Comm Corp: IBM marque son engagement envers la responsabilité des données et donne à ses clients le contrôle total de leurs données en Europe via le Cloud

Communication Corporate: tribune  Sebastian Krause                              08 novembre 2017  

(les illustrations ne proviennent pas d'IBM) 

 

 Next event Cyberisques News partner:   http://bit.ly/2yDBC0l 

 

 

IBM marque son engagement envers la responsabilité des données et donne à ses clients le contrôle total de leurs données en Europe via le Cloud

 

La transition vers le cloud présente d'énormes opportunités pour les entreprises qui opèrent en Europe

 

Grâce à la croissance rapide de services à plus forte valeur ajoutée tels que l'intelligence artificielle, l'analytique, la blockchain et l'Internet des objets, les entreprises sont en mesure de tirer des informations essentielles de leurs données, pour conduire leur transformation, comme jamais auparavant. En fait, la Commission européenne estime que la valeur de l'économie des données dans l'Union Européenne (UE) pourrait atteindre 739 milliards d'euros d'ici 2020.

Bien qu'excitante pour nous tous, cette transition introduit également le besoin d'une plus grande responsabilité. Les inquiétudes concernant la résidence des données, la sécurité et la protection des données personnelles sont au plus haut niveau, les entreprises se préparant à des exigences réglementaires et de conformité à venir dont le Règlement Général sur la Protection des Données (GDPR).

Chaque jour, un large éventail de clients internationaux issus de tous les secteurs d'activité me disent qu'ils ont besoin de contrôles plus rigoureux et d'une meilleure visibilité sur l'endroit où leurs données sont stockées et traitées dans le Cloud. Cependant, ils ne veulent pas être ralentis quand ils décident d’utiliser des services Cloud à plus forte valeur qui peuvent faire progresser leur entreprise.

C'est pourquoi je suis ravi d'annoncer une avancée importante dans l'engagement continu d'IBM en matière de responsabilité des données. En décembre 2017, IBM déploiera un nouveau modèle de support et de nouvelles fonctionnalités pour son Cloud à Francfort, en Allemagne, qui définira véritablement notre approche concernant la responsabilité des données.

 

ethics-500x300

 

 

La responsabilité des données est un domaine dans lequel IBM est un leader, la politique d'IBM a toujours été que le client détermine où se trouvent ses données dans le Cloud. Aujourd'hui, IBM va encore plus loin en garantissant que l'accès est restreint et que les clients bénéficient d’un contrôle et d’une transparence sur l'endroit où leurs données sont stockées, les personnes qui y ont accès et ce qu'elles peuvent faire avec cet accès.

«L'engagement d'IBM en matière de responsabilité des données et les contrôles accrus dans le Cloud IBM en Europe nous permettent de faire confiance à IBM pour protéger nos données les plus précieuses», explique Patrick Palacin, Cofondateur et CTO de TeleClinic, qui offre des services de télémédecine sécurisés aux patients dans toute l'Allemagne. « Nos informations sur les patients et le personnel soignant sont très sensibles, à ce titre, les  fonctionnalités additionnelles permettant de garantir la résidence, la sécurité et la confidentialité des données signifient pour nous qu'IBM Cloud est la plateforme d'innovation à laquelle nous faisons confiance. »

Examinons de plus près ce que ces nouvelles fonctionnalités du Cloud IBM à Francfort signifieront pour les entreprises :

 

Un contrôle total sur vos données

Chaque entreprise est responsable de la protection de ses données. Ceci implique de savoir qui y a accès et quand. IBM déploiera de nouveaux contrôles pour s'assurer que l'accès au contenu du client (y compris les données personnelles du client et les données personnelles spécifiques) est limité et contrôlé uniquement par des employés IBM basés dans l'Union Européenne. Ces employés joueront un rôle essentiel dans les processus de gestion des incidents et des changements d'IBM en examinant et en approuvant tous les changements apportés par des employés non basés dans l'Union Européenne qui pourraient affecter les données des clients.

Dans une démarche qui est exclusive aux environnements dédiés Cloud d’IBM, les clients examineront et approuveront toutes les demandes d'accès à leur contenu non-UE si une instance nécessite le support ou l'accès d'un employé basé en dehors de l'Union Européenne. S’il est accordé, cet accès est temporaire et le client sera informé lorsque l'accès temporaire est révoqué. Les journaux qui tracent les accès sont mis à la disposition du client.

 

 

Accès aux services à valeur ajoutée pour stimuler l'innovation

 

Les clients souhaitent utiliser le Cloud IBM comme plateforme d'innovation et de création de valeur commerciale, mais ils ont besoin de la garantie que leurs données seront techniquement limitées à l'Union Européenne à tout moment pour les  aider à se conformer aux exigences réglementaires. IBM propose l'un des portefeuilles de services Cloud les plus robustes du marché. Le nouveau modèle de support et les nouvelles fonctionnalités seront appliqués à l'ensemble de l'architecture Cloud de Francfort, y compris l'infrastructure et les services à forte valeur ajoutée tels que l'Intelligence Artificielle, les données, l’analytique et DevOps, au fil du temps.

 

DPO NEWS-GDPR-2017

 

Augmentation du personnel basé dans l'Union Européenne pour un support régional 24/7

Pour mieux soutenir nos clients européens, IBM accroît ses équipes de support client en Europe pour leur fournir des opérations et un support régional 24 heures sur 24, 7 jours sur 7. Ces nouveaux employés basés dans l'Union Européenne renforcent l'expertise technique d’IBM dédiée au succès des clients à travers l'Europe pour offrir une expérience client robuste et permanente, conçue pour répondre aux besoins des entreprises mondiales d'aujourd'hui. Cet avantage additionnel est fourni sans frais supplémentaires aux clients de l'Union Européenne.

 

Capacités de chiffrement avancées, ainsi, vous êtes le seul à pouvoir déverrouiller vos données

En 2018, IBM déploiera des fonctionnalités avancées permettant aux clients de chiffrer leurs données - au repos et en transit - avec leurs propres clés principales. Le chiffrement des données permet aux clients de stocker leurs données dans le Cloud et de les protéger contre le vol et les compromissions.

Avec cette nouvelle fonctionnalité, les clés resteront en possession du client afin que les données soient protégées des fournisseurs de services Cloud ainsi que des autres utilisateurs.

L’annonce d'aujourd'hui s'appuie sur le leadership d'IBM en matière de responsabilité des données. Seule grande entreprise technologique mondiale à définir clairement et complètement ses pratiques et ses principes de responsabilité des données en un seul endroit, IBM se conforme aux lois sur la confidentialité des données dans tous les pays et territoires où elle opère.IBM a été précurseur dans le développement et l'adoption du Code de conduite relatif à la protection des données pour les fournisseurs de services Cloud de l'Union européenne (UE)pour plusieurs offres, et à obtenir la certification dans le cadre du bouclier de confidentialité des États-Unis et de l'Union européenne et des règles de confidentialité transfrontalières de l'APEC.

L'engagement d'IBM à l'égard de l'Europe n'est nulle part plus évident que dans le cadre de nos investissements continus pour étendre notre empreinte Cloud dans la région. L'Europe abrite actuellement 16 des quelque 60 datacenters Cloud d'IBM présents dans 19 pays. Avec des datacenters en France, en Allemagne, en Italie, aux Pays-Bas, en Norvège, en Espagne, en Suisse et au Royaume-Uni, les clients peuvent gérer leurs données en toute confiance quand et où ils en ont besoin.

Nous pensons également que le Cloud public peut être l’objectif final des entreprises, mais que le Cloud hybride est un élément clé de la transition. C'est pourquoi IBM propose également à ses clients la plateforme logicielle IBM Cloud Privateet un portefeuille de fonctionnalités hybrides pour aider à relier le Cloud public et les environnements informatiques traditionnels.

Alors que la confidentialité des données est particulièrement importante en Europe, les clients de nombreux marchés subissent des pressions réglementaires pour sécuriser les données de leurs utilisateurs. IBM prévoit de prendre les améliorations décrites ici et de les adopter dans d'autres sites IBM à l'avenir.

 

BONUS: 

 

https://www.ibm.com/blogs/cloud-computing/2017/11/ibm-cloud-europe-control-data/

Pour en savoir plus sur l'approche unique d'IBM en matière de responsabilité des données et pour fournir aux clients un contrôle sur leurs données :

·         Lire la promesse d'IBM de protéger les données de ses clients : Data Responsibility @ IBM.

·         En savoir plus sur l'approche ouverte d'IBM en matière de protection des données : Code de conduite de l'UE.

·         Passez en revue le parcours d'IBM vers la GDPRpour découvrir nos meilleures pratiques et comment nous pouvons vous aider

·         Consultez le catalogue de services Cloud d’IBM pour explorer ce qui est possible avec la plateforme la plus innovante du monde.

 

DPO News-2017

 

Du rififi dans le petit monde des associations de CIL / DPO

4 octobre 2017  Jean Philippe Bichard

     

DPO Business: 

 

Du rififi dans le petit monde des associations de CIL / DPO

 

 

 

A six mois de l'entrée en vigueur du RGPD (cf : http://www.cyberisques.com/fr/component/search/?searchword=RGPD&searchphrase=all&Itemid=582) les relations entre associations de « DPO / CIL » se tendent.

L'AFCDP*, association « historique » de CIL (correspondants informatique et liberté) créée en 2004 vient de décider le 4 octobre 2017 d'entamer une procédure d'exclusion d'un de ses membres fondateurs. Co-fondateur plus exactement avec Alain Bensoussan, Xavier Leclerc, c'est de lui dont il s'agit, se trouve directement visé par une décision disciplinaire expliquée dans un courriel également reçu à la rédaction de @DPO_NEWS aujourd'hui.

