Guide pratique RGPD / GDPR @DPO_NEWS fiche 2: Quels sont les chantiers prioritaires des DPO ?

Guide pratique RGPD / GDPR @DPO_NEWS

fiche 2:

 

 

@jpbichard*

 

 

Quels sont les chantiers prioritaires des **DPO (data protection officer) ?

 

Tous les services, même non européens, qui visent des personnes se trouvant dans l’Union, devront appliquer le RGPD à partir du 25 mai 2018. Toutes les organisations et entreprises seront elles prêtes ? Aucune certitude à moins de 9 mois de la mise en application du RGPD (cf section BONUS en fin d'article).

Pour aider l'ensemble des organisations et leurs DPO a préparer la mise en place de leur projet RGPD / GDPR, @DPO-NEWS va publier à partir d'aout 2017 en plus d'articles réguliers « accessibles » aux non-abonnés (http://bit.ly/2v50ai0) des fiches pratiques pour DPO.

En voici un extrait, la publication complète étant réservée aux abonnés de Cyberisques News.

 

Plusieurs études livrent les priorités des DPO. Celles-ci dépendent de bon nombre paramètres liées à la culture de son organisation: 

 

 

La mise en œuvre de la conformité au RGDP peut aujourd’hui se synthétiser au travers de 10 chantiers majeurs :

  1. L’exercice des droits (accès, suppression,portabilité…) et la capacité à retrouver et à supprimer toutes les données associées à une personne au sein de l’organisation (20 % des coûts, majoritairement IT). Il s’agit du poste principal car il intègre les évolutions à apporter dans les applications du SI.

  1. L’accompagnement des projets IT en cours en Privacy By Design (15 %, majoritairement IT et métiers)

  1. L’encadrement des transferts (à des tiers ou hors UE) (10 %, majoritairement métiers et juridique)

  1. La mise en œuvre de l’information des personnes et la gestion du consentement (10 %, majoritairement métiers et IT)

  1. La définition des politiques, directives, méthodologies et outils de conformité et la mise en œuvre d’une organisation autour du DPO (10 %, majoritairement DPO)

  1. La mise en œuvre de contrôles et d’audits de conformité (5 %, majoritairement DPO)

  1. La construction d’un registre des traitements de données et la définition des règles de conformité associés à chaque traitement (5 %, majoritairement Métier)

  1. L’amélioration des mesures de sécurité existantes (5 %, du fait de l’existence de budget cybersécurité permettant de remplir les exigences, majoritairement IT)

  1. La formation et la sensibilisation de l’ensemble des acteurs concernés par le sujet (5 %, majoritairement Métiers)

  1. Le pilotage du programme (15 %)

(Source Wavestone juillet 2017)

.

Chantier RGPD / GDPR : Ou en sont les organisations ?

.

·         38% des entreprises françaises sont déjà conformes à GDPR et seulement 37% des autres entreprises pensent qu'elles seront conformes lorsque la réglementation prendra effet le 25 mai 2018

·         Contrairement aux autres pays étudiés, les pénalités ne sont pas la principale préoccupation concernant la non-conformité. La plus grande préoccupation pour les entreprises françaises est la dévaluation de la marque pouvant être causé par des articles négatifs – sur les médias classiques ou sur les réseaux sociaux.

·...       

  En moyenne, les répondants français s'attendent à ce que leur entreprise investisse 1 366 031 euros pour la conformité GDPR et la confidentialité des données d'ici le 25 mai 2018

 

CheckList-GDPR

 

 

**Pourquoi un DPO ?

Un auditeur interne dédié aux DCP (données à caractère personnel)

À partir du 25 mai 2018, les Délégués à la protection des données sont formellement désignés par les responsables de traitement auprès des autorités de contrôle (la CNIL en France), soit obligatoirement soit volontairement.

Un groupe d'entreprises peut désigner un seul DPO s’il est facilement joignable à partir de chaque lieu d'établissement.

Dans le domaine public, un seul DPO peut être désigné pour plusieurs organismes compte tenu de leur structure organisationnelle et de leur taille.

Dans certains cas, les associations et autres organismes représentatifs peuvent ou doivent désigner un DPO.

Chaque professionnel pourra se doter d’un DPO et il sera même obligatoire d’en désigner un dans les cas suivants :

  • si le professionnel appartient au secteur public,

  • si ses activités principales le conduise à réaliser un suivi régulier et systématique des personnes à grande échelle. La notion de « grande échelle » n’est pas définie dans le règlement mais le G29 souligne que cela pourrait être possible ultérieurement. Par exemple, le traitement des données des clients par une compagnie d’assurance ou une banque, le traitement de données à des fins de publicité comportementale par un moteur de recherche, le traitement de données par un opérateur téléphonique ou un fournisseur d’accès internet…peuvent constituer des traitements de données à grande échelle.

  • si les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données et de données à caractère personnel relatives à des condamnations pénales et à des infractions.

.

Le DPO pourra être un salarié de l’entreprise ou un externe (cabinet d'experts regroupant des expertises juridiques, organisationnelles et techniques)

.

BONUS: 

Fiche 1: http://www.cyberisques.com/mots-cles-20/685-dpo-news-gdpr-rgpd-guide-pratique-comment-documenter-la-conformite

 

 

En savoir plus : abonnez vous Cyberisques-News :

CYBERISQUES.COM premier service de Veille "Business & CyberRisks" pour les dirigeants et membres des COMEX/CODIR

Renseignements    Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

IT Leader  IHEDN

@DPO_News @cyberisques @jpbichard #GDPR #SAS : "le GDPR oblige les entreprises a repenser leur gouvernance des données"

 

SAS: "le GDPR oblige les entreprises a repenser leur gouvernance de données"

 

A l'occasion le 13 juin de la tenue du Forum France de SAS à Paris, l'une des meilleures spécialistes du GDPR avait fait le déplacement. « Chef privacy stratégist » pour l'Europe chez SAS, Kalliopi Spyridaki a animé avec Vincent Rejany, responsable des projets GDPR/ SAS pour la France une courte présentation sur les enjeux du règlement européen.

