Violation of the anti gift law ceo fined a record level 75000€
Programme 10ème universite afcdp des CIL
1. 10e
Université AFCDP des Correspondants Informatique & Libertés
Mercredi 27 janvier 2016 ~ Paris
AFCDP – Association Française des Correspondants à la protection des Données à caractère Personnel
1 rue de Stockholm – 75008 PARIS – www.afcdp.net
Le mercredi 27 janvier 2016 l’AFCDP (Association Française des Correspondants à la protection des Données à caractère
Personnel www.afcdp.net) organise la 10e
Université des CIL, l’événement incontournable des professionnels de la
conformité à la loi Informatique et Libertés, à la Maison de la Chimie, à Paris (28 Rue Saint Dominique, 75007)
Adhérent AFCDP (à jour de leur cotisation, sans
condition d’ancienneté, exclusivement sur
inscription via AGORA AFCDP) : contribution de
80 € nets. Non Adhérent : contribution de 550 €
nets. Places en nombre limité.
Cette manifestation bénéficie du soutien des
sociétés ISEP Formation Continue, Cabinet Cilex,
Cabinet d’avocats Vigo, Ageris Group, Acxiom,
Devoteam, Carac, Actecil, BRM Avocats,
Lexagone. Le programme est susceptible de subir
quelques modifications dont seraient informées au préalable les personnes inscrites.
10e
UNIVERSITE AFCDP DES CIL – Mercredi 27 janvier 2016
Conférence placée sous le haut patronage de Madame Axelle LEMAIRE, Secrétaire d’État chargée du Numérique
PROGRAMME - MATINEE – PLENIERE
9H15 : Ouverture de la conférence par le Président de l’AFCDP, Paul-Olivier GIBERT
J’arrête d’être hyperconnecté !
Catherine LEJEALLE, sociologue spécialiste du digital et enseignant chercheur à l'ISC Paris
Auteur de plusieurs livres, Catherine Lejealle focalise ses travaux sur le comportement des
consommateurs en matière de digital et l’appropriation des TIC dans la sphère privée ou professionnelle.
Son dernier ouvrage, « J’arrête d’être hyperconnecté ! » paru aux éditions Eyrolles en mars 2015,
explique comment faire face à cette maladie du siècle, l’Hyper Connexion, l’addiction au smartphone, la
nécessité de se connecter aux media sociaux…une sorte de detox digitale.
Analyse critique de la politique de gestion des données personnelles de Facebook
Brendan VAN ALSENOY, Legal Researcher Interdisciplinary Centre for IT & IP Law – iMinds, KU Leuven (intervention
en français)
À la demande de l’autorité de contrôle belge CPVP, un groupe de chercheurs européens a publié en mars 2015 une analyse
critique des conditions générales de Facebook. Les chercheurs ont considéré que les évolutions de la politique de Facebook
ne sont pas tellement significatives, mais que plusieurs dispositions restent problématiques du point de vue du droit
européen. L’un des auteurs de ce rapport nous dévoile les dessous de l’étude. En juin 2015, la CPVP a traduit Facebook en
justice, sur la base de ce travail.
Quelle articulation entre la loi Informatique et Libertés et les autres textes ?
Très souvent le CIL est amené, en sus de la loi Informatique et Libertés, à tenir compte d’autres textes, tels que le droit du
travail, le droit de la propriété intellectuelle, le droit à l’image, le droit de la consommation, le code de la santé publique,
celui de la sécurité sociale, des collectivités locales, des affaires familiales et sociales, sans compter les projets de loi de
finance et autres décrets, ordonnances et arrêtés qui, au détour d’un article, évoquent les données personnelles. Quelle est la
hiérarchie entre ces textes et comment faire la liaison entre eux ?