Pour Xavier Leclerc, la surprise est de taille d'autant que dans une interview exclusive a paraître dans Cyberisques News il expliquait « vouloir se rapprocher » des associations de DP0 actuelles avec sa propre association UDPO (Union des Data Protection Officers). Une autre association ADPO (Association Data Protection Officers)   existe également créée récemment par le cabinet Alain Bensoussan avec comme vice présidente Hélène Legras DPO d'AREVA interviewée récemment par @DPO_NEWS dans Cyberisques ( http://www.cyberisques.com/fr/mots-cles-20/695-dpo-news-cyberisques-portrait-helene-legras-dpo-areva-le-dpo-est-plus-un-profil-du-savoir-etre-que-du-savoir-faire)

Joint aujourd'hui par Cyberisques NEWS, Xavier Leclerc précise : « Je viens de prendre connaissance de la décision du Conseil d'Administration de l'AFCDP. Je reste abasourdi par la violence des propos. Cette décision pas encore officielle – je n'ai rien reçu de la part de l'AFCDP - à l'heure ou je vous réponds, je ne peux la comprendre. En effet, j'ai proposé encore très récemment un partenariat UDPO / AFCDP. »

Le co-fondateur de l'AFCDP souligne qu'il est aussi vice-Président d'honneur de cette association. Un détail pas si anodin. L'AFCDP peut-elle destituée aussi facilement son vice-Président ?

Au delà des polémiques entre associations, c'est d'enjeux stratégiques qu'il s'agit avec le "DPO Business" : en mai 2018 la plupart des organisations, administrations et entreprises européennes devront avoir un DPO en exercice (interne ou externe). Ces nouveaux "Data Managers" encore trop rares sont nécessaires pour l'avancée déjà compliquée des chantiers (organisationnels, juridiques et techniques) des projets RGPD / GDPR (voir infographie ci-dessous).

On estime le nombre nécessaire de DPO en France à 28 000 (il existe 18 000 CIL aujourd'hui). Rappelons que de surcroit, pour la CNIL « Tous les CIL ne deviendront pas tous automatiquement des DPO » selon Albine Vincent, Chef du service des CIL (Lire : http://www.cyberisques.com/fr/component/content/article/93-categorie-3/sous-categorie-3-1/621-interview-dpo-news-cyberisques-albine-vincent-chef-service-des-cils-au-sein-de-la-cnil). Sur le "DPO Business", au delà des formations (privées ou en troisième cycle) un marché du "DPO as a service" se forme. L'externalisation de cette fonction intéresse beaucoup de monde a commencer par les cabinets d'avocats et les commissaires aux comptes sans omettre les grands cabinets d'audit (lire: http://cyberisques.com/fr/mots-cles-5/691-dpo-news-cyberisques-commissaires-aux-comptes-crcc-de-paris-rgpd-et-nouveaux-metiers-nous-pensons-a-la-fonction-de-commissaire-aux-donnees-et-aux-algorithmes ) Et ce n'est qu un début... 

- Article complet réservé aux abonnés -  

@jpbichard (@DPO_NEWS)

 

PIA

 

Evolution des "chantiers" RGPD / GDPR , enquête (1) du cabinet

Optimind Winter avec Opinion Way

Cyberisques-Enquete-Opinionway-2017-RGPD

1) 104 personnes de 74 sociétés distinctes ont répondu à un questionnaire entre le 4 et le 19 juillet 2017

 

BONUS: 

http://www.afcdp.net/

https://www.udpo.fr/adhesion-udpo/

https://www.data-protection-officer-association.eu/

 

@DPO_News @cyberisques @jpbichard #GDPR #DPO Synthèse Matinée GDPR et DSI #Ivanti

 

21 mars 2017 Matinée GDPR et DSI / Ivanti  

 

 

Phot-JPB-DPO NEWS

 

Journaliste IT depuis 27 ans, IHEDN 2005, animateur d'évènements (tables rondes) IT / GDPR, auteur de plusieurs ouvrages, co-fondateur en 1997 du premier média "cybersecurité" NetCost&Security avec Olivier Caleff, Jean Philippe Bichard -@jpbichard - a créé le site de veille  http://cyberisques.com en 2012.

Premier journaliste animateur des « Assises de la sécurité » dans les années 2000, il collabore à différents médias (tech et Eco).

 En complément de Cyberisques NEWS  - gouvernance des risques IT - il crée en 2016 @DPO_Newsconsacré aux projets GDPR (organisationnel, technique, juridique) et à la veille stratégique pour les DPO et COMEX. 

En plus d'animations et d'enquêtes "marché", Jean Philippe rédige de nombreux « white papers » sur les différents aspects sectoriels du GDPR, des études « business » et autres contenus WEB sur les thématiques Cyberisques / GDPR.

Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

@cyberisques @jpbichard @DPO_NEWS

http://www.cyberisques.com/

 

 

 

(*) GDPR (General data protection regulation) est le terme anglais pour RGPD (Règlement général sur la protection des données). Le terme anglais étant plus utilisé, nous l'avons privilégié. Il remplace à la fois la loi française Informatique et Libertés de 1978 et la Directive européenne de 1995, transposée en France en 2004. GDPR ne se transpose pas, ce règlement est d'application directe, il s'impose donc dans tous les pays et à toutes les entreprises dans les mêmes termes. GDPR est géré par le G29 (Groupe de l'Article 29, réunion des CNIL européennes).