Au Forum SAS de Paris aujourd'hui, les premiers résultats d'une étude pas encore rendue publique ont été dévoilés (cf Photo & et 2). Parmi les 5 challenges que pose la mise en place d'un projet GDPR, les décideurs de 300 entreprises européennes ont indiqué leurs « priorités » (Photo 1).

20170613 153433

 

Photo 1 cyberisques (source SAS 2017) 

 

20170613 153715

Photo 2  cyberisques (source SAS 2017) 

Les actions prioritaires à prendre arrivent en tête des préoccupations des décideurs devant l'identification des données à caractère personnel au sein du patrimoine informationnel de leurs entreprises. Parmi les bénéfices évidents (Photo 2)  qui sont cités lors de l'adoptions du GDPR, 71% d'entre eux y voit l'avantage de « faire le ménage » et de dégager une véritable visibilité pour mettre en place une réelle « gouvernance des données ».

@jpbichard

 

Interview : Kalliopi Spyridaki, Chef privacy stratégist Europe chez SAS

Cyberisques-News-SAS kalliopi-spyridaki

 

Quels avantages vont retirer les entreprises « compliance GDPR » ?

Toutes comprennent en France aidées par la présidente de la CNIL en personne que le GDPR apporte une réelle gouvernance des données ce qui permet d'offrir à tous utilisateurs, partenaires, clients... une rationalité nouvelle dans la gestion des données.

Pour parvenir a développer un projet GDPR, des offres de « DPO as a service » se développent notamment du coté des cabinets d'avocats. Quelle est votre position face à cette tendance ?

 Tous les cabinets d’avocats ne sauront pas gérer l'ensemble des problématiques liées à la fonction DPO en terme de responsabilités « croisées » car bon nombre d'entre eux ne peuvent êtres juges et parties. C'est plus utile je pense que les entreprises nomment leur propre DPO qui animera en interne une équipe composée de décideurs issus de différents services.

En termes de certification et labellisation, le GDPR suppose au plan des services comme sur celui des outils la mise en place de labels et certificats. Ou en sommes Nous à moins de 11 mois de l'entrée en vigueur du texte ?

 Il reste du travail à faire vous avez raison. Qu'il s'agisse des services providers et des outils sans oublier le lignes directrices attendues fin juin 2017 à propos des articles liés aux notions de profilage.

Et les textes des pays membres qui doivent définir certaines spécificités pour « adapter » le GDPR à leur cadre juridique...

Oui c est exact c est également un « chantier » dans beaucoup de pays de l'UE. En France il s'agit par exemple de définir les applications du GDPR aux Autorités publiques.

Propos recueillis par @jpbichard

 

 

 

 

 

 

@DPO_News @cyberisques Chiffrement : la lettre du Conseil national du numérique au ministre de l'Intérieur qui "recadre"

 

Chiffrement : la lettre du Conseil national du numérique au ministre de l'Intérieur qui "recadre"

 

Chiffrement-CNN-Avril-2017

 

 

 

 

 

 

 

 

 

 

 

 

 

« Backdoors d’État » contre vie privée voire intime de milliards d'internautes : le débat fait rage entre défenseur de l’intégrité des solutions cryptographiques et certains candidats à l'élection présidentielle française. État des lieux sur un enjeu majeur tant pour la sécurité nationale que pour la protection de nos vies numériques.

Récemment, un candidat à l’Élysée déclarait lors d'une conférence de presse le 10 avril à Paris: « Les organisations qui nous menacent abusent des facilités offertes par la cryptologie moderne pour dissimuler leurs projets. Ils utilisent des messageries instantanées, fortement « cryptées » (chiffrées en bon français note de la rédaction). Les grands groupes de l'internet ont refusé de communiquer leurs clés de chiffrement ou de donner accès au contenu au motif qu'ils ont garanti contractuellement aux clients que leurs communications étaient protégées, cette situation est inacceptable ».

 

Réponses du CNN au Ministre de l'Intérieur et...aux candidats à l'élection présidentielle. 

 

LIREhttp://cyberisques.com/fr/mots-cles-39-prestataires-de-confiance/660-rgpd-privacy-datasecurity-messageries-chiffrees-bras-de-fer-entre-le-politique-et-l-ingenieur

 

Le courrier du CNN du 14 avril 2017 destiné au Ministre français de l'Intérieur Matthias Fekl: 

Courrier Conseil Nationale du Numérique: chiffrement Cyberisques News @DPO_News

 

 

@cyberisques @jpbichard @DPO_NEWS

 

 

#DPO_News #cyberisques : La Commission propose de resserrer les règles en matière de respect de la vie privée pour toutes les communications électroniques

Source: Commission européenne - Communiqué de presse

 

 

La Commission propose de resserrer les règles en matière de respect de la vie privée pour toutes les communications électroniques 

 

 

Bruxelles, le 10 janvier 2017

La Commission européenne propose actuellement de nouvelles mesures législatives visant à renforcer le respect de la vie privée dans les communications électroniques tout en créant de nouvelles perspectives d'activité économique.

Les mesures présentées aujourd'hui visent à actualiser les règles en vigueur, en étendant leur champ d'application à l'ensemble des fournisseurs de services de communications électroniques. Ils visent également à créer de nouvelles possibilités de traiter des données de communication et de renforcer la confiance et la sécurité dans le marché unique numérique — l'un des objectifs clés de la stratégie pour le marché unique numérique. Dans le même temps, la proposition vise à harmoniser les règles applicables aux communications électroniques avec les nouvelles normes d'envergure mondiale fixées par l'Union dans le règlement général sur la protection des données. La Commission propose également de nouvelles règles afin de garantir, lorsque des données à caractère personnel sont traitées par les institutions et organes de l'UE, que le respect de la vie privée est assuré de la même manière que dans les États membres en vertu du règlement général sur la protection des données, et définit une approche stratégique des questions liées aux transferts internationaux de données à caractère personnel.

M. Frans Timmermans, premier vice-président de la Commission européenne, a déclaré à ce propos: «Nos propositions compléteront le cadre européen en matière de protection des données. Elles garantiront la protection de la vie privée dans le secteur des communications électroniques sera assurée par des règles efficaces, et que les institutions européennes appliqueront des normes élevées identiques à celles que nous attendons de la part de nos États membres».

