Le document traite de la protection des données personnelles face aux défis croissants des technologies modernes et des traitements de big data. Il souligne les lacunes de la loi informatique et libertés actuelle et présente les changements attendus avec le nouveau règlement européen, qui impose de nouvelles obligations de sécurité. Toutefois, il exprime des doutes sur l'efficacité réelle des mesures proposées pour protéger les données à l'ère numérique.

1. LES JEUDI DE L’AFAI
Protéger ses données – Mission
impossible ?
7 avril 2016
(c) Maître Isabelle Renard - www.irenard-avocat.com - 7 avril 2016
1

2. Le traitement de la donnée personnelle est omni
présent et en augmentation constante
 Objets connectés
 Conduite assistée
 « fidélisation » du client
 Profiling/géolocalisation/suggestions d’achat
 Contrôle des déplacements
….
(c) Maître Isabelle Renard - www.irenard-avocat.com - 7 avril 2016
2

3. Des finalités différentes, mais des technologies
communes
 Applications commerciales
 Applications administratives (faciliter la vie du citoyen)
 Applications régaliennes pour la protection de la
sécurité du territoire
(c) Maître Isabelle Renard - www.irenard-avocat.com - 7 avril 2016
3

4. Protection actuelle = Loi Informatique et Libertés
 Imbroglio d’obligations peu lisibles, non hiérarchisées,
assorties de sanctions irréalistes et inapplicables
(c) Maître Isabelle Renard - www.irenard-avocat.com - 7 avril 2016
4

5. Deux enjeux sont véritablement importants :
 La sécurité des Données
 Le contrôle des traitements big data
(c) Maître Isabelle Renard - www.irenard-avocat.com - 7 avril 2016
5

6. Sous l’empire de la Loi Informatique et Libertés
actuelle
 Obligation de sécurité :
Reste un « concept » dépourvu de mise en application et
de méthode, malgré les efforts de la CNIL (Privacy Impact
Assessment – démarche/outillage – Juin 2015)
(c) Maître Isabelle Renard - www.irenard-avocat.com - 7 avril 2016
6

7. Sous l’empire de la Loi Informatique et Libertés
actuelle
Le traitement du big data est par construction illégal :
 L’interconnexion de données est soumise à autorisation
de la CNIL
 Le client n’est en pratique jamais informé du traitement
(c) Maître Isabelle Renard - www.irenard-avocat.com - 7 avril 2016
7

8. Ce qui va changer avec le règlement européen
 Le projet de règlement est quasiment finalisé
 Sera adopté premier semestre 2016
 Entrera en vigueur deux ans après
 C’est un règlement et non une directive : SERA
DIRECTEMENT APPLICABLE DANS TOUS LES ETATS MEMBRES
(c) Maître Isabelle Renard - www.irenard-avocat.com - 7 avril 2016
8

9. Ce qui va changer avec le règlement européen
 La fin des déclarations
 Principe d’accountability = le responsable du traitement
doit « rendre des comptes » sur les mesures mises en
place
(c) Maître Isabelle Renard - www.irenard-avocat.com - 7 avril 2016
9

10. REGLE DE : « PRIVACY BY DESIGN »
 Tout équipement technologique devra être conçu dès le
départ pour protéger de façon satisfaisante les données
personnelles
(c) Maître Isabelle Renard - www.irenard-avocat.com - 7 avril 2016
10

11. EVALUATION DU RISQUE
 Le responsable du traitement doit évaluer les risques
 Et mettre en place les mesures proportionnées
(c) Maître Isabelle Renard - www.irenard-avocat.com - 7 avril 2016
11

12. Traitement à « haut risque » : ETUDE D’IMPACT
OBLIGATOIRE
 Traitement à haut risque = nouvelles technologies, profiling,
etc. – Liste définie par autorité locale de protection (CNIL)
 ETUDE D’IMPACT OBLIGATOIRE
 La CNIL pourra mettre son veto si elle considère que les
précautions suffisantes ne sont pas prises (procédure
beaucoup plus différenciée que l’actuelle autorisation)
(c) Maître Isabelle Renard - www.irenard-avocat.com - 7 avril 2016
12

13. Une solution de place : le CODE DE CONDUITE
 Les acteurs représentatifs d’un secteur d’activité
pourront élaborer des codes de conduite
 Les codes de conduite seront soumis à la CNIL puis
publiés
 Adhésion sur une base volontaire
 Vérification de conformité par des organismes
indépendants accrédités par la CNIL
(c) Maître Isabelle Renard - www.irenard-avocat.com - 7 avril 2016
13

14. Encore mieux : LE LABEL
 Le règlement encourage la création de labels
 La conformité au label sera garantie par une entreprise
accréditée
(c) Maître Isabelle Renard - www.irenard-avocat.com - 7 avril 2016
14

15. Ce qui va changer d’autre avec le règlement
européen
 La co-responsabilité de tous les acteurs chacun dans
leur domaine d’intervention
 Notification des failles de sécurité pour tous !
 Obligation renforcée d’information des personnes
(c) Maître Isabelle Renard - www.irenard-avocat.com - 7 avril 2016
15

16. Ce qui va changer d’autre avec le règlement
européen (suite)
 Des amendes DISSUASIVES
20 M€, ou 4% du CA …
(c) Maître Isabelle Renard - www.irenard-avocat.com - 7 avril 2016
16

17. MAIS …
Tout ceci sera-t-il réellement efficace ?
(c) Maître Isabelle Renard - www.irenard-avocat.com - 7 avril 2016
17

18. On peut en douter …
 « Le bouclier est-il la réponse au problème de
protections des données ? »
lesechos.fr – 23/02/2016
La mise en place du « privacy shield » en remplacement
de feu « safe harbor » ne changera rien au fond du
problème…
(c) Maître Isabelle Renard - www.irenard-avocat.com - 7 avril 2016
18

19. On peut en douter …
 « Protection des données personnelles vs sécurité
publique – le grand écart »
novethic.fr – 08/03/2016
L’exigence de «sécurité publique » ruine le concept du
« privacy by design » - par exemple cryptage des
données sur les smartphones – cf bras de fer APPLE / Gvt
US
(c) Maître Isabelle Renard - www.irenard-avocat.com - 7 avril 2016
19

20. On peut en douter …
 « Ville intelligente – ne pas négliger les enjeux éthiques »
directioninformatique.com – 29/02/2016
Impacts d’un problème de sécurité des services urbains
« intelligents » sur la vie privée des habitants ?
(c) Maître Isabelle Renard - www.irenard-avocat.com - 7 avril 2016
20

21. On peut en douter …
 « Les données sensibles partagées trop librement dans le
cloud »
cio-online.com – 29/02/2016
Etude Elastica Cloud /Blue Coat
Un fichier sur 10 partagé dans le cloud contient des
données sensibles réglementées (mauvaise gestion ds
consignec de sécurité par les utilisateurs)
(c) Maître Isabelle Renard - www.irenard-avocat.com - 7 avril 2016
21

22. On peut en douter …
 « Trop de données personnelles»
journaldemontreal.com – 16/03/2016
Prévient contre les dangers de la prise de décision
arbitraire sur la base de profiling big data dont les
consommateurs n’ont aucune conscience
(c) Maître Isabelle Renard - www.irenard-avocat.com - 7 avril 2016
22

23. On peut en douter …
 « Adobe lance une coopérative de données
personnelles pour vous tracer partout»
numerama.com – 23/03/2016
Permet aux annonceurs de proposer des publicité ciblées
sur l’ensemble des équipements informatiques des
utilisateurs quelle que soit la marque – incertitude sur la
sécurité des DP
(c) Maître Isabelle Renard - www.irenard-avocat.com - 7 avril 2016
23

24. En résumé
Une législation européenne plus efficace et plus adaptée
MAIS :
 En pratique incapable d’endiguer le mouvement massif
d’utilisation des DP à des fins commerciales (enjeux
financiers puissants)
 Par définition incapable d’empêcher l’accès aux
données par les gouvernements (enjeux sécuritaires –
mais quid si utilisé dans contexte non démocratique ?)
(c) Maître Isabelle Renard - www.irenard-avocat.com - 7 avril 2016
24

25. Alors que faire ?????
 Face au manque d’efficacité des instruments juridiques
 Face à la difficulté de lutter contre les opérations régaliennes
C’est à chacun, dans sa sphère privée, de recouvrer
un peu de bon sens et de refuser la facilité des
applications « gadget »
Car « Science sans conscience n’est que ruine de l’âme »…
(c) Maître Isabelle Renard - www.irenard-avocat.com - 7 avril 2016
25

26. Merci de votre attention ….
(c) Maître Isabelle Renard - www.irenard-avocat.com - 7 avril 2016
26