 

 

Synthèse de l'intervention de Jean-Philippe Bichard

Directeur des rédactions Cyberisques-NEWS et DPO-NEWS

(reproduction autorisée si source publiée : @jpbichard DPO_NEWS Cyberisques NEWS)

 

Matinée-21-mars-2017-IVANTI

21 mars 2017: DSI "grands comptes" réunis par Ivanti pour une matinée GDPR  Paris XVIe 

 

C'est rarement évoqué. Les données et traitements « sécurisés » compatibles GDPR peuvent représenter désormais un capital parmi les plus importants de l’entreprise, avec les ressources humaines et les moyens financiers. Sous cet angle, l'adoption « compliance GDPR » peut constituer un avantage concurrentiel pour les organisations « habiles » rapidement « conformes ». Exemple : dès 2018, toutes les bases de données commercialisées intégrant des données à caractère personnel seront conformes aux règles du GDPR. Il y a donc urgence a devenir « GDPR compatible » pour des raisons légales mais aussi...business.

 

 

1 – RGPD / GDPR: grandes lignes

Adopté en avril 2016, le RGPD entrera en vigueur en mai 2018. Il doit permettre aux citoyens européens de reprendre le contrôle sur leurs données personnelles. C'est aussi une belle opportunité de repenser pour les organisations leur stratégie de « data gouvernance ».

Le règlement s'applique aux entreprises européennes, mais aussi aux entreprises non-européennes qui ont un pan de leur activité en Europe, et qui traitent de fait des données de citoyens européens. Il faut retenir :  

Nomination d'un DPO Data privacy officer) : Qui ? Quand ? Mission ? Externe,Interne ? Autorité ? Fonction cumulable avec une autre ?

Les photos comme les adresses IP mais aussi les informations partagées sur les réseaux sociaux sont désormais considérées comme des données personnelles. MAIS quid des données liées au « shadow IT » ?

Les entreprises souhaitant collecter des données doivent avoir un consentement explicite de leurs utilisateurs : gestion des consentements, droit à l'oubli y compris chez les sous-traitants

DPIA (Data protection impact assesment) Liste de traitements avec analyse d'impacts obligatoire sur la vie privée.

Elles devront tenir un registre de traitement des données, permettant de déterminer si les données quittent l'Union Européenne et dans quelles conditions.  

Les données stockées par l'entreprise devront être protégées contre la perte, le vol ou la détérioration.

L'ensemble des citoyens européens auront le droit d'accéder à leurs données personnelles, et de demander leur suppression

Les citoyens pourront exercer leurdroit à la portabilité des données. (changer de prestataire sans être captif)

En cas de fuite des données, les entreprises sont tenues d'informer l'autorité nationale responsable de la protection des données dans les meilleurs délais (72h00)

De lourdes sanctions financières 

En cas de non-respect du RGPD, l'entreprise s'expose pourtant à de lourdes sanctions financières, pouvant aller d'une amende d'un montant équivalent à 4% du chiffre d'affaires mondial de l'entreprise à 20 millions d'euros (ou 4% du chiffre d'affaires mondial, le montant le plus important des deux étant retenu) pour les infractions les plus graves.

Illustration d'un traitement de données à caractère personnel « incompatible » le cas Decaux :

Dans une décision du 8 février 2017, le Conseil d’Etat est venu préciser ce qu’il faut entendre par "données anonymisées" par opposition aux "données pseudonymisées".

Cette affaire concerne un projet imaginé par la société JCDecaux qui visait à compter les flux de piétons sur la dalle piétonne de La Défense, grâce à des boîtiers de comptage wifi, installés sur des mobiliers publicitaires et destinés à capter les adresses des appareils mobiles présents dans cet espace.

L’idée était donc de mesurer les volumes de fréquentation et les taux de répétition, à des fins essentiellement publicitaires.

Dès lors que le traitement réalisé sur une donnée permet d’attribuer à cette donnée la personne concernée en ayant recours à des informations supplémentaires, alors la donnée est dite pseudonymisée.

En revanche, si le traitement réalisé sur la donnée ne permet plus - quel que soit le procédé utilisé - de lui attribuer la personne concernée, alors la donnée est dite anonymisée. 

 

 

En pratique:  GDPR : 10 défis pour DSI / RSSI / DPO...  en 2017

(source @DPO_NEWS)

1 - Sensibilisation et enjeux GDPR auprès des COMEX / CODIR (sponsor de DPO auprès des directions stratégiques)

2 – Métiers, clients, partenaires et compréhension GDPR : conflit d'intérêts DPO / Business ? (Marketing, RH, R&D...)

3 - Nommé un DPO (ex CIL ?) interne ou via une prestation de service externalisée

4 – Évaluation du risque d'exposition : Audit puis DPIA, commander des audit et réaliser des inventaires pour identifier les traitements faisant appel à des données à caractère personnel. Avec une approche macro (type de data, volume..)

5 - Cartographies de l'existant avec les métiers et mise en œuvre des mesures Privacy par default et Privacy by design

6 – S'assurer que la démarche « intentionnelle » pour se plier à la conformité GDPR existe réellement via une analyse de conformité (avant que la CNIL effectue un contrôle)

7 – Comprendre et intégrer le concept « d’extraterritorialité » (datas de citoyens européens à caractère personnel traitées en dehors de la zone Europe)

8 – Gérer contractuellement les sous-traitants avec contrats et clauses de responsabilité (Audit, traitements...)

9 – Intégrer la « minimisation » au sein des traitements : données réellement nécessaires aux traitements (sans systématiser l'intégration de données à caractère personnel)

10 – Tenir compte dans les sanctions des risques d'atteinte à l'image de l'organisation notamment dans le cas de notifications auprès de la CNIL

 

 

 

Rappel : CNIL https://www.cnil.fr/fr/textes-officiels-europeens-protection-donnees

 

La CNIL publie une méthodologie en 6 étapespour se préparer et anticiper les changements liés à l’entrée en application du règlement européen le 25 mai 2018.

Les organismes devront en effet être capables de démontrer, à compter de cette date, leur conformité à ces dispositions.

 


- Obligation d'Accountability – Référentiel Européen 2016
En conformité à l'article 29 du Référentiel Européen relatif à la protection des données personnelles, vous êtes en mesure de démontrer et éditer à tout moment l'inventaire des traitements, l'état des mesures et procédures, les analyses des risques et d'impacts sur la vie privée.

- Pilotage opérationnel des actions CIL et DPO
un
logiciel vous accompagne dans toutes vos fonctions de CIL et/ou DPO.

- Gestion électronique des fiches de traitements
Vous gérez vos fiches de traitement avec précision et conformément à la législation en vigueur.

- Edition automatisée du registre ou de l'inventaire
Vous éditez en toute simplicité vos registres et inventaires.

- Auto-évaluation du respect des exigences réglementaires (audit)
Vous auditez et mesurez en toute indépendance votre bon respect des exigences réglementaires.

- Pré-classification des risques « vie privée »
Vous évaluez le niveau d'exposition aux risques de chacun des traitements de données à caractère personnel que vous gérez.

- Tableaux de bord d'indicateurs de performance
Vous disposez à tout moment d'indicateurs clairs, fiables, actualisés, exploitables, compréhensibles et précis, pour aider les acteurs clés à piloter votre organisation.

 

En savoir plus : @cyberisques @jpbichard @DPO_NEWS

http://www.cyberisques.com/

 

 

Autres contributions :

- Cabinet d'avocats Mathias : aspects juridiques de la GDPR

http://www.avocats-mathias.com/

 

Ivanti France : solutions et outils « compatibles » GDPR

http://www.ivanti.fr/fr-FR/

 

 

 

 

@DPO_News Protection des données personnelles : êtes-vous prêts ?

Cyberisques News Idées: Olivier de Maison Rouge, Avocat

 

 

Protection des données personnelles : êtes-vous prêts ? 

 

 

Le règlement général sur la protection des données personnelles (RGDP) entrera en vigueur le 25 mai 2018. Il est temps de s’y préparer avec méthode et efficacité. Olivier de Maison Rouge, Avocat pose trois questions essentielles que chaque entreprise doit se poser et les réponses pour agir.

 

 

Le RGDP et la protection des données, quels sont les principaux enjeux pour votre entreprise ? Et vos clients ?

 

Si la France avait longtemps fait figure de « premier de la classe » en qualité de précurseur sur la question des données personnelles, dès 1978, désormais, les entreprises doivent s’adapter aux nouvelles règles issues du RGPD, applicables en mai 2018.

Vos données personnelles, principalement des fichiers clients, doivent désormais faire l’objet de la plus grande attention et leur utilisation répondre aux exigences des autorités. Leur gestion peut être organisée en interne par un service dédié. Autre solution, confier la gestion de vos données personnelles à un avocat qui remplira cette mission avec indépendance selon les critères retenus par le RGPD. Il faut pour cela choisir le bon profil, car le délégué à la protection des données (DPO) désigné à cet effet est force de conseil et  d’assistance dans toutes activités de l’entreprise dès lors qu’elles touchent aux données personnelles. A titre d’exemple, chaque nouveau projet doit intégrer en amont une réflexion et si nécessaire un mode opératoire intégrant la protection des données personnelles ; le DPO doit avoir la science suffisante pour accompagner les équipes dédiées.

 

 

Quelles sont les priorités avant la fin de l'année ? en 2018 ?

 

Vous devez, en priorité mettre en place un dispositif d’alerte professionnelle interne (lanceurs d’alerte) applicable au 1er janvier 2018, conforme aux règles énoncées par la CNIL mais encore désigner en amont un DPO (délégué à la protection des données, ex-CIL, né du RGPD), avant mai 2018, outre, le cas échéant, initier une approche en matière de sécurité des informations non divulguées (secret des affaires) pour juin 2018

Les implémentations de ces nouvelles règlementations successives doivent donc être savamment coordonnées et anticipées, dans la mesure où elles seront incontournables (notamment en regard des amendes susceptibles d’être prononcées) et constituent pour l’avenir un socle fondamental concernant la gestion de toutes données de l’entreprise. Le dernier trimestre de l’année 2017 doit permettre d’envisager sereinement cette évolution digitale significative.

