Weitere ähnliche Inhalte Ähnlich wie Data privacy - Fabrice Naftalski (20) Data privacy - Fabrice Naftalski1. Membre du réseau Ernst & Young Global Limited
Cadre juridique de la Protection des
données personnelles
droit positif et futur règlement européen /
éléments de droit comparé / Big Data et Cloud
computing …
Institut des Actuaires / le 24 avril 2014
Par Fabrice Naftalski, Avocat Associé
2. Page 1
© 2010 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ».
Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent.
Contraintes Dataprivacy
Sommaire
1. Champs d’application et définition, rappel du
cadre actuel en Europe et en France
2. Le projet de règlement européen
3. Eléments de droit comparé
4. Illustrations : cloud et big data
Démarche d’audit « Protection des
données personnelles »
3. Démarche informatique et libertésPage 2
© 2014 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ».
Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent.
Propos introductifs
► La réglementation des données à caractère personnel concerne toutes les
sociétés établies en Europe
► En France : Loi n°78-17 du 6 janvier 1978 modifiée le 7 août 2004 afin de transposer
la Directive européenne 95/46/CE (Loi « Informatique et Libertés »)
► Cette réglementation est d’ordre public dans les 28 pays européens
► En France, son respect est effectivement contrôlée par la CNIL (Commission
Nationale Informatique et Libertés)
► Sa violation est sanctionnée par des sanctions pénales et financières
► Cette réglementation va se renforcer avec le projet de règlement sur la
protection des données en cours de discussion à Bruxelles
4. © 2010 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ».
Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent.
Champs d’application et définition, rappel du cadre légal
actuel en Europe et en France
© 2009 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ».
Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent.
5. Démarche informatique et libertésPage 4
© 2014 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ».
Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent.
Champ d’application de la loi
► Champ d’application géographique
► Entreprises établies en France
► Entreprises établies hors de l’Union européenne mais collectant des
données personnelles au moyen d’équipements situés en France (ex :
serveur d’hébergement)
► Champ d’application matériel
► Tous les traitements de données personnelles, manuels ou automatisés, se
rattachant à une personne physique
► Ne sont pas concernés les fichiers mis en œuvre dans le cadre d’activités
exclusivement personnelles (site Internet personnel, blog…)
6. Démarche informatique et libertésPage 5
© 2014 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ».
Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent.
Quelques définitions…
► Donnée personnelle :
Toute information concernant une personne physique identifiée ou identifiable
► Traitement :
Toute opération appliquée à des données personnelles telle que la collecte,
l’enregistrement, ou la communication
► Personne concernée :
Personne physique à laquelle se rapportent les données qui font l’objet d’un
traitement
► Responsable de traitement :
La personne physique ou morale qui décide des finalités et des moyens du
traitement de données personnelles
► Finalité :
But/objet du traitement (par exemple : gestion de la formation, gestion de la
communication externe…)
7. Démarche informatique et libertésPage 6
© 2014 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ».
Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent.
Quelques définitions…
► Sous-traitant :
Toute personne qui traite des données personnelles pour le compte du
responsable de traitement
► Tiers :
Toute personne autre que le responsable de traitement ou le sous-traitant
► Correspondant Informatique et Libertés (« CIL ») :
La personne chargée d’assurer au sein de l’entreprise le respect des
obligations prévues par la loi du 6 janvier 1978 dont la désignation a été
notifiée à la CNIL
► Données sensibles :
Données personnelles révélant les origines raciales ou ethniques, les opinions
politiques, philosophiques, ou religieuses, l’appartenance syndicale, la santé
ou la vie sexuelle de la personne concernée
8. Démarche informatique et libertésPage 7
© 2014 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ».
Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent.
Exigences actuelles basées sur directive 95/46 sur la protection des
données personnelles
Les grands principes de protection des données
1
2
Être obtenues pour une ou plusieurs finalitées déterminées et
légitimes
3
Être adéquates, pertinentes et non excessives
4
Être exactes et tenues à jour
5
Ne pas être conservées plus longtemps que necessaire
6
Être traitées en conformité avec les droits de la personne
identifiable
7
Être gardées en sécurité
8
Ne pas être transférées à des tiers en dehors de l’Espace
économique européen (EEE), sauf conditions/garanties
appropriées satisfaites
Faire l’objet d’un traitement de données loyal et licite
Bases légales
// données
sensibles
Obligation
d’Information
Mesures de
sécurité
Formalités
déclaratives
Droits de la
personne
concernée
Encadrement des
transferts
Les données personnelles traitées doivent:
9. Démarche informatique et libertésPage 8
© 2014 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ».
Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent.
Loi Informatique et Libertés : quelles obligations,
quelles sanctions, quelles actions ?
Vos obligations légales Vos risques Actions à mener
Déclarer les traitements de
données à caractère personnel
(RH, fraude, clients, stock
options …) après avoir vérifié la
faisabilité du traitement (base
légale, caractère proportionné
des données collectées …)
► Risque d’image auprès des clients et
employés
► Sanctions financières prises par la CNIL
(jusqu’à 300 000 euros) è illustrations :
► 30 000 euros / Tyco Healthcare,
► 150 000 euros / Google
► 45 000 euros / LCL
► 20 000 euros /CA Centre France
► 30 000 euros / société Leclerc Arcydis
(distribution) pour défaut de
déclaration et d’information des clients
sur le traitement des informations les
concernant, et pour défaut de politique
de rétention des données (effacement
régulier des données)
► Sanctions pénales (jusqu’à 1,5 million
d’euros d’amende et 5 ans
d’emprisonnement)
► Dommages et intérêts
► Risques juridiques collatéraux
(invalidation d’un licenciement..)
► Risque opérationnel :
interruption/suspension/interdiction des
traitements
Recenser vos traitements et les
déclarer (ou réaliser l’inventaire tenu
par le CIL) après revue et/ou
adaptation pour permettre leur
faisabilité juridique, définition d’une
stratégie déclarative appropriée pour
de nouveaux traitements
Informer les personnes
concernées
Rédiger les procédures d’information
et d’accès
Protéger les données
personnelles
(sécurité/confidentialité)
Revoir ou rédiger les aspects sécurité
des contrats de sous-traitance portant
sur des données personnelles
Effacer les données
régulièrement (droit à l’oubli) /
limiter leur durée de conservation
Concevoir une politique de rétention
prenant en compte les obligations de
conservation limitée/ d’effacement des
données
Permettre aux personnes
concernées d’exercer leur droit
d’accès, d’opposition et de
correction
Encadrer les transferts de données en
dehors de l’UE
Sécuriser les transferts en
dehors de l’Union Européenne
Revoir ou mettre en place le dispositif
interne d’organisation de la conformité
Informatique et Libertés
10. © 2010 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ».
Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent.
Le projet de règlement européen
© 2009 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ».
Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent.
11. Démarche informatique et libertésPage 10
© 2014 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ».
Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent.
Le projet de règlement européen publié le 25 janvier 2012
et amendé en Octobre 2013 (texte de compromis)
► De nouvelles définitions (« données biométriques », « groupe d’entreprises » …) et de nouveaux
concepts (« accountability », « minimisation des données » …)
► Application plus large des règles de l’UE (y compris dans certains cas pour des entreprises qui n’ont ni
établissement ni serveurs en Europe)
► Notification des failles de sécurité étendue à toutes les entreprises
► Désignation d’une seule autorité nationale de la protection des données en Europe pour chaque
organisation mais avec des pouvoirs limités, les autorités nationales conservant la plupart de leurs
prérogatives
► Simplification des formalités déclaratives
► Renforcement des procédures de gestion de la conformité (PIA, audits, documentation associée,
désignation d’un CIL si plus de 5000 données de personnes physiques sont traitées sur 12 mois
consécutifs ou en cas de traitement de certain type de données comme les données sensibles, les
données de localisation ou portant sur les enfants…)
► Renforcement des sanctions financières
► Reconnaissance et promotion des BCRs, aménagement du régime des transferts hors UE
► Un cadre juridique s’imposant aux sous-traitants
► Renforcement des droits des personnes (droit à l’oubli et à la portabilité des données, consentement,
granularité renforcée de l’information à communiquer …)
► Promotion du label européen de protection des données (impact sur les sanctions et transferts hors
UE)
12. © 2010 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ».
Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent.
Droit comparé
13. Démarche informatique et libertésPage 12
© 2014 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ».
Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent.
La protection d’un droit fondamental en Europe / La protection du consommateur aux US
Un cadre homogène en Europe / Des lois fédérales sectorielles et des lois étatiques aux US
14. © 2010 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ».
Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent.
Questions posées par le Cloud computing et Big data
15. Démarche informatique et libertésPage 14
© 2014 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ».
Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent.
• Maîtriser les risques juridiques en matière de protection des données liés au recours à des solutions de Cloud Computing
• Ménager la responsabilité des entreprises dans un contexte de traçabilité difficile des transferts de données.
Risques et contraintes
réglementaires
► Cloud Computing : hébergement des données sur
différents serveurs, potentiellement chez différents
sous-traitants et à différents moments
• Incertitude sur le lieu d’hébergement des données
• Or l’hébergement ou l’accès aux données depuis
un pays situé en dehors de l’UE s’analyse comme
un transfert de données personnelles à encadrer,
sous peine de sanctions financières et pénales
► Obligations liées aux transferts de données à
respecter :
• Obligations déclaratives auprès de la CNIL
• Obligations de sécurité
• Obligations d’encadrer les transferts par des
garanties appropriées
► Impacts du nouveau projet de règlement européen
relatif à la protection des personnes physiques
• Obligations d’ « accountability »
• Obligations et responsabilité renforcées en
matière de sécurité des données (+ notification
des failles de sécurité)
• Sanctions portées à 5% du CA mondial
• Nouveaux outils de transferts
1
Points d’attention pour
gérer ces risques
2 Bénéfices3
► Evaluer ses risques en fonction de la
nature des dispositifs de Cloud mis en
œuvre ou en projet
► Définir une stratégie de conformité
autour du Cloud:
• Déterminer l’outil « déclaratif » et l’outil
d’encadrement des transferts les plus
appropriés
• Porter une attention particulière à la
rédaction du contrat « sous-traitant »
• Anticiper sur la mise en œuvre à
moyen terme du règlement européen
• Communiquer sur les garanties
renforcées entourant le Cloud pour la
protection des données personnelles
(environnement mieux disant?)
► Points aspects sécurité des données
et cartographie des flux, référentiel
sécurité à annexer aux contrats
► Réduire son degré d’exposition aux
risques de non-conformité :
• Risque d’image (Acadomia,
Google ..)
• Risque pénal (5 ans de prison/1,5
M d’euros)
• Risque financier (jusqu’à 300 000
euros)
► Rassurer les parties prenantes sur la
protection et la sécurité juridique des
données qui sont gérées en mode
Cloud en dehors de l’UE
► Encadrer le recours au Cloud
computing pour limiter les risques tout
en bénéficiant des avantages offerts
par ces projets (flexibilité, coût …)
Data Privacy et cloud computing
16. Démarche informatique et libertésPage 15
© 2014 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ».
Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent.
DataÉmission Action utilisateur
Comportement surf
Localisation
OPT-OUT
Cookies
Favoris
Historique
OPT-IN
Comportements
Auto-modération
Big data : comment Contrôler ses propres traces
« Notre liberté se bâtit
sur ce qu’autrui ignore de nos existences. »
Alexandre Soljenitsyne
17. Démarche informatique et libertésPage 16
© 2014 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ».
Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent.
BIG DATA & DATA PRIVACY : des objectifs différents
dont l’articulation peut être complexe
► BIG DATA vise à maximiser la valeur
commerciale de la quantité d'informations
disponibles dans une entreprise (par exemple,
la vente de la suite de l'analyse de données à
des tiers)
► BIG DATA vise à obtenir l'analyse des données
résultant de la transformation de la quantité
d'information disponible
► BIG DATA consiste à partir de données
recueillies dans un contexte pour un but et
réutilisés dans un autre contexte à des fins
secondaires (souvent pas connues à l'étape de
la collecte de données)
► Les Loi sur la protection des données visent à
protéger tout traitement de données à caractère
personnel effectué par une entité, y compris les
flux d'information / communication à des tiers et le
projet de règlement de l'UE va renforcer le niveau
de contrainte pour la collecte de consentement
► La Loi sur la protection des données exige
qu'aucune décision importante concernant une
personne ne puisse être uniquement effectuée
sur la base d'un traitement automatisé
► La Loi sur la protection des données permet le
traitement de données uniquement à des fins
légitimes et explicites spécifiques et accordent le
droit aux individus d'être informés du traitement
de leurs données personnelles (et à consentir
dans certains cas)
BIG DATA DATA PRIVACY
18. Démarche informatique et libertésPage 17
© 2014 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ».
Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent.
Bonnes et mauvaises pratiques
DON’T DO
Réutiliser des données
personnelles sans
informer la personne
concernée (ou obtenir le
consentement préalable
si nécessaire)
Transfert de données
personnelles vers des
pays tiers sans
protection suffisante
Divulguer des
informations
personnelles sur un site
Web sans en informer
les personnes
concernées
Utiliser des données
anonymisées afin
d’atténuer les risques
liés à la vie privée
Informer les personnes
concernées par
l’utilisation de données
personnelles et collecter
leur consentement si
besoin
Déposer le traitement
de données auprès de
l’autorité locale de
protection des données
19. Page 18
© 2010 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ».
Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent.
Contraintes Dataprivacy
Des questions?
Fabrice Naftalski
Avocat associé
Correspondant Informatique et Libertés d’Ernst & Young
France
Expert legal EuroPrise
Faculty Member of IAPP (International Association of Privacy
Professionals)
Tel : 33 1 55 61 10 05
fabrice.naftalski@ey-avocats.com