Pour Andrus Ansip, vice-président pour le marché unique numérique: «Notre proposition assurera la confiance dans le marché unique numérique que les citoyens attendent. Je tiens à garantir la confidentialité des communications électroniques et la protection de la vie privée. Notre projet de règlement «vie privée et communications électroniques» offre un juste équilibre: il offre un juste équilibre entre une protection rigoureuse des consommateurs et l'ouverture de perspectives d'innovation pour les entreprises.»

Vĕra Jourová, commissaire pour la justice, les consommateurs et l'égalité des genres, a déclaré pour sa part: «La législation européenne sur la protection des données adoptée l'année dernière fixe des normes exigeantes au bénéfice des particuliers et des entreprises de l'UE. Aujourd'hui nous présentons également notre stratégie visant à faciliter l'échange international de données dans l'économie numérique mondiale et à promouvoir des normes élevées en matière de protection des données dans le monde entier.»

Renforcement de la protection en ligne et nouvelles perspectives d'activité

Le règlement sur la vie privée et les communications électroniques qui est proposé renforcera la protection de la vie privée des particuliers et ouvrira de nouvelles perspectives d'activité économique pour les entreprises.

  • Nouveaux acteurs:92 % des Européens indiquent qu'il est important que leurs messages électroniques et leurs messages en ligne restent confidentiels.Or, l'actuelle directive sur la vie privée et communications électroniques ne s'applique qu'aux opérateurs de télécommunications traditionnels. Dorénavant, les règles en matière de respect de la vie privée s'appliqueront également aux nouveaux acteurs dans le secteur des services de communications électroniques, tels que WhatsApp, Facebook Messenger, Skype, Gmail, iMessage ou Viber
  • Renforcement des règles: en remplaçant l'actuelle directive par un règlement directement applicable, il s'agit d'assurer aux particuliers comme aux entreprises de l'Union un niveau de protection uniforme de leurs communications électroniques.Un ensemble de règles unique pour l'ensemble de l'Union profitera également aux entreprises.
  • Contenu des communications et métadonnées: le respect de la vie privée sera garanti en ce qui concerne non seulement le contenu des communications électroniques mais aussi les métadonnées (par exemple, la date et l'heure d'un appel ou sa localisation). Ces deux éléments ont un caractère éminemment privé et devront, en vertu des règles proposées, être anonymisés ou effacés en l'absence d'autorisation expresse de l'utilisateur, sauf dans le cas de données nécessaires par exemple à la facturation.
  • Nouvelles perspectives d'activité: dès qu'ils auront obtenu l'autorisation d'exploiter les données de communication (tant le contenu que les métadonnées), les opérateurs de télécommunications traditionnels auront davantage de possibilités de les utiliser et de fournir des services supplémentaires. Ils pourraient, par exemple, produire des cartes thermiques («heat maps») indiquant la présence de personnes et utiles aux pouvoirs publics et aux entreprises de transport pour l'élaboration de nouveaux projets d'infrastructures.
  • Simplification des règles en matière de cookies: la règle dite «des cookies», qui contraint l'internaute à répondre sans cesse à des demandes d'autorisation, sera simplifiée. Les nouvelles règles offriront aux utilisateurs une meilleure maîtrise de leurs paramètres, en leur permettant d'accepter ou de refuser aisément les cookies et autres identifiants de suivi de leurs activités en cas de risque pour le respect de la vie privée. La proposition précise que le consentement n'est pas nécessaire pour les cookies non intrusifs utilisés pour améliorer les recherches de l'internaute (par exemple, la mémorisation de l'historique des achats). Les cookies créés par un site comptant le nombre de visiteurs de ce site internet ne nécessiteront plus de consentement.
  • Protection contre le spam: la proposition soumise aujourd'hui interdit les communications électroniques non sollicitées, quel que soit le moyen utilisé (messages électroniques, SMS, etc., ainsi que, en principe, les appels téléphoniques), si l'utilisateur n'a pas donné son accord. Les États membres peuvent opter pour une solution qui donne au consommateur le droit de s'opposer à la réception d'appels de télémarketing, par exemple en inscrivant son numéro sur une liste rouge. Les démarcheurs devront afficher leur numéro de téléphone ou utiliser un indicatif spécial indiquant qu'il s'agit d'un appel commercial.
  • Contrôle plus efficace: le contrôle du respect des règles de confidentialité prévu par le règlement incombera aux autorités nationales responsables de la protection des données.

Règles relatives à la protection des données pour les institutions et organes de l'UE

La proposition de règlement relatif à la protection des données à caractère personnel par les institutions et les organes européens vise à aligner les règles existantes, qui datent de 2001, avec les règles plus récentes et plus strictes fixées par le règlement général sur la protection des données de 2016. Toute personne dont les données à caractère personnel sont traitées par les institutions ou agences européennes bénéficieront de normes de protection plus élevées.

Protection des données à l'échelle internationale

La proposition de communication définit une approche stratégique en ce qui concerne la question des transferts internationaux de données à caractère personnel, qui facilitera les échanges commerciaux et favorisera une meilleure coopération en matière coercitive, tout en assurant une stricte protection des données. La Commission participera activement aux travaux relatifs aux décisions constatant le caractère adéquat de la protection (permettant la libre circulation de données à caractère personnel vers des pays appliquant des règles de protection des données d'un niveau «substantiellement équivalent» à celles de l'UE) avec ses principaux partenaires commerciaux en Asie de l'Est et du Sud-Est, commençant avec le Japon et la Corée en 2017, mais aussi avec les pays intéressés d'Amérique latine et du voisinage européen.

De plus, la Commission utilisera pleinement aussi les autres mécanismes alternatifs prévus par les nouvelles règles de l'Union sur la protection des données (règlement général sur la protection des données et directive «police») pour faciliter l'échange de données à caractère personnel avec d'autres pays tiers pour lesquels il n'a pas été possible de dégager de décisions sur l'adéquation du niveau de protection.

La communication rappelle également que la Commission continuera d'encourager le développement de normes élevées de protection des données à l'échelle internationale, tant au niveau bilatéral que multilatéral.

 

Prochaines étapes

Avec la présentation des propositions effectuée aujourd'hui, la Commission invite le Parlement européen et le Conseil à déployer la diligence requise pour que leur adoption puisse intervenir au plus tard le 25 mai 2018, date d'entrée en vigueur du règlement général sur la protection des données, L'objectif étant que les particuliers et les entreprises disposent d'emblée d'un cadre juridique pleinement opérationnel et complet en matière de respect de la vie privée et de protection des données en Europe.

Parallèlement aux propositions soumises aujourd'hui, la Commission a également présenté une communication visant à donner un nouvel élan à l'économie fondée sur les données. De plus amples informations sont disponibles ici.

 

L’accès à l'intégralité de nos articles (dossiers

"expertises / compliance", enquêtes,

interviews exclusives, tendances chiffrées,

retours d'expérience par secteurs...) est

réservé à nos abonné(e)s

Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

#Cyberisques

#DPO_News

 

 

BONUS: 

 

Idées : Claranet Eric Morali, DPO adjoint, Security & Compliance Claranet

Idées : Claranet Eric Morali, DPO adjoint, Security & Compliance Claranet

 

 
Suite à l'adoption du règlement européen sur la gestion des données personnelles (mise en vigueur à partir du 25 mai 2018), Claranet* fait le point sur les nouvelles obligations auxquelles les organisations doivent se plier pour assurer la protection des données personnelles.

« Comment votre hébergeur participe à votre mise en conformité ? »,

Pour Eric Morali, DPO adjoint, Security & Compliance Claranet :

« Pour un hébergeur, en matière de données personnelles existent des obligations de « sous traitance de sous traitance ». Certaines lignes directrices concernant le RGPD sont en cours d'élaboration pour clarifier au niveau opérationnel les aspects sous traitance et transparence des données. Quelles sont les obligations qui reviennent à tels prestataires avec quel niveau d'intervention ?
Quelles relations devons nous entretenir avec nos propres sous-traitants notamment au niveau des clauses de confidentialité, circulation des données... ?
A ce stade une certification ISO 9001 ne suffit pas. Nous devons mettre en place une équipe capable de réaliser un travail de veille. S'assurer que les notifications suite aux failles de sécurité sont réalisées par exemple. Quel niveau de risques constate t-on sur la vie privée en analysant des données personnelles ? Pour répondre à ces questions, nous avons mis en place une équipe sécurité / conformité. Claranet dispose aussi d'une grande experience dans le secteur de la Santé. Comme vous le savez, les données personnelles de sante constituent au niveau de leur cadre réglementaire un exemple de ce que seront d'autres données encadrées par la RGPD. »


BONUS :

Fondé en 1996, Claranet est un Managed Service Provider, spécialisé en réseau et hébergement d'applications. Le groupe Claranet comprend 18 bureaux et 35 centres d'hébergement. Comptant 1 200 collaborateurs répartis sur 6 pays, Claranet est devenu un acteur majeur des services managés en Europe (238 M€ de CA) Claranet est certifié PCI DSS, ISO 9001, ISO 27001, ITIL v3 et leader du Magic Quadrant Gartner (« Managed Hybrid Cloud Hosting ») pour la quatrième année consécutive.

 

 

 

Protection des données : la vision européenne s'affirme

Paquet sur la protection des données: le Parlement et le Conseil proches d'un accord

Def-Données-JP-Bichard

 

 https://epic.org/privacy/cybersecurity/Cybersecruity-Act-of-2015.pdf

Communiqué de presse - Droits fondamentaux − 16-12-2015 - 10:00

 

  • Lire aussi en section BONUS d'autres informations et la vsion de l ENISA et le projet de loi pour une République numérique en cours d'adoption avec les réactions de la CNIL

Dernière MAJ:23 decembre 22h30) 

 

[Communiqué G29] Consensus sur le Paquet européen protection des données personnelles : une étape clé pour la crédibilité européenne

22 décembre 2015

L’accord trouvé par le comité LIBE du Parlement Européen, le COREPER et la Commission Européenne sur la réforme européenne de la protection des données marque une des dernières étapes vers l’adoption finale des textes. Le G29 salue ce consensus obtenu comme une décision majeure pour la crédibilité européenne sur la scène internationale.

 

Le groupe de travail des CNIL européennes (G29) a d’ores et déjà commencé ses travaux pour assurer une période de transition constructive et progressive à l’égard de toutes les parties prenantes, et en particulier pour être prêt en tant que « comité européen de la protection des données » le jour J.

Depuis le début des discussions sur le réforme européenne de la protection des donnée en 2012, le G29 a assuré son rôle d’expertise auprès des législateurs européens afin de contribuer à garantir un niveau élevé et harmonisé de protection des données personnelles à travers la publication de nombreux avis et recommandations. Il avait notamment remis le 18 juin dernier la position commune de toutes les autorités européennes de protection des données aux trois institutions parties au trilogue.

L’accord doit encore être formellement adopté par le Parlement Européen en plénière et par le conseil de l’Union Européenne Justice et Affaires Intérieures.

Isabelle Falque-Pierrotin, Présidente du G29 (et de la CNIL) :

« Par cet accord, l’Europe marque sa détermination à être un acteur majeur du numérique tout en préservant les valeurs humanistes qui sont les nôtres. C’est un signal envoyé à tous les acteurs mondiaux. Le niveau de protection des données des citoyens et consommateurs européens devra rester au moins équivalent à celui garanti par le règlement pour toute entreprise dont les utilisateurs sont situés dans l’Union Européenne. »

 Lire en BONUS les annexes

 

 

(Source Communication EU) Un "compromis solide" visant à garantir un niveau élevé de protection des données dans l'UE a été conclu mardi par les négociateurs du Parlement et du Conseil pendant le dernier tour des négociations sur le paquet relatif à la protection des données. Il revient désormais aux États membres de donner leur feu vert à l'accord. Les deux projets législatifs du paquet - un règlement et une directive - seront soumis à un vote de confirmation en commission des libertés civiles jeudi matin.

