#DPO_News #cyberisques : La Commission propose de resserrer les règles en matière de respect de la vie privée pour toutes les communications électroniques

Source: Commission européenne - Communiqué de presse

 

 

La Commission propose de resserrer les règles en matière de respect de la vie privée pour toutes les communications électroniques 

 

 

Bruxelles, le 10 janvier 2017

La Commission européenne propose actuellement de nouvelles mesures législatives visant à renforcer le respect de la vie privée dans les communications électroniques tout en créant de nouvelles perspectives d'activité économique.

Les mesures présentées aujourd'hui visent à actualiser les règles en vigueur, en étendant leur champ d'application à l'ensemble des fournisseurs de services de communications électroniques. Ils visent également à créer de nouvelles possibilités de traiter des données de communication et de renforcer la confiance et la sécurité dans le marché unique numérique — l'un des objectifs clés de la stratégie pour le marché unique numérique. Dans le même temps, la proposition vise à harmoniser les règles applicables aux communications électroniques avec les nouvelles normes d'envergure mondiale fixées par l'Union dans le règlement général sur la protection des données. La Commission propose également de nouvelles règles afin de garantir, lorsque des données à caractère personnel sont traitées par les institutions et organes de l'UE, que le respect de la vie privée est assuré de la même manière que dans les États membres en vertu du règlement général sur la protection des données, et définit une approche stratégique des questions liées aux transferts internationaux de données à caractère personnel.

M. Frans Timmermans, premier vice-président de la Commission européenne, a déclaré à ce propos: «Nos propositions compléteront le cadre européen en matière de protection des données. Elles garantiront la protection de la vie privée dans le secteur des communications électroniques sera assurée par des règles efficaces, et que les institutions européennes appliqueront des normes élevées identiques à celles que nous attendons de la part de nos États membres».

Pour Andrus Ansip, vice-président pour le marché unique numérique: «Notre proposition assurera la confiance dans le marché unique numérique que les citoyens attendent. Je tiens à garantir la confidentialité des communications électroniques et la protection de la vie privée. Notre projet de règlement «vie privée et communications électroniques» offre un juste équilibre: il offre un juste équilibre entre une protection rigoureuse des consommateurs et l'ouverture de perspectives d'innovation pour les entreprises.»

Vĕra Jourová, commissaire pour la justice, les consommateurs et l'égalité des genres, a déclaré pour sa part: «La législation européenne sur la protection des données adoptée l'année dernière fixe des normes exigeantes au bénéfice des particuliers et des entreprises de l'UE. Aujourd'hui nous présentons également notre stratégie visant à faciliter l'échange international de données dans l'économie numérique mondiale et à promouvoir des normes élevées en matière de protection des données dans le monde entier.»

Renforcement de la protection en ligne et nouvelles perspectives d'activité

Le règlement sur la vie privée et les communications électroniques qui est proposé renforcera la protection de la vie privée des particuliers et ouvrira de nouvelles perspectives d'activité économique pour les entreprises.

  • Nouveaux acteurs:92 % des Européens indiquent qu'il est important que leurs messages électroniques et leurs messages en ligne restent confidentiels.Or, l'actuelle directive sur la vie privée et communications électroniques ne s'applique qu'aux opérateurs de télécommunications traditionnels. Dorénavant, les règles en matière de respect de la vie privée s'appliqueront également aux nouveaux acteurs dans le secteur des services de communications électroniques, tels que WhatsApp, Facebook Messenger, Skype, Gmail, iMessage ou Viber
  • Renforcement des règles: en remplaçant l'actuelle directive par un règlement directement applicable, il s'agit d'assurer aux particuliers comme aux entreprises de l'Union un niveau de protection uniforme de leurs communications électroniques.Un ensemble de règles unique pour l'ensemble de l'Union profitera également aux entreprises.
  • Contenu des communications et métadonnées: le respect de la vie privée sera garanti en ce qui concerne non seulement le contenu des communications électroniques mais aussi les métadonnées (par exemple, la date et l'heure d'un appel ou sa localisation). Ces deux éléments ont un caractère éminemment privé et devront, en vertu des règles proposées, être anonymisés ou effacés en l'absence d'autorisation expresse de l'utilisateur, sauf dans le cas de données nécessaires par exemple à la facturation.
  • Nouvelles perspectives d'activité: dès qu'ils auront obtenu l'autorisation d'exploiter les données de communication (tant le contenu que les métadonnées), les opérateurs de télécommunications traditionnels auront davantage de possibilités de les utiliser et de fournir des services supplémentaires. Ils pourraient, par exemple, produire des cartes thermiques («heat maps») indiquant la présence de personnes et utiles aux pouvoirs publics et aux entreprises de transport pour l'élaboration de nouveaux projets d'infrastructures.
  • Simplification des règles en matière de cookies: la règle dite «des cookies», qui contraint l'internaute à répondre sans cesse à des demandes d'autorisation, sera simplifiée. Les nouvelles règles offriront aux utilisateurs une meilleure maîtrise de leurs paramètres, en leur permettant d'accepter ou de refuser aisément les cookies et autres identifiants de suivi de leurs activités en cas de risque pour le respect de la vie privée. La proposition précise que le consentement n'est pas nécessaire pour les cookies non intrusifs utilisés pour améliorer les recherches de l'internaute (par exemple, la mémorisation de l'historique des achats). Les cookies créés par un site comptant le nombre de visiteurs de ce site internet ne nécessiteront plus de consentement.
  • Protection contre le spam: la proposition soumise aujourd'hui interdit les communications électroniques non sollicitées, quel que soit le moyen utilisé (messages électroniques, SMS, etc., ainsi que, en principe, les appels téléphoniques), si l'utilisateur n'a pas donné son accord. Les États membres peuvent opter pour une solution qui donne au consommateur le droit de s'opposer à la réception d'appels de télémarketing, par exemple en inscrivant son numéro sur une liste rouge. Les démarcheurs devront afficher leur numéro de téléphone ou utiliser un indicatif spécial indiquant qu'il s'agit d'un appel commercial.
  • Contrôle plus efficace: le contrôle du respect des règles de confidentialité prévu par le règlement incombera aux autorités nationales responsables de la protection des données.

Règles relatives à la protection des données pour les institutions et organes de l'UE

La proposition de règlement relatif à la protection des données à caractère personnel par les institutions et les organes européens vise à aligner les règles existantes, qui datent de 2001, avec les règles plus récentes et plus strictes fixées par le règlement général sur la protection des données de 2016. Toute personne dont les données à caractère personnel sont traitées par les institutions ou agences européennes bénéficieront de normes de protection plus élevées.

Protection des données à l'échelle internationale

La proposition de communication définit une approche stratégique en ce qui concerne la question des transferts internationaux de données à caractère personnel, qui facilitera les échanges commerciaux et favorisera une meilleure coopération en matière coercitive, tout en assurant une stricte protection des données. La Commission participera activement aux travaux relatifs aux décisions constatant le caractère adéquat de la protection (permettant la libre circulation de données à caractère personnel vers des pays appliquant des règles de protection des données d'un niveau «substantiellement équivalent» à celles de l'UE) avec ses principaux partenaires commerciaux en Asie de l'Est et du Sud-Est, commençant avec le Japon et la Corée en 2017, mais aussi avec les pays intéressés d'Amérique latine et du voisinage européen.

De plus, la Commission utilisera pleinement aussi les autres mécanismes alternatifs prévus par les nouvelles règles de l'Union sur la protection des données (règlement général sur la protection des données et directive «police») pour faciliter l'échange de données à caractère personnel avec d'autres pays tiers pour lesquels il n'a pas été possible de dégager de décisions sur l'adéquation du niveau de protection.

La communication rappelle également que la Commission continuera d'encourager le développement de normes élevées de protection des données à l'échelle internationale, tant au niveau bilatéral que multilatéral.

 

Prochaines étapes

Avec la présentation des propositions effectuée aujourd'hui, la Commission invite le Parlement européen et le Conseil à déployer la diligence requise pour que leur adoption puisse intervenir au plus tard le 25 mai 2018, date d'entrée en vigueur du règlement général sur la protection des données, L'objectif étant que les particuliers et les entreprises disposent d'emblée d'un cadre juridique pleinement opérationnel et complet en matière de respect de la vie privée et de protection des données en Europe.

Parallèlement aux propositions soumises aujourd'hui, la Commission a également présenté une communication visant à donner un nouvel élan à l'économie fondée sur les données. De plus amples informations sont disponibles ici.

 

L’accès à l'intégralité de nos articles (dossiers

"expertises / compliance", enquêtes,

interviews exclusives, tendances chiffrées,

retours d'expérience par secteurs...) est

réservé à nos abonné(e)s

Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

#Cyberisques

#DPO_News

 

 

BONUS: 

 

Idées : Claranet Eric Morali, DPO adjoint, Security & Compliance Claranet

Idées : Claranet Eric Morali, DPO adjoint, Security & Compliance Claranet

 

 
Suite à l'adoption du règlement européen sur la gestion des données personnelles (mise en vigueur à partir du 25 mai 2018), Claranet* fait le point sur les nouvelles obligations auxquelles les organisations doivent se plier pour assurer la protection des données personnelles.

« Comment votre hébergeur participe à votre mise en conformité ? »,

Pour Eric Morali, DPO adjoint, Security & Compliance Claranet :

« Pour un hébergeur, en matière de données personnelles existent des obligations de « sous traitance de sous traitance ». Certaines lignes directrices concernant le RGPD sont en cours d'élaboration pour clarifier au niveau opérationnel les aspects sous traitance et transparence des données. Quelles sont les obligations qui reviennent à tels prestataires avec quel niveau d'intervention ?
Quelles relations devons nous entretenir avec nos propres sous-traitants notamment au niveau des clauses de confidentialité, circulation des données... ?
A ce stade une certification ISO 9001 ne suffit pas. Nous devons mettre en place une équipe capable de réaliser un travail de veille. S'assurer que les notifications suite aux failles de sécurité sont réalisées par exemple. Quel niveau de risques constate t-on sur la vie privée en analysant des données personnelles ? Pour répondre à ces questions, nous avons mis en place une équipe sécurité / conformité. Claranet dispose aussi d'une grande experience dans le secteur de la Santé. Comme vous le savez, les données personnelles de sante constituent au niveau de leur cadre réglementaire un exemple de ce que seront d'autres données encadrées par la RGPD. »


BONUS :

Fondé en 1996, Claranet est un Managed Service Provider, spécialisé en réseau et hébergement d'applications. Le groupe Claranet comprend 18 bureaux et 35 centres d'hébergement. Comptant 1 200 collaborateurs répartis sur 6 pays, Claranet est devenu un acteur majeur des services managés en Europe (238 M€ de CA) Claranet est certifié PCI DSS, ISO 9001, ISO 27001, ITIL v3 et leader du Magic Quadrant Gartner (« Managed Hybrid Cloud Hosting ») pour la quatrième année consécutive.

 

 

 

article 323-3 du Code Pénal: vol de données personnelles ou confidentielles ?

Les assureurs doivent-ils s’inquiéter du nouvel article 323-3 du Code Pénal ?

 

Il n’est pas rare en Droit qu’une loi promulguée dans l’emballement médiatique et l’émotion à la suite d’un évènement majeur produise des effets de bord qui n’étaient pas nécessairement perçus lors de son vote. Parfois ces effets de bord sont positifs et peuvent débloquer des situations juridiques sur lesquelles les praticiens peinaient au quotidien. Ils peuvent aussi amener à reconsidérer des clauses fondées sur les textes ainsi remodelés, en l’occurrence ici des clauses de garanties d’assurance.

 

Il en est ainsi de la loi du 13 novembre 2014 qui, sous couvert de réprimer le terrorisme, vient de modifier l’article 323-3 du Code Pénal sans nécessairement avoir pris conscience de l’importance que cette modification pouvait avoir en faveur de la reconnaissance juridique du vol de données informatiques.

 

Le problème n’est pas nouveau. Alors que dans le langage courant on parle régulièrement aussi bien de « vols de données personnelles » de clients, commis au détriment d’opérateurs téléphoniques désormais tenus de déclarer les incidents de sécurité, que de « vols de données confidentielles » dans des grandes entreprises qui s’apparentent plutôt à de l’espionnage industriel, le terme de « vol » ne reflétait pas la réalité de la qualification juridique. En effet, la notion de vol de données n’entre pas parfaitement dans la définition du vol dans le Code pénal (article 311-1) puisqu’il faut constater la « soustraction frauduleuse de la chose d’autrui ».

 

 

Pour lire la suite et profiter de notre offre spéciale anniversaire ABONNEZ-VOUS AU SERVICE VEILLE BUSINESS RISK DE CYBERISQUES.COM:

 

Chaque semaine l'équipe de CYBERISQUES.COM sélectionne l'essentiel des infos stratégiques pour les membres des COMEX et IT managers: rapports études et chiffres indispensables, financement des cyber-risques, solutions de cyber-assurance, protection des actifs immatériels des entreprises, repères marché, protection et maitrise de données critiques des users VIP, veille juridique et réglementaire, interviews inédites, tendances et revue de WEB internationale ... dans la boite mail de votre choix.

 

Pour s'abonner: http://www.cyberisques.com/images/Bulletin-abonnement.png

 

CYBERISQUES.COM premier service de Veille Business Cyber Risk pour COMEX

 

 

Fotosearch k13632761 440

 

Jean-Laurent Santoni Président Clever Courtage

 

BONUS: 

http://www.clevercourtage.com/?p=735 

 

Protection des données : la vision européenne s'affirme

Paquet sur la protection des données: le Parlement et le Conseil proches d'un accord

Def-Données-JP-Bichard

 

 https://epic.org/privacy/cybersecurity/Cybersecruity-Act-of-2015.pdf

Communiqué de presse - Droits fondamentaux − 16-12-2015 - 10:00

 

  • Lire aussi en section BONUS d'autres informations et la vsion de l ENISA et le projet de loi pour une République numérique en cours d'adoption avec les réactions de la CNIL

Dernière MAJ:23 decembre 22h30) 

 

[Communiqué G29] Consensus sur le Paquet européen protection des données personnelles : une étape clé pour la crédibilité européenne

22 décembre 2015

L’accord trouvé par le comité LIBE du Parlement Européen, le COREPER et la Commission Européenne sur la réforme européenne de la protection des données marque une des dernières étapes vers l’adoption finale des textes. Le G29 salue ce consensus obtenu comme une décision majeure pour la crédibilité européenne sur la scène internationale.

 

Le groupe de travail des CNIL européennes (G29) a d’ores et déjà commencé ses travaux pour assurer une période de transition constructive et progressive à l’égard de toutes les parties prenantes, et en particulier pour être prêt en tant que « comité européen de la protection des données » le jour J.

Depuis le début des discussions sur le réforme européenne de la protection des donnée en 2012, le G29 a assuré son rôle d’expertise auprès des législateurs européens afin de contribuer à garantir un niveau élevé et harmonisé de protection des données personnelles à travers la publication de nombreux avis et recommandations. Il avait notamment remis le 18 juin dernier la position commune de toutes les autorités européennes de protection des données aux trois institutions parties au trilogue.

L’accord doit encore être formellement adopté par le Parlement Européen en plénière et par le conseil de l’Union Européenne Justice et Affaires Intérieures.

Isabelle Falque-Pierrotin, Présidente du G29 (et de la CNIL) :

« Par cet accord, l’Europe marque sa détermination à être un acteur majeur du numérique tout en préservant les valeurs humanistes qui sont les nôtres. C’est un signal envoyé à tous les acteurs mondiaux. Le niveau de protection des données des citoyens et consommateurs européens devra rester au moins équivalent à celui garanti par le règlement pour toute entreprise dont les utilisateurs sont situés dans l’Union Européenne. »

 Lire en BONUS les annexes

 

 

(Source Communication EU) Un "compromis solide" visant à garantir un niveau élevé de protection des données dans l'UE a été conclu mardi par les négociateurs du Parlement et du Conseil pendant le dernier tour des négociations sur le paquet relatif à la protection des données. Il revient désormais aux États membres de donner leur feu vert à l'accord. Les deux projets législatifs du paquet - un règlement et une directive - seront soumis à un vote de confirmation en commission des libertés civiles jeudi matin.

 L'objectif du projet de règlement est de donner aux citoyens plus de contrôle sur leurs données privées, tout en apportant de la clarté et de la sécurité juridique aux entreprises afin de favoriser la concurrence sur le marché numérique.

Jan Philipp Albrecht (Verts/ALE, DE). "À l'avenir, les entreprises qui violent les règles européennes sur la protection des données pourraient recevoir une amende pouvant valoir jusqu'à 4% de leur chiffre d'affaires - cela pourrait représenter des milliards d'euros, en particulier pour les entreprises internationales actives dans le domaine d'Internet. En outre, les sociétés devront également désigner un délégué à la protection des données si elles traitent des données sensibles à grande échelle ou collectent les informations de nombreux consommateurs", a-t-il ajouté.

 

"Le règlement rend aux citoyens le contrôle de leurs données personnelles. Les entreprises ne seront pas autorisées à divulguer les informations reçues à une fin particulière sans l'accord de la personne concernée. Les consommateurs devront faire part de leur consentement explicite pour l'utilisation de leurs données. Malheureusement, les États membres ne sont pas parvenus à se mettre d'accord pour fixer la limite d'âge à 13 ans en ce qui concerne l'accord parental qui doit être donné afin que les enfants puissent utiliser des médias sociaux comme Facebook ou Instagram. Les États membres seront libres de fixer leurs propres limites entre 13 et 16 ans", a conclu M. Albrecht.

 

Normes relatives à la protection des données pour la coopération policière transfrontalière

 

La nouvelle directive sur les transferts de données à des fins policières et judiciaires garantira les droits et libertés des citoyens, tout en autorisant les instances répressives nationales dans l'UE à échanger les informations de manière plus rapide et plus efficace.

 

"Il est de la plus grande importance, surtout après les attentats de Paris, de renforcer la coopération policière et l'échange de données de nature répressive", a affirmé la députée en charge de la proposition de directive, Marju Lauristin (S&D, EE), après la conclusion de l'accord. "Je crois sincèrement que cette législation apportera un juste équilibre entre la protection des droits fondamentaux des citoyens et le renforcement de l'efficacité de la coopération policière dans l'ensemble de l'UE", a-t-elle ajouté.

 

La directive sera le premier instrument pour harmoniser 28 systèmes répressifs différents en matière d'échange de données - également au sein de chaque État membre. Parallèlement, elle devrait clarifier les dispositions sur la coopération policière et accroître la certitude juridique pour les citoyens. S'ils le souhaitent, les pays de l'UE auront la possibilité de fixer des normes de protection des données plus strictes que celles énoncées dans la directive.

 

 

Cyberiques-NEWS-DATA-2016

 

 

Prochaines étapes

Si l'accord est approuvé en commission parlementaire, il sera ensuite mis aux voix en session plénière l'année prochaine. À partir de là, les États membres disposeront d'un délai de deux ans pour transposer les dispositions de la nouvelle directive en droit national. Le règlement, qui s'appliquera directement dans tous les pays de l'UE, entrera aussi en vigueur après deux ans.

REF. : 20151215IPR07597

 

BONUS:

 

http://www.cnil.fr/fileadmin/documents/La_CNIL/actualite/WP29_press_release_opinion_in_view_of_trilogue-20150619.pdf

 

file:///D:/Documents/Mes%20T%C3%A9l%C3%A9chargements/Regulatory%20and%20Non-regulatory%20Approaches%20to%20Information%20Sharing.pdf

http://www.assemblee-nationale.fr/14/projets/pl3318.asp

http://www.cnil.fr/nc/linstitution/actualite/article/article/projet-de-loi-republique-numerique-publication-de-lavis-de-la-cnil/?

 http://www.cnil.fr/fileadmin/documents/approfondir/deliberations/D2015-414-PJLNumerique.pdf

http://website-pace.net/documents/19838/1085720/20150126-MassSurveillance-EN.pdf/df5aae25-6cfe-450a-92a6-e903af10b7a2

http://cyberisques.com/fr/mots-cles-3/469-michel-lanaspeze-sophos-3-chiffres-meconnus-en-cybersecurite-3-priorites

 

 

 RGPD-ETUDE-FireEye-2015-cyberisques-1

 RGPD-ETUDE-FIREEYE-2015-cyberisques-2

 

Document amendé du projet de loi pour une République numérique:

 https://www.republique-numerique.fr/media/default/0001/02/b963a16b9a70b18947e91c21379b8eae552c8c30.pdf

 

 

ASSEMBLÉE NATIONALE

CONSTITUTION DU 4 OCTOBRE 1958

QUATORZIÈME LÉGISLATURE

Enregistré à la Présidence de l’Assemblée nationale le 9 décembre 2015.

PROJET DE LOI

pour une République numérique.

(procédure accélérée)

(Renvoyé à la commission des lois constitutionnelles, de la législation et de l’administration générale
de la République, à défaut de constitution d’une commission spéciale
dans les délais prévus par les articles 30 et 31 du Règlement.)

PRÉSENTÉ

au nom de M. Manuel VALLS,

Premier ministre,

par M. Emmanuel MACRON,
ministre de l’économie, de l’industrie et du numérique

et par Mme Axelle LEMAIRE,
secrétaire d’État chargée du numérique

Un projet de texte a été élaboré par le Gouvernement et a fait l’objet d’une phase de relecture publique sur la plateforme en ligne www.republique-numérique.com du 26 septembre au 18 octobre 2015. Cette plateforme ouverte à tous a suscité plus de 8 500 contributions et près de 150 000 votes.

Le présent projet de loi est enrichi d’une partie des remarques provenant des différents contributeurs que le Gouvernement a jugée utile de prendre en compte.

Il s’organise autour de trois axes :

Favoriser la circulation des données et du savoir :

– renforcer et élargir l’ouverture des données publiques ;

– créer un service public de la donnée ;

– introduire la notion de données d’intérêt général, pour permettre leur réutilisation par tous ;

– développer l’économie du savoir et de la connaissance.

Œuvrer pour la protection des individus dans la société du numérique :

– favoriser un environnement ouvert en affirmant le principe de neutralité des réseaux et de portabilité des données ;

– établir un principe de loyauté des plateformes de services numériques ;

– introduire de nouveaux droits pour les individus dans le monde numérique, en matière de données personnelles et d’accès aux services numériques.

Garantir l’accès au numérique pour tous :

– en favorisant l’accessibilité aux services numériques publics ;

– en facilitant l’accès au numérique par les personnes handicapées ;

– en maintenant la connexion internet pour les personnes les plus démunies.

 

Enfants-Livres

Edouard Geffray: "le futur texte EU prévoit comme sanction 5% du CA en cas de non respect de la réglementation EU"

Edouard Geffray*CNIL: "le futur texte EU prévoit, dans sa version issue du Parlement, un montant de sanction de 5% du chiffre d'affaires en cas de non respect de la réglementation européenne"

 

* Secrétaire Général de la CNIL


Quel regard portez-vous sur les travaux en cours concernant le texte européen définissant les futures règles en matière de protection des données personnelles  ?

Rappelons le contexte  : le Conseil européen fonctionne avec deux autres institutions, la Commission européenne et le Parlement européen. Le projet de règlement a donné lieu à l’adoption d’une «  version de compromis  » par le Parlement européen, et est actuellement en cours de discussion au Conseil. Il faudra ensuite qu’il passe en «  trilogue  ». Sur de nombreux points, le texte issu du Parlement converge avec les propositions de la CNIL et les orientations du G29, le groupe des CNIL européennes.

Que va retenir le futur texte lors de sa promulgation courant 2015  début 2016 ?

Plutôt courant 2015. Le texte devrait consacrer la disparition des «  déclarations préalables  », et mettre l’accent sur la mise en conformité dynamique – la «  compliance  » - des entreprises en matière de protection des données personnelles. Il s'agit notamment, pour les entreprises, d'étudier l'impact des usages des données sur la vie privée lorsqu’elles mettront en œuvre des traitements de données sensibles. Le tout en passant d'une logique de formalité à une logique de conformité, et en favorisant les approches sectorielles. La conformité interviendra à la fois au niveau des entreprises et des secteurs, via leurs fédérations respectives. C'est ce que nous souhaitons en développant notre rôle de conseil et d’accompagnement, parallèlement à nos missions de contrôle. Et c’est d’ores et déjà ce que nous faisons, notamment avec la création d’une direction de la conformité en avril 2014 et de nouveaux outils.


C'est l'idée des «  packs de conformité  » lancée par la CNIL pour décliner les principes applicables aux différents secteurs de l'économie  ?

Oui, notamment pour le secteur de l’assurance, pour lequel la protection des données personnelle constitue un enjeu majeur. Il s'agit de regrouper, pour les secteurs concernés, l’ensemble des outils de simplification (dispenses de déclarations, etc.) et des bonnes pratiques qui en sont le corollaire. Nous avons déjà conclu deux packs après une concertation avec les acteurs (la maison intelligente, avec la FIEEC, et le logement social), et sommes en cours de finalisation pour les assurances. D’autres packs suivront.

La CNIL délivre également des labels, une trentaine en deux ans, quelle est la finalité de cette procédure  ?

Il s’agit d’un nouvel outil, qui permet à la CNIL de labelliser des produits ou des procédures qui respectent un référentiel exigeant en matière de protection des données. Pour les entreprises, l’obtention du label constitue un argument qualitatif, donc de compétitivité, important. A ce stade, trois référentiels ont déjà été élaborés (formations, audits de traitement et coffres-forts numériques). 30 labels ont d’ores et déjà été délivrés.

En termes de souveraineté numérique, face à des textes réglementaires de type «  Patriot Act  » par exemple, comment envisagez-vous la protection des données au sein des entreprises françaises pour les prochaines années ? On a vu récemment un juge américain demander à Microsoft l'accès à des données hébergées sur l'ensemble de ses serveurs dans le monde entier. N'existe t il pas deux visions en matière de Droit numérique  ?

La souveraineté numérique passe d’abord par la capacité à faire appliquer le droit européen lorsqu’une personne résidant en Europe est concernée. Le projet de règlement, dans sa version issue du Parlement, comporte ainsi des clauses liées aux conditions de transfert des données entre pays de l'Union et d'autres pays notamment les US. L'article 43, dans sa version issue du Parlement européen, soumet l'autorisation de transfert de données personnelles à des autorités publiques étrangères au(x) CNIL(s) nationale(s).

Dans les faits, pensez-vous que ce type de mesure sera réellement efficace quand on constate le trouble qui s'est emparé de nombre de responsables sécurité voire de politiques après les révélations dues à «  l'affaire Snowden  »  ?

C’est un des éléments de réponse, fondamental, qui a été proposé par la CNIL dès les révélations que vous mentionnez. Par ailleurs, des études montrent que les entreprises européennes ont modifié leurs projets en matière de cloud, par exemple, comme suite à ces révélations. Les industriels ne peuvent rester insensibles aux réactions européennes. On comprend ainsi que la protection des données personnelles est aussi un gage de confiance pour le consommateur, et constitue donc un enjeu de compétitivité. Enfin, le futur texte prévoit, dans sa version issue du Parlement, un montant de sanction de 5% du chiffre d'affaires en cas de non respect de la réglementation européenne.

La délocalisation des données auprès de tiers non européens par des entreprises européennes présente un aspect risqué à vos yeux ou pas  ?

Il faut penser à la fois en termes de risques juridiques et de risques techniques (logiques et physiques). Sur le plan juridique, il est important que le droit européen s’applique dès lors que les résidents européens sont concernés. C’est le sens du projet de règlement. Sur le plan technique, nous donnons des conseils aux entreprises pour qu’elles soient en mesure de s’assurer que les conditions de sécurité sont satisfaisantes.

Récemment pendant que Google était condamné à 150 000 euros d'amendes par l'Europe, BNP Paribas devait s'acquitter de 6 milliards d'Euros aux US. N'existe t-il pas deux poids et deux mesures et ...une certaine efficacité des entreprises de lobbying à Bruxelles  ?

Les deux cas que vous mentionnez ne sont pas du même ordre. Sur la protection des données, la situation évolue, notamment avec la perspective des sanctions maximales de 5% du chiffre d'affaires mondial que nous évoquions. Au-delà de ces questions, ce qui est marquant aujourd’hui, c’est que le futur règlement va doter les pays de l'UE d'un texte unique qui rendra homogène le droit «  numérique  » partout en Europe. Les CNIL auront une approche à la fois intégrée – pour agir ensemble – et décentralisée – pour répondre aussi bien aux besoins des groupes qu’à ceux des PME.

 

 

Propos recueillis par Jean Philippe Bichard  @cyberisques

 

 

CYBERISQUES NEWS premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX / CODIR

Abonnement individuel par eMail personnalisé

Renseignements Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

BONUS: 

http://www.cyberisques.com/images/Bulletin-abonnement.png

http://europa.eu/rapid/press-release_SPEECH-14-431_en.htm

http://www.cyberisques.com/mots-cles-17/334-data-breach-juillet-2014

 

Qestion à la CNIL: 

D'un point de vue strictement légal, les entreprises ont-elles une obligation de garantir leur sécurité informatique?

Oui, puisque l'article 34 de la loi Informatique et Libertés dispose que les entreprises, en tant que responsable des informations qu'elles recueillent, doivent en garantir la sécurité et notamment qu'un tiers non autorisé ne puisse y avoir accès. Il s'agit aussi pour l'entreprise d'un devoir vis-à-vis de ses clients et de ses employés afin de maintenir une relation de confiance.

 

 

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires