• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Data privacy - Fabrice Naftalski
 

Data privacy - Fabrice Naftalski

on

  • 114 views

 

Statistics

Views

Total Views
114
Views on SlideShare
93
Embed Views
21

Actions

Likes
0
Downloads
5
Comments
0

2 Embeds 21

http://actuaires-bigdata.fr 20
http://www.slideee.com 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Data privacy - Fabrice Naftalski Data privacy - Fabrice Naftalski Presentation Transcript

    • Membre du réseau Ernst & Young Global Limited Cadre juridique de la Protection des données personnelles droit positif et futur règlement européen / éléments de droit comparé / Big Data et Cloud computing … Institut des Actuaires / le 24 avril 2014 Par Fabrice Naftalski, Avocat Associé
    • Page 1 © 2010 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Contraintes Dataprivacy Sommaire 1. Champs d’application et définition, rappel du cadre actuel en Europe et en France 2. Le projet de règlement européen 3. Eléments de droit comparé 4. Illustrations : cloud et big data Démarche d’audit « Protection des données personnelles »
    • Démarche informatique et libertésPage 2 © 2014 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Propos introductifs ► La réglementation des données à caractère personnel concerne toutes les sociétés établies en Europe ► En France : Loi n°78-17 du 6 janvier 1978 modifiée le 7 août 2004 afin de transposer la Directive européenne 95/46/CE (Loi « Informatique et Libertés ») ► Cette réglementation est d’ordre public dans les 28 pays européens ► En France, son respect est effectivement contrôlée par la CNIL (Commission Nationale Informatique et Libertés) ► Sa violation est sanctionnée par des sanctions pénales et financières ► Cette réglementation va se renforcer avec le projet de règlement sur la protection des données en cours de discussion à Bruxelles
    • © 2010 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Champs d’application et définition, rappel du cadre légal actuel en Europe et en France © 2009 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent.
    • Démarche informatique et libertésPage 4 © 2014 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Champ d’application de la loi ► Champ d’application géographique ► Entreprises établies en France ► Entreprises établies hors de l’Union européenne mais collectant des données personnelles au moyen d’équipements situés en France (ex : serveur d’hébergement) ► Champ d’application matériel ► Tous les traitements de données personnelles, manuels ou automatisés, se rattachant à une personne physique ► Ne sont pas concernés les fichiers mis en œuvre dans le cadre d’activités exclusivement personnelles (site Internet personnel, blog…)
    • Démarche informatique et libertésPage 5 © 2014 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Quelques définitions… ► Donnée personnelle : Toute information concernant une personne physique identifiée ou identifiable ► Traitement : Toute opération appliquée à des données personnelles telle que la collecte, l’enregistrement, ou la communication ► Personne concernée : Personne physique à laquelle se rapportent les données qui font l’objet d’un traitement ► Responsable de traitement : La personne physique ou morale qui décide des finalités et des moyens du traitement de données personnelles ► Finalité : But/objet du traitement (par exemple : gestion de la formation, gestion de la communication externe…)
    • Démarche informatique et libertésPage 6 © 2014 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Quelques définitions… ► Sous-traitant : Toute personne qui traite des données personnelles pour le compte du responsable de traitement ► Tiers : Toute personne autre que le responsable de traitement ou le sous-traitant ► Correspondant Informatique et Libertés (« CIL ») : La personne chargée d’assurer au sein de l’entreprise le respect des obligations prévues par la loi du 6 janvier 1978 dont la désignation a été notifiée à la CNIL ► Données sensibles : Données personnelles révélant les origines raciales ou ethniques, les opinions politiques, philosophiques, ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle de la personne concernée
    • Démarche informatique et libertésPage 7 © 2014 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Exigences actuelles basées sur directive 95/46 sur la protection des données personnelles Les grands principes de protection des données 1 2 Être obtenues pour une ou plusieurs finalitées déterminées et légitimes 3 Être adéquates, pertinentes et non excessives 4 Être exactes et tenues à jour 5 Ne pas être conservées plus longtemps que necessaire 6 Être traitées en conformité avec les droits de la personne identifiable 7 Être gardées en sécurité 8 Ne pas être transférées à des tiers en dehors de l’Espace économique européen (EEE), sauf conditions/garanties appropriées satisfaites Faire l’objet d’un traitement de données loyal et licite Bases légales // données sensibles Obligation d’Information Mesures de sécurité Formalités déclaratives Droits de la personne concernée Encadrement des transferts Les données personnelles traitées doivent:
    • Démarche informatique et libertésPage 8 © 2014 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Loi Informatique et Libertés : quelles obligations, quelles sanctions, quelles actions ? Vos obligations légales Vos risques Actions à mener Déclarer les traitements de données à caractère personnel (RH, fraude, clients, stock options …) après avoir vérifié la faisabilité du traitement (base légale, caractère proportionné des données collectées …) ► Risque d’image auprès des clients et employés ► Sanctions financières prises par la CNIL (jusqu’à 300 000 euros) è illustrations : ► 30 000 euros / Tyco Healthcare, ► 150 000 euros / Google ► 45 000 euros / LCL ► 20 000 euros /CA Centre France ► 30 000 euros / société Leclerc Arcydis (distribution) pour défaut de déclaration et d’information des clients sur le traitement des informations les concernant, et pour défaut de politique de rétention des données (effacement régulier des données) ► Sanctions pénales (jusqu’à 1,5 million d’euros d’amende et 5 ans d’emprisonnement) ► Dommages et intérêts ► Risques juridiques collatéraux (invalidation d’un licenciement..) ► Risque opérationnel : interruption/suspension/interdiction des traitements Recenser vos traitements et les déclarer (ou réaliser l’inventaire tenu par le CIL) après revue et/ou adaptation pour permettre leur faisabilité juridique, définition d’une stratégie déclarative appropriée pour de nouveaux traitements Informer les personnes concernées Rédiger les procédures d’information et d’accès Protéger les données personnelles (sécurité/confidentialité) Revoir ou rédiger les aspects sécurité des contrats de sous-traitance portant sur des données personnelles Effacer les données régulièrement (droit à l’oubli) / limiter leur durée de conservation Concevoir une politique de rétention prenant en compte les obligations de conservation limitée/ d’effacement des données Permettre aux personnes concernées d’exercer leur droit d’accès, d’opposition et de correction Encadrer les transferts de données en dehors de l’UE Sécuriser les transferts en dehors de l’Union Européenne Revoir ou mettre en place le dispositif interne d’organisation de la conformité Informatique et Libertés
    • © 2010 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Le projet de règlement européen © 2009 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent.
    • Démarche informatique et libertésPage 10 © 2014 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Le projet de règlement européen publié le 25 janvier 2012 et amendé en Octobre 2013 (texte de compromis) ► De nouvelles définitions (« données biométriques », « groupe d’entreprises » …) et de nouveaux concepts (« accountability », « minimisation des données » …) ► Application plus large des règles de l’UE (y compris dans certains cas pour des entreprises qui n’ont ni établissement ni serveurs en Europe) ► Notification des failles de sécurité étendue à toutes les entreprises ► Désignation d’une seule autorité nationale de la protection des données en Europe pour chaque organisation mais avec des pouvoirs limités, les autorités nationales conservant la plupart de leurs prérogatives ► Simplification des formalités déclaratives ► Renforcement des procédures de gestion de la conformité (PIA, audits, documentation associée, désignation d’un CIL si plus de 5000 données de personnes physiques sont traitées sur 12 mois consécutifs ou en cas de traitement de certain type de données comme les données sensibles, les données de localisation ou portant sur les enfants…) ► Renforcement des sanctions financières ► Reconnaissance et promotion des BCRs, aménagement du régime des transferts hors UE ► Un cadre juridique s’imposant aux sous-traitants ► Renforcement des droits des personnes (droit à l’oubli et à la portabilité des données, consentement, granularité renforcée de l’information à communiquer …) ► Promotion du label européen de protection des données (impact sur les sanctions et transferts hors UE)
    • © 2010 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Droit comparé
    • Démarche informatique et libertésPage 12 © 2014 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. La protection d’un droit fondamental en Europe / La protection du consommateur aux US Un cadre homogène en Europe / Des lois fédérales sectorielles et des lois étatiques aux US
    • © 2010 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Questions posées par le Cloud computing et Big data
    • Démarche informatique et libertésPage 14 © 2014 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. • Maîtriser les risques juridiques en matière de protection des données liés au recours à des solutions de Cloud Computing • Ménager la responsabilité des entreprises dans un contexte de traçabilité difficile des transferts de données. Risques et contraintes réglementaires ► Cloud Computing : hébergement des données sur différents serveurs, potentiellement chez différents sous-traitants et à différents moments • Incertitude sur le lieu d’hébergement des données • Or l’hébergement ou l’accès aux données depuis un pays situé en dehors de l’UE s’analyse comme un transfert de données personnelles à encadrer, sous peine de sanctions financières et pénales ► Obligations liées aux transferts de données à respecter : • Obligations déclaratives auprès de la CNIL • Obligations de sécurité • Obligations d’encadrer les transferts par des garanties appropriées ► Impacts du nouveau projet de règlement européen relatif à la protection des personnes physiques • Obligations d’ « accountability » • Obligations et responsabilité renforcées en matière de sécurité des données (+ notification des failles de sécurité) • Sanctions portées à 5% du CA mondial • Nouveaux outils de transferts 1 Points d’attention pour gérer ces risques 2 Bénéfices3 ► Evaluer ses risques en fonction de la nature des dispositifs de Cloud mis en œuvre ou en projet ► Définir une stratégie de conformité autour du Cloud: • Déterminer l’outil « déclaratif » et l’outil d’encadrement des transferts les plus appropriés • Porter une attention particulière à la rédaction du contrat « sous-traitant » • Anticiper sur la mise en œuvre à moyen terme du règlement européen • Communiquer sur les garanties renforcées entourant le Cloud pour la protection des données personnelles (environnement mieux disant?) ► Points aspects sécurité des données et cartographie des flux, référentiel sécurité à annexer aux contrats ► Réduire son degré d’exposition aux risques de non-conformité : • Risque d’image (Acadomia, Google ..) • Risque pénal (5 ans de prison/1,5 M d’euros) • Risque financier (jusqu’à 300 000 euros) ► Rassurer les parties prenantes sur la protection et la sécurité juridique des données qui sont gérées en mode Cloud en dehors de l’UE ► Encadrer le recours au Cloud computing pour limiter les risques tout en bénéficiant des avantages offerts par ces projets (flexibilité, coût …) Data Privacy et cloud computing
    • Démarche informatique et libertésPage 15 © 2014 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. DataÉmission Action utilisateur Comportement surf Localisation OPT-OUT Cookies Favoris Historique OPT-IN Comportements Auto-modération Big data : comment Contrôler ses propres traces « Notre liberté se bâtit sur ce qu’autrui ignore de nos existences. » Alexandre Soljenitsyne
    • Démarche informatique et libertésPage 16 © 2014 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. BIG DATA & DATA PRIVACY : des objectifs différents dont l’articulation peut être complexe ► BIG DATA vise à maximiser la valeur commerciale de la quantité d'informations disponibles dans une entreprise (par exemple, la vente de la suite de l'analyse de données à des tiers) ► BIG DATA vise à obtenir l'analyse des données résultant de la transformation de la quantité d'information disponible ► BIG DATA consiste à partir de données recueillies dans un contexte pour un but et réutilisés dans un autre contexte à des fins secondaires (souvent pas connues à l'étape de la collecte de données) ► Les Loi sur la protection des données visent à protéger tout traitement de données à caractère personnel effectué par une entité, y compris les flux d'information / communication à des tiers et le projet de règlement de l'UE va renforcer le niveau de contrainte pour la collecte de consentement ► La Loi sur la protection des données exige qu'aucune décision importante concernant une personne ne puisse être uniquement effectuée sur la base d'un traitement automatisé ► La Loi sur la protection des données permet le traitement de données uniquement à des fins légitimes et explicites spécifiques et accordent le droit aux individus d'être informés du traitement de leurs données personnelles (et à consentir dans certains cas) BIG DATA DATA PRIVACY
    • Démarche informatique et libertésPage 17 © 2014 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Bonnes et mauvaises pratiques DON’T DO Réutiliser des données personnelles sans informer la personne concernée (ou obtenir le consentement préalable si nécessaire) Transfert de données personnelles vers des pays tiers sans protection suffisante Divulguer des informations personnelles sur un site Web sans en informer les personnes concernées Utiliser des données anonymisées afin d’atténuer les risques liés à la vie privée Informer les personnes concernées par l’utilisation de données personnelles et collecter leur consentement si besoin Déposer le traitement de données auprès de l’autorité locale de protection des données
    • Page 18 © 2010 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Contraintes Dataprivacy Des questions? Fabrice Naftalski Avocat associé Correspondant Informatique et Libertés d’Ernst & Young France Expert legal EuroPrise Faculty Member of IAPP (International Association of Privacy Professionals) Tel : 33 1 55 61 10 05 fabrice.naftalski@ey-avocats.com