Data privacy - Fabrice Naftalski

Membre du réseau Ernst & Young Global Limited

Cadre juridique de la Protection desdonnées personnellesdroit positif et futur règlement européen /éléments de droit comparé / Big Data et Cloudcomputing …

Institut des Actuaires / le 24 avril 2014

Par Fabrice Naftalski, Avocat Associé

© 2010 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ».Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent.

Contraintes Dataprivacy

Sommaire

1. Champs d’application et définition, rappel ducadre actuel en Europe et en France

2. Le projet de règlement européen

3. Eléments de droit comparé

4. Illustrations : cloud et big data

Démarche d’audit « Protection desdonnées personnelles »

Démarche informatique et libertésPage 2© 2014 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ».Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent.

Propos introductifs

► La réglementation des données à caractère personnel concerne toutes lessociétés établies en Europe► En France : Loi n°78-17 du 6 janvier 1978 modifiée le 7 août 2004 afin de transposer

la Directive européenne 95/46/CE (Loi « Informatique et Libertés »)

► Cette réglementation est d’ordre public dans les 28 pays européens► En France, son respect est effectivement contrôlée par la CNIL (Commission

Nationale Informatique et Libertés)► Sa violation est sanctionnée par des sanctions pénales et financières

► Cette réglementation va se renforcer avec le projet de règlement sur laprotection des données en cours de discussion à Bruxelles


Champs d’application et définition, rappel du cadre légalactuel en Europe et en France



Champ d’application de la loi

► Champ d’application géographique► Entreprises établies en France

► Entreprises établies hors de l’Union européenne mais collectant desdonnées personnelles au moyen d’équipements situés en France (ex :serveur d’hébergement)

► Champ d’application matériel► Tous les traitements de données personnelles, manuels ou automatisés, se

rattachant à une personne physique

► Ne sont pas concernés les fichiers mis en œuvre dans le cadre d’activitésexclusivement personnelles (site Internet personnel, blog…)


Quelques définitions…

► Donnée personnelle :Toute information concernant une personne physique identifiée ou identifiable

► Traitement :Toute opération appliquée à des données personnelles telle que la collecte,l’enregistrement, ou la communication

► Personne concernée :Personne physique à laquelle se rapportent les données qui font l’objet d’untraitement

► Responsable de traitement :La personne physique ou morale qui décide des finalités et des moyens dutraitement de données personnelles

► Finalité :But/objet du traitement (par exemple : gestion de la formation, gestion de lacommunication externe…)


Quelques définitions…

► Sous-traitant :Toute personne qui traite des données personnelles pour le compte duresponsable de traitement

► Tiers :Toute personne autre que le responsable de traitement ou le sous-traitant

► Correspondant Informatique et Libertés (« CIL ») :La personne chargée d’assurer au sein de l’entreprise le respect desobligations prévues par la loi du 6 janvier 1978 dont la désignation a éténotifiée à la CNIL

► Données sensibles :Données personnelles révélant les origines raciales ou ethniques, les opinionspolitiques, philosophiques, ou religieuses, l’appartenance syndicale, la santéou la vie sexuelle de la personne concernée


Exigences actuelles basées sur directive 95/46 sur la protection desdonnées personnellesLes grands principes de protection des données

1

2Être obtenues pour une ou plusieurs finalitées déterminées etlégitimes

3Être adéquates, pertinentes et non excessives

4Être exactes et tenues à jour

5Ne pas être conservées plus longtemps que necessaire

6Être traitées en conformité avec les droits de la personneidentifiable

7Être gardées en sécurité

8

Ne pas être transférées à des tiers en dehors de l’Espaceéconomique européen (EEE), sauf conditions/garantiesappropriées satisfaites

Faire l’objet d’un traitement de données loyal et liciteBases légales

// donnéessensibles

Obligationd’Information

Mesures desécurité

Formalitésdéclaratives

Droits de lapersonneconcernée

Encadrement destransferts

Les données personnelles traitées doivent:


Loi Informatique et Libertés : quelles obligations,quelles sanctions, quelles actions ?Vos obligations légales Vos risques Actions à mener

Déclarer les traitements dedonnées à caractère personnel(RH, fraude, clients, stockoptions …) après avoir vérifié lafaisabilité du traitement (baselégale, caractère proportionnédes données collectées …)

► Risque d’image auprès des clients etemployés

► Sanctions financières prises par la CNIL(jusqu’à 300 000 euros) è illustrations :► 30 000 euros / Tyco Healthcare,► 150 000 euros / Google► 45 000 euros / LCL► 20 000 euros /CA Centre France► 30 000 euros / société Leclerc Arcydis

(distribution) pour défaut dedéclaration et d’information des clientssur le traitement des informations lesconcernant, et pour défaut de politiquede rétention des données (effacementrégulier des données)

► Sanctions pénales (jusqu’à 1,5 milliond’euros d’amende et 5 ansd’emprisonnement)

► Dommages et intérêts► Risques juridiques collatéraux

(invalidation d’un licenciement..)► Risque opérationnel :

interruption/suspension/interdiction destraitements

Recenser vos traitements et lesdéclarer (ou réaliser l’inventaire tenupar le CIL) après revue et/ouadaptation pour permettre leurfaisabilité juridique, définition d’unestratégie déclarative appropriée pourde nouveaux traitements

Informer les personnesconcernées

Rédiger les procédures d’informationet d’accès

Protéger les donnéespersonnelles(sécurité/confidentialité)

Revoir ou rédiger les aspects sécuritédes contrats de sous-traitance portantsur des données personnelles

Effacer les donnéesrégulièrement (droit à l’oubli) /limiter leur durée de conservation

Concevoir une politique de rétentionprenant en compte les obligations deconservation limitée/ d’effacement desdonnées

Permettre aux personnesconcernées d’exercer leur droitd’accès, d’opposition et decorrection

Encadrer les transferts de données endehors de l’UE

Sécuriser les transferts endehors de l’Union Européenne

Revoir ou mettre en place le dispositifinterne d’organisation de la conformitéInformatique et Libertés


Le projet de règlement européen



Le projet de règlement européen publié le 25 janvier 2012et amendé en Octobre 2013 (texte de compromis)► De nouvelles définitions (« données biométriques », « groupe d’entreprises » …) et de nouveaux

concepts (« accountability », « minimisation des données » …)

► Application plus large des règles de l’UE (y compris dans certains cas pour des entreprises qui n’ont niétablissement ni serveurs en Europe)

► Notification des failles de sécurité étendue à toutes les entreprises

► Désignation d’une seule autorité nationale de la protection des données en Europe pour chaqueorganisation mais avec des pouvoirs limités, les autorités nationales conservant la plupart de leursprérogatives

► Simplification des formalités déclaratives

► Renforcement des procédures de gestion de la conformité (PIA, audits, documentation associée,désignation d’un CIL si plus de 5000 données de personnes physiques sont traitées sur 12 moisconsécutifs ou en cas de traitement de certain type de données comme les données sensibles, lesdonnées de localisation ou portant sur les enfants…)

► Renforcement des sanctions financières

► Reconnaissance et promotion des BCRs, aménagement du régime des transferts hors UE

► Un cadre juridique s’imposant aux sous-traitants

► Renforcement des droits des personnes (droit à l’oubli et à la portabilité des données, consentement,granularité renforcée de l’information à communiquer …)

► Promotion du label européen de protection des données (impact sur les sanctions et transferts horsUE)


Droit comparé


La protection d’un droit fondamental en Europe / La protection du consommateur aux USUn cadre homogène en Europe / Des lois fédérales sectorielles et des lois étatiques aux US


Questions posées par le Cloud computing et Big data


• Maîtriser les risques juridiques en matière de protection des données liés au recours à des solutions de Cloud Computing

• Ménager la responsabilité des entreprises dans un contexte de traçabilité difficile des transferts de données.

Risques et contraintesréglementaires

► Cloud Computing : hébergement des données surdifférents serveurs, potentiellement chez différentssous-traitants et à différents moments

• Incertitude sur le lieu d’hébergement des données• Or l’hébergement ou l’accès aux données depuis

un pays situé en dehors de l’UE s’analyse commeun transfert de données personnelles à encadrer,sous peine de sanctions financières et pénales

► Obligations liées aux transferts de données àrespecter :

• Obligations déclaratives auprès de la CNIL• Obligations de sécurité• Obligations d’encadrer les transferts par des

garanties appropriées► Impacts du nouveau projet de règlement européen

relatif à la protection des personnes physiques• Obligations d’ « accountability »• Obligations et responsabilité renforcées en

matière de sécurité des données (+ notificationdes failles de sécurité)

• Sanctions portées à 5% du CA mondial• Nouveaux outils de transferts

1 Points d’attention pourgérer ces risques

2 Bénéfices3

► Evaluer ses risques en fonction de lanature des dispositifs de Cloud mis enœuvre ou en projet

► Définir une stratégie de conformitéautour du Cloud:

• Déterminer l’outil « déclaratif » et l’outild’encadrement des transferts les plusappropriés

• Porter une attention particulière à larédaction du contrat « sous-traitant »

• Anticiper sur la mise en œuvre àmoyen terme du règlement européen

• Communiquer sur les garantiesrenforcées entourant le Cloud pour laprotection des données personnelles(environnement mieux disant?)

► Points aspects sécurité des donnéeset cartographie des flux, référentielsécurité à annexer aux contrats

► Réduire son degré d’exposition auxrisques de non-conformité :

• Risque d’image (Acadomia,Google ..)

• Risque pénal (5 ans de prison/1,5M d’euros)

• Risque financier (jusqu’à 300 000euros)

► Rassurer les parties prenantes sur laprotection et la sécurité juridique desdonnées qui sont gérées en modeCloud en dehors de l’UE

► Encadrer le recours au Cloudcomputing pour limiter les risques touten bénéficiant des avantages offertspar ces projets (flexibilité, coût …)

Data Privacy et cloud computing


DataÉmission Action utilisateur

Comportement surfLocalisation OPT-OUT

CookiesFavoris

HistoriqueOPT-IN

ComportementsAuto-modération

Big data : comment Contrôler ses propres traces

« Notre liberté se bâtitsur ce qu’autrui ignore de nos existences. »

Alexandre Soljenitsyne


BIG DATA & DATA PRIVACY : des objectifs différentsdont l’articulation peut être complexe

► BIG DATA vise à maximiser la valeurcommerciale de la quantité d'informationsdisponibles dans une entreprise (par exemple,la vente de la suite de l'analyse de données àdes tiers)

► BIG DATA vise à obtenir l'analyse des donnéesrésultant de la transformation de la quantitéd'information disponible

► BIG DATA consiste à partir de donnéesrecueillies dans un contexte pour un but etréutilisés dans un autre contexte à des finssecondaires (souvent pas connues à l'étape dela collecte de données)

► Les Loi sur la protection des données visent àprotéger tout traitement de données à caractèrepersonnel effectué par une entité, y compris lesflux d'information / communication à des tiers et leprojet de règlement de l'UE va renforcer le niveaude contrainte pour la collecte de consentement

► La Loi sur la protection des données exigequ'aucune décision importante concernant unepersonne ne puisse être uniquement effectuéesur la base d'un traitement automatisé

► La Loi sur la protection des données permet letraitement de données uniquement à des finslégitimes et explicites spécifiques et accordent ledroit aux individus d'être informés du traitementde leurs données personnelles (et à consentirdans certains cas)

BIG DATA DATA PRIVACY


Bonnes et mauvaises pratiques

DON’T DO

Réutiliser des donnéespersonnelles sans

informer la personneconcernée (ou obtenir leconsentement préalable

si nécessaire)

Transfert de donnéespersonnelles vers des

pays tiers sansprotection suffisante

Divulguer desinformations

personnelles sur un siteWeb sans en informer

les personnesconcernées

Utiliser des donnéesanonymisées afin

d’atténuer les risquesliés à la vie privée

Informer les personnesconcernées par

l’utilisation de donnéespersonnelles et collecter

leur consentement sibesoin

Déposer le traitementde données auprès de

l’autorité locale deprotection des données


Contraintes Dataprivacy

Des questions?

Fabrice NaftalskiAvocat associéCorrespondant Informatique et Libertés d’Ernst & YoungFranceExpert legal EuroPriseFaculty Member of IAPP (International Association of PrivacyProfessionals)

Tel : 33 1 55 61 10 [email protected]

Data privacy - Fabrice Naftalski

Data & Analytics

Transcript of Data privacy - Fabrice Naftalski