• Home

  • Services

  • Protection des données à caractère personnel en Europe : le changement, c'est maintenant!
4
1 White paper 11 : Sécurité de l’information et conformité règlementaire Mathieu Briol Ayant toujours travaillé dans le monde du conseil en entreprise, Mathieu Briol est actif depuis plus de 10 ans dans les domaines liés aux télécommunications, à la gestion des risques de sécurité de l’information, la conformité des systèmes d’information et la continuité d’activités. Ses expériences métier couvrent les secteurs de la finance, des soins de santé, de l’industrie technologique et le secteur public. Fin 2008, il a participé avec deux associés à la création de Mielabelo, un cabinet de conseil belge, actif notamment dans les domaines de la gestion des risques, de la conformité et de la sécurité des systèmes d’information. Une législation vieillissante La législation protégeant les données à caractère personnel en Europe existe maintenant depuis près de vingt ans. Le référentiel européen en la matière est principalement composé de deux directives : La Directive 95/46/EC, aussi appelée «Directive Vie Privée», constitue le texte de référence au niveau européen: elle concerne la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Elle institue : - L’interdiction du traitement automatisé, sauf si les exigences de proportionnalité, transparence, et finalité légitime sont respectées, - Le droit d’accès et de rectification aux données, ainsi que le principe du consentement, - La création d’une autorité de protection des données personnelles au sein de chaque état membre. La Directive 2002/58/EC, dénommée «Directive Vie Privée et Communications Électroniques», décrit des exigences spécifiques, relatives aux Technologies de l’Information et de la Communication, afin de garantir le droit au respect de la vie privée. Les règles concernent notamment : - L’interdiction des spams, - Le régime de l’accord préalable de l’utilisateur (opt-in), - L’installation de cookies. Aujourd’hui, notre quotidien est marqué par des évolutions digitales continuelles qui nécessitent un encadrement règlementaire adapté. Protection des données à caractère personnel en Europe : le changement, c’est maintenant! Introduction Depuis les années nonante, le traitement des données à caractère personnel a profondément évolué. Il était impossible à l’époque d’imaginer le succès d’Internet, des médias sociaux, des technologies mobiles ou du cloud computing. Et ce n’est pas fini : des évolutions telles que l’Internet des Objets vont également s’introduire de manière permanente dans la vie privée de chacun d’entre nous. La ‘Donnée’ est aujourd’hui au cœur d’un Business florissant, celui de la ‘Digital Economy’.

Protection des données à caractère personnel en Europe : le changement, c'est maintenant!

Embed Size (px)

Citation preview

Page 1: Protection des données à caractère personnel en Europe : le changement, c'est maintenant!

1

White paper 11 : Sécurité de l’information et conformité règlementaire

Mathieu BriolAyant toujours travaillé dans le monde du conseil en entreprise, Mathieu Briol est actif depuis plus de 10 ans dans les domaines liés aux télécommunications, à la gestion des risques de sécurité de l’information, la conformité des systèmes d’information et la continuité d’activités. Ses expériences métier couvrent les secteurs de la finance, des soins de santé, de l’industrie technologique et le secteur public.Fin 2008, il a participé avec deux associés à la création de Mielabelo, un cabinet de conseil belge, actif notamment dans les domaines de la gestion des risques, de la conformité et de la sécurité des systèmes d’information.

Une législation vieillissante

La législation protégeant les données à caractère personnel en Europe existe maintenant depuis près de vingt ans. Le référentiel européen en la matière est principalement composé de deux directives :

• La Directive 95/46/EC, aussi appelée «Directive Vie Privée», constitue le texte de référence au niveau européen: elle concerne la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Elle institue :

- L’interdiction du traitement automatisé, sauf si les exigences de proportionnalité, transparence, et finalité légitime sont respectées,- Le droit d’accès et de rectification aux données, ainsi que le principe du consentement,- La création d’une autorité de protection des données personnelles au sein de chaque état membre.

• La Directive 2002/58/EC, dénommée «Directive Vie Privée et Communications Électroniques», décrit des exigences spécifiques, relatives aux Technologies de l’Information et de la Communication, afin de garantir le droit au respect de la vie privée. Les règles concernent notamment :

- L’interdiction des spams,- Le régime de l’accord préalable de l’utilisateur (opt-in),- L’installation de cookies.

Aujourd’hui, notre quotidien est marqué par des évolutions digitales continuelles qui nécessitent un encadrement règlementaire adapté.

Protection des données à caractère personnel en Europe : le changement, c’est maintenant!

Introduction

Depuis les années nonante, le traitement des données à caractère personnel a profondément évolué. Il était impossible à l’époque d’imaginer le succès d’Internet, des médias sociaux, des technologies mobiles ou du cloud computing. Et ce n’est pas fini : des évolutions telles que l’Internet des Objets vont également s’introduire de manière permanente dans la vie privée de chacun d’entre nous. La ‘Donnée’ est aujourd’hui au cœur d’un Business florissant, celui de la ‘Digital Economy’.

Page 2: Protection des données à caractère personnel en Europe : le changement, c'est maintenant!

2

Une évolution nécessaire

C’est pour cette raison qu’une nouvelle réglementation européenne est en préparation. L’Europe voit dans la protection des données à caractère personnel une opportunité Business très importante ainsi qu’un moyen de renforcer le droit des citoyens à la protection de leur vie privée.

À la suite des scandales NSA/Snowden, il est en effet apparu clairement que si l’Europe parvient à instituer des règles fortes, claires et globales dans tout le territoire européen en matière de protection des données, cela peut lui fournir un avantage compétitif différentiateur. De plus, en instaurant une telle politique, l’Europe assure à ses citoyens un traitement transparent, uniforme et sécurisé de leurs données privées… et dès lors, davantage de confiance de leur part.

Ce n’est malheureusement pas toujours le cas aujourd’hui ; en effet, les Directives n’apparaissent pas transposées de manière équivalente au sein de l’Union. Depuis mars 2014 et le vote du Parlement européen concernant la proposition de règlement relative à la protection des données à caractère personnel, la réforme apparaît aujourd’hui irréversible. Même s’il est pour le moment difficile de prédire le contenu final du Règlement, plusieurs lignes de force se détachent :

• L’établissement d’une réglementation paneuropéenne unique et non 28 réglementations différentes

• L’application transversale de la réglementation, pour toutes les entreprises, qu’elles soient européennes ou pas

Les entreprises établies à l’extérieur de l’Union, mais opérant dans l’Union, devront également appliquer cette nouvelle réglementation. Cela n’est pas le cas aujourd’hui et génère des contraintes désavantageant les entreprises européennes face à la compétition étrangère.

• Des autorités nationales plus puissantes et des sanctions administratives graduelles harmonisées dans l’Union (lettre d’avertissement, audit des mesures de protection, amende allant jusqu’à 100 millions d’euros ou 5% du chiffre d’affaires mondial de l’organisation concernée)

• La mise en place du principe de responsabilisation, et l’obligation du responsable de traitement de prouver sa conformité par l’adoption de politiques internes et de mécanismes visant à assurer cette conformité

• La désignation de Data Protection Officers (DPO) ou délégués à la protection des données

• La réalisation de Privacy Impact Assessments dans des cas où des risques spécifiques sont présents, et la mise en place de mesures de sécurité visant à contrer des menaces telles que la destruction ou la perte accidentelle, le traitement illégal, la dissémination, l’accès ou encore l’altération non-autorisée de données personnelles

• La documentation de toutes les opérations de traitement de données

Page 3: Protection des données à caractère personnel en Europe : le changement, c'est maintenant!

3

• L’institution du droit à l’oubli : le citoyen européen pourra exiger la suppression de ses données s’il ne souhaite plus qu’elles soient sujettes à traitement et sous certaines conditions

• La mise en place du consentement explicite au traitement de données à caractère personnel

• L’obligation de notification en cas de fuite ou d’incident

• La prise en compte de la protection des données personnelles dès le début des initiatives de traitement de données, aussi appelée le «Privacy by Design».

L’adoption des textes finaux devrait intervenir courant 2015 et les premiers effets devraient se faire sentir sur les organisations à partir de 2016. Il est donc temps de préparer !

Quelques conseils ciblés pour bien se préparer

Nous reprenons ici quelques conseils très ciblés par rapport aux contraintes haut niveau du règlement à paraître. Les mesures finales n’étant pas encore confirmées, il se pourrait qu’il soit nécessaire de procéder à des ajustements en cours de route. Cependant, les lignes directrices principales ne devraient pas être modifiées.

1. Connaître votre ennemi

Une bonne connaissance de ces nouvelles contraintes apparaît indispensable afin de définir une approche soutenable et pragmatique de mise en conformité. Délégué à la Protection des données, consentement explicite, notification de fuite de données, Privacy by Design, Privacy Impact Assessments, … autant de contraintes et de concepts qu’il vous faudra comprendre pour fourbir vos armes au moment voulu !

2. Sensibiliser la hiérarchie à la montée en puissance prévisible des autorités de protection nationales

Les sanctions potentielles devraient suffire à faire comprendre au Management les conséquences du nouveau règlement et toute l’utilité d’un programme de mise en conformité. Sans cette prise de conscience du Management, il est difficile de mobiliser les forces vives et de sensibiliser l’ensemble du personnel.

3. Mettre en place une organisation efficace au service de la conformité

La désignation d’un Délégué à la Protection des données s’impose. Elle sera obligatoire, sauf pour les PMEs, sous certaines conditions. Son implication dans chaque initiative impliquant un traitement de données à caractère personnel est une condition minimale du concept de Privacy by Design.

4. Cartographier les flux de données personnelles

Difficile de se mettre en conformité sans connaître les flux de données à caractère personnel au sein des différents process métier de l’organisation. Identifier ces flux, comprendre les entrées, traitements et sorties d’information est une étape essentielle afin d’espérer assurer un niveau de conformité

Page 4: Protection des données à caractère personnel en Europe : le changement, c'est maintenant!

4

Voulez-vous en savoir davantage sur le sujet?

Envoyez un mail à : [email protected]

minimal. Le cycle de vie de l’information, c’est-à-dire l’acquisition, le stockage, l’utilisation, le partage, la destruction et l’archivage de données, doit donc faire l’objet d’une documentation claire de façon à pouvoir évaluer les contrôles mis en place, leur adéquation par rapport aux risques identifiés et les opportunités d’amélioration à cet égard.

5. Établir des politiques internes de gouvernance et de conformité de l’information

La documentation des activités de conformité est indispensable. Elle devra fournir au minimum trois éléments:

• Une approche globale d’assurance de conformité,• Les rôles respectifs de chacun (audit interne, audit externe,

délégué à la protection des données, process owner…),• Les activités visant à fournir à l’autorité de protection

un niveau d’assurance raisonnable quant à la conformité réglementaire de l’organisation et à sa répétabilité, notamment via la génération systématique de traces.

Conclusion et recommandations

En conclusion, un programme de mise en conformité s’impose !

Comme toutes les exigences réglementaires, la nouvelle réglementation de protection des données à caractère personnel risque de faire grincer des dents. À n’en point douter, elle va nécessiter des investissements importants pour toutes les organisations car elle s’appliquera à tout traitement de ce type de données. Le renforcement des autorités de protection nationales demandera également la libération de nouveaux moyens budgétaires publics. En effet, pour être respectée, la législation doit être appliquée de manière stricte. En instituant des pouvoirs significatifs aux autorités de protection nationales, le nouveau règlement européen impose également un financement en ligne avec les attentes réglementaires. En ces périodes budgétaires troublées, il est à espérer que nos politiciens trouveront encore quelques euros pour soutenir ces efforts…

Pour les organisations souhaitant se mettre en conformité, l’étape initiale consiste en une évaluation de l’écart entre le niveau réglementaire et les pratiques concrètes en matière de traitement des données à caractère personnel. Sur cette base, un programme pourra être établi de manière à étaler les efforts à fournir sur la durée. Si certaines mesures peuvent être rapidement mises en place (désignation d’un délégué à la protection des données, etc.), d’autres, telles que l’implémentation du Privacy by Design ou de mesures de notification d’incident, peuvent nécessiter de profondes modifications dans les fonctionnements au quotidien.

Ne perdez donc pas de temps et retroussez d’ores et déjà vos manches ! 2016, c’est demain…


Dès maintenant en Europe - Prison

Dès maintenant en Europe - Prison

Documents
PORTR D M D TRAVAIL 2018 - Emploi-Québec · 2019-05-27 · Afin de protéger le caractère confidentiel des renseignements recueillis lors du Recensement de 2016 tout en maintenant

PORTR D M D TRAVAIL 2018 - Emploi-Québec · 2019-05-27 · Afin de protéger le caractère confidentiel des renseignements recueillis lors du Recensement de 2016 tout en maintenant

Documents
Profitez maintenant!

Profitez maintenant!

Documents
Description de caractère

Description de caractère

Health & Medicine
Caractère des ardennes n°18

Caractère des ardennes n°18

Documents
Les rois thaumaturges. Étude sur le caractère surnaturel ... · Web viewLe problème qui s'impose maintenant à notre attention est double. Le miracle royal se présente avant tout

Les rois thaumaturges. Étude sur le caractère surnaturel ... · Web viewLe problème qui s'impose maintenant à notre attention est double. Le miracle royal se présente avant tout

Documents
Ennéagramme, caractère et névrose - medias.dunod.commedias.dunod.com/document/9782729612269/Feuilletage.pdf · Dr Claudio Naranjo Ennéagramme, caractère et névrose Structure

Ennéagramme, caractère et névrose - medias.dunod.commedias.dunod.com/document/9782729612269/Feuilletage.pdf · Dr Claudio Naranjo Ennéagramme, caractère et névrose Structure

Documents
Pavillon de caractère

Pavillon de caractère

Design
Ensemble, construisons maintenant

Ensemble, construisons maintenant

Documents
L’éveil c’est maintenant !

L’éveil c’est maintenant !

Documents
maintenant, un secret

maintenant, un secret

Documents
LEXIQUE: LE CARACTÈRE · 2017. 10. 16. · LEXIQUE: LE CARACTÈRE Quels traits de caractère considérez -vous positif et négatif ? Cherchez dans cette liste 5 adjectifs qui vous

LEXIQUE: LE CARACTÈRE · 2017. 10. 16. · LEXIQUE: LE CARACTÈRE Quels traits de caractère considérez -vous positif et négatif ? Cherchez dans cette liste 5 adjectifs qui vous

Documents
MAINTENANT DISPONIBLE

MAINTENANT DISPONIBLE

Documents
Whisky de Caractère

Whisky de Caractère

Documents
4. Voyager et étudier en Europe - European Parliament · 2017. 6. 5. · maintenant que vous ayez un accident. Dans ce cas, la première chose à faire est d’appeler le numéro

4. Voyager et étudier en Europe - European Parliament · 2017. 6. 5. · maintenant que vous ayez un accident. Dans ce cas, la première chose à faire est d’appeler le numéro

Documents
des Collectivités Locales en Europe - europaong.org · Pourtant, le caractère fédéral d’un Etat n’est pas en soi l’assurance d’une autonomie locale forte. De la même

des Collectivités Locales en Europe - europaong.org · Pourtant, le caractère fédéral d’un Etat n’est pas en soi l’assurance d’une autonomie locale forte. De la même

Documents
MONTRÉAL, VILLE UNESCO DE DESIGN / UNESCO … Le design possède maintenant un caractère rassembleur plutôt unique à Montréal depuis que la qualité du design de la ville est

MONTRÉAL, VILLE UNESCO DE DESIGN / UNESCO … Le design possède maintenant un caractère rassembleur plutôt unique à Montréal depuis que la qualité du design de la ville est

Documents
Strauss - Kemet Europe | Kemet Europe

Strauss - Kemet Europe | Kemet Europe

Documents
4.- Caractère - prezi

4.- Caractère - prezi

Documents
Sexe et Caractère - TousVosLivres.com

Sexe et Caractère - TousVosLivres.com

Documents
Résumé de cours de Statistiques descriptives. Elaboré par ... · 3- caractère statistique et différents types du caractère: le caractère est le phénomène étudié en statistique,

Résumé de cours de Statistiques descriptives. Elaboré par ... · 3- caractère statistique et différents types du caractère: le caractère est le phénomène étudié en statistique,

Documents
LE CARACTERE Introduction Définition de tempérament et de caractère Éléments du caractère Découverte et formation Types de caractère Étude de chaque caractère

LE CARACTERE Introduction Définition de tempérament et de caractère Éléments du caractère Découverte et formation Types de caractère Étude de chaque caractère

Documents
Ta personnalité et ton caractère!

Ta personnalité et ton caractère!

Documents
Des outils de caractère

Des outils de caractère

Documents
AVIS TECHNIQUE À CARACTÈRE HYDRAULIQUE

AVIS TECHNIQUE À CARACTÈRE HYDRAULIQUE

Documents
depuis maintenant

depuis maintenant

Documents
DE L´EuROPE 1.0 En EuropE D’Inde en Europe

DE L´EuROPE 1.0 En EuropE D’Inde en Europe

Documents
ÉTUDE CARACTÈRE

ÉTUDE CARACTÈRE

Documents
-ant -ès - Classe et Grimaces€¦ · -ant cependant durant maintenant avant pendant avant autant durant maintenant avant pendant cependant durant maintenant avant pendant durant

-ant -ès - Classe et Grimaces€¦ · -ant cependant durant maintenant avant pendant avant autant durant maintenant avant pendant cependant durant maintenant avant pendant durant

Documents
Caractère et destinée

Caractère et destinée

Documents