Présentations dans le cadre de la Journée de la Protection des Données 2016 - Sur le thème: Cloud Computing : comment protéger les données personnelles après la décision Safe-Harbor Organisé par : Le Préposé fédéral à la protection des données et à la transparence (PFPDT), ThinkServices, et l'IDHEAP

2. Digital Responsibility
«See What you sign !»
Restaurer la confiance à l'ère du
numérique !
Présenté par Pascal Ko)é

7. Restaurer la confiance à l'ère du
numérique !
«See What you sign !»
Digital Responsibility

8. Open Label
• Déclaré par les prestataires de systèmes et
de services
• Placé sous la sauvegarde de tous:
Crowdsourcing
• Transparent et évolu?f
• Economique et crédible
• Ouvert et tolérant
• Adapta?f et graduel

9. Etape 1: Le fournisseur s’engage (inten:ons)

10. Etape 2: La foule valide
• Réversibilité: Les données sont-elles répliquées en local
dans un format «ouvert» ?
• Les données restent-elles ma propriété exclusive ?
• Fort juridique: Les condi:ons d’usage,
sont-elles appliquées sur le pays des u:lisateurs ?
• …
AUTRES SOLUTIONS

11. Merci !
- au par?cipant réguliers
- Occasionnels
A ceux qui nous suivent
- de loin
- Ou de près ;-)
(CC)-BY-SA
2016
à ceux qui vont nous soutenir
Nous aider à nous faire
connaître
Et à lancer un
«Crowdfunding» (?)
hSp://
Responsibility.Digital
Pascal KOTTÉ (CloudReady.ch et ICT-a.ch)
Bruno CHANEL (BrunoChanel.com)
Jean-Henry MORIN (UNIGE, ThinkServices)
Anne-Catherine SALBERG (Conflits.ch,
ThinkServices)
Jörn Erbguth (ergbuth.net)
Patrick GENOUD (OT-LAB, ThinkServices)
Réginald MAITRE (Oxano)
MaSeo Mazzeri (tuleap)
Raymond MOREL (Social-IN3, S-I)
Giorgio PAULETTO (OT-LAB, SIG, ThinkServices)
Arnaud VELTEN (Digital-athanor.com)
Marie-Elisabeth BOURY (Académie Digitale)
Caroline Janet Caldwell
Sami COLL
Nicolas Duguet
Adrien FRAVI
André Kortmoller
Cathleen KoSé (Leenk.fr)
Verena MEINE ( See what you Sign !)
Sabrina Nwatchock
Mikhaël Salamin
Philippe SCOFFONI (Open-DSI)
Nicolas Tavaglione
Yves ZIEBA (Pangloss labs)
… [désolé pour les oublis] …

12. digital-athanor.com
Arnaud VELTEN
Merci !
- au par?cipant réguliers
- Occasionnels
Ceux qui nous suivent
- de loin
- Ou de près ;-)
hSp://Responsibility.Digital

13. Une approche
pour l’auto-évaluation
des communes et des PME
eGov Innovation Center
C/O HES-SO Valais-Wallis
Techno-Pôle 3 – 3960 Sierre
info@egovinnovation.ch

14. • Présenta?on de l’étude
• Auto-évalua?on
• Conclusion
Agenda
14

15. eGov Innova?on Center
15
Membres actuels
HES-SO Valais
HES-SO Fribourg (EIAFR)
HES-SO Vaud (EESP)
HES-SO Genève (HEG-GE)
Etat du Valais
Etat de Fribourg
Etat de Vaud
Entreprise Cimark
O. Glassey, IDHEAP UNIL
Groupe T2I
Sofcom
Neurones
E-Xpert Solu?ons
i-Web
Un centre au service de la digitalisa:on de l’Etat et des Communes, fondé en
octobre 2013

