’évaluation est implicite ! techniquement les mesures de sécurité à mettre en œuvre (IDS…) – art. 30.3 et 4 • L’obligation d’assurer la sécurité du À la suite dune évaluation des risques, le responsable du traitement des données personnelles reste traitement et le sous-traitant prennent les mesures prévues au paragraphe 1 pour protéger les données à caractère personnel contre la pratiquement inchangée destruction accidentelle ou illicite et la perte accidentelle et pour empêcher toute forme illicite de traitement, notamment la divulgation, la diffusion ou laccès non autorisés, ou laltération de données à caractère personnel. Art. 30.2 - Projet de règlement européen© T. Devergranne – td@hstd.net
  13. 13. Celui qui jongle avec les données personnelles…13 Et bienvenue à la nouvelle obligation de notification… Vivianne Reding, vice-présidente de la Commission : « J’ai l’intention d’introduire une obligation de notification de violation de sécurité des données à caractère personnel – la même que j’ai introduite pour les télécommunications et Internet quand j’étais Commissaire aux Telecoms, mais cette fois-ci pour tous les secteurs, incluant les banques et les services financiers », 20 juin 2011.© T. Devergranne – td@hstd.net
  14. 14. Celui qui jongle avec les données personnelles…14 Article 31 Projet de règlement européen 1. En cas de violation de données à caractère personnel, le  Extension de l’obligation actuelle de l’article 34 bis responsable du traitement en adresse notification à lautorité de (OCE) contrôle sans retard injustifié et, si possible, 24 heures au plus  Notification à l’autorité de contrôle des violations de tard après en avoir pris connaissance. Lorsquelle a lieu après ce données personnelles (art. 30) délai de 24 heures, la notification comporte une justification à cet  Concerne tout le monde, pas seulement les OCE égard.  « Sans retard injustifié » 2. En vertu de l’article 26, paragraphe 2, point f), le sous-traitant  « Si possible 24 heures au plus tard » alerte et informe le responsable du traitement immédiatement  Justification si +24h. après avoir constaté la violation de données à caractère personnel.  Attention : l’obligation concerne également les sous- 3. La notification visée au paragraphe 1 doit, à tout le moins: traitants a) décrire la nature de la violation de données à caractère  Le sous-traitant doit informer le responsable du personnel, y compris les catégories et le nombre de personnes traitement de toute violation qu’il connait concernées par la violation et les catégories et le nombre  La notification décrit d’enregistrements de données concernés;  Nature des données, nb personnes concernées b) communiquer l’identité et les coordonnées du délégué à la  Point de contact protection des données ou dun autre point de contact auprès  Mesures d’atténuation duquel des informations supplémentaires peuvent être obtenues;  Conséquences de la violation c) recommander des mesures à prendre pour atténuer les  Mesures ayant été prises pour y remédier éventuelles conséquences négatives de la violation de données à  Qu’est-ce qu’une violation de sécurité ? caractère personnel;  Se définit comme « une violation de la sécurité entraînant de d) décrire les conséquences de la violation de données à caractère manière accidentelle ou illicite la destruction, la perte, personnel; l’altération, la divulgation ou la consultation non autorisées de DCP transmises, conservées ou traitées d’une autre manière ». e) décrire les mesures proposées ou prises par le responsable du traitement pour remédier à la violation de données à caractère © T. Devergranne – td@hstd.net personnel.
  15. 15. Celui qui jongle avec les données personnelles…15 Article 31 (suite) Projet de règlement européen Le responsable du traitement conserve une trace documentaire de toute violation de données à caractère personnel, en indiquant son contexte, ses effets et les mesures  Le responsable conserve une trace prises pour y remédier. La documentation constituée doit documentaire de toute violation permettre à lautorité de contrôle de vérifier le respect des  Contexte dispositions du présent article. Elle comporte uniquement les  Effets informations nécessaires à cette fin.  Mesures mises en œuvre pour y remédier 5. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables à l’établissement de la violation de données visée aux paragraphes 1 et 2 et concernant les  Préparez-vous dès maintenant à… circonstances particulières dans lesquelles un responsable du  Tracer l’ensemble des incidents de sécurité traitement et un sous-traitant sont tenus de notifier la violation de dans votre organisation données à caractère personnel.  Exiger la même chose de vos sous-traitants 6. La Commission peut définir la forme normalisée de cette notification à lautorité de contrôle, les procédures applicables à l’obligation de notification ainsi que le formulaire type et les  Commencez à réfléchir à… modalités selon lesquelles est constituée la documentation  Comment le faire en 24h… visée au paragraphe 4, y compris les délais impartis pour l’effacement des informations qui y figurent. Les actes dexécution correspondants sont adoptés conformément à la procédure dexamen prévue à larticle 87, paragraphe 2. © T. Devergranne – td@hstd.net
  16. 16. Celui qui jongle avec les données personnelles…16 Projet de règlement européen Art 32  Communication de la violation à la 1. Lorsque la violation de données à caractère personnel est susceptible de personne concernée porter atteinte à la protection des données à caractère personnel ou à la vie  Sans retard indu privée de la personne concernée, le responsable du traitement, après avoir  Description précise de la violation procédé à la notification prévue à larticle 31, communique la violation sans retard indu à la personne concernée. 2. La communication à la personne concernée prévue au paragraphe 1  Dans certains cas, la communication décrit la nature de la violation des données à caractère personnel et peut être écartée avec l’aval de contient au moins les informations et recommandations prévues à l’article l’autorité nationale de contrôle 31, paragraphe 3, points b) et c).  Nécessite que les mesures de 3. La communication à la personne concernée dune violation de ses protection soient mises en œuvre données à caractère personnel nest pas nécessaire si le responsable du traitement prouve, à la satisfaction de l’autorité de contrôle, quil a mis en œuvre les mesures de protection technologiques appropriées et que ces dernières ont été appliquées aux données concernées par ladite violation. De telles mesures de protection technologiques doivent rendre les données  Commencez à réfléchir à… incompréhensibles à toute personne qui nest pas autorisée à y avoir accès. 4. Sans préjudice de l’obligation du responsable du traitement de  L’impact d’une notification sur la continuité business communiquer à la personne concernée la violation de ses données à  Inclure la notification dans votre PSSI caractère personnel, si le responsable du traitement na pas déjà averti la personne concernée de la violation de ses données à caractère personnel, lautorité de contrôle peut, après avoir examiné les effets potentiellement négatifs de cette violation, exiger du responsable du traitement quil sexécute. © T. Devergranne – td@hstd.net
  17. 17. Celui qui jongle avec les données personnelles…17 Il reste encore du chemin à faire… • Adoption vraisemblable du règlement entre 2014 et 2016 • Mais la proposition doit tout d’abord être acceptée par le Conseil et le Parlement Européen avant d’être adoptée • Attention toutefois à bien suivre l’évolution du projet qui risque de changer dans les années à venir !© T. Devergranne – td@hstd.net
  18. 18. Celui qui jongle avec les données personnelles…18 Questions ? Thiébaut DEVERGRANNE Contact : td@hstd.net http://www.donneespersonnelles.fr

×