Contenu connexe Similaire à Support de conférence - Webinar : Comprendre les enjeux liés à la protection des données personnelles (20) Support de conférence - Webinar : Comprendre les enjeux liés à la protection des données personnelles1. +
Une heure pour comprendre les enjeux liés à la protection des données personnelles Florence BONNET - 13 novembre 2014 2. +
AU SOMMAIRE
1- Dans quels cas doit-on appliquer la « loi informatique et libertés » ?
2- Quelles sont les règles à respecter ?
3- Pourquoi est-ce important ?
4- Que faut-il faire pour être en conformité avec la loi et se préparer à la réforme européenne?
2
© Copyright CIL Consulting 2014. Tous droits réservés 3. +
QUI SOMMES-NOUS ?
3
CIL Consulting est une société de conseil en protection des données personnelles créée en 2010. Elle accompagne les organisations souhaitant se mettre en conformité avec la réglementation :
Réalisation des formalités préalables auprès de la CNIL et mise en conformité
Audit de conformité des traitements de données personnelles
Accompagnement de projets innovants (étude d’impacts sur la vie privée, Privacy By Design …)
Formations / sensibilisation des décideurs et de leurs équipes
CIL Consulting est désigné comme Correspondant Informatique et libertés (CIL) pour des entreprises de tailles diverses (startups, groupes internationaux implantés en France).
Pour plus d’informations : www.protection-des-donnees.fr
Hapsis est un cabinet de conseil indépendant spécialisé dans le domaine de la gestion des risques et de la sécurité numérique.
Pour répondre aux préconisations de la CNIL, Hapsis a créé un parcours ludique et efficace pour accompagner les entreprises dans la sensibilisation de leurs collaborateurs en matière de protection des données à caractère personnel.
Cette campagne de sensibilisation couvre les thèmes suivants :
Risques liés au traitement de données à caractère personnel (DCP)
Traitement des DCP et des données sensibles
Cadre juridique de la protection des DCP
Obligations d'un responsable de traitement
Droits des personnes face aux traitements de leurs DCP
Protection des DCP au quotidien
Rôle du CIL et/ou du référent CNIL
Pour plus d’informations : www.hapsis.fr
© Copyright CIL Consulting 2014. Tous droits réservés 4. +
1- Dans quels cas doit-on appliquer la « loi informatique et libertés » ?
Cadre juridique européen et français: 2 textes principaux ….mais pas seulement
Directive 95/46/UE et Loi « informatique et libertés» (LIL) du 6 janvier 1978 modifiée en 2004
La loi s'applique :
-Aux traitements automatisés (informatiques) ou non (papier),
-De données à caractère personnel (DCP),
-Contenues ou appelées à figurer dans des fichiers
Traitement : toute opération ou tout ensemble d’opérations (ex. hébergement, collecte, transmission, l’interconnexion, analyse…) portant sur des DCP,
Données personnelles : informations qui permettent d’identifier directement, indirectement ou par recoupement une personne (ex. caractéristiques, comportement, données utilisées pour influencer le traitement ou l’évaluation d’une personne).
Fichier : ensemble structuré et stable (ex. dossiers indexés).
Qui? Responsable de traitement vs Sous-traitant
-Le responsable de traitement: celui qui détermine les finalités et les moyens du traitement
-Le sous-traitant: celui qui traite les DCP selon les instructions du responsable de traitement
Principe de territorialité: traitement relevant des activités exercées dans la cadre du principal établissement du responsable de traitement ou selon localisation des moyens de traitement
4
© Copyright CIL Consulting 2014. Tous droits réservés 5. +
2- Quelles sont les règles à respecter ?
Principe : Sauf dispense, il est obligatoire de notifier la CNIL AVANT la mise en oeuvre du traitement de DCP.
Déclaration préalable (simplifiées ou normales) pour les traitements les plus courants.
Ex. NS 48 clients et prospects
Sauf Correspondant Informatique et Libertés
Autorisation préalable (pour les traitements sensibles ou à risques).
Ex. transferts de données vers un pays tiers hors UE
Conséquences du non respect des formalités préalables :
-Passible de sanction par la CNIL,
-Illicéité du traitement :
Ex. La vente d’un fichier client non déclaré à la CNIL porte sur un objet illicite (Cass.25-06-13)
Ex. Licenciement invalidé car l’outil de contrôle de la messagerie de la salarié déclaré tardivement à la CNIL (Cass.08-10-14)
Les formalités préalables
Ex. ci-dessus : informations relatives aux mesures de sécurité d’une demande d’autorisation
5
© Copyright CIL Consulting 2014. Tous droits réservés 6. +
Les données sont collectées et traitées de manière LOYALE et LICITE (1/2)
Pas de traitement à l’insu des personnes.