16. Référent neutre eGov auprès du public et para-public
– Recommanda?ons et meilleures pra?ques, accompagnement à la
standardisa?on ou à la cer?fica?on
– Mise en réseau des acteurs, facilitateur, transfert de compétences
– Organisa?on de manifesta?ons, congrès, colloques, ateliers et journées
de forma?on
– Veille et analyse des ini?a?ves locales ou na?onales
– Informa?ons générales, publica?ons
– Encouragement et promo?on de l’innova?on dans la
cyberadministra?on
Presta?ons
16

17. • Nicolas Pikeloud, MAP-SI Conseil
• Adriano Labate, Groupe T2I
• Sébas?en Fan?
• Olivier Glassey
Equipe
17

18. • Modèle de maturité
• Ques?onnaire en ligne
• Généra?on de représenta?ons graphiques
«boussoles» (similaire à l’approche SmartVote)
Auto-évalua?on
18

19. Référen?els approchant la gouvernance des données
• COBIT: stratégie IT
• ARMA: ges?on documentaire
• ISO 27000: sécurité de l’informa?on
• IBM Data Governance, Microsof, Ernst & Young, etc.
Modèles de maturité
19

20. Processus de ges?on couverts par ces modèles
• Transparence
• Conformité
• Propriété, responsabilité
• Accès, partage, contrôle, «minimisa?on»
• Qualité: intégrité, efficacité, disponibilité, fiabilité, etc.
• Ges?on du cycle de vie
Modèles de maturité
20

21. Modèles de maturité
21

22. Ques?onnaire
22
Dimension Indicateur général Indicateur spécifique
POLITIQUE DE
l'ORGANISATION
Cadre stratégique Environnement de contrôle: gestion de l'organisation,
style de direction, structure organisationnelle,
politique du personnel.
Situation générale en matière de gouvernance des
données
Stratégie en matière de gouvernance des données
Situation en matière de gestion du risque lié aux
données
La politique de l'organisation est préventive plutôt
que réactive
Instance responsable en matière de gestion de
l'information / définition d'un maître de fichier
Politique de sécurité Externalisation du traitement de données (sous-
traitants)
Mesures de protection des données traitées.
Droits d'accès des employés
Directives d'accès au réseau avec des appareils
personnels, d'utilisation d'internet au travail (y.c.
réseaux sociaux), d'utilisation du téléphone portable
remis à usage professionnel.
CONFORMITÉ Application de la
législation
Conformité avec législations en vigeur (LPD, Ltrans,
LIPDA).
Reconnaissance de la conformité

23. Ques?onnaire
23
hkps://fr.surveymonkey.com/r/gouvernancedonnees

24. • Ques?onnaire actuel des?né aux communes, à adapter pour
les PME non-soumises à la LTrans
• Généra?on manuelle des résultats, à automa?ser si intérêt
• Poten?ellement ou?l de benchmarking pour les communes /
de pilotage pour les préposés
Conclusion
24

25. enquête ouverte
#mesdonnees
rts.ch/mesdonnees

26. www.rts.ch/la-1ere/programmes/on-en-parle/6813759.html#?meline-anchor-12+janvier+2016

28. Bilan
Réponse claire pour les ins?tu?ons locales
+ difficile pour les GAFA :)

30. Les communes vendent vos
données!
Les communes vendent vos données
certaines le font gracieusement
elles transmekent à la fonda?on BVA (bureau vaudois des adresses)
qui transmet envoie sous contrat de la pub ciblée (BCV nouveau né)

31. Les entreprises vous
segmentent
CFF
Migros

34. Données téléchargeables,
mais usage inconnu

35. Données envoyées,
mais en ligne de code!

36. CD crypté d’Amazon

37. Lekre de Doodle

38. Entreprises ne répondent pas

39. Ques?ons ouvertes
Citoyen n’a pas accès (ex. Microsok)
Pas moyen de connaître l’usage de nos données
aux poli:ques d’agir?

40. • 25 novembre 2015
– L’ARRÊT «SAFE HARBOR» DE LA CJUE (AFF.
C-362/14)
– ET SES IMPLICATIONS POUR LA SUISSE
Prof. Astrid Epiney
InsDtut für Europarecht der Universität Freiburg
InsDtut de droit européen de l’Université de Fribourg

41. I. Introduc?on
II. L’arrêt de la Cour dans l’aff. 362/14
III. Les implica?ons pour la Suisse
IV. Conclusion

42. ​ I. INTRODUCTION
► Les principes safe harbor
− Les Etats-Unis: pas de législa?on adéquate
− Auto-cer?fica?on d‘entreprises / d‘organisa?ons et obliga?on de respecter certains principes de
traitement de données
− Dès lors: pour un transfert vers les entreprises / organisa?ons cer?fiées: un niveau de protec?on
adéquate
− Transmission transfrontalière de données ainsi légale
► base juridique: conven:on UE – Etats Unis et décision de la Commission européenne (2000)
► conven:on „parallèle“ Suisse – UE
…

43. I. INTRODUCTION
► Faits: Schrems c. autorité de surveillance irlandaise, transmission
transfrontalière de données vers les Etats-Unis par Facebook Ireland
► Ques:ons juridiques:
− Compétences de l‘autorité na?onale de surveillance
− Validité de la décision de la Commission
− Responsable du traitement
► Implica:ons pour la Suisse?
− Art. 25 D 95/46 et art. 6 LPD: parallélité

44. ​ II. L‘ARRÊT DE LA COUR DANS L‘AFF. C-362/14
1. Les compétences de l‘autorité na@onale de surveillance
► art. 25, 28 D 95/46: autorité na:onale de surveillance est aussi habilitée à
examiner si un Etat :ers connaît un niveau de protec:on adéquate si une
décision de la Commission a déjà constaté l‘existence d‘un tel niveau
adéquat
− Niveau de protec?on élevée (art. 7, 8 de la Charte)
− Rôle important des autorités de surveillance et de leurs compétences
très larges englobant aussi la transmission transfrontalière de données
− Compétence et décision de la Commission n’y change rien
− Toutefois: seule la CJUE compétente pour constater son invalidité, dès
lors: obligatoire pour les Etats membres
− Mais: ques?on de l’examen une autre ques?on

45. ​ II. L‘ARRÊT DE LA COUR DANS L‘AFF. C-362/14
2. L‘invalida@on de la décision de la Commission
► safe harbor ne garan:t pas un niveau de protec:on adéquat
− Niveau de protec?on adéquat: «garan?e» et niveau comparable
− Garan?e de ce niveau par l’ordre juridique de l’Etat ?ers, aussi nécessité
d’une applica?on effec?ve
− Obliga?on d’un examen de ces condi?ons par la Commission, réexamen à
des intervals réguliers et s’il y a des raisons
− Examen stricte par la la CJUE (importance des art. 7, 8 Charte)
− «auto-cer?fica?on», pas de garan?e dans l’ordre juridique
− Compétences des services secrets et d’autres autorités, la sécurité
na?onale etc. a ainsi une priorité générale, pas de protec?on juridique, pas
de propor?onnalité,
− «noyau» des art. 7, 8 si possibilité généralisée de surveillance

46. ​ II. L‘ARRÊT DE LA COUR DANS L‘AFF. C-362/14
3. Implica@ons et apprécia@on
► transmission de données vers les Etats-Unis sur la base de safe harbor pas
en conformité avec la D 95/46
► quid du consentement, de BCR ou de clauses standards?
► nouvel accord? Comment? Extraterritorialité?
► exigences rela:vement strictes (ordre juridique na:onal, niveau de
protec:on comparable, etc.) mais convaincantes
► importance des compétences des autorités na:onales de surveillance

47. ​ III. IMPLICATIONS POUR LA SUISSE
► Art. 25, 28 D et LPD: parallélité
► accords de Schengen et Dublin
► différentes prises de posi:on en Suisse (PFPDT, doctrine…)
► en défini:ve: aff. C-362/14 à respecter en principe

48. ​ IV. CONCLUSION
► importance de l‘arrêt de la Cour
► difficultés pra:ques
► mise en oeuvre et droits des par:culiers