More Related Content Similar to Protection des données personnelles : le nouveau projet de règlement européen Similar to Protection des données personnelles : le nouveau projet de règlement européen (20) More from Thiebaut Devergranne More from Thiebaut Devergranne (6) Protection des données personnelles : le nouveau projet de règlement européen 1. CELUI QUI JONGLE AVEC LES DONNÉES
PERSONNELLES…
… fait bien de suivre l’évolution du projet de règlement européen !
Thiébaut DEVERGRANNE
Docteur en droit
Consultant
Paris – 9 octobre 2012
2. Celui qui jongle avec les données personnelles…
2
Qui suis-je ?
Consultant - droit des nouvelles technologies
+10 ans d’expérience, dont 6 pour les services
du Premier ministre (SGDN/DCSSI) en
qualité de conseil juridique
Docteur en droit privé sciences criminelles
Formation d’avocat (CAPA)
Passionné de nouvelles technologies -
programmation / sysadmin depuis +15 ans
http://www.donneespersonnelles.fr
© T. Devergranne – td@hstd.net
3. Celui qui jongle avec les données personnelles…
3
La protection des données personnelles en 2012 : un bilan
très mitigé…
© T. Devergranne – td@hstd.net
4. Celui qui jongle avec les données personnelles…
4
La récurrence des atteintes de sécurité…
© T. Devergranne – td@hstd.net
6. Celui qui jongle avec les données personnelles…
6
Des changements nécessaires !
• La directive date de 1995… • L’objectif de la réforme est de simplifier et de
renforcer les droits des citoyens
• Nombreuses révolutions informatiques ont eu • Ex: droit à l’oubli, consentement au
lieu ; impacts majeurs sur le traitement des traitement
données personnelles :
• Internet • Attention les principes posés par la directive ne
• Réseaux sociaux sont pas remis en cause
• Mobiles
• Géolocalisation • Convaincre et s’imposer…
• Biométrie
• Cloud
• SaaS, IaaS, Paas
• …
• Complexité également au niveau de
l’adaptation de la directive : 27 pays européens,
27 transpositions…
7. Celui qui jongle avec les données personnelles…
7
D’abord en prévoyant de réelles sanctions…
Art. 79 - sanctions :
2% du CA global d’un groupe
1.000.000 euros
A 2% annual turnover fine
would have meant 1.2 Billion
dollars in 2008 for a company
like Microsoft !
http://www.donneespersonnelles.fr
Effet de levier important, mais est-ce que la
CNIL utilisera ces moyens à pleine capacité ?
8. Celui qui jongle avec les données personnelles…
8
Un texte unique
• 27 pays, un texte!
• Directive vs règlement
• Le règlement sera d’application directe
• Comptoir unique
• … mais un gros texte quand même…
• +80 pages
• Un peu moins de 100 articles
• Des procédures complexes
• Pour le PME : la digestion sera difficile
• Le règlement sera d’application très large… Le présent règlement s'applique au traitement [réalisé par un] responsable du
• Innovation très importante – art. 3 traitement qui n'est pas établi dans l'Union, lorsque les activités de
traitement sont liées:
• Toute personne traitant des données a) à l'offre de biens ou de services à ces personnes concernées dans l'Union; ou
personnelles d’un citoyen EU tombera sous le
b) à l’observation de leur comportement.
coup du texte
© T. Devergranne – td@hstd.net
9. Celui qui jongle avec les données personnelles…
9
Fini les déclarations !
• Vrai-Faux bénéfice : le responsable du traitement doit
conserver une trace documentée de tous les traitements
réalisés (art. 28)
• La mesure est censée faire économiser 130 millions d’euros
aux Etats (mais transfert de charge vers les entreprises…)
• Cependant le responsable devra nommer un DPO, obligatoire
dans 3 cas (art. 35) :
• Pour toute autorité publique
• Entreprises > 250 personnes
• Quelques cas particuliers
• Le DPO est indépendant et ne reçoit aucune instruction pour
la conduite de sa mission
© T. Devergranne – td@hstd.net
10. Celui qui jongle avec les données personnelles…
10
Et bonjour la documentation…
• Le responsable du traitement devra
démontrer que la loi est bien respectée au
sein de son organisation
• Obligation de documentation
• Obligation de réaliser une étude
d’impact pour les traitements à risque
(données sensibles, biométrie…) –
art. 33
• Cette documentation pourra être vérifiée à
tout moment par l’autorité nationale de
contrôle, sous peine de sanctions
© T. Devergranne – td@hstd.net
11. Celui qui jongle avec les données personnelles…
11
Attention, les autorisations existent
toujours…
• Les autorisations restent en vigueur (art. 34) !
• L’autorité de contrôle établit une liste des traitements à risque
nécessitant une autorisation
• Le responsable du traitement devra fournir une étude
d’impact – art. 33
• Cette étude d’impact doit être réalisée systématiquement
lorsque le traitement présente des risques particuliers pour les
droits et libertés des personnes ; ex :
• Données sensibles
• Fichiers de grande ampleur concernant des enfants, des
données génétiques, biométriques…
© T. Devergranne – td@hstd.net
12. Celui qui jongle avec les données personnelles…
12
De nouvelles obligations de sécurité…
• L’évaluation des risques de sécurité est Le responsable du traitement est tenu de prendre
toutes précautions utiles, au regard de la nature des données et des
maintenant explicite et obligatoire pour risques présentés par le traitement, pour préserver la sécurité des
chaque traitement données et, notamment, empêcher qu’elles soient déformées,
endommagées, ou que des tiers non autorisés y aient accès.
• La Commission pourra préciser Art. 34 actuel : L’évaluation est implicite !
techniquement les mesures de sécurité à
mettre en œuvre (IDS…) – art. 30.3 et 4
• L’obligation d’assurer la sécurité du À la suite d'une évaluation des risques, le responsable du
traitement des données personnelles reste traitement et le sous-traitant prennent les mesures prévues au
paragraphe 1 pour protéger les données à caractère personnel contre la
pratiquement inchangée destruction accidentelle ou illicite et la perte accidentelle et pour
empêcher toute forme illicite de traitement, notamment la divulgation,
la diffusion ou l'accès non autorisés, ou l'altération de données à
caractère personnel.
Art. 30.2 - Projet de règlement européen
© T. Devergranne – td@hstd.net
13. Celui qui jongle avec les données personnelles…
13
Et bienvenue à la nouvelle obligation de notification…
Vivianne Reding, vice-présidente de la Commission :
« J’ai l’intention d’introduire une obligation de notification
de violation de sécurité des données à caractère personnel – la
même que j’ai introduite pour les télécommunications et
Internet quand j’étais Commissaire aux Telecoms, mais cette
fois-ci pour tous les secteurs, incluant les banques et les
services financiers », 20 juin 2011.
© T. Devergranne – td@hstd.net
14. Celui qui jongle avec les données personnelles…
14
Article 31
Projet de règlement européen 1. En cas de violation de données à caractère personnel, le
Extension de l’obligation actuelle de l’article 34 bis responsable du traitement en adresse notification à l'autorité de
(OCE) contrôle sans retard injustifié et, si possible, 24 heures au plus
Notification à l’autorité de contrôle des violations de tard après en avoir pris connaissance. Lorsqu'elle a lieu après ce
données personnelles (art. 30) délai de 24 heures, la notification comporte une justification à cet
Concerne tout le monde, pas seulement les OCE égard.
« Sans retard injustifié » 2. En vertu de l’article 26, paragraphe 2, point f), le sous-traitant
« Si possible 24 heures au plus tard » alerte et informe le responsable du traitement immédiatement
Justification si +24h. après avoir constaté la violation de données à caractère personnel.
Attention : l’obligation concerne également les sous- 3. La notification visée au paragraphe 1 doit, à tout le moins:
traitants a) décrire la nature de la violation de données à caractère
Le sous-traitant doit informer le responsable du personnel, y compris les catégories et le nombre de personnes
traitement de toute violation qu’il connait
concernées par la violation et les catégories et le nombre
La notification décrit d’enregistrements de données concernés;
Nature des données, nb personnes concernées b) communiquer l’identité et les coordonnées du délégué à la
Point de contact protection des données ou d'un autre point de contact auprès
Mesures d’atténuation duquel des informations supplémentaires peuvent être obtenues;
Conséquences de la violation c) recommander des mesures à prendre pour atténuer les
Mesures ayant été prises pour y remédier éventuelles conséquences négatives de la violation de données à
Qu’est-ce qu’une violation de sécurité ? caractère personnel;
Se définit comme « une violation de la sécurité entraînant de d) décrire les conséquences de la violation de données à caractère
manière accidentelle ou illicite la destruction, la perte, personnel;
l’altération, la divulgation ou la consultation non autorisées de
DCP transmises, conservées ou traitées d’une autre manière ». e) décrire les mesures proposées ou prises par le responsable du
traitement pour remédier à la violation de données à caractère
© T. Devergranne – td@hstd.net personnel.
15. Celui qui jongle avec les données personnelles…
15
Article 31 (suite)
Projet de règlement européen Le responsable du traitement conserve une trace
documentaire de toute violation de données à caractère
personnel, en indiquant son contexte, ses effets et les mesures
Le responsable conserve une trace prises pour y remédier. La documentation constituée doit
documentaire de toute violation permettre à l'autorité de contrôle de vérifier le respect des
Contexte dispositions du présent article. Elle comporte uniquement les
Effets informations nécessaires à cette fin.
Mesures mises en œuvre pour y remédier 5. La Commission est habilitée à adopter des actes délégués en
conformité avec l’article 86, aux fins de préciser davantage les
critères et exigences applicables à l’établissement de la violation
de données visée aux paragraphes 1 et 2 et concernant les
Préparez-vous dès maintenant à… circonstances particulières dans lesquelles un responsable du
Tracer l’ensemble des incidents de sécurité traitement et un sous-traitant sont tenus de notifier la violation de
dans votre organisation données à caractère personnel.
Exiger la même chose de vos sous-traitants 6. La Commission peut définir la forme normalisée de cette
notification à l'autorité de contrôle, les procédures applicables à
l’obligation de notification ainsi que le formulaire type et les
Commencez à réfléchir à… modalités selon lesquelles est constituée la documentation
Comment le faire en 24h… visée au paragraphe 4, y compris les délais impartis pour
l’effacement des informations qui y figurent. Les actes
d'exécution correspondants sont adoptés conformément à la
procédure d'examen prévue à l'article 87, paragraphe 2.
© T. Devergranne – td@hstd.net
16. Celui qui jongle avec les données personnelles…
16
Projet de règlement européen Art 32
Communication de la violation à la 1. Lorsque la violation de données à caractère personnel est susceptible de
personne concernée porter atteinte à la protection des données à caractère personnel ou à la vie
Sans retard indu privée de la personne concernée, le responsable du traitement, après avoir
Description précise de la violation procédé à la notification prévue à l'article 31, communique la violation
sans retard indu à la personne concernée.
2. La communication à la personne concernée prévue au paragraphe 1
Dans certains cas, la communication décrit la nature de la violation des données à caractère personnel et
peut être écartée avec l’aval de contient au moins les informations et recommandations prévues à l’article
l’autorité nationale de contrôle 31, paragraphe 3, points b) et c).
Nécessite que les mesures de 3. La communication à la personne concernée d'une violation de ses
protection soient mises en œuvre
données à caractère personnel n'est pas nécessaire si le responsable du
traitement prouve, à la satisfaction de l’autorité de contrôle, qu'il a mis en
œuvre les mesures de protection technologiques appropriées et que ces
dernières ont été appliquées aux données concernées par ladite violation.
De telles mesures de protection technologiques doivent rendre les données
Commencez à réfléchir à… incompréhensibles à toute personne qui n'est pas autorisée à y avoir accès.
4. Sans préjudice de l’obligation du responsable du traitement de
L’impact d’une notification sur la
continuité business communiquer à la personne concernée la violation de ses données à
Inclure la notification dans votre PSSI caractère personnel, si le responsable du traitement n'a pas déjà averti la
personne concernée de la violation de ses données à caractère personnel,
l'autorité de contrôle peut, après avoir examiné les effets potentiellement
négatifs de cette violation, exiger du responsable du traitement qu'il
s'exécute.
© T. Devergranne – td@hstd.net
17. Celui qui jongle avec les données personnelles…
17
Il reste encore du chemin à faire…
• Adoption vraisemblable du règlement entre 2014 et
2016
• Mais la proposition doit tout d’abord être acceptée par
le Conseil et le Parlement Européen avant d’être
adoptée
• Attention toutefois à bien suivre l’évolution du projet
qui risque de changer dans les années à venir !
© T. Devergranne – td@hstd.net
18. Celui qui jongle avec les données personnelles…
18
Questions ?
Thiébaut DEVERGRANNE
Contact : td@hstd.net
http://www.donneespersonnelles.fr