 L'objectif du projet de règlement est de donner aux citoyens plus de contrôle sur leurs données privées, tout en apportant de la clarté et de la sécurité juridique aux entreprises afin de favoriser la concurrence sur le marché numérique.

Jan Philipp Albrecht (Verts/ALE, DE). "À l'avenir, les entreprises qui violent les règles européennes sur la protection des données pourraient recevoir une amende pouvant valoir jusqu'à 4% de leur chiffre d'affaires - cela pourrait représenter des milliards d'euros, en particulier pour les entreprises internationales actives dans le domaine d'Internet. En outre, les sociétés devront également désigner un délégué à la protection des données si elles traitent des données sensibles à grande échelle ou collectent les informations de nombreux consommateurs", a-t-il ajouté.

 

"Le règlement rend aux citoyens le contrôle de leurs données personnelles. Les entreprises ne seront pas autorisées à divulguer les informations reçues à une fin particulière sans l'accord de la personne concernée. Les consommateurs devront faire part de leur consentement explicite pour l'utilisation de leurs données. Malheureusement, les États membres ne sont pas parvenus à se mettre d'accord pour fixer la limite d'âge à 13 ans en ce qui concerne l'accord parental qui doit être donné afin que les enfants puissent utiliser des médias sociaux comme Facebook ou Instagram. Les États membres seront libres de fixer leurs propres limites entre 13 et 16 ans", a conclu M. Albrecht.

 

Normes relatives à la protection des données pour la coopération policière transfrontalière

 

La nouvelle directive sur les transferts de données à des fins policières et judiciaires garantira les droits et libertés des citoyens, tout en autorisant les instances répressives nationales dans l'UE à échanger les informations de manière plus rapide et plus efficace.

 

"Il est de la plus grande importance, surtout après les attentats de Paris, de renforcer la coopération policière et l'échange de données de nature répressive", a affirmé la députée en charge de la proposition de directive, Marju Lauristin (S&D, EE), après la conclusion de l'accord. "Je crois sincèrement que cette législation apportera un juste équilibre entre la protection des droits fondamentaux des citoyens et le renforcement de l'efficacité de la coopération policière dans l'ensemble de l'UE", a-t-elle ajouté.

 

La directive sera le premier instrument pour harmoniser 28 systèmes répressifs différents en matière d'échange de données - également au sein de chaque État membre. Parallèlement, elle devrait clarifier les dispositions sur la coopération policière et accroître la certitude juridique pour les citoyens. S'ils le souhaitent, les pays de l'UE auront la possibilité de fixer des normes de protection des données plus strictes que celles énoncées dans la directive.

 

 

Cyberiques-NEWS-DATA-2016

 

 

Prochaines étapes

Si l'accord est approuvé en commission parlementaire, il sera ensuite mis aux voix en session plénière l'année prochaine. À partir de là, les États membres disposeront d'un délai de deux ans pour transposer les dispositions de la nouvelle directive en droit national. Le règlement, qui s'appliquera directement dans tous les pays de l'UE, entrera aussi en vigueur après deux ans.

REF. : 20151215IPR07597

 

BONUS:

 

http://www.cnil.fr/fileadmin/documents/La_CNIL/actualite/WP29_press_release_opinion_in_view_of_trilogue-20150619.pdf

 

file:///D:/Documents/Mes%20T%C3%A9l%C3%A9chargements/Regulatory%20and%20Non-regulatory%20Approaches%20to%20Information%20Sharing.pdf

http://www.assemblee-nationale.fr/14/projets/pl3318.asp

http://www.cnil.fr/nc/linstitution/actualite/article/article/projet-de-loi-republique-numerique-publication-de-lavis-de-la-cnil/?

 http://www.cnil.fr/fileadmin/documents/approfondir/deliberations/D2015-414-PJLNumerique.pdf

http://website-pace.net/documents/19838/1085720/20150126-MassSurveillance-EN.pdf/df5aae25-6cfe-450a-92a6-e903af10b7a2

http://cyberisques.com/fr/mots-cles-3/469-michel-lanaspeze-sophos-3-chiffres-meconnus-en-cybersecurite-3-priorites

 

 

 RGPD-ETUDE-FireEye-2015-cyberisques-1

 RGPD-ETUDE-FIREEYE-2015-cyberisques-2

 

Document amendé du projet de loi pour une République numérique:

 https://www.republique-numerique.fr/media/default/0001/02/b963a16b9a70b18947e91c21379b8eae552c8c30.pdf

 

 

ASSEMBLÉE NATIONALE

CONSTITUTION DU 4 OCTOBRE 1958

QUATORZIÈME LÉGISLATURE

Enregistré à la Présidence de l’Assemblée nationale le 9 décembre 2015.

PROJET DE LOI

pour une République numérique.

(procédure accélérée)

(Renvoyé à la commission des lois constitutionnelles, de la législation et de l’administration générale
de la République, à défaut de constitution d’une commission spéciale
dans les délais prévus par les articles 30 et 31 du Règlement.)

PRÉSENTÉ

au nom de M. Manuel VALLS,

Premier ministre,

par M. Emmanuel MACRON,
ministre de l’économie, de l’industrie et du numérique

et par Mme Axelle LEMAIRE,
secrétaire d’État chargée du numérique

Un projet de texte a été élaboré par le Gouvernement et a fait l’objet d’une phase de relecture publique sur la plateforme en ligne www.republique-numérique.com du 26 septembre au 18 octobre 2015. Cette plateforme ouverte à tous a suscité plus de 8 500 contributions et près de 150 000 votes.

Le présent projet de loi est enrichi d’une partie des remarques provenant des différents contributeurs que le Gouvernement a jugée utile de prendre en compte.

Il s’organise autour de trois axes :

Favoriser la circulation des données et du savoir :

– renforcer et élargir l’ouverture des données publiques ;

– créer un service public de la donnée ;

– introduire la notion de données d’intérêt général, pour permettre leur réutilisation par tous ;

– développer l’économie du savoir et de la connaissance.

Œuvrer pour la protection des individus dans la société du numérique :

– favoriser un environnement ouvert en affirmant le principe de neutralité des réseaux et de portabilité des données ;

– établir un principe de loyauté des plateformes de services numériques ;

– introduire de nouveaux droits pour les individus dans le monde numérique, en matière de données personnelles et d’accès aux services numériques.

Garantir l’accès au numérique pour tous :

– en favorisant l’accessibilité aux services numériques publics ;

– en facilitant l’accès au numérique par les personnes handicapées ;

– en maintenant la connexion internet pour les personnes les plus démunies.

 

Enfants-Livres

article 323-3 du Code Pénal: vol de données personnelles ou confidentielles ?

Les assureurs doivent-ils s’inquiéter du nouvel article 323-3 du Code Pénal ?

 

Il n’est pas rare en Droit qu’une loi promulguée dans l’emballement médiatique et l’émotion à la suite d’un évènement majeur produise des effets de bord qui n’étaient pas nécessairement perçus lors de son vote. Parfois ces effets de bord sont positifs et peuvent débloquer des situations juridiques sur lesquelles les praticiens peinaient au quotidien. Ils peuvent aussi amener à reconsidérer des clauses fondées sur les textes ainsi remodelés, en l’occurrence ici des clauses de garanties d’assurance.

 

Il en est ainsi de la loi du 13 novembre 2014 qui, sous couvert de réprimer le terrorisme, vient de modifier l’article 323-3 du Code Pénal sans nécessairement avoir pris conscience de l’importance que cette modification pouvait avoir en faveur de la reconnaissance juridique du vol de données informatiques.

 

Le problème n’est pas nouveau. Alors que dans le langage courant on parle régulièrement aussi bien de « vols de données personnelles » de clients, commis au détriment d’opérateurs téléphoniques désormais tenus de déclarer les incidents de sécurité, que de « vols de données confidentielles » dans des grandes entreprises qui s’apparentent plutôt à de l’espionnage industriel, le terme de « vol » ne reflétait pas la réalité de la qualification juridique. En effet, la notion de vol de données n’entre pas parfaitement dans la définition du vol dans le Code pénal (article 311-1) puisqu’il faut constater la « soustraction frauduleuse de la chose d’autrui ».

 

 

Pour lire la suite et profiter de notre offre spéciale anniversaire ABONNEZ-VOUS AU SERVICE VEILLE BUSINESS RISK DE CYBERISQUES.COM:

 

Chaque semaine l'équipe de CYBERISQUES.COM sélectionne l'essentiel des infos stratégiques pour les membres des COMEX et IT managers: rapports études et chiffres indispensables, financement des cyber-risques, solutions de cyber-assurance, protection des actifs immatériels des entreprises, repères marché, protection et maitrise de données critiques des users VIP, veille juridique et réglementaire, interviews inédites, tendances et revue de WEB internationale ... dans la boite mail de votre choix.

 

Pour s'abonner: http://www.cyberisques.com/images/Bulletin-abonnement.png

 

CYBERISQUES.COM premier service de Veille Business Cyber Risk pour COMEX

 

 

Fotosearch k13632761 440

 

Jean-Laurent Santoni Président Clever Courtage

 

BONUS: 

http://www.clevercourtage.com/?p=735 

 

Edouard Geffray: "le futur texte EU prévoit comme sanction 5% du CA en cas de non respect de la réglementation EU"

Edouard Geffray*CNIL: "le futur texte EU prévoit, dans sa version issue du Parlement, un montant de sanction de 5% du chiffre d'affaires en cas de non respect de la réglementation européenne"

 

* Secrétaire Général de la CNIL


Quel regard portez-vous sur les travaux en cours concernant le texte européen définissant les futures règles en matière de protection des données personnelles  ?

Rappelons le contexte  : le Conseil européen fonctionne avec deux autres institutions, la Commission européenne et le Parlement européen. Le projet de règlement a donné lieu à l’adoption d’une «  version de compromis  » par le Parlement européen, et est actuellement en cours de discussion au Conseil. Il faudra ensuite qu’il passe en «  trilogue  ». Sur de nombreux points, le texte issu du Parlement converge avec les propositions de la CNIL et les orientations du G29, le groupe des CNIL européennes.

Que va retenir le futur texte lors de sa promulgation courant 2015  début 2016 ?

Plutôt courant 2015. Le texte devrait consacrer la disparition des «  déclarations préalables  », et mettre l’accent sur la mise en conformité dynamique – la «  compliance  » - des entreprises en matière de protection des données personnelles. Il s'agit notamment, pour les entreprises, d'étudier l'impact des usages des données sur la vie privée lorsqu’elles mettront en œuvre des traitements de données sensibles. Le tout en passant d'une logique de formalité à une logique de conformité, et en favorisant les approches sectorielles. La conformité interviendra à la fois au niveau des entreprises et des secteurs, via leurs fédérations respectives. C'est ce que nous souhaitons en développant notre rôle de conseil et d’accompagnement, parallèlement à nos missions de contrôle. Et c’est d’ores et déjà ce que nous faisons, notamment avec la création d’une direction de la conformité en avril 2014 et de nouveaux outils.


C'est l'idée des «  packs de conformité  » lancée par la CNIL pour décliner les principes applicables aux différents secteurs de l'économie  ?

Oui, notamment pour le secteur de l’assurance, pour lequel la protection des données personnelle constitue un enjeu majeur. Il s'agit de regrouper, pour les secteurs concernés, l’ensemble des outils de simplification (dispenses de déclarations, etc.) et des bonnes pratiques qui en sont le corollaire. Nous avons déjà conclu deux packs après une concertation avec les acteurs (la maison intelligente, avec la FIEEC, et le logement social), et sommes en cours de finalisation pour les assurances. D’autres packs suivront.

La CNIL délivre également des labels, une trentaine en deux ans, quelle est la finalité de cette procédure  ?

Il s’agit d’un nouvel outil, qui permet à la CNIL de labelliser des produits ou des procédures qui respectent un référentiel exigeant en matière de protection des données. Pour les entreprises, l’obtention du label constitue un argument qualitatif, donc de compétitivité, important. A ce stade, trois référentiels ont déjà été élaborés (formations, audits de traitement et coffres-forts numériques). 30 labels ont d’ores et déjà été délivrés.

En termes de souveraineté numérique, face à des textes réglementaires de type «  Patriot Act  » par exemple, comment envisagez-vous la protection des données au sein des entreprises françaises pour les prochaines années ? On a vu récemment un juge américain demander à Microsoft l'accès à des données hébergées sur l'ensemble de ses serveurs dans le monde entier. N'existe t il pas deux visions en matière de Droit numérique  ?

La souveraineté numérique passe d’abord par la capacité à faire appliquer le droit européen lorsqu’une personne résidant en Europe est concernée. Le projet de règlement, dans sa version issue du Parlement, comporte ainsi des clauses liées aux conditions de transfert des données entre pays de l'Union et d'autres pays notamment les US. L'article 43, dans sa version issue du Parlement européen, soumet l'autorisation de transfert de données personnelles à des autorités publiques étrangères au(x) CNIL(s) nationale(s).

Dans les faits, pensez-vous que ce type de mesure sera réellement efficace quand on constate le trouble qui s'est emparé de nombre de responsables sécurité voire de politiques après les révélations dues à «  l'affaire Snowden  »  ?

C’est un des éléments de réponse, fondamental, qui a été proposé par la CNIL dès les révélations que vous mentionnez. Par ailleurs, des études montrent que les entreprises européennes ont modifié leurs projets en matière de cloud, par exemple, comme suite à ces révélations. Les industriels ne peuvent rester insensibles aux réactions européennes. On comprend ainsi que la protection des données personnelles est aussi un gage de confiance pour le consommateur, et constitue donc un enjeu de compétitivité. Enfin, le futur texte prévoit, dans sa version issue du Parlement, un montant de sanction de 5% du chiffre d'affaires en cas de non respect de la réglementation européenne.

La délocalisation des données auprès de tiers non européens par des entreprises européennes présente un aspect risqué à vos yeux ou pas  ?

Il faut penser à la fois en termes de risques juridiques et de risques techniques (logiques et physiques). Sur le plan juridique, il est important que le droit européen s’applique dès lors que les résidents européens sont concernés. C’est le sens du projet de règlement. Sur le plan technique, nous donnons des conseils aux entreprises pour qu’elles soient en mesure de s’assurer que les conditions de sécurité sont satisfaisantes.

Récemment pendant que Google était condamné à 150 000 euros d'amendes par l'Europe, BNP Paribas devait s'acquitter de 6 milliards d'Euros aux US. N'existe t-il pas deux poids et deux mesures et ...une certaine efficacité des entreprises de lobbying à Bruxelles  ?

Les deux cas que vous mentionnez ne sont pas du même ordre. Sur la protection des données, la situation évolue, notamment avec la perspective des sanctions maximales de 5% du chiffre d'affaires mondial que nous évoquions. Au-delà de ces questions, ce qui est marquant aujourd’hui, c’est que le futur règlement va doter les pays de l'UE d'un texte unique qui rendra homogène le droit «  numérique  » partout en Europe. Les CNIL auront une approche à la fois intégrée – pour agir ensemble – et décentralisée – pour répondre aussi bien aux besoins des groupes qu’à ceux des PME.

 

 

Propos recueillis par Jean Philippe Bichard  @cyberisques

 

 

CYBERISQUES NEWS premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX / CODIR

Abonnement individuel par eMail personnalisé

Renseignements Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

BONUS: 

http://www.cyberisques.com/images/Bulletin-abonnement.png

http://europa.eu/rapid/press-release_SPEECH-14-431_en.htm

http://www.cyberisques.com/mots-cles-17/334-data-breach-juillet-2014

 

Qestion à la CNIL: 

D'un point de vue strictement légal, les entreprises ont-elles une obligation de garantir leur sécurité informatique?

Oui, puisque l'article 34 de la loi Informatique et Libertés dispose que les entreprises, en tant que responsable des informations qu'elles recueillent, doivent en garantir la sécurité et notamment qu'un tiers non autorisé ne puisse y avoir accès. Il s'agit aussi pour l'entreprise d'un devoir vis-à-vis de ses clients et de ses employés afin de maintenir une relation de confiance.

 

 

 

Protection des données: l'approche européenne / Viviane Reding

European Commission: Viviane Reding

Vice-President of the European Commission, EU Commissioner for Justice

 

Justice Council press conference Luxembourg, 6 June 2014

This Justice Council was about progress. Progress in building a real European area of Justice that works for businesses and citizens alike; progress on data protection, children's rights and cross-border insolvency.

Data protection

On the data protection reform, we clearly moved from dormant to dynamic negotiations.

Thanks to the constructive spirit of Charalambos and the Greek Presidency in general today we agreed on two very important pillars of the data protection reform:

First, agreement on the rules that govern data transfers to third countries (the so-called "Chapter V" of the Regulation). The Regulation sets out three avenues which can be used to make legal data transfers. One, when the Commission has found that a third country is "adequate" in terms of data protection. This means that certain conditions – set out in the law – like for example having robust data protection legislation or a data protection authority in place, are met. Two, when appropriate safeguards exist, including for example binding corporate rules approved by data protection authorities. And three: in clearly defined specific situations which necessitate the transfer, for example a tax or competition investigation.

These three roads will lead the way to secure data transfers. In the light of all the surveillance revelations, this is an important signal.

Second, Ministers agreed on the territorial scope of the data protection regulation. In simple words: EU data protection law will apply to non-European companies if they do business on our territory - the European Single Market. This might strike you as self-evident. But let me tell you: far from it. It was one of the most contentious points when I presented the data protection reform in January 2012. And companies still today argue differently taking the matter to courts. I am glad that the European Court of Justice in its recent landmark ruling on the right to be forgotten brought some clarity confirming the Commission's view.

It is important to cement this principle once and for all into law – Article 3 of the Data Protection Regulation. It's in the interest of companies to have legal certainty rather than having to spend money in costly law suits only to arrive at the same result at the end.

We also discussed once more the one-stop shop principle according to which there should be one decision by one single data protection regulator when it comes to cross-border services involving data processing. This will cut red tape for companies and citizens and make sure data protection rules are applied consistently throughout the EU. Positions are coming closer to the model for such a system with the general understanding that there should be a "lead authority" which works closely with other concerned authorities, notably the local authority with which citizens lodge a complaint (to ensure "proximity").

In short: the data protection reform is on track. It is on the right track to ensure "the completion of the Digital Single Market by 2015" – as Heads of State and government agreed in October.

Let me briefly mention two other important agreements of today.

Better protection for children in criminal court proceedings

The Council agreed on rules that will better protect children in criminal court proceedings. This agreement comes in a record time: only six months after I presented the proposal!

Today, judicial systems in Europe are not always adapted to the needs of children – despite having more than 1 million children facing criminal justice proceedings every year.

As the most vulnerable in society they deserve special protection. During criminal proceedings they might be distressed because they might not understand what is happening or what they are accused of. That is why we must provide the highest possible safeguards for children in criminal proceedings.

That's what we are doing with this European law. It says that children should not be able to waive their right to be assisted by a lawyer, as there is a high risk that they would not understand the consequences. Children should not be questioned in public hearings; they should have the right to a medical examination and be separated from adult inmates if deprived of liberty. Children will also be able to benefit from other safeguards such as being informed about their rights, being assisted by their parents (or other appropriate persons).

This proposal puts the interests of the child first. It is part of our broader efforts to promote a child-friendly justice system.

Cross-border insolvency law

From justice for citizens, to justice for growth. The Council also agreed today on modernised rules for cross-border insolvency. It's important to give honest businesses in financial difficulties a second chance.

We all know that businesses are essential for prosperity and jobs, but setting one up – and keeping it going – can be tough. In 2012, I proposed to modernise the current EU rules on cross border insolvency to shift the focus away from liquidation and develop a new approach to help businesses overcome financial difficulties, whilst protecting creditors' right to get their money back. Europe needs a ‘rescue and recovery’ culture for viable businesses and individuals in financial difficulties.

Around 50% of companies survive less than five years, and around 200,000 firms go bankrupt in the EU each year. This means that some 600 companies in Europe go bust every day.

We need a legal framework that gives companies a second chance. That's exactly what the rules agreed upon today do: they make it easier to restructure a business, they also cover groups of companies – which in a cross-border environment is crucial – and they provide clear rules to determine jurisdiction.

After ministers today gave their green light, now we can start the final trilogue negotiations with the European Parliament on the last details so that companies can swiftly get benefit from these rules.

Closing remarks

This was a Council full of decisions! A Council full of "crafting compromises". I should probably thank Hephaestus (the Greek God of the craftsmen) but instead I want to sincerely thank Charalambos for his hard and committed work which made files ripe for decisions today.

Questions and answers

You publicly thanked Snowden for advancing the data protection reform. Would the EU grant Mr Snowden asylum?

One year ago the Snowden revelations were a true wake-up call. In order to show that we do need laws and we do need rules that protect our business and citizens from undue snooping. The political asylum is purely a matter for the Member States.

What is the state of play of negotiations with the U.S. on data protection and how do things stand on Safe Harbour?

In December 2011 the Member States gave a mandate to the European Commission to negotiate an umbrella agreement on the matter of data protection. Since then we have negotiated, intensely, without tiring. And now we are in the final stages of these negotiations. I think that 95% of what could be agreed - has been. There are the last sticking 5%, which are not yet agreed, which concern the judicial redress. For example, when Americans come to Europe and they think the authorities have not handled their case correctly, they can go to a European court. However an EU citizen cannot do the same in the U.S. and go to an American court. There is no reciprocity; we do not have the basis for judicial redress. You cannot make an agreement if you do not have judicial redress. The U.S. has recognised the importance of this request on several occasions- but they need to have a law. I have not yet seen it. You might have seen that the major tech companies today, asked changes to be made in the USA Freedom Act in order to improve the privacy safeguards – now that could be an opportunity to put into such a reform our requests for reciprocity and judicial redress, which is exactly what I will discuss with Eric Holder on 25 June.

Safe Harbour state of play: Safe Harbour is not safe at all – that is why we have put 13 recommendations to our American counterparts – these are non-negotiable. Safe Harbour is a European Commission decision to implement, in order to make it easier for EU-U.S companies to exchange data. We are discussing these 13points; so far 12 have been answered in a positive way – the 13th point not yet. And for me it is very clear: I have made it clear to my counterparts that the 13th point must be clarified for the European Commission to finally say that Safe Harbour is "safe".

What exactly is the "sticking point" in the negotiations with the U.S. and will the Americans play for time with the European Commission's current mandate coming to an end? We have an institutional continuity. Just because there is a change in Commissioner doesn't mean there will be a change in policy. Everything a Commissioner does is backed by the College. On Safe Harbour, it is the primary responsibility of the Commission to operate on this point. I told you, out of 13 points, 12 have been agreed, the 13th on is the National security exception – for me it is an exception not a rule. We have a problem of definition here. It should be an exception not a hoover. This must be clarified before we can give our agreement to Safe Harbour – and if I say "we" I speak in the name of my institution.

On reports concerning Vodafone's revelations of data access requests:

What's the news? One year after the Snowden revelations, this shows again the scale of collection by Governments of data being held by private companies.

Without commenting on the specific Vodafone reports today, what I can say is that data access should always be framed by clear laws or judicial warrants. There should not be unregulated, direct and automatic mass access by law enforcement authorities to data of citizens held by private companies. Only where there is a clear suspicion. Not with a hoover but with tweezers.

The current situation is also bad for business. Companies need legal certainty and trust from their customers. They need to be able to promise their customers privacy. Data protection generates trust - it is thus a profitable business model.

 

BONUS: 

http://europa.eu/rapid/search.htm

http://www.cyberisques.com/images/Bulletin-abonnement.png

 

http://register.consilium.europa.eu/doc/srv?l=EN&f=ST%2010349%202014%20INIT

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires