#DPO_News #cyberisques #GDPR #AMRAE2017 Arengi le Risk ...en boite

 

#DPO_News #cyberisques #GDPR #AMRAE2017

 

 

Arengi le Risk ...en boite  

 

A l'occasion des journées de l'AMRAE, dans les allées du CIDJ de Deauville, rencontre avec les ingénieurs d'Arengi et leur « boite » : Arengibox.

 

 

En plus d'une société de conseils spécialisée en gestion des risques, Arengi est un éditeur discret mais doté d'une centaine d'entreprises utilisatrices souvent présentes sur des secteurs stratégiques. Sa solution ArengiBox (1) est présentée comme « différente et unique parce qu’elle a été souhaitée, puis entièrement imaginée et conçue par les consultants d’Arengi. ». Admettons, mais que fait la « box » ?

« Pas mal de choses répond Gilles Proust Dg de la structure a commencer par enregistre et trier les connaissances de nos consultants puis a offrir des résultats de traitement pour nos clients. En fait au départ il s'agissait d'un outil interne devenu une offre intéressante pour nos clients notamment par son approche sectorielles ». Chacune des fonctionnalités a été conçue sur la base de pratiques, besoins et retours d’expérience provenant du terrain, de nos défis et succès. ArengiBox a été imaginée en mode SaaS via des serveurs « sécurisés » promettent les créateurs. La solution intègre tous les référentiels métiers d’Arengi (méthodologie, univers des risques, dispositifs de maîtrise, indicateurs clés de risques, …). Bref, la plate-forme ArengiBox pourrait bientôt devenir un outil de mesure de la conformité pour le GDPR. « Pourquoi pas ? Toute entreprise qui gère des données s'expose » précise Benoît Bougnoux, directeur associe d'Arengi. « Du coup, les audits de type EIV / PIA quasi obligatoires pour un projet GDPR répondent aux spécificités de notre plate-forme. Nous avons modélisé quantité de scénarios avec calcul d'impacts et probabilité, le tout en accord avec les informations délivrées par les risk Managers et les COMEX ». Cette approche peut au final offrir une cartographie sectorielle des risques pesant sur les données privées a caractère personnel affirment les deux dirigeants. Si cette offre tient ses promesses dans les mois a venir – des projets GDPR sont en cours- elle pourrait très vite s'imposée auprès de nombreux cabinets d'audits et clients « finaux ». Toutefois, d'autres tels que Deloitte ont déjà une place sur cette niche. Mais le marché des projets GDPR est vaste et....prometteur. Si une entreprise compte 100 traitements sensibles : il faut compter 500 à 1000 jours/hommes pour réaliser l'audit de premier niveau qui devra s'accompagner d'un EIVP (etude d'impact sur la vie privée) ou PIA (Privacy impact assessment). (2).  Ces études permettent entre autres d'analyser les risques propres à la data gouvernance et de les prioriser.

Une étude conduite par l’UE en janvier 2016 (2) révèle que les données européennes à caractère personnel ont de plus en plus de valeur et atteindront près d’1 billion d’euros d’ici à 2020, seulement deux ans après l’entrée en vigueur du RGPD. Les entreprises européennes seront donc en possession de données personnelles protégées et donc davantage valorisées. De ce point de vue, le GDPR constitue vraisemblablement un atout au plan mondial pour les organisations EU. Reste que sa mise en oeuvre ne peut s'effectuer sns une plus grande comprehension des attentes des clients, partenaires et utilisateurs sur l'usage de leurs données privées. On voit que la GDPR offre de multiples opportunités. Reste que le véritable enjeu de la GDPR n’est pas tant celui de la conformité que celui de l’organisation de l’information et des risques associés au sein de l’entreprise.

 

Risk 2030 : une étude ambitieuse

Forte de son expérience « multirisques », l'équipe d'Arengi s'est lancée dans un autre projet ambitieux : Risk 2030. En gros, il s'agit de réaliser la première cartographie collaborative et prospective sur les risques et opportunités des entreprises à horizon 2030. Les risques sont multiples et pas seulement cyber. Cette étude inédite, réalisée auprès des acteurs du monde de l’entreprise, des associations, des experts, des journalistes…, s’appuie sur la méthodologie habituellement mise en œuvre par Arengi lors de l’établissement d’une cartographie des risques et utilise sa plateforme digitale de gestion des risques ArengiBox. La démarche se veut ouverte via différentes étapes : identification: envoi d'un questionnaire en ligne d'identification des risques et opportunités: novembre - décembre 2016, Synthèse: Analyse et synthèse des réponses: janvier - février 2017, Priorisation: évaluation / hiérarchisation collective par les participants des risques et opportunités retenus: février - mars 2017, et finalisation: Synthèse et publication des résultats: Avril 2017.

 

@jpbichard

@DPO_NEWS

 

(1) http://www.arengi.fr/risques/notre-offre

(2) http://www.cyberisques.com/fr/mots-cles-5/625-dpo-news-cyberisques-gdpr-gdpr-faits-et-chiffres-infographies

 

Abonnemnt-2017

#DPO_News #cyberisques #GDPR #DPO :GDPR compliance is a top data protection priority for 92% of US organisations in 2017, according to a #PwC

Survey GDPR 2017:

 

GDPR compliance is a top data protection priority for 92% of US organisations in 2017, according to a PwC Survey

 

It’s not easy for U.S. companies to appease tough EU data privacy laws 

At a panel on data privacy at the annual RSA cybersecurity conference in San Francisco, Cisco(CSCO, +0.42%) chief privacy officer Michelle Dennedy explained that companies—from sports brands to pharmaceutical corporations—are gathering more data than ever from the influx of Internet-connected devices now wired into their IT infrastructure. And the problem is that the upcoming regulation is especially tough on what’s known as profiling, which is essentially the ability for companies to use automation to determine certain characteristics of their individual users.

Companies are no longer just stockpiling their data into large repositories called “data lakes,” Dennedy said. They are now using various AI technologies like machine learning to build powerful software services that can automatically make decisions on their own, based on the data they processed.

http://fortune.com/2017/02/14/google-microsoft-cisco-privacy-profiling-artificial-intelligence/

 

 DPO News-2017

A recent PwC pulse survey asked C-suite executives from large American multinationals about the state of their plans for Europe’s landmark General Data Protection Regulation (GDPR). The “pulse” revealed five surprising results:

  1. Over half of US multinationals say GDPR is their top data-protection priority 
  2. Information security enhancement is a top GDPR initiative
  3. 77% plan to spend $1 million or more on GDPR
  4. Binding corporate rules are gaining popularity
  5. How US businesses are re-evaluating their presence in Europe

The EU reached agreement on the GDPR in December 2015, and in the last twelve months preparing for the new law’s obligations have jumped to the top of corporate agendas. Of the 200 respondents to PwC’s recent pulse survey on GDPR preparedness, 54 % reported that GDPR readiness is the highest priority on their data-privacy and security agenda. Another 38% said GDPR is one of several top priorities, while only 7% said it isn’t a top priority.

 

Much of the discussion about the GDPR has focused on the law’s privacy-centric requirements, such as mandatory record keeping, the right to be forgotten and data portability. The GDPR’s relatively generic information-security obligations, however, figure prominently in GDPR plans of US companies. • Among the 23% of survey respondents who haven’t started preparing for GDPR, their top priorities are data discovery, information security enhancement, third-party risk management and GDPR gap assessment.

• Among the 71% who have begun GDPR preparation, the most-cited initiatives in flight are information security, privacy policies, GDPR gap assessment and data discovery.

• Among the 6% who have completed GDPR preparations, the mostcited projects are information security, GDPR gap assessment, data discovery, and third-party risk management.

• IT re-architecture is the lowest priority for companies in all three phases.

 

Securing a $1 million budget for data privacy has been more an exception than a rule for many American corporations. The GDPR’s potential 4% fine of global revenues, however, has changed budget appetites for mitigating this GDPR risk. While 24% of respondents plan to spend under $1 million for GDPR preparations, 68% said they will invest between $1 million and $10 million. Nine percent (9%) expect to spend over $10 million to address GDPR obligations.

 

The pulse survey asked executives which EU cross-border data-transfer mechanism they planned to use for processing EU personal data outside of Europe. After the invalidation of the Safe Harbor agreement in October 2015, most Safe Harbor members implemented so-called model contractual clauses as a stop-gap measure. Many observers, especially those in the legal community, thought model clauses would become the new norm. While 58% of respondents reported that future strategies would include model contracts, a stunning 75% said they will pursue binding corporate rules (BCRs), while 77% plan to selfcertify to the EU-US Privacy Shield agreement. The uncertain future of both model contracts and the Privacy Shield may drive US multinationals to adopt two or even all three of these options to hedge their risks.

 

US corporations that are heavily invested in Europe will probably stay the course in the near term. Indeed, 64% of executives reported that their top strategy for reducing GDPR exposure is centralization of data centers in Europe. Just over half (54%) said they plan to de-identify European personal data to reduce exposure. The threats of high fines and impactful injunctions, however, clearly have many others reconsidering the importance of the European market. In fact, 32% of respondents plan to reduce their presence in Europe, while 26% intend to exit the EU market altogether.

 

BONUS: 

How should multinationals cover their GDPR bets? Here are three initiatives businesses should add to their 2017 GDPR transformation agenda:

 

1. Enhance DPA relationships. Chief Privacy Officers should use this window before DPAs are flooded with notifications to establish a rapport with their lead DPA and other DPAs where they have major operations. This rapport should include an introduction of key personnel, an overview of the company’s business model and a description of its privacy program. Establishing this context with DPAs can help smooth procedures in the event of a data-breach notification or controversial DPIA.

 

2. Inventory and define high-risk processing activities. The GDPR’s Article 30 requires companies to inventory their data-processing activities. Once complete, businesses should establish criteria to rank these activities into low, medium and high tiers of risk to the rights and freedoms of individuals. These risk determinations are critical to data-breach notification and DPIA requirements.

 

3. Build notification and DPIA capabilities. Many U.S. companies have a head start in developing the people, processes and technologies needed to execute timely data-breach notification and thorough DPIAs. Even those with an initial advantage, however, face a more significant task in modifying their procedures for unique EU requirements, training personnel and testing the repeatability of their controls.

 

 

http://www.pwc.com/us/en/increasing-it-effectiveness/publications/assets/pwc-gdpr-series-pulse-survey.pdf

 

#DPO_News #cyberisques #GDPR : GDPR faits et chiffres 9 entreprises sur 10 ont subi une fuite de données ( Lloyd’s )

 

                                       GDPR le grand défi de 2017

 

Le RGPD (ou GDPR General Data Protection Regulation ) vise à renforcer l'obligation faite aux entreprises qui travaillent en Europe de protéger les données personnelles de leurs utilisateurs et clients. Le RGPD implique notamment l'unification des règles en la matière au niveau européen ainsi que le principe d'extra-territorialité, s'appliquant ainsi aux entreprises non européennes qui ciblent des résidents européens.

 

Selon Lloyd’s, en France 9 entreprises sur 10 ont subi une fuite de données ( voir  lien en section BONUS en fin d'article ) 

Encore peu sensibilisés, les décideurs EUR mesurent difficilement les enjeux liés à la mise en conformité de la protection des données à caractère personnel de leurs SI (Système d'informations) avec le GDPR. Seules 7% des organisations considèrent la Cyber comme un sujet prioritaire et de premier ordre (Deloitte/Enquête 2016 « Enjeux Cyber »). L'erreur majeure serait de considérer qu'une telle mise en conformité ne concerne que le service juridique de l'entreprise. Elle doit bien au contraire impliquer toutes les directions de la société : Juridique, Marketing & Commercial, Ressources Humaines, Informatique, etc. Elle doit également engager l’ensemble des niveaux de la hiérarchie pour faire aboutir et accepter ce type de projet de transformation auprès des Comex et secrétariats généraux.

 

Histo-GDPR-DPO NEWS-2017

 

 

Dans un entretien exclusif accordé à Cyberisques News (voir la section BONUS) Albine Vincent, Chef du service des CILs au sein de la CNIL indique que 4722 CILs (correspondants informatique et liberté) travaillent début 2017 dans 17704 organisations (notamment des administrations). Les futurs DPO seront ils issus des CIL ou devront ils posséder un profil différent ? Pour la CNIL ces managers en charge de la mise en place de la conformité GDPR pourront être externalisés et nommés pour plusieurs entités. Mais précise la CNIL tous les CIL ne deviendront pas tous des DPO ( http://bit.ly/2iRPs6G ). 

 Moins de 500 jours pour une mise en conformité

 Les délais peuvent sembler relativement courts aux entreprises enuropéennes pour mettre en place des changements stratégiques indispensables. Ces évolutions demeurent toutefois plus que nécessaires pour êtres conformes avec le nouveau cadre juridique. Elles n'ont plus le choix. Pratiquement toutes les entreprises de plus de 50 collaborateurs ont concernées

Le règlement européen en vigueur depuis le 24 mai 2016 et applicable à partir du 25 mai 2018, prévoit des sanctions pouvant aller jusqu’à 4 % du chiffre d’affaires annuel mondial et 20 millions d’euros. 

L’une des principales difficultés rencontrées par les organisations pour l’application du règlement GDPR est leur mise en conformité avec les règles édictées par l'article 35 qui, en cas de risques élevés, impose la réalisation d’études d’impact sur la vie privée et l’adaptation des politiques de sécurité associées. Des notions nouvelles apparaissent comme le "privacy in design". On le constate, pour les futurs DPO, la réalisation d'un audit général de l"existant s'impose pour recenser, réaliser l'inventaire technique, effectuer des mapping des flux de données...).  Un travail considérable attend le futur DPO. Selon Egérie Software, si une entreprise compte 100 traitements sensibles : il faut compter 500 à 1000 jours/hommes pour réaliser l'audit de premier niveau qui devra s'accompagner d'un EIVP (etude d'impact sur la vie privée) ou PIA (Privacy impact assessment). 

Qui va venir en aide au DPO ? De quels moyens disposeront les futurs DPO ? Métiers, DSI, juridique, RH... ? Quels budgets ( lire notre encadré 1 DPO&Budget ) On peut imaginer que le RSSI soit le premier "partenaire" du DPO. Le RSSI réalisant des analyses de risques orientées « impact entreprise » et le DPO des analyses « impact sur les personnes ».

Le GDPR constitue un atout au plan mondial pour les organisations EU

Au dela du respect des règles élémentaires liées à la vie privée des citoyens européens, il s'agit également des impacts liés au "business";

 

La Commission Européenne ne néglige pas l'économie numérique. C'est un secteur qui a généré en 2015 près de 230 milliards de revenus. Une meilleure circulation des données pourrait générer jusqu'à huit milliards d'euros de PIB par an estime la Comission Européenne. Le CIGREF dans un récent rapport souligne cet aspect en liant la gestion et la protection des données au...COMEX. Pour évaluer les grandes tendances en matière d’usages des données dans les grandes entreprises, le CIGREF a réalisé une courte enquête auprès de ses membres au lancement du groupe de travail, fin 2015. Sur la trentaine d’entreprises qui ont répondu, il est apparu que :  

• Les principaux usages faits de la donnée par les différents Métiers et Fonctions de l’entreprise visent en priorité à améliorer la prise de décision, à analyser la rentabilité, à renforcer la connaissance client, à améliorer les services aux clients, mais aussi à élaborer de nouveaux produits et services ;

 • Une grande majorité d’entreprises a mis en place une application Big Data, et utilise très largement des données externes ;

• Plus de 50% des entreprises répondantes ne mettent pas leurs données à disposition du public et n’ont pas de politique d’Open Data ;

 • Les bénéfices tirés de l’usage des données visent à fidéliser les clients et améliorer la qualité pour développer l’avantage concurrentiel ;

 • Les entreprises n’ont globalement pas élaboré de méthode de mesure de la valeur de leurs données ;

• Les principaux freins à la mise en place d’une démarche de valorisation des données sont de nature culturelle et organisationnelle ;

• La question de la valorisation des données se positionne d’abord au niveau des Directions Métiers, puis du Comex.

 

Une étude conduite par l’UE en janvier 2016 révèle que les données européennes à caractère personnel ont de plus en plus de valeur et atteindront près d’1 billion d’euros d’ici à 2020, seulement deux ans après l’entrée en vigueur du RGPD. Les entreprises européennes seront donc en possession de données personnelles protégées et donc davantage valorisées. De ce point de vue, le GDPR constitue vraisemblablement un atout au plan mondial pour les organisations EU. Reste que sa mise en oeuvre ne peut s'effectuer sns une plus grande comprehension des attentes des clients, partenaires et utilisateurs sur l'usage de leurs données privées. C'est le sens donné par La Poste avec sa Charte Data ( lire encadré 2: Charte Data à La Poste). On voit que la GDPR offre de multiples opportunités. Ce que résume Maitre Isabelle Renard du cabinet d'avocats Isabelle renard (cf Bonus en fin d'article) "Il ne faut pas se tromper de sujet. Le vrai sujet de la GDPR n’est pas tant celui de la conformité à des règles complexes orientées vers la protection de l’individu que celui de l’organisation de l’information au sein de l’entreprise".  Et tout cela en moins de 500 jours ! 

@jpbichard    

@DPO_News        @cyberisques 

 

En savoir plus: Section BONUS en fin d'article 

 

Info-1-DPO News-2017

 

 

 1  -  DPO & Budget 

 

  •   Budget for data inventory and mapping. But, note that automated solutions promising file autoclassification or algorithmic recognition of personal data require a lot of fine-tuning: until machine learning “has cracked” the broad GDPR definition of personal data, Art. 30 still requires complex human judgment.
  •   Budget for privacy and state-of-the-art safety by design and by default. But, note that neither privacy by design or state-of-the-art safety are achieved through single software solutions but involve two distinct processes - one for future data collection and one for “sanitising” legacy data sets that a business wants to hold on to or for erasing datasets it no longer wishes or has reason to rely upon.
  •   Budget for solutions to enable the exercise of Art. 15-22 data subject rights. This part of the budget should be owned by IT, especially as Art. 17 right to erasure, Art. 20 right to portability, Art. 21(1) right to object to processing and Art. 18 right to restriction of processing are not achievable through ad hoc intervention alone but involve core and very demanding IT architecture changes. Note that reliance on legitimate business interest as a lawful basis for processing is no easier on the IT architecture than reliance on consent.
  •   Budget to train employees to recognise GDPR personal data flows. A business' first and best line of defence, they will contribute to filling the inevitable gaps in a data map.
  •   Budget for incentives for hunting down “rogue or non-obvious” personal data records . If, on budget day, anyone laughs this off, refer them to the extensive Bug Bounty literature in IT security and Microsoft Corp.'s well known six-figure vulnerability rewards for ethical hackers.
  •   Budget to train employees. Existing employees should be trained to understand the functional specifications of the GDPR in their own role and business function.
  •   Budget to train employees to negotiate with sector-specific vendors and co-design GDPR solutions for their role and business function . If they have not helped design these solutions, they will not use them. Central ownership of the compliance programme is key, but delegating/decentralising the research of potential solutions multiplies chances of success.
  •   Budget for stress-testing GDPR resilience of the solutions proposed. Seek inspiration from the “Hack the Pentagon” initiative and the EU's own Bug Bounty funding. Keep the two budgets separate: one to support identification of personal data potential leaks, and a different one to stress-test the solutions found to prevent personal data leaks, including access control layers, encryption and de-identification of the data sets themselves.
  •   Budget to co-ordinate and integrate the solutions crowdsourced from the business units/functions. Set up single accountability/demonstrability framework. The different solutions need to integrate with each other and central project management is key.
  •   Budget to hire both a GDPR architect and a GDPR DPO. There will be collaboration first and then a handover between the first and the second, but a single professional profile with both sets of skills does not yet exist or is extremely rare.

Source: https://www.bna.com/companys-2017-eu-n73014449643/

 

 2 -  La Poste: pourquoi une charte DATA ?

 

La data, sous toutes ces formes, est le socle sur lequel repose l’ensemble des services quotidiens fournis par La Poste. Elle permet plus de services, plus de modernité et une vraie personnalisation de l’offre explique Eric Alix, Chief Data Officer du Groupe La Poste.

Les 2/3 des Français et 80% des jeunes, attendent aujourd’hui des entreprises qu’elles leur proposent des services plus personnalisés (étude menée par Harris Interactive pour La Poste « Les Français et leurs données » en mars 2016.)

Pour répondre à leurs attentes, les données sont un capital essentiel. Malgré cela, seul 1/3 des Français est prêt à confier ses données personnelles*. Cette réticence pourrait être levée par des engagements forts de la part des entreprises quant à la sécurité, la possibilité d’accès, de modification et de choix de partage de leurs données.

La Poste gère de la donnée utile et veut être responsable dans sa politique de gestion des données clients. La Charte Data de la Poste répond ainsi aux attentes des Français en recherche de transparence dans l’utilisation de leurs données personnelles. Ainsi, 65% d’entre eux estiment que la Charte Data de La Poste est une bonne chose*.

Bien que le cadre réglementaire soit posé et régulièrement mis à jour, les moyens à mettre en place par les fournisseurs de technologies, les entreprises et les annonceurs pour y répondre restent abstraits.

La Poste va plus loin que le cadre légal en développant des mesures concrètes en phase avec les attentes des clients autour d’un principe clé : c’est le client qui décide de l’utilisation de ses données.

La charte DATA est à envisager dans une démarche de progrès dont la concrétisation des engagements se fera par étapes. Cette politique data s’appuie sur une volonté forte de la gouvernance du Groupe. Le Chief Data Officer et la Directrice de la protection des données, deux fonctions clés, encore rares au sein des grandes entreprises, coordonneront cette politique data. Ils reporteront auprès du Comité Qualité et Développement Durable (QDD) du Conseil d’Administration du Groupe La Poste.

 

 

3  -  GDPR: dès mai 2018, les organisations des 29 (28 ?) pays de l'UE devront :

  • Respecter un principe de Transparence,

  • Tenir une liste des traitements de données personnelles,

  • Documenter (et être capable d’en apporter la preuve) les mesures de mise en conformité des traitements de données personnelles (« Accountability »)

  • Analyser les risques liés à la nature des données et aux traitements

  • Notifier aupres de la CNIL les failles de sécurité portant sur des données personnelles dans les 72 heures

  • Mener une étude d’impact sur la vie privée en cas de risques élevés

  • Prendre des mesures de Data Protection by Design

  • Obligatoirement désigner un Data Protection Officer (DPO) dans les cas suivants: administration publique, opérations qui requièrent une surveillance régulière et systématique des personnes physiques à grande échelle, traitements à grande échelle de catégories particulières de données,

  • Respecter les droits des personnes et notamment le droit à la portabilité, le droit à l’oubli…

 

 

GDPR quelques rappels: 

 

GDPR: 

Après quatre années de débats, la Commission européenne, le Parlement européen et le Conseil de l’Union ont abouti à un texte de compromis le 15 décembre 2015. Le Règlement a été formellement approuvé par les institutions et publié au Journal Officiel de l’Union européenne le 4 mai 2016. L’année 2017 sera l’année du RGPD (GDPR). Ce sera l'année de la mise en conformité avant l'application obligatoire le 25 mai 2018.

  (Cabinet d'avocats Mathias)

 

DPO: 

http://safedatamatters.com/appointing-dpo/

 

Le Délégué à la Protection des Données (DPO) est une nouvelle fonction introduite par le Règlement européen 2016/679 du 27 avril 2016 relatif à la protection des données à caractère personnel.

Dépassant de loin les fonctions des Correspondants Informatique et Libertés (CIL), le DPO a vocation à se généraliser grâce à ce texte. Facultatif dans certains cas, obligatoire dans d’autres, le DPO constitue en effet une nouvelle fonction à intégrer dans l’organisation des entreprises comme des entités publiques.

Disposant de fonctions distinctes de celles de la Direction des Systèmes d’Information (DSI) ou du Responsable de la Sécurité des Systèmes d’Information (RSSI), le DPO doit en outre justifier d’une expertise particulière qui pose plusieurs questions :

Quels sont les enjeux de cette nouvelle fonction ? Quelles sont les missions du DPO ? Qui désigner en tant que DPO ?

1/ Enjeux de la fonction de DPO

Les enjeux de la fonction de DPO sont naturellement liés aux nouvelles règles portées par le Règlement Européen. Ces règles ont en effet vocation à définir un nouveau cadre pour la protection des données ; un cadre destiné à renforcer la protection de la vie privée des personnes en tenant compte des évolutions technologiques (profilage, big data[1], intelligence artificielle, objets connectés, cloud computing etc.).

La désignation d’un DPO s’inscrit ainsi dans une démarche globale qu’il est possible d’analyser au regard des trois grands principes suivants :

  • Accountability: désigne pour la CNIL « l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données »[2]. Le DPO a vocation à s’assurer du respect de cette obligation et de piloter la mise en œuvre de l’ensemble des process dédiés à la conformité juridique des traitements. Cette mise en conformité est en outre générale. Elle prend avec le Règlement Européen une dimension particulière de type prospectif dès lors qu’elle est associée aux deux principes complémentaires suivants :

  • Privacy by design : en application de ce deuxième principe général, responsables de traitement et sous-traitants doivent appréhender la problématique des données personnelles dès la conception d’un projet impliquant des données à caractère personnel. Cela supposera donc d’associer le DPO aux stratégies de développement, qu’il s’agisse par exemple du projet de lancement d’un objet connecté de contrôle de l’alimentation, d’un logiciel de gestion de fichiers clients (CRM), ou encore d’une campagne e-marketing utilisant des outils de profilage…

  • Privacy by default: suivant l’engagement de Privacy by default, chaque acteur devra veiller à limiter les traitements de données, par défaut, à ce qui est strictement nécessaire. Lorsqu’il contrôlera le paramétrage de telle ou telle application ou encore, lorsque telle ou telle opération marketing sera envisagée par l’organisme qui l’aura désigné, le DPO aura en charge de vérifier que la quantité de données collectées, la durée de conservation ou encore le nombre de personnes habilitées à accéder aux données sont strictement limités aux finalités des traitements envisagés.

L’enseignement à tirer de ces grands principes est que la désignation des DPO concernera aussi bien les responsables de traitements que les fournisseurs de solutions permettant de réaliser lesdits traitements. Il s’agit là d’un des points clés du Règlement Européen qui s’attache à favoriser un système de responsabilisation des acteurs sur toute la chaîne de service tout en renforçant les droits des personnes visées (Cf. information élargie, recueil du consentement consolidé etc.).

Le DPO participe directement à cette logique de responsabilisation et de renforcement des droits des personnes. Les différentes missions qui lui sont confiées vont d’ailleurs clairement en ce sens.

2/ Les Missions du DPO

Les missions du DPO sont fixées à l’article 39 du Règlement Européen. Cet article prévoit ainsi que les missions confiées au Délégué à la Protection des Données couvrent a minima les points suivants :

  • informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent (…) en matière de protection des données

  • contrôler le respect du (…) droit (…)en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant

  • dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci en vertu de l’article 35

  • coopérer avec l’autorité de contrôle ;

  • faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable visée à l’article 36, et mener des consultations, le cas échéant, sur tout autre sujet

  • Le délégué à la protection des données tient dûment compte, dans l’accomplissement de ses missions, du risque associé aux opérations de traitement compte tenu de la nature, de la portée, du contexte et des finalités du traitement

Concrètement, le DPO doit ainsi être placé au cœur du système et être associé par le responsable de traitement et le sous-traitant à chaque opération, chaque projet susceptible d’impacter la vie privée des personnes et la protection de leurs données.

Ses pouvoirs sont étendus par rapport au Correspondant Informatique et libertés (CIL) dans la mesure où ils dépassent le seul rôle consultatif. Le texte est en effet clair sur ce point : le DPO veille au respect du droit de la protection des données, il doit donc s’assurer de la conformité juridique des traitements au-delà du simple conseil et de la simple consultation. Il en résulte une conséquence immédiate : une telle fonction impliquera de facto des compétences particulières et un choix parfois cornélien entre externalisation et désignation interne.

  • Qui désigner en tant que DPO ?

Les articles 37 et 38 du Règlement Européen permettent de répondre à cette question :

  • « Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39.

  • Le délégué à la protection des données peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d’un contrat de service.

  • Le délégué à la protection des données est soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l’exercice de ses missions

  • Le délégué à la protection des données peut exécuter d’autres missions et tâches. Le responsable du traitement ou le sous-traitant veillent à ce que ces missions et tâches n’entraînent pas de conflit d’intérêts »

Au regard de ces dispositions, constatons que si la logique d’indépendance qui était l’une des bases du statut du CIL perdure, un renforcement drastique des exigences de compétences en matière juridique est ici opéré pour le DPO. Du reste, ce renforcement suit logiquement l’élargissement des missions du DPO avec en premier lieu l’obligation de contrôle de la mise en conformité juridique des traitements.

Or, externaliser cette fonction via un contrat de prestation de service peut apparaître une solution stratégique tant au niveau de la gouvernance interne (comment en effet assurer l’indépendance d’un membre du personnel pour une fonction aussi sensible ?) qu’au niveau des coûts.

Si des clarifications restent à être apportées sur le caractère obligatoire ou facultatif de la désignation d’un DPO, il est vraisemblable que l’obligation devienne rapidement la règle. En effet, la condition « de suivi régulier et systématique à grande échelle des personnes » prévu par le texte n’est-elle pas de facto remplie pour du profilage mis en œuvre dans le cadre de la gestion d’un CRM ou de campagnes marketing ? De même, le pendant de la suppression des formalités déclaratives à la CNIL et de la mise en place des principes généraux d’Accountability et de Privacy by design n’est-il pas justement une généralisation des DPO ? Nul doute que le législateur français et la CNIL précisent rapidement ces points.

En tout état de cause, il appartient d’ores et déjà aux entreprises et organismes publics de se préparer activement à la mise en œuvre des principes du Règlement dont la violation donnera lieu à d’importantes sanctions à compter de mai 2018 (amendes administratives pouvant s’élever à 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial).

La réalisation d’études d’impact[3] avec tests d’intrusion et la désignation interne ou externe de DPO constituent sans nul doute deux chantiers essentiels à envisager.

Fort d’une expertise de plus de vingt ans en droit des nouvelles technologies, bénéficiant d’une triple labellisation CNIL pour ses prestations d’audit de traitements et de formations, le Cabinet HAAS accompagne ses clients pour la mise en conformité de leurs traitements à la réglementation sur la protection des données. CIL externe de plusieurs sociétés, le Cabinet HAAS propose à ce titre la réalisation d’études d’impact et la souscription de contrats de prestations de service en vue de sa désignation en tant que DPO.

Gérard Haas, Avocat à la Cour et Stéphane Astier

 

 

[1] http://www.haas-avocats.com/actualite-juridique/loffre-big-data-entre-casse-tete-juridique-et-defi-ethique/

[2] Cf. www.cnil.fr

[3] Cf. http://www.haas-avocats.com/data/raisons-mener-une-etude-dimpact/

 

 

Sanctions: 

En France, la Cnil avait la possibilité d’imposer une sanction maximale de 150 000 € avant que la loi pour une République numérique n’augmente ce montant à 3 millions d’euros. Mais le GDPR, règlement européen d’application directe, abrogera dès mai 2018 cette partie de la réglementation française pour imposer des sanctions pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel des entreprises.

 

 

capture-5-Cyberisques-DPO News-A-Vincent-CNIL-2017

 Source Boston Consulting 2016

 

 

DPO News-GDPR-Véritas

 Source Veritas 2017

 

DPO News-2017

 

 

Data-Perso-2017

 Source Gemalto 2017

 

DPO

 Source: Cabinet Mathias Avocats Mathias Avocats

 

 

BONUS: 

 http://www.cyberisques.com/fr/mots-cles-5/614-cyberisques-dpo-gdpr-2017-orientations-g29-dec-2016

http://www.cyberisques.com/fr/component/content/article/93-categorie-3/sous-categorie-3-1/621-interview-dpo-news-cyberisques-albine-vincent-chef-service-des-cils-au-sein-de-la-cnil

 http://cyberisques.com/fr/component/content/article/104-news/synthese/619-cyberisques-dpo-news-pour-7-dirigeants-sur-10-l-utilisation-de-la-donnee-accroit-le-risque-de-reputation-de-leur-entreprise

https://www.droit-technologie.org/actualites/gdpr-droit-a-portabilite-donnees-analyse-lignes-directrices-g29/?utm_source=dlvr.it&utm_medium=twitter

http://www.cyberisques.com/fr/mots-cles-8/572-cybersecurite-54-des-chefs-d-entreprises-eu-responsables

https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde 

http://www.lloyds.com/lloyds/about-us/what-do-we-insure/what-lloyds-insures/cyber/cyber-reports

http://www.irenard-avocat.com/fr/actualites/id-113-mise-en-conformite-a-la-reglementation-protectrice-des-donnees-personnelles-un-vrai-chantier 

https://globalcompliancenews.com/germany-data-protection-officer-conflict-of-interest-20161121/ 

 

#Cyberisques : Conformité reglementaire 1er Janvier 2017 : 4 nouveaux secteurs OIV concernés: Audiovisuel et information Communications électroniques et Internet Industrie Finances

Communication Corporate:

 

Conformité reglementaire 1er Janvier 2017 : 4 nouveaux secteurs OIV concernés: Audiovisuel et information
Communications électroniques et Internet
Industrie
Finances

 

WALLIX GROUP, éditeur de solutions de cyber-sécurité et de gouvernance des accès au système d'information, salue la poursuite et la mise en place de 4 nouveaux dispositifs concernant la sécurité des systèmes d'information des opérateurs d'importance vitale (OIV), contre les cyber-attaques.

De nouveaux marchés de grande envergure
Suite aux 9 arrêtés déjà mis en vigueur au 1er juillet et 1er octobre 2016, l’Agence Nationale pour la Sécurité des Systèmes d’Information (ANSSI) a publié au Journal Officiel 4 nouveaux arrêtés sectoriels fixant les règles relatives à la sécurité des systèmes d’information des OIV. Ces arrêtés concernent les secteurs :
Audiovisuel et information
Communications électroniques et Internet
Industrie
Finances

Une entrée en vigueur au 1er janvier 2017
Dès l’entrée en vigueur de ces nouveaux arrêtés sectoriels, les OIV cités seront dans l’obligation de se prémunir contre d'éventuelles intrusions de leurs systèmes informatiques. En conséquence et comme pour les précédents arrêtes sectoriels référents, ces entités devront notamment installer en leur sein des logiciels ou matériels qualifiés et recommandés par l’ANSSI et :


• Déclarer à l’ANSSI leurs incidents de sécurité ;
• Déclarer leur liste de Systèmes d'Information d'Importance Vitale (SIIV) à l’ANSSI ;
• Communiquer les coordonnées de leur service de permanence Systèmes de Sécurité Incendie (SSI) à l’ANSSI ;
• Être conformes aux 20 règles de sécurité concernant : la gouvernance, la maîtrise des risques et des SI, la protection des systèmes et la gestion de crise en cas d'attaques informatiques majeures.
Les contrevenants s'exposent à une amende pouvant aller jusqu'à 150 000 euros et à un an de prison en cas de « défaillance » ayant mis en péril une infrastructure dite sensible.

 

WAB Suite, une solution tout-en-un et certifiée :


WAB Suite est une solution certifiée auprès de l’ANSSI qui permet de gérer des comptes à privilèges tout-en-un, afin que les accès et sessions des super-utilisateurs soient sécurisés et supervisés.


Grâce à des fonctionnalités d’enregistrement et de surveillance en temps réel, le coffre-fort à mots de passe WALLIX fournit des éléments d’authentification complexes, secrets et modifiables pour les comptes à privilèges. De plus, afin d’anticiper une éventuelle cyber-attaque destructrice, la traçabilité et la capacité d’audit optimisent la réactivité des responsables sécurité en cas d’incident, et s’inscrit dans les règles de conformité décrites par l’ANSSI.

L’accès à l'intégralité de nos articles (dossiers

"expertises / compliance", enquêtes,

interviews exclusives, tendances chiffrées,

retours d'expérience par secteurs...) est

réservé à nos abonné(e)s

Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

 

BONUS: 

 

https://www.ssi.gouv.fr/uploads/2014/12/secnumcloud_referentiel_v3.0_niveau_essentiel.pdf

 

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires