Protéger ses données: mission impossible?

LES JEUDI DE L’AFAI

Protéger ses données – Mission

impossible ?

7 avril 2016

(c) Maître Isabelle Renard - www.irenard-avocat.com - 7 avril 2016

1

Le traitement de la donnée personnelle est omni

présent et en augmentation constante

Objets connectés

Conduite assistée

« fidélisation » du client

Profiling/géolocalisation/suggestions d’achat

Contrôle des déplacements

….


2

Des finalités différentes, mais des technologies

communes

Applications commerciales

Applications administratives (faciliter la vie du citoyen)

Applications régaliennes pour la protection de la

sécurité du territoire


3

Protection actuelle = Loi Informatique et Libertés

Imbroglio d’obligations peu lisibles, non hiérarchisées,

assorties de sanctions irréalistes et inapplicables


4

Deux enjeux sont véritablement importants :

La sécurité des Données

Le contrôle des traitements big data


5

Sous l’empire de la Loi Informatique et Libertés

actuelle

Obligation de sécurité :

Reste un « concept » dépourvu de mise en application et

de méthode, malgré les efforts de la CNIL (Privacy Impact

Assessment – démarche/outillage – Juin 2015)


6

Sous l’empire de la Loi Informatique et Libertés

actuelle

Le traitement du big data est par construction illégal :

L’interconnexion de données est soumise à autorisation

de la CNIL

Le client n’est en pratique jamais informé du traitement


7

Ce qui va changer avec le règlement européen

Le projet de règlement est quasiment finalisé

Sera adopté premier semestre 2016

Entrera en vigueur deux ans après

C’est un règlement et non une directive : SERA DIRECTEMENT APPLICABLE DANS TOUS LES ETATS MEMBRES


8

Ce qui va changer avec le règlement européen

La fin des déclarations

Principe d’accountability = le responsable du traitement

doit « rendre des comptes » sur les mesures mises en

place


9

REGLE DE : « PRIVACY BY DESIGN »

Tout équipement technologique devra être conçu dès le

départ pour protéger de façon satisfaisante les données

personnelles


10

EVALUATION DU RISQUE

Le responsable du traitement doit évaluer les risques

Et mettre en place les mesures proportionnées


11

Traitement à « haut risque » : ETUDE D’IMPACT

OBLIGATOIRE

Traitement à haut risque = nouvelles technologies, profiling,

etc. – Liste définie par autorité locale de protection (CNIL)

ETUDE D’IMPACT OBLIGATOIRE

La CNIL pourra mettre son veto si elle considère que les

précautions suffisantes ne sont pas prises (procédure

beaucoup plus différenciée que l’actuelle autorisation)


12

Une solution de place : le CODE DE CONDUITE

Les acteurs représentatifs d’un secteur d’activité

pourront élaborer des codes de conduite

Les codes de conduite seront soumis à la CNIL puis

publiés

Adhésion sur une base volontaire

Vérification de conformité par des organismes

indépendants accrédités par la CNIL


13

Encore mieux : LE LABEL

Le règlement encourage la création de labels

La conformité au label sera garantie par une entreprise

accréditée


14

Ce qui va changer d’autre avec le règlement

européen

La co-responsabilité de tous les acteurs chacun dans

leur domaine d’intervention

Notification des failles de sécurité pour tous !

Obligation renforcée d’information des personnes


15

Ce qui va changer d’autre avec le règlement

européen (suite)

Des amendes DISSUASIVES

20 M€, ou 4% du CA …


16

MAIS …

Tout ceci sera-t-il réellement efficace ?


17

On peut en douter …

« Le bouclier est-il la réponse au problème de

protections des données ? »

lesechos.fr – 23/02/2016

La mise en place du « privacy shield » en remplacement

de feu « safe harbor » ne changera rien au fond du

problème…


18


« Protection des données personnelles vs sécurité publique – le grand écart »

novethic.fr – 08/03/2016

L’exigence de «sécurité publique » ruine le concept du « privacy by design » - par exemple cryptage des

données sur les smartphones – cf bras de fer APPLE / Gvt US


19


« Ville intelligente – ne pas négliger les enjeux éthiques »

directioninformatique.com – 29/02/2016

Impacts d’un problème de sécurité des services urbains

« intelligents » sur la vie privée des habitants ?


20


« Les données sensibles partagées trop librement dans le cloud »

cio-online.com – 29/02/2016

Etude Elastica Cloud /Blue Coat

Un fichier sur 10 partagé dans le cloud contient des données sensibles réglementées (mauvaise gestion ds

consignec de sécurité par les utilisateurs)


21


« Trop de données personnelles»

journaldemontreal.com – 16/03/2016

Prévient contre les dangers de la prise de décision

arbitraire sur la base de profiling big data dont les

consommateurs n’ont aucune conscience


22


« Adobe lance une coopérative de données personnelles pour vous tracer partout»

numerama.com – 23/03/2016

Permet aux annonceurs de proposer des publicité ciblées sur l’ensemble des équipements informatiques des

utilisateurs quelle que soit la marque – incertitude sur la sécurité des DP


23

En résumé

Une législation européenne plus efficace et plus adaptée

MAIS :

En pratique incapable d’endiguer le mouvement massif

d’utilisation des DP à des fins commerciales (enjeux

financiers puissants)

Par définition incapable d’empêcher l’accès aux

données par les gouvernements (enjeux sécuritaires –

mais quid si utilisé dans contexte non démocratique ?)


24

Alors que faire ?????

Face au manque d’efficacité des instruments juridiques

Face à la difficulté de lutter contre les opérations régaliennes

C’est à chacun, dans sa sphère privée, de recouvrer

un peu de bon sens et de refuser la facilité des applications « gadget »

Car « Science sans conscience n’est que ruine de l’âme »…


25

Merci de votre attention ….


26

Technology

Protéger ses données: mission impossible?