Table ronde animée par Sophie NERBONNE, Directrice de la Direction de la conformité (CNIL)
avec
Stéphanie DENIS LECERF, CIL de Michael Page, Vice-présidente d’A Compétence Egale,
animatrice du groupe AFCDP « Ressources humaines »
Jeanne BOSSI MALAFOSSE, Avocat à la cour, précédemment Secrétaire Générale de l'ASIP Santé et
Directeur-adjoint des relations avec les usagers et du contrôle à la CNIL
Sandrine MATHON, Responsable du service Administration de la DSI de la Ville de Toulouse,
Responsable de l'OpenData de la Métropole
Intervention d’Isabelle FALQUE-PIERROTIN, Présidente de la CNIL
Cocktail « déjeunatoire »
2. 10e Université AFCDP des Correspondants Informatique & Libertés
Mercredi 27 janvier 2016 ~ Paris
APRES-MIDI : ATELIERS/FORUMS (libre parcours) – De 14h10 à 17h45 (fin de la conférence)
Pour une éthique des données personnelles – Sarah WANQUET, Directrice juridique et CIL d’Axiom
Quelle éthique dans l’usage des données en particulier dans le domaine du marketing et de la publicité ? Au-dessus des lois, ne faut-il pas placer une « éthique
des données personnelles » ? La collecte, l’analyse et le partage des données deviennent des pratiques « internationales ». La réglementation s’établit par
région, par pays, mais ne voit-on pas une éthique commune se dégager plus globalement ?
Cybercriminalité : cyberattaques, phishing, vol de données - Comment réagir ?
Emmanuel DAOUD, Avocat au Barreau de Paris, Cabinet VIGO, Géraldine PERONNE, Avocat au Barreau de Paris,
Docteur en droit, Cabinet VIGO
Les entreprises françaises sont aujourd’hui victimes de nombreux actes visant à collecter frauduleusement des données et notamment les données à caractère
personnel de leurs clients, que ce soit par le biais du phishing ou de cyberattaques portant atteinte à un système de traitement de données. Quelle est la nature de
ces menaces ? Quelles sont les réponses juridiques ? Quelles actions peuvent être entreprises pour prévenir ces actes : auprès des services de police spécialisés
(BEFTI), auprès du Parquet ? Quel peut être le rôle du CIL dans ces situations ?
Responsables de traitement et Sous-traitants : comment se partagent les responsabilités ? – Christine HENNION,
Titulaire du Mastère Spécialisé « Informatique et Libertés » de l’ISEP
Le règlement européen va considérablement faire évoluer le partage de responsabilité entre Responsables de traitement et sous-traitants, avec de fortes
conséquences pour la gestion des fournisseurs. Madame Hennion, ancienne responsable des achats au sein d’un grand groupe industriel, a choisi ce thème
comme sujet de la thèse professionnelle qu’elle a soutenu dans le cadre du Mastère Spécialisé « Informatique et Libertés » de l’ISEP. Elle se livre à une synthèse
de ses travaux et délivre des informations très opérationnelles.
L'analyse de risque sur la vie privée intégrée à la démarche sécurité des projets – Catherine ENGLERT, CIL du groupe
Devoteam, consultante principale sécurité et Informatique et Libertés
Le futur règlement européen introduit l'obligation, pour certains traitements, de réaliser une analyse des éventuels impacts sur la vie privée des personnes
concernées. Comment cette démarche peut-elle s'inscrire dans les procédures déjà engagées par les entreprises en ce qui concerne la sécurité des systèmes
d'information et des données collectées ? L'intervenante décrira une démarche PIA (Privacy Impact Assessment) pour le montrer.
Le pilotage par la valeur métier – Cintya MARNEAU, Responsable Juridique et Conformité, CIL de la CARAC, Sébastien
BEAULIEU, Responsable Risques-Qualité, Rodolphe DANGOISSE, chef de projet informatique et Scrum Master
Vis-à-vis des fonctionnalités cœur de métier attendues dans un développement informatique, la conformité Informatique et Libertés et la gestion des risques
opérationnels ont souvent du mal à se faire une place parmi les hautes priorités. Pire, elles peuvent souvent être mises de côté, voire ne pas être considérées
comme des exigences « à grande valeur ajoutée ». Le pilotage par la valeur s'inscrivant de fait dans les principes de l'agilité, la Carac a mis en place un modèle
de « valorisation » qui permet de considérer toutes les exigences avec le même intérêt - dont celles liées aux données personnelles - et qui implique le CIL.
Comment rédiger sa « Politique de protection des données personnelles » ? – Jacques PERRET, Délégué Groupe aux
données personnelles et CIL du Groupe ENGIE
Faut-il se doter d’une « Politique de protection des données personnelles » ? Quels en sont les avantages et les inconvénients ? Quels sont les freins ? Qui doit
l’endosser ? Doit-on la publier ? Quelle est sa réelle efficacité ? Quelle articulation avec la Politique de sécurité des systèmes d’information et la charte d’usage
des NTIC ? Comment s'assurer de son respect ? A quelle fréquence faut-il l'actualiser ?
