Swiss Data Protection Day 2016

2 066 vues

Publié le

Présentations dans le cadre de la Journée de la Protection des Données 2016 - Sur le thème:
Cloud Computing : comment protéger les données personnelles après la décision Safe-Harbor
Organisé par :
Le Préposé fédéral à la protection des données et à la transparence (PFPDT), ThinkServices, et l'IDHEAP

2 commentaires
4 j’aime
Statistiques
Remarques
Aucun téléchargement
Vues
Nombre de vues
2 066
Sur SlideShare
0
Issues des intégrations
0
Intégrations
100
Actions
Partages
0
Téléchargements
22
Commentaires
2
J’aime
4
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Swiss Data Protection Day 2016

  1. 1. Digital Responsibility «See What you sign !» Restaurer la confiance à l'ère du numérique ! Présenté par Pascal Ko)é
  2. 2. Restaurer la confiance à l'ère du numérique ! «See What you sign !» Digital Responsibility
  3. 3. Open Label •  Déclaré par les prestataires de systèmes et de services •  Placé sous la sauvegarde de tous: Crowdsourcing •  Transparent et évolu?f •  Economique et crédible •  Ouvert et tolérant •  Adapta?f et graduel
  4. 4. Etape 1: Le fournisseur s’engage (inten:ons)
  5. 5. Etape 2: La foule valide •  Réversibilité: Les données sont-elles répliquées en local dans un format «ouvert» ? •  Les données restent-elles ma propriété exclusive ? •  Fort juridique: Les condi:ons d’usage, sont-elles appliquées sur le pays des u:lisateurs ? •  … AUTRES SOLUTIONS
  6. 6. Merci ! -  au par?cipant réguliers -  Occasionnels A ceux qui nous suivent -  de loin -  Ou de près ;-) (CC)-BY-SA 2016 à ceux qui vont nous soutenir Nous aider à nous faire connaître Et à lancer un «Crowdfunding» (?) hSp:// Responsibility.Digital Pascal KOTTÉ (CloudReady.ch et ICT-a.ch) Bruno CHANEL (BrunoChanel.com) Jean-Henry MORIN (UNIGE, ThinkServices) Anne-Catherine SALBERG (Conflits.ch, ThinkServices) Jörn Erbguth (ergbuth.net) Patrick GENOUD (OT-LAB, ThinkServices) Réginald MAITRE (Oxano) MaSeo Mazzeri (tuleap) Raymond MOREL (Social-IN3, S-I) Giorgio PAULETTO (OT-LAB, SIG, ThinkServices) Arnaud VELTEN (Digital-athanor.com) Marie-Elisabeth BOURY (Académie Digitale) Caroline Janet Caldwell Sami COLL Nicolas Duguet Adrien FRAVI André Kortmoller Cathleen KoSé (Leenk.fr) Verena MEINE ( See what you Sign !) Sabrina Nwatchock Mikhaël Salamin Philippe SCOFFONI (Open-DSI) Nicolas Tavaglione Yves ZIEBA (Pangloss labs) … [désolé pour les oublis] …
  7. 7. digital-athanor.com Arnaud VELTEN Merci ! -  au par?cipant réguliers -  Occasionnels Ceux qui nous suivent -  de loin -  Ou de près ;-) hSp://Responsibility.Digital
  8. 8. Une approche pour l’auto-évaluation des communes et des PME eGov Innovation Center C/O HES-SO Valais-Wallis Techno-Pôle 3 – 3960 Sierre info@egovinnovation.ch
  9. 9. •  Présenta?on de l’étude •  Auto-évalua?on •  Conclusion Agenda 14
  10. 10. eGov Innova?on Center 15 Membres actuels HES-SO Valais HES-SO Fribourg (EIAFR) HES-SO Vaud (EESP) HES-SO Genève (HEG-GE) Etat du Valais Etat de Fribourg Etat de Vaud Entreprise Cimark O. Glassey, IDHEAP UNIL Groupe T2I Sofcom Neurones E-Xpert Solu?ons i-Web Un centre au service de la digitalisa:on de l’Etat et des Communes, fondé en octobre 2013
  11. 11. Référent neutre eGov auprès du public et para-public –  Recommanda?ons et meilleures pra?ques, accompagnement à la standardisa?on ou à la cer?fica?on –  Mise en réseau des acteurs, facilitateur, transfert de compétences –  Organisa?on de manifesta?ons, congrès, colloques, ateliers et journées de forma?on –  Veille et analyse des ini?a?ves locales ou na?onales –  Informa?ons générales, publica?ons –  Encouragement et promo?on de l’innova?on dans la cyberadministra?on Presta?ons 16
  12. 12. •  Nicolas Pikeloud, MAP-SI Conseil •  Adriano Labate, Groupe T2I •  Sébas?en Fan? •  Olivier Glassey Equipe 17
  13. 13. •  Modèle de maturité •  Ques?onnaire en ligne •  Généra?on de représenta?ons graphiques «boussoles» (similaire à l’approche SmartVote) Auto-évalua?on 18
  14. 14. Référen?els approchant la gouvernance des données •  COBIT: stratégie IT •  ARMA: ges?on documentaire •  ISO 27000: sécurité de l’informa?on •  IBM Data Governance, Microsof, Ernst & Young, etc. Modèles de maturité 19
  15. 15. Processus de ges?on couverts par ces modèles •  Transparence •  Conformité •  Propriété, responsabilité •  Accès, partage, contrôle, «minimisa?on» •  Qualité: intégrité, efficacité, disponibilité, fiabilité, etc. •  Ges?on du cycle de vie Modèles de maturité 20
  16. 16. Modèles de maturité 21
  17. 17. Ques?onnaire 22 Dimension Indicateur général Indicateur spécifique POLITIQUE DE l'ORGANISATION Cadre stratégique Environnement de contrôle: gestion de l'organisation, style de direction, structure organisationnelle, politique du personnel. Situation générale en matière de gouvernance des données Stratégie en matière de gouvernance des données Situation en matière de gestion du risque lié aux données La politique de l'organisation est préventive plutôt que réactive Instance responsable en matière de gestion de l'information / définition d'un maître de fichier Politique de sécurité Externalisation du traitement de données (sous- traitants) Mesures de protection des données traitées. Droits d'accès des employés Directives d'accès au réseau avec des appareils personnels, d'utilisation d'internet au travail (y.c. réseaux sociaux), d'utilisation du téléphone portable remis à usage professionnel. CONFORMITÉ Application de la législation Conformité avec législations en vigeur (LPD, Ltrans, LIPDA). Reconnaissance de la conformité
  18. 18. Ques?onnaire 23 hkps://fr.surveymonkey.com/r/gouvernancedonnees
  19. 19. •  Ques?onnaire actuel des?né aux communes, à adapter pour les PME non-soumises à la LTrans •  Généra?on manuelle des résultats, à automa?ser si intérêt •  Poten?ellement ou?l de benchmarking pour les communes / de pilotage pour les préposés Conclusion 24
  20. 20. enquête ouverte #mesdonnees rts.ch/mesdonnees
  21. 21. www.rts.ch/la-1ere/programmes/on-en-parle/6813759.html#?meline-anchor-12+janvier+2016
  22. 22. Bilan Réponse claire pour les ins?tu?ons locales + difficile pour les GAFA :)
  23. 23. Les communes vendent vos données! Les communes vendent vos données certaines le font gracieusement elles transmekent à la fonda?on BVA (bureau vaudois des adresses) qui transmet envoie sous contrat de la pub ciblée (BCV nouveau né)
  24. 24. Les entreprises vous segmentent CFF Migros
  25. 25. Données téléchargeables, mais usage inconnu
  26. 26. Données envoyées, mais en ligne de code!
  27. 27. CD crypté d’Amazon
  28. 28. Lekre de Doodle
  29. 29. Entreprises ne répondent pas
  30. 30. Ques?ons ouvertes Citoyen n’a pas accès (ex. Microsok) Pas moyen de connaître l’usage de nos données aux poli:ques d’agir?
  31. 31. •  25 novembre 2015 – L’ARRÊT «SAFE HARBOR» DE LA CJUE (AFF. C-362/14) – ET SES IMPLICATIONS POUR LA SUISSE Prof. Astrid Epiney InsDtut für Europarecht der Universität Freiburg InsDtut de droit européen de l’Université de Fribourg
  32. 32. I.  Introduc?on II.  L’arrêt de la Cour dans l’aff. 362/14 III.  Les implica?ons pour la Suisse IV. Conclusion
  33. 33. ​ I. INTRODUCTION ► Les principes safe harbor −  Les Etats-Unis: pas de législa?on adéquate −  Auto-cer?fica?on d‘entreprises / d‘organisa?ons et obliga?on de respecter certains principes de traitement de données −  Dès lors: pour un transfert vers les entreprises / organisa?ons cer?fiées: un niveau de protec?on adéquate −  Transmission transfrontalière de données ainsi légale ► base juridique: conven:on UE – Etats Unis et décision de la Commission européenne (2000) ► conven:on „parallèle“ Suisse – UE …
  34. 34. I. INTRODUCTION ► Faits: Schrems c. autorité de surveillance irlandaise, transmission transfrontalière de données vers les Etats-Unis par Facebook Ireland ► Ques:ons juridiques: −  Compétences de l‘autorité na?onale de surveillance −  Validité de la décision de la Commission −  Responsable du traitement ► Implica:ons pour la Suisse? −  Art. 25 D 95/46 et art. 6 LPD: parallélité
  35. 35. ​ II. L‘ARRÊT DE LA COUR DANS L‘AFF. C-362/14 1. Les compétences de l‘autorité na@onale de surveillance ► art. 25, 28 D 95/46: autorité na:onale de surveillance est aussi habilitée à examiner si un Etat :ers connaît un niveau de protec:on adéquate si une décision de la Commission a déjà constaté l‘existence d‘un tel niveau adéquat −  Niveau de protec?on élevée (art. 7, 8 de la Charte) −  Rôle important des autorités de surveillance et de leurs compétences très larges englobant aussi la transmission transfrontalière de données −  Compétence et décision de la Commission n’y change rien −  Toutefois: seule la CJUE compétente pour constater son invalidité, dès lors: obligatoire pour les Etats membres −  Mais: ques?on de l’examen une autre ques?on
  36. 36. ​ II. L‘ARRÊT DE LA COUR DANS L‘AFF. C-362/14 2. L‘invalida@on de la décision de la Commission ► safe harbor ne garan:t pas un niveau de protec:on adéquat −  Niveau de protec?on adéquat: «garan?e» et niveau comparable −  Garan?e de ce niveau par l’ordre juridique de l’Etat ?ers, aussi nécessité d’une applica?on effec?ve −  Obliga?on d’un examen de ces condi?ons par la Commission, réexamen à des intervals réguliers et s’il y a des raisons −  Examen stricte par la la CJUE (importance des art. 7, 8 Charte) −  «auto-cer?fica?on», pas de garan?e dans l’ordre juridique −  Compétences des services secrets et d’autres autorités, la sécurité na?onale etc. a ainsi une priorité générale, pas de protec?on juridique, pas de propor?onnalité, −  «noyau» des art. 7, 8 si possibilité généralisée de surveillance
  37. 37. ​ II. L‘ARRÊT DE LA COUR DANS L‘AFF. C-362/14 3. Implica@ons et apprécia@on ► transmission de données vers les Etats-Unis sur la base de safe harbor pas en conformité avec la D 95/46 ► quid du consentement, de BCR ou de clauses standards? ► nouvel accord? Comment? Extraterritorialité? ► exigences rela:vement strictes (ordre juridique na:onal, niveau de protec:on comparable, etc.) mais convaincantes ► importance des compétences des autorités na:onales de surveillance
  38. 38. ​ III. IMPLICATIONS POUR LA SUISSE ► Art. 25, 28 D et LPD: parallélité ► accords de Schengen et Dublin ► différentes prises de posi:on en Suisse (PFPDT, doctrine…) ► en défini:ve: aff. C-362/14 à respecter en principe
  39. 39. ​ IV. CONCLUSION ► importance de l‘arrêt de la Cour ► difficultés pra:ques ► mise en oeuvre et droits des par:culiers

×