−consentement de la personne,
−obligation légale,
−« intérêt légitime" du RT ou du destinataire,
−exécution d’un contrat,
−sauvegarde de la vie humaine,
−mission de service public
Le consentement :
Manifestation de volonté, sans ambigüité, libre, spécifique
L’intérêt légitime du RT:
Balance avec intérêts et droits fondamentaux des personnes,
Doit être analysé (ex. risques d’impacts/mesures de protection en place),
Pour prévaloir, il doit être proportionné et nécessaire
Les principes applicables aux traitements de données
Consentement:
Il ne peut être déduit de l’acceptation de CGU d’un site internet ;
Il faut 2 consentements distincts si finalités différentes : ex. enquête de satisfaction et prospection par un tiers. Intérêt légitime:
Détection de fraude ou blanchiment ;
Contrôle des salariés pour raison de sécurité ;
Recouvrement de créances ;
Publicité… Mais consentement exprès et préalable dans certains cas : Ex. Prospection via automates d’appel, courrier électronique, SMS ou MMS, sauf produits ou services analogues Ex. Données sensibles
Illustration
Vous êtes-vous assuré de la base légale de votre traitement?
Quid de la source des données?
2- Quelles sont les règles à respecter ?
6
© Copyright CIL Consulting 2014. Tous droits réservés 7. +
Les données sont collectées et traitées de manière LOYALE et LICITE (2/2)
Les données sensibles : interdiction de principe
Données qui font apparaître, directement ou indirectement :
–les origines raciales ou ethniques,
–les opinions politiques, philosophiques ou religieuses,
–ou l’appartenance syndicale des personnes,
–ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci.
Les principes applicables aux traitements de données
Exceptions prévues par la loi :
Ex. consentement exprès de la personne; données rendues publiques…cf.art.8
Exceptions prévues par la loi avec autorisation préalable de la CNIL :
Ex. traitements appelés à être anonymisés à bref délai
Etes-vous certain de ne pas traiter de données sensibles ?
2- Quelles sont les règles à respecter ?
7
© Copyright CIL Consulting 2014. Tous droits réservés 8. +
Les données sont collectées pour des FINALITES SPECIFIQUES, EXPLICITES et LEGITIMES,
Et elles ne sont pas traitées ultérieurement de manière incompatible avec ces finalités
Trois hypothèses :
1/ Compatibilité évidente,
2/ Compatibilité pas évidente-besoin d’une analyse cas/cas,
3/ Incompatibilité évidente.
Les principes applicables aux traitements de données
Ex. vidéosurveillance pour la sécurité – utilisé pour contrôle absences du salariés en croisant avec fichier des plaintes pour absence du poste de travail.
Ex. Traitement de profilage pour marketing direct / publicité comportementale : besoin du consentement spécifique de la personne.
Illustration: finalité spécifique
Comment savoir si la réutilisation des données est compatible avec la finalité initiale ?
2- Quelles sont les règles à respecter ?
8
© Copyright CIL Consulting 2014. Tous droits réservés 9. +
Proportionnalité : Les données sont ADEQUATES, PERTINENTES et NON EXCESSIVES au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.
Les données sont exactes, complètes et si nécessaire mises à jour.
Durée de conservation limitée à la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.
Les principes applicables aux traitements de données
Ex. 230 caméras pour 240 salariés - surveillance des toilettes et salles de pause. Ex. maintien de personnes dans le fichier FICP malgré régularisation arriérés de paiement. Ex. pas de conservation des données relatives à la CB au-delà du paiement effectif sauf exception:
−consentement préalable de la personne
−organisme soumis aux oblig.de lutte c/ le blanchiment
−lutte contre la fraude ( si intérêt légitime + autorisation)
Illustration
Qui s’assure de la mise à jour ? Comment ? Auprès de qui? Avez-vous déterminé une durée de conservation ?
2- Quelles sont les règles à respecter ?
9
© Copyright CIL Consulting 2014. Tous droits réservés 10. +
Information préalable des personnes concernées
Exceptions :
Personne déjà informée,
Impossible ou exige des efforts disproportionnés,
Disposition légale,
Anonymisation à bref délai.
Information préalable en cas d’utilisation de logiciels espions, de cookies ou de témoins de connexion (Article 32-II – LIL et Art.5 e-privacy)
Les droits des personnes
Droit d’accès,
Droit de rectification,
Droit d’opposition.
Réponse du responsable : 2 mois (8 j si données de santé)
Les principes applicables aux traitements de données
L’information est- elle :
complète ? Lisible ?
Visible ?
Quelle est la procédure en place ?
Qui ? Quand ? Comment ?
2- Quelles sont les règles à respecter ?
10
© Copyright CIL Consulting 2014. Tous droits réservés 11. +
Principe: interdiction
Exceptions :
Art.69 de la loi IL (interprétation stricte),
Consentement exprès de la personne,
Pays offrant un niveau de protection adéquat,
Safe Harbor,
Clauses Contractuelles signées entre les deux entreprises,
Règles internes d'entreprises (BCR).
N.B. Formalités préalables liées au traitement principal + formalités liées au transfert si nécessaire.
N.B. Information obligatoire et complète des personnes
Finalité
Données
Destinataire
Pays
Niveau de protection
Droits des personnes
Les transferts de données personnelles hors UE (1/2)
Source CNIL : http://www.cnil.fr/linstitution/international/les- autorites-de-controle-dans-le-monde/
Avez-vous vérifié la légalité de vos transferts de données vers vos sous-traitants (ex. cloud) ?
2- Quelles sont les règles à respecter ?
11
© Copyright CIL Consulting 2014. Tous droits réservés 12. +
Quel avenir pour l’accord de Safe Harbor ?
Quoi ?
Principes de protection des données publiés par le Département du Commerce américain (FTC) , auquel des entreprises établies aux USA adhèrent volontairement afin de pouvoir recevoir des DCP en provenance de l'UE.
Le constat,
L’effet Snowden,
La suspension de l’accord n’est pas exclue,
Enjeu principal: obtenir pour les Européens les mêmes droits aux Etats-Unis que les Américains en Europe.
Les transferts de données personnelles hors UE (2/2)
Avez-vous vérifié les garanties proposées par votre prestataire américain
2- Quelles sont les règles à respecter ?
12
© Copyright CIL Consulting 2014. Tous droits réservés 13. +
L’obligation de sécurité des données personnelles (1/2)
Art. 34 « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».
Maitriser les risques liées à: volume de DCP, sources multiples, environnement décentralisé et multi-canal, globalisation, multitude d’acteurs…
Sécurité logique, physique, organisationnelle
Disponibilité, Intégrité, Confidentialité, Auditabilité
Tout au long du cycle de vie des données
Prendre des mesures de sécurité, c’est bien, encore faut-il qu’elles soient adaptées et conformes à la loi,
Gare à la mauvaise gestion des mots de passe et aux flux non sécurisés,
Vous êtes responsables des failles dues aux défaillances techniques des solutions applicatives,
Vous devez veiller au respect des mesures de sécurité par vos sous-traitants.
Pour plus de détails
http://www.journaldunet.com/ebusiness/expert/58371/les-sanctions-prononcees-par-la-cnil-a- travers-le-prisme-de-la-securite.shtml
Que dit la CNIL dans ses mises en demeures et ses sanctions ?
« Il est indispensable qu’une entreprise française qui envisage de recourir au Cloud Computing réalise une analyse de risques ». Source CNIL
2- Quelles sont les règles à respecter ?
13
© Copyright CIL Consulting 2014. Tous droits réservés 14. +
Ex. énervement, interdiction bancaire, perte d’emploi, décès…
Ex. détournement de finalité du traitement, accès illégitime, altération des données…
2- Quelles sont les règles à respecter ?
L’obligation de sécurité des données personnelles (2/2)
14
© Copyright CIL Consulting 2014. Tous droits réservés 15. +
Art. 35
–Le responsable de traitement est responsable de la mise en oeuvre de mesures de protection des DCP par ses sous-traitants,
–Le sous-traitant agit sur « instruction du responsable de traitement»,
–Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en oeuvre des mesures de sécurité,
–Le contrat avec le sous-traitant comporte les obligations incombant au sous-traitant.
1.Choisir ses prestataires,
2.Déterminer si le prestataire est co- responsable ou sous-traitant. Faisceau d’indices cumulatifs (CNIL):
−Niveau d’instruction donné par le client,
−Degré de contrôle du client sur l’exécution de la prestation,
−Valeur ajoutée fournie par le prestataire sur le traitement des données,
−Degré de transparence du client sur le recours à un prestataire.
3.Cadre contractuel
En pratique que dit la CNIL?
N.B. « Le déséquilibre entre une petite entreprise et FAI ne peut justifier d’accepter des clauses contractuelles non conformes aux règles de protection des données » (G29)
« Les prestataires qui n’offrent pas les garanties essentielles dans leurs contrats et qui refusent toute négociation avec leurs clients potentiels ne devraient pas être sélectionnés » (CNIL)
2- Quelles sont les règles à respecter ?
La gestion des relations avec les sous-traitants
15
© Copyright CIL Consulting 2014. Tous droits réservés 16. +
Un enjeu de confiance
Pour l’adoption des nouvelles technologies par les individus
Vis-à-vis des entreprises
Une problématique internationale
Plus de 100 lois de protection des données et de la vie privée dans le monde (outre les lois sectorielles US)
Une faille ne connait pas de frontières - c’est une problématique locale et globale
Federal Communication Commission
October 24, 2014
Source: computerworld
3- Pourquoi est-ce important ?
Un enjeu de confiance et une problématique internationale
16
© Copyright CIL Consulting 2014. Tous droits réservés 17. +
Sanctions administratives
-Avertissement (public ou pas),
-Injonction de cesser le traitement,
-Retrait de l’autorisation,
-Amendes 150 K€-300 K€ si récidive (peuvent être rendues publiques)
Sanctions pénales
−5 ans d’emprisonnement et 300 K€ d’amende
N.B. Les agents de la DGCCRF sont habilités à constater les manquements à la loi informatique et libertés.
Conséquences
Un sujet à risque pour les entreprises
Conséquences pénales
Risque d’exploitation Interne et externe
Conséquences sur la profession
Page FB- gestion de crise
Image/ réputation
Economique
Financier
Social
pénal
3- Pourquoi est-ce important ?
17
© Copyright CIL Consulting 2014. Tous droits réservés 18. +
Objectifs du projet de règlement
Haut niveau de protection des droits fondamentaux des citoyens européens,
Uniformisation et simplification : 1 même texte, une autorité « lead », moins de formalités
Possible actes délégués de la commission (critères et exigences techniques).
Où en est-on ?
Vote du parlement,
Accord partiel du conseil des ministres,
Prochaine étape importante: 05/12 pour arriver à un accord sur le ‘one stop shop’ et sur le secteur public,
Objectif: adoption fin 2015,
Des dispositions déjà prises en compte dans les recommandations des régulateurs et de la commission UE.
Les grandes tendances :
Hausse des sanctions:
1 M € ou 100 M€ ?
2% ou 5% du C.A. ?
Responsabilisation des acteurs (y compris ss-tt):
Vers une co-régulation
Approche par les risques
Renforcement des droits des personnes
Transparence
3- Pourquoi est-ce important ?
Evolution de la réglementation européenne : objectif fin 2015 (1/4)
18
© Copyright CIL Consulting 2014. Tous droits réservés 19. +
Le principe d’ « accountability » (art.22 GDPR)
Quoi ? Mise en oeuvre de règles internes pour garantir et démontrer le respect du règlement
Qui ? Le responsable de traitement, le responsable « conjoint », le sous-traitant
Comment ?
Documentation obligatoire sur chaque traitement,
Audits,
Analyse d’impact relative à la protection des données (art.33): si risques élevés pour les droits et libertés – consultation de la CNIL s’il persiste des risques,
Art. 23: « Data protection by design »: par défaut et dès la conception,
-Traitement des seules données nécessaires,
-Collecte minimum,
-Durée de conservation limitée,
-Accès limité par défaut,
-Exigences supplémentaires par actes délégués.
Codes de conduites et Certifications
3- Pourquoi est-ce important ?
Evolution de la réglementation européenne : objectif fin 2015 (2/4)
19
© Copyright CIL Consulting 2014. Tous droits réservés 20. +
L’approche par les risques au coeur de la réforme
Mesures de sécurité prises « à la suite de l’évaluation des risques » art.30
Notification des violations de données personnelles
Du régulateur: sans retard, au plus tard dans les 72h ?
Le sous-traitant doit alerter le responsable
Communication à la personne concernée
Etude d’impact et notification des violations de données personnelles: seulement en cas de « risques élevés » ?
Risques « élevés » : discrimination, usurpation ID, fraude, perte financière, réputation, secret professionnel, faille de pseudonymes, préjudice social ou économique significatif.
Les traitements concernés :
-Profilage: si impact → interdit sauf consentement ou contrat ou loi,
-Traitement relatifs aux données sensibles, sur les enfants, aux données biométriques, données sur des condamnations ou des peines (si prise de décisions c/ attentes de la pers.)
-Contrôle d’espaces publics à large échelle, spécialement avec des systèmes optiques électroniques,
-Traitements à grande échelle,
-Cas jugés à risques par le régulateur national ,
Quoi ? Qui ?
Etes-vous prêt ?
3- Pourquoi est-ce important ?
Evolution de la réglementation européenne : objectif fin 2015 (3/4)
20
© Copyright CIL Consulting 2014. Tous droits réservés 21. +
Renforcement des droits des personnes
Applicabilité: y compris si offre de produits et services payants aux citoyens de l’UE ou profilage ou « tracking »,
Plus d’informations (cf. durée de conservation, origine des données, droit d’introduire une réclamation, logique du profilage),
Exercice des droits facilité cf. de manière électronique,
Nouvelles possibilités d’ester en justice pour les associations,
Portabilité des données,
Du droit à l’oubli au droit au déréférencement.
3- Pourquoi est-ce important ?
Evolution de la réglementation européenne : objectif fin 2015 (4/4)
21
© Copyright CIL Consulting 2014. Tous droits réservés 22. +
4- Que faut-il faire pour être en conformité avec la loi et se préparer à la réforme européenne?
Plan d’actions priorisées
Documentation
Sensibilisation et formation
Les différentes étapes
Amélioration
Rôles et responsabilités
Sensibilisation-Communication
Inventaire détaillé des traitements de DCP
Etat des formalités préalables
Evaluation des écarts de conformité par traitement
Recensement des mesures de sécurité
Classification des traitements à risques
Analyse des risques liés aux traitements à risques élevés
Vérification
Au-delà de la loi « informatique et libertés » :
•Projet de règlement/Texte voté par le parlement/Proposition du Conseil Européen
•Recommandations et jurisp. de la CNIL
•Recommandations de la commission UE
•Avis du G29
•Sécurité: Bonnes pratiques et état de l’art
•Recommandations de l’ANSSI
•Recommandations de l’ENISA
•Lois sectorielles…
22
© Copyright CIL Consulting 2014. Tous droits réservés 23. +
Le Correspondant Informatique et Libertés (CIL) / Data Protection Officer
4- Que faut-il faire pour être en conformité avec la loi et se préparer à la réforme européenne?
A quoi sert le CIL ?
-Traitements soumis à déclaration préalable selon article 22 de la loi I&L
-Mission
-Désignation partielle, générale ou étendue
Qui peut être CIL ? Interne, externe, mutualisé
Quel est l’intérêt de désigner un CIL ?
Le « Data protection Officer » ou Correspondant à la Protection des Données dans le projet de règlement UE
-A priori volontaire ou rendu obligatoire par la loi nationale
-Nouveau statut? compétences ?
-Une certitude: un élément clé dans la mise en place du principe d’ « Accountability ».
23
© Copyright CIL Consulting 2014. Tous droits réservés 24. +
Nouveaux business model, Nouveaux positionnements stratégiques
Gagnant-gagnant: Des données de meilleure qualité, plus de données, expérience utilisateur (client, salarié, patient)
Changer d’approche: « User-centric », « Customer empowerment», « Privacy By Design»
Démarche proactive – réforme UE
Nouvelles obligations
Marchés publics
Eviter la remise en cause coûteuse d’un projet non conforme
Préparation aux nouvelles certifications
Sensibilisation des personnes
Rejet de solutions intrusives ou « opaques »
Communiquer pour rassurer (cf. étude d’impact)
« Privacy is good for business », et certains l’ont compris…
Numerama – 7 novembre 2013
http://www.autoblog.com/2014/08/26/privacy- data-ford-connected-car-concern/
Conclusion: la protection des données, nouvel avantage concurrentiel?
24
© Copyright CIL Consulting 2014. Tous droits réservés 25. +
Florence BONNET – florence.bonnet@cil-consulting.com
@FlorenceBonnet
Merci de votre attention
www.cil-consulting.com
171 avenue Charles de Gaulle
2200 NEUILLY SUR SEINE
www.hapsis.fr
45 rue de la Chaussée d’Antin
75009 Paris
© Copyright CIL Consulting 2014. Tous droits réservés