Attribution de logements sociaux sur scoring – François ROGGHE, CIL et PRADA de la Ville de Paris
La Mairie de Paris a mis en œuvre un système de cotation des demandes de logements sociaux (scoring) pour concourir au meilleur fonctionnement des
procédures d'attribution. Ce système a été élaboré avec l'aide de la CNIL qui a délibéré pour autoriser ce système en 2012 pour les seules demandes des agents
de la Ville. Cette procédure a été généralisée à l'ensemble des demandeurs, après quelques modifications de la grille de scoring. Ceci a fait l'objet d'une
deuxième délibération de la CNIL en décembre 2013.
Le CIL, générateur ou catalyseur de conflits ? – Pierre HESKIA, S.N.ia Conseil, consultant et formateur en management,
relations humaines et communication, enseignant Mastère Spécialisé « Informatique et Libertés » de l’ISEP
Le CIL peut apparaître comme un « poil à gratter » pour les directions opérationnelles, un de ces empêcheurs de faire tout ce que l’on voudrait sans se soucier
des conséquences, un rappel permanent à la bonne conscience ou, à tout le moins, à la règle. Il peut, s’il n’y prend pas garde, devenir un récipiendaire tout
désigné de la vindicte de ses interlocuteurs. Il est donc essentiel pour lui de connaître d’une part les moyens de ne pas créer les conditions de la tension et
d’autre part les enjeux en présence dans les tensions et les conflits (image, valeurs, sécurité), ainsi que certaines techniques de gestion du stress et des émotions.
À partir d’exemples, des pistes de solutions seront proposées.
Créer, animer et gérer un réseau de RIL (Relais Informatique et Libertés) - Dominique BRICOT, CIL mutualisé
d’ADMR (Réseau de fédérations et d’associations de services à la personne, Secteur Social) et Daniel GARIN, CIL
mutualisé de VINCI Energies
« Le problème n’est pas de créer un réseau de RIL, c’est le reste qui est difficile… ». Pour tous les CIL qui ont besoin de mettre en place un réseau de Relais
Informatique et Libertés, se posent plusieurs questions d’ordre stratégique et politique, opérationnel, financier et budgétaire. Les animateurs du groupe de
réflexion de l'AFCDP dédié à cette thématique se proposent de faire la synthèse des travaux et des auditions menées dans ce cadre. Quelle est la bonne
démarche ? Quel est le profil métier le plus adapté pour que ce réseau fonctionne ? Quelles erreurs ne pas commettre ?
Big Data : que faire pour être prêt le jour J ? – Marie-Noëlle GIBON, CIL du Groupe La Poste, CIL de la Banque Postale
Le groupe La Poste mise sur le Big Data pour affiner sa connaissance client, proposer de nouveaux services et améliorer son efficacité opérationnelle.
Découvrez comment le CIL accompagne cette démarche pour en assurer la conformité, en se projetant dans le cadre du futur règlement européen, illustrant
ainsi le proverbe « Qui veut faire quelque chose trouve un moyen. Qui ne veut rien faire trouve une excuse ».
Le CIL, un coach ? – Patrick VILLARD, Information Security Officer, CIL, Swisslife (et entraineur national d’athlétisme)
L’intervenant propose de sortir des lois, règlements, procédures… et d’apporter l’expérience du coach pour que vous fassiez, vous-même, des analogies avec le
métier de CIL. Changer de regard apporte beaucoup, ouvre les idées. Ce travail par analogie peut être un outil très performant car « Chaque concept présent
dans notre esprit doit son existence à une immense suite d’analogies élaborées pendant notre vie entière » (Douglas Hofstadter, Emmanuel Sander extrait de
leur livre « L'Analogie, cœur de la pensée »).
3. 10e Université AFCDP des Correspondants Informatique & Libertés
Mercredi 27 janvier 2016 ~ Paris
Une procédure unique pour une meilleure protection des données personnelles – Florence GRAVELINE, Chef du
Service des Etudes Juridiques et CIL, SACEM
Le Département juridique de la SACEM a mis en place une procédure interne performante alliée à un logiciel conçu sur mesure et des sessions de formation afin
d’optimiser la protection des données personnelles. Cette procédure répond à un triple objectif : L’optimisation du temps tant des opérationnels que du DJ qui
intervient comme expert en amont des projets informatiques ; La diminution du risque juridique grâce à une meilleure prise en compte des aspects juridiques et
des solutions possibles ; La réduction des coûts car il n’y a plus de régularisation à faire a posteriori.
Comment mener une campagne de sensibilisation efficace ? – Marie-Laure BARON, CIL du Conseil départemental de
Charente-Maritime
Pour sensibiliser ses collaborateurs aux « règles d’or » de la loi Informatique et Libertés et soutenir l’action de son CIL, le Conseil départemental de Charente
Maritime a fait réaliser un support visuel, en s’appuyant sur l’art d’un dessinateur. Découvrons les « coulisses de l'exploit », de l'idée de départ jusqu'à ses
impacts, en passant par la conception. Quelles étaient les objectifs, les difficultés, le budget, les bonnes surprises ? Et comment juger de l’atteinte des buts
visés ?
Comment traiter les demandes de droit d’accès ? – Alexandre ELOY, CIL de la GMF, Virginie LANGLET, CIL du
Conseil départemental des Alpes-Maritimes
L’un des tous premiers droits des personnes au titre de la loi Informatique et Libertés est le droit d’accès, qui donne aux personnes concernées un « droit de regard » sur l'utilisation qui
est faite de leurs données personnelles par les responsables de traitement. Mais la gestion de ce droit n'est pas aussi simple qu'il y parait. Un groupe de Membres de l'AFCDP ont
formalisé une F.A.Q. destinée à aider les CIL et les responsables de traitement à maîtriser l'exercice, document que présentent deux des participants à cet effort. Faut-il accuser réception
de la demande ? Comment évaluer le "coût" de la reproduction ? Comment vérifier l'identité du demandeur ? Que faire si l'on ne trouve aucune donnée ?
L'homologation de la sécurité des données à caractère personnel – Thierry RAMARD, Président d'Ageris Group
Quelles sont les organismes concernés par le RGS (Référentiel Général de Sécurité) ? Cette démarche est-elle obligatoire ou simplement conseillée ? Sur quel périmètre de données ?
Comment apprécier les risques ? Quels sont les acteurs impliqués dans la démarche et quels rôles pour le CIL et le Rssi ? Comment mettre en œuvre une démarche d'homologation
conforme aux recommandations de la CNIL et de l'ANSSI ? Cet atelier visera à échanger sur les éléments juridiques, fonctionnels et techniques permettant d'intégrer les exigences du RGS
et de la PSSI-E dans les processus opérationnels.
CIL et logement social - Micheline SUCHOD, CIL, Groupe Arcade
Le Logement Social est à la croisée des chemins des préoccupations de la société civile, tant d’un point de vue technique que d’un point de vue humain. Il est de
plus en plus sollicité dans la mise en œuvre de politiques de peuplement (mixité sociale), d’actions sociales (médiation, aide à la personne), environnementales
(maîtrise de la consommation d’énergie, lutte contre la précarité énergétique), de sécurité, ce qui implique la mise en place de nouvelles technologies et actions
et nécessite une réflexion approfondie sur les impacts en matière de droit des personnes. La création, au sein de l'AFCDP, d'un groupe de travail « logement
social », vise à permettre à l’ensemble des bailleurs de mettre en œuvre une démarche de mise en conformité commune et cohérente. Des co-animateurs de ce
nouveau groupe dressent un panorama des sujets auxquels est confronté un CIL désigné dans ce secteur.
Notification des violations de données : il est grand temps de s'y préparer – Pascale GELLY, Data Privacy Officer, ADP,
Vice-présidente de l’AFCDP (commission internationale)
Le règlement européen généralise la notification des violations de données à laquelle n'étaient contraints que les Opérateurs (le dernier rapport de la CNIL indique que ceux-ci en ont
notifié 34 auprès de la CNIL en 2014). La question est moins « Cela va-t-il nous arriver ? » que « Cela va sûrement nous arriver : sommes-nous prêts à gérer une telle situation ? ». Aux
Etats-Unis, qui connait cette disposition depuis plusieurs années, la pression sur les dirigeants des entreprises qui ont été victimes d'une data breach (et même sur les membres des conseils
d'administration) s'accroit, de même que le risque d'image avec les pertes de confiance et de parts de marché associées. Il y a donc bien là, pour les CIL, un chantier à ouvrir : à partir de
quand s'y préparer ? Qui prend part à la réflexion ? On s'y prend comment ? On commence par quoi ? Ça va coûter combien ? etc.
Analyse de conformité, de risques, d'impacts : comment les articuler ? – Christine CHAPPET, Consultante Experte
Informatique et Libertés, Actecil
Quels sont les buts poursuivis, les points communs, les complémentarités mais aussi les différences de ces trois approches ? Quels sont les secteurs d’activités particulièrement concernés ?
Quels enseignements tirer des délibérations de la CNIL qui touchent à ces sujets ? Quel est le rôle du CIL pour chacune de ces démarches ? Peut-il se faire assister, et par qui ? Ces
analyses ne rendent-elles pas, implicitement, le CIL obligatoire ? Quid des organismes qui n'en n'ont pas encore désigné ? Cet atelier présente le contexte juridique, technique et
organisationnel propre à chacune de ces analyses. Il apporte aux opérationnels et aux décideurs des ébauches de solutions (méthodologie et logiciel) afin de pouvoir intégrer ces concepts
dans leur gouvernance Informatique et Libertés et anticiper les évolutions qu'imposera le règlement européen.
Mobilité et applications connectées : comment gérer les données personnelles ? – Amandine DELSUC, CIL, Gras
Savoye, Garance MATHIAS, Avocat à la Cour
La mobilité, les objets connectés et leurs applications font désormais partie de notre quotidien. Dans ce contexte, nos données personnelles font l'objet d'enjeux
commerciaux et techniques dans tous les secteurs de l'économie. Comment ces données sont-elles collectées ? Où sont-elles stockées et sécurisées? Quelle
déclinaison des principes de minimisation des données et limitation des finalités ? Quelle information apporter à l’utilisateur concerné ? Quand et comment
recueillir son accord ? Qui est responsable du traitement ? Existe-t-il une coresponsabilité ? Les intervenantes se proposent d'apporter des réponses qui
participent de l’établissement d’une indispensable relation de confiance avec les personnes et permettent l’effectivité de la protection des données traitées.
Comment assurer la conformité d’un Hackathon ? – Marie Noëlle SEHABIAGUE, CIL de la Caisse nationale des
allocations familiales
Le mot est la combinaison de Hacker et de Marathon. Lors d’un Hackathon – qui se déroule généralement durant un week-end non-stop – des data scientists et
data analyst ont pour objectif de créer de la valeur (nouveaux usages, informations nouvelles ignorées jusque-là, nouvelles applications) à partir de données
ouvertes (Open data). Certains des corpus mis à disposition des participants à cette compétition sont issus de données à caractère personnel… que peut (et doit)
faire un CIL pour assurer la conformité de ces projets ?
Fin des Ateliers vers 17h45. Le programme est susceptible de subir quelques modifications dont seraient informées au préalable les personnes inscrites. Les
participants sont informés qu’ils sont susceptibles de figurer sur des photographies (plan général de la salle) qui seraient prises à l’occasion de cette manifestation
pour en illustrer le compte-rendu (publié sur le site de l’AFCDP ou par voie de Presse) et en acceptent le principe. Les supports de présentation utilisés lors de la
conférence seront publiés au sein d’AGORA AFCDP quelques jours après la manifestation. Les opinions exprimées par les intervenants lors de la conférence ne
sont pas celles de l’AFCDP.
Cette manifestation bénéficie du soutien des sociétés ISEP Formation Continue, Cabinet Cilex, Cabinet d’avocats Vigo, Ageris Group, Acxiom, Devoteam,
Carac, Actecil, BRM Avocats, Lexagone.
Vous n’est pas encore membre AFCDP ? Les nouveaux adhérents qui rejoignent l’association durant le dernier trimestre 2015 bénéficient d’un premier exercice
« étendu » jusqu’au 31 décembre 2016. Téléchargez sans attendre votre demande d’adhésion disponible sur le site www.afcdp.net à la rubrique « Comment
adhérer ? ».