 

 

Quels conseils pour mettre en place une task force dans votre entreprise, quelle que soit sa taille ? 

 

Il convient  de désigner les bons interlocuteurs internes et externes. A l’approche des prochaines échéances (RGPD, Sapin 2, …) de nombreux métiers au sein de l’entreprise seront directement ou indirectement impactés. Il faut dès lors rationnaliser les actions opérationnelles et fonctionnelles pour éviter de vivre ces nouvelles obligations comme une contrainte, mais davantage comme un vecteur de développement en tant qu’avantage concurrentiel.

De fait, plusieurs choix sont à faire en ce sens et, au lieu de disperser les missions, il importe de privilégier une approche globale et convergente de nature juridique, technologique et s’assurer de la mise en place d’un service ou d’une personne dédié (e) aux informations et alertes professionnelles internes, qui puisse éventuellement tout à la fois être, le cas échéant, DPO, référent de premier rang de la Loi Sapin 2, délégué à la protection des données sensibles … Cela se traduit in fine par l’émergence d’un nouveau métier tel que « délégué à la sûreté et à la conformité des données ».

 

 

A propos de l'auteur

 

Olivier de Maison Rouge est avocat et Docteur en droit. Il est également diplômé de Sciences politiques. Il est professeur associé à l’Ecole des relations internationales (ILERI) et à l’Ecole de Guerre Economique (EGE), intervenant à l’IHEDN et à l’Ecole Nationale de la Magistrature (ENM). Il est membre de la commission permanente « secrets d’affaires » de l’AIPPI, du comité d’éthique du syndicat français de l’intelligence économique (SYNFIE) et vice-Président de la Fédération Européenne des Experts en Cybersécurité (EFCSE). Il est l’auteur de deux ouvrages : « Le droit du renseignement - renseignement d’Etat, renseignement économique », LexisNexis, coll. Actualité, 2016 ; Le Droit de l’intelligence économique. Patrimoine informationnel et secrets d’affaires, Lamy, coll. Axe Droit, 2012.

 

 

BONUS: 

 

Rappels Cyberisques NEWS: 

Source CNIL : Extrait rapport annuel 2016 enjeux 2017

Les enjeux de 2017 (2) : disposer impérativement d’une nouvelle loi Informatique et Libertés avant mai 2018

Le règlement européen comporte de très nombreux renvois au droit national. Par ailleurs, il n’est pas applicable à certains traitements de données, notamment les fichiers relatifs à la sécurité publique. Le Parlement devra donc adopter une nouvelle loi « informatique et libertés » pour tenir compte de ce nouvel environnement européen qui devra être impérativement adoptée avant le 25 mai 2018, sous peine de rendre très largement inapplicable le nouveau cadre de protection en France.

Le règlement européen comporte 57 mentions ou renvois au droit des Etats membres, donc au droit national. En outre, parallèlement au règlement, a été adoptée une directive applicable aux fichiers en matière de sécurité publique et de recherche et répression des infractions pénales (dite « police-justice »). Il est donc indispensable que le Législateur, en France, procède à une adaptation profonde de la loi « informatique et libertés » pour tenir compte de cette évolution et parachever l’environnement réglementaire, et transposer la directive « police-justice »

Concrètement, la loi devra comporter plusieurs types de dispositions.

La loi devra tout d’abord abroger une série d’articles dont la substance est reprise par le règlement ou qui ne peuvent pas coexister avec celui-ci. Tel est notamment le cas de la plupart des articles relatifs aux définitions, règles et principes en matière de protection des données, ainsi que de la plupart des dispositions relatives aux droits des personnes et aux obligations des entreprises ; La loi devra ensuite redéfinir les procédures applicables à la CNIL impactées par le règlement, notamment en matière répressive, afin de prévoir l’européanisation des procédures ; Le Législateur se prononcera également sur les règles applicables dans les matières pour lesquelles le règlement renvoie au droit des Etats membres.

Le règlement fixe le cadre général applicable à l’ensemble des traitements de données à caractère personnel. Toutefois, compte tenu des spécificités de certaines données, ou de l’imbrication entre le droit de la protection des données et d’autres pans du droit (santé, etc.), le règlement européen renvoie, dans plusieurs hypothèses, au droit national.

Les renvois du règlement au droit national sont assez divers, rendant complexe une présentation synoptique. Le chapitre IX a pour objet d’énumérer des champs d’intervention dans lesquels les Etats membres peuvent préciser ou déroger au règlement : traitements journalistiques, traitements et accès du public aux documents officiels, traitement du NIR, traitement des données au travail, traitement des données à des fins de recherche historique, scientifique ou statistique, obligations de secret. Mais il existe aussi des dispositions disséminées, qui renvoie le soin aux Etats membres de fixer les mesures et garanties appropriées ou de compléter les règles existantes.   

 

 

 

 

#DPO_NEWS #cyberisques Université AFCDP: DPO un CIL 2.0 ?

reportage: @DPO_NEWS   Université AFCDP 


DPO, un CIL 2.0 ?

 

AFCDP-1-UNIVERSITE-2017

 


Jamais les données a caractère personnel n'ont autant préoccupées les responsables des risques cyber. La mise en place en 2016 avant son application en mai 2018 de la GDPR (Règlement européen de protection des données à caractère personnel) n'y est pas étrangère. l'Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP) fait le point à l'occasion de sa 11eme université des CIL à Paris.

 


Les préoccupations des citoyens-clients-utilisateurs européens sur l'usage de leurs données collectées sur le Net sont bien réelles; (http://www.cyberisques.com/mots-cles-7/635-cyberisques-dpo-news-64-de-francais-pensent-que-leurs-informations-sont-utilisees-dans-d-autres-buts-que-ceux-qu-ils-ont-approuve)

Dans ce contexte, les idées fédérées par l'Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP) qui réunit les CIL et pour bon nombre d'entre eux les futurs DPO prennent un sens particulier en 2017. Comment les CIL dont le métier existe depuis 2004 doivent se préparer et mettre en ordre de marche leurs organisations via leur futur rôle de DPO en 2018 ? Quels budgets avec quelles sensibilisations et quels « sponsors » auprès des dirigeants pour quels objectifs avec le cas échéant quelles sanctions de la part de la CNIL?

L'AFCDP a réuni a Paris le 25 janvier ses membres et bon nombre de personnalités : la CNIL bien sûr avec Édouard Geffray Secrétaire Général et Albine Vincent chef du service CIL ( http://www.cyberisques.com/fr/component/content/article/93-categorie-3/sous-categorie-3-1/621-interview-dpo-news-cyberisques-albine-vincent-chef-service-des-cils-au-sein-de-la-cnil ) mais aussi des parlementaires et sénateurs, de nombreux acteurs IT et dirigeants en plus des... premiers DPO.

Si le GDPR comme convenu a constitué l’essentiel des thèmes des débats et ateliers, l’évolution du cadre réglementaire et sa mise en application ont beaucoup été abordé. Le renforcement de la CNIL avec la loi République Numérique est un exemple. La mise en œuvre de ce texte aura des conséquences sur la notion très actuelle de mort numérique ou de portabilité des données... Les attentes sur le Privacy Schield et les positions nouvelles des Etats-Unis en matière de protection des données privées, le GDPR, la loi pour une République numérique … que devient le CIL en 2017 ? Qui sera t-il en 2018 ?


« DPO as a service »

Face à l' inflation de lois nouvelles nationales, internationales et européennes, Paul-Olivier Gibert, Président de l'AFCDP a carrément posé la question : doit on attendre pour agir sachant que bon nombre de CIL se trouvent « entre deux textes » ? Lequel choisir aujourd'hui ? Idem pour la future fonction de DPO (lire nos liens en section BONUS). Quel profil pour quelles missions ? Exemple : dans quel environnement doit-on nommer un DPO ? Réponse : ce ne sera pas nécessairement et uniquement au sein de grandes organisations. Le Big data et les usages des services sur Internet génèrent des flux de données qui n'ont aucun rapport avec la taille d'une entreprise. Certaines start-up gèrent des flux considérables. Elles réalisent des « croisements » de données à l'origine de la génération de nouvelles données personnelles plus importantes que certaines organisations telles que les banques. « Or un DPO dans une start up de 8 personnes çà n'a pas de sens » rappellent certains intervenants. Pour la CNIL c'est clair ; là ou on traite de la donnée personnelle il faut un DPO. Les petites et moyennes organisations en ont-elles les moyens ? C'est un réel débat à la veille de la mise en application de la GDPR (et des sanctions qui l'accompagnent).

Va t-on alors s'acheminer vers la notion de « DPO as a service » ? ou un DPO pour plusieurs entités comme le préconise dans certains cas le GDPR ?
Paul-Olivier Gibert le souligne : « certaines pratiques doivent être inventées et réinventées en permanence ».  

( Lire pour les abonnés notre enquête DPO et GDPR : les 15 premières mesures indispensables à mettre en œuvre pour toutes les organisations )

Sur certains points, les dossiers avancent. C'est le cas avec un sujet sensible : le stockage des données sur le territoire européen. Cette thématique ne soulève plus les mêmes interrogations. « Après l'élection de Donald Trump bon nombre d'acteurs IT ont appelé leurs clients européens pour leur signaler que le stockage de leurs données en Europe était tout à fait possible » rappelle un participant au débat. Dans l’autre cas (données EUR au US) le député européen Jean Philipp Albrecht, Vice-Président de la Commission des libertés civiles, de la Justice et des affaires intérieures a d'ailleurs précisé lors d'une vidéo avec Bruxelles « que peu de recours juridiques existent avec le Privacy Schield pour les données d'origine européennes destinées aux US. En cas de soucis, les recours juridiques avec avocats aux US sont complexes mieux vaut sécuriser les données avant de les transférer ». En clair, CIL et DPO, faites appel à la cryptographie par exemple.

Invité a la plénière d'ouverture en matinée, le députe du Maine-et-Loire Luc Belot avec beaucoup de conviction a déclaré : « Politiques et législateurs ne comprennent pas le numérique dans la mesure ou chaque loi qu'ils proposent veut interdire » en prenant exemple sur les prix limités des livres sur les plate-formes e-commerce (pour protéger les libraires indépendants) et la façon dont Amazon qui était indirectement visée par cette loi est passée a travers. Pour bon nombre d'intervenants, « il faut que les citoyens disposent d'un droit a agir en conservant leurs données. C'est le sens de la portabilité avec la libre disposition des données ».

En clôture de la plénière du matin, Édouard Geffray secrétaire général de la CNIL a annoncé avant mai 2018 (échéance pour la mise en application de la GDPR) le dépôt d'un projet de loi pour préciser les interprétations du règlement européen par les autorités françaises : « Il s'agit de compléter au plan national le GDPR en offrant également des bonnes pratiques pour simplifier certaines formalités ». Très attendu sur les modalités de mise en place des premières sanctions en cas de non conformité des organisations avec le GDPR, la CNIL - Autorité de contrôle voire de sanctions - partage l'idée d'une « transition douce » entre les textes actuels et ceux du GDPR plus exigeants. « Sur 550 contrôles réalisés depuis l’existence de la CNIL, il y a eu 100 mises en demeure et 15 sanctions » a rappelé Edouard Geffray. Bref la bienveillance doit l'emporter.

 

 

Président-2017-AFCDP

 

GDPR : DPO, un CIL 2.0 ?

L'éditeur Symantec a publié en décembre 2016 le « Rapport Européen sur la Confidentialité des Données » (cf Cyberisques News et DPO_NEWS), qui révèle que 96 % des entreprises françaises, allemandes et britanniques n’ont qu’une compréhension partielle du Règlement général sur la Protection des Données personnelles (RGPD).
Seules 25 % d’entre elles considèrent cette conformité comme l’une des toutes premières priorités dans les deux années à venir, mais elles se montrent cependant plus confiantes que leurs homologues européens, puisque 32 % pensent être déjà prêtes, contre 26% dans les deux autres pays. Une méconnaissance de la réglementation 22 % des personnes interrogées en France (23 % dans les autres pays) pensent que leur entreprise ne sera soit pas du tout soit seulement partiellement en conformité avec le RGPD d’ici 2018. (lire notre encadré : GDPR moins de 350 jours...ouvrés).

Dans ce contexte, le futur DPO, sorte de CIL 2.0 doit s'interroger face aux évolutions du traitement des données et de leur source. Pour Laurent Tollié, directeur général de la GMF – 3,5 millions de sociétaires, 5000 collaborateurs, filiale de COVEA, 16,5 milliards d'euro - « avec le Big Data, les assureurs traitent plus de données personnelles que la plupart des autres acteurs économiques d'où la nécessité d'une plus grande rigueur. » C'est le cas avec la légitimité et les origines des données à caractère personnel. Dans le cas de données issues de voitures connectées, les compagnies d'assurance doivent pouvoir répondre aux questions suivantes : qui maîtrise les données entre constructeur, acheteur, assureurs ? Qui peut revendiquer un traitement spécifique ? Laurent Tollié estime que la fonction de CIL (futur DPO) est à la croisée de trois dimensions : technologique, mesure du risque et réglementaire.

@jpbichard

 

Lire pour les abonnés notre enquête

1 - DPO et GDPR : les 15 premières mesures indispensables à mettre en œuvre pour toutes les organisations ( collecte d'informations, label, recherche de sponsors de DPO, évolution juridique et veille, planification budgétaire, nouveaux outils, diffusion et partage des informations, procédures de notifications, cyberassurance, scénarios, conformité pour les sites WEB... )

2 – GDPR : au delà des aspects réglementaires et organisationnels, quels outils ?

3 – le DPO Book de DPO_NEWS : la boite a outils du DPO (@DPO_NEWS)

 


GDPR moins de 350 jours...ouvrés

Menées auprès des décideurs informatiques et des dirigeants de 900 entreprises en France, en Allemagne et au Royaume-Uni, l’étude montre notamment que 92 % des sociétés françaises sont inquiètes quant à leur capacité à être en conformité avec le RGPD.

Parmi elles, seulement 22 % également estiment que cela est encore réalisable et 53 % que certains départements seulement seront prêts (contre 49 % en moyenne européenne). Ce manque d’assurance de respecter la date butoir de mai 2018 implique pour les entreprises un risque de s’exposer à de lourdes pénalités qui pourraient entraver leur activité et prospérité. Déconnectées de leurs clients Alors que les entreprises doivent se conformer aux obligations du RGPD, elles s’avèrent ne pas être en phase avec les attentes de leurs clients, lorsqu’il s’agit de sécurité et de confidentialité des données.


BONUS :

http://www.cyberisques.com/fr/mots-cles-5/625-dpo-news-cyberisques-gdpr-gdpr-faits-et-chiffres-infographies

http://www.cyberisques.com/mots-cles-7/137-mots-cles-30-reglementation/633-dpo-news-cyberisques-symantec-nous-voyons-bien-arrive-le-dpo-as-service-surtout-dans-le-monde-de-la-pme-et-cette-reglementation-va-tirer-tout-le-monde-vers-le-haut

 

Abonnemnt-2017 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires