AFDIT Paris 22 février 2013
Dimension: px
Commencer à balayer dès la page:

Download "AFDIT Paris 22 février 2013"

Transcription

1 AFDIT Paris 22 février 2013 la Cnil & le projet de règlement européen: Nouveaux défis, nouvelles perspectives Sophie NERBONNE Directrice Adjointe des Affaires Juridiques, Internationales et de l Expertise - CNIL

2 Sommaire 1. Projet de Règlement: point d étape 2. Objectif détaillés du projet de Règlement 3. Présentation des limites et axes d amélioration du Projet de Règlement 2

3 1. Projet de Règlement: point d étape 1.1 Eléments de contexte 1.2 Présentation du calendrier prévisionnel 1.3 Les prochaines étapes pour la CNIL 3

4 1.1 Eléments de contexte: pourquoi un projet de Règlement? un texte nécessaire dans un environnement numérique en constante évolution Données personnelles: actif financier important, «carburant» des acteurs économiques et donc élément de compétitivité économique Réforme emblématique pour l Europe dans sa capacité à exprimer une volonté politique et à parler d une même voix Moyen de répondre aux nouveaux défis (concurrentiels, économiques et internationaux) de façon coordonnée, efficace et cohérente Le projet de Règlement: des avancées positives pour le citoyen, les entreprises, et les autorités de contrôle Renforcement des droits du citoyen Application des dispositions européennes aux acteurs étrangers Responsabilités des acteurs du marché et des soustraitants affirmées Harmonisation des pouvoirs et des compétences des autorités de contrôle et indépendance réaffirmée 4

5 1.2 Présentation du calendrier prévisionnel date 8 et 19 octobre et 10 octobre 2012 Fin décembre 2012 Février 2013 Mars 2013 Avril 2013 Eté 2013 événement Publication de deux documents de travail par J. Albrecht Réunion «interparlementaire» des Parlementaires européens et nationaux Présentation du projet de rapport Dépôt des amendements Discussion avec les commissions saisies pour avis Vote en Commission LIBE Négociation avec le Conseil de l UE Adoption prévue fin 2013/ 2014 pour une mise en œuvre en

6 1.3 Prochaines étapes pour la CNIL Réussir la grande réforme du cadre européen par une gouvernance décentralisée et intégrée facilitant la collaboration avec les entreprises Décentralisée: les autorités doivent rester souveraines et compétentes dès lors que leurs citoyens sont impactés Intégrée: renforcement de la coopération entre les autorités, un mécanisme de coopération «efficace» => coopération entre «pairs» Favoriser et aider au développement de référentiels communs utiles aux entreprises Promouvoir les codes de bonne conduite Encourager les BCR pour les groupes Encourager et accompagner les acteurs du marché à mettre en place, un «pack de conformité» (une boite à outils consistante pour les citoyens) Participer à l amélioration de certains points du projet de Règlement potentiellement sources d insécurité juridique pour le citoyen Préciser et conforter des notions clés fondamentales de la protection des données Assurer aux citoyens une protection efficace de leurs droits 6

7 2. Objectifs détaillés du projet de Règlement 2.1 Meilleure protection des personnes 2.2 Nouveau rôle pour l entreprise 2.3 Renforcement du rôle des autorités de contrôle 2.4 Promotion de la conception de technologies éthiques 7

8 2.1 Une meilleure protection des personnes Protection renforcée de la personne et de son identité Renforcement du consentement dans sa définition: Opt-in fort: consentement libre, spécifique, informé et explicite, par déclaration ou acte positif (Art. 4). Introduction de conditions de licéité pour le traitement des données à caractère personnel relatives aux enfants pour les services de la société de l information qui lui sont directement proposés (Art. 6). Introduction d un principe général de transparence applicable au responsable du traitement (Arts. 11, et 14 ). Renforcement des droits des personnes Confirmation d un droit à l oubli (Art. 17). Nouvelles dispositions sur le profilage (Art. 20). Possibilité d introduire des recours collectifs (Art.73). Renforcement des outils permettant aux personnes de gérer leurs données Création d un droit à la portabilité des données (Art. 18). Nouvelles dispositions de collecte du consentement et de mise en œuvre du droit d opposition, notamment dans le cadre du marketing direct (Art.19) 8

9 2.2 Un nouveau rôle pour l entreprise Autonomisation des entreprises Introduction d un principe d accountability du responsable de traitement (art.22) Désignation d un délégué à la protection des données pour certaines entreprises (art. 35 à 37) Allègement des formalités déclaratives (art. 34) Responsabilisation accrue des entreprises dans la maitrise du risque Obligation de coopération avec l autorité de contrôle (art. 29) Obligation pour le responsable de traitement de mettre en œuvre des mécanismes visant à garantir la protection des données par défaut ou dès la conception (art. 23) Réalisation d une étude d impact sur le traitement à risque (art.33) Notification des failles de sécurité (art. 31) Consécration des règles d entreprises contraignantes (BCR) comme mécanisme permettant d encadrer des transferts de données en-dehors de l UE (art. 43) Meilleur encadrement de la qualité de sous-traitant Création du statut légal du sous-traitant (art. 26 et arts 28 à 44) Introduction d une co-responsabilité entre le sous-traitant et le responsable de traitement en cas d infraction 9

10 2.3 Le renforcement du rôle des autorités de contrôle Renforcement des pouvoirs de l autorité de contrôle Affirmation des pouvoirs de contrôle a posteriori des autorités (art.51) Renforcement des sanctions administratives financières (art.79) Montants dissuasifs Coopération renforcée (art. 55 à 61) Avec les acteurs économiques Secteur privé ou public Avec les autres autorités de contrôle Affirmation de l indépendance, des pouvoirs et des compétences des autorités de contrôle (arts 46, 47 et arts 51 à 53) 10

11 2.4 La promotion de la conception de technologies éthiques Conception de solutions protectrices de la vie privée, grâce à deux concepts: o o Intégration des exigences de protection de la vie privée dès la conception o o Privacy by design: intégration des exigences dès la conception de la solution technologique Ex: paramétrage d un auto-effacement des données (introduction d une durée de conservation au moment de la mise en ligne sur internet au moyen d un log) Privacy by default: paramétrage le plus protecteur de la vie privée programmé par défaut Ex: paramétrage par défaut d un profil, notamment pour les mineurs Renforcement du contrôle a priori du déploiement de la technologie Obligation d effectuer en amont, des études d impact sur la vie privée et la protection des données (Privacy Impact Assessments) pour les traitements présentant des risques particuliers Adoption de mesures appropriées et garantie de sécurité assurée Contrôle du respect des mesures mises en place et des exigences du cadre de protection des données Contrôle a posteriori de l usage fait des technologies Usage des technologies dans le cadre autorisé par le règlement => risque de sanctions financières en cas de non respect des règles Vérification du fait que l usage de la technologie respecte les droits des personnes 11 TITRE LA DE CNIL LA PRESENTATION & L EUROPE:

12 3. Présentation des limites et axes d amélioration du Projet de Règlement 12

13 Le critère de l établissement principal et la détermination du guichet unique Définition de l établissement principal: Les propositions de la CNIL Lieu où sont prises les principales décisions quant aux 30 finalités, renvoi conditions et moyens du traitement de DCP. Deux cas: Entreprise UE/ 1 seul établissement en UE L autorité compétente sera celle où le RT a son établissement Entreprise UE/ plusieurs établissement en UE L autorité compétente sera celle de l établissement principal du RT Les risques : un critère juridique incertain et flou Pas de définition claire. Critère de fait et non de droit Un critère impraticable Pour le citoyen Autorité du pays du citoyen: simple boite aux lettres Droit au recours fragilisé: recours croisés des autorités les unes contre les autres, risques de conflit juridictionnel Illisibilité du système Pour l entreprise Critère applicable aux grands acteurs et sans rapport avec la structure interne de l entreprise Responsabilité de l entreprise non établie (responsabilité unique, conjointe, distributive.) Risque de «data dumping» Problème d articulation et risque d interaction entre la protection des données et les autres législations nationales (droit social, droit du travail, etc ) renvoi Pour une gouvernance décentralisée et intégrée: d un critère de fait et un critère de droit Critère général de compétence: critère du «ciblage» lieu de résidence du citoyen concerné (idemdroit de la consommation) Distinction entre deux interlocuteurs: un pour la mise en conformité des entreprises en amont et un pour la mise en application en aval par les autorités de contrôle Désignation d une autorité «chef de file» avec des compétences non exclusives, agissant au nom et pour le compte des autres autorités concernées Adoption des décisions par codécision Les avantages Clarification du critère de compétence des autorités nationales de protection des données Possibilité d un guichet unique pour les entreprises et les citoyens Garantie de recours pour le citoyen et lisibilité du dispositif Coopération renforcée et application de décisions «communes» Sécurité juridique

14 La centralisation des pouvoirs au niveau de la Commission La commission a le pouvoir de prendre un nombre important d actes délégués: 30 renvois à des «actes délégués» 30 renvoi 15 renvois à des «actes d éxécution» Dans de nombreux domaines (ex: droit à l oubli, mesures coercitives, critère de désignation d un délégué à la protection des données, et de détermination de ses fonctions, règles d entreprises contraignantes etc.) Des risques et des limites importantes: des délais de mise en œuvre importants (15 ans) 30 renvoi une insécurité juridique pour les entreprises une insuffisante connaissance du «terrain» et une inadaptation au monde numérique Les propositions de la CNIL Meilleure ventilation dans l élaboration des normes et des conditions de mise en œuvre de la 30 renvoi réglementation entre: La Commission européenne Le comité européen de protection des données Les autorités nationales de contrôle Pouvoir pour les autorités nationales de contrôle d élaborer des lignes directrices Permettre au comité européen de la protection des données de publier des référentiels dans les deux ans suivant la publication du Règlement en lieu et place de la Commission européenne 14

15 L encadrement des transferts internationaux Encadrement des transferts: Sur la base d une auto-évaluation des entreprises avec simple information des autorités de contrôle sur les transferts ainsi réalisés (art. 44 h) sur la base d instruments juridiques non-contraignants (art. 42.5) Pouvoir de contrôle a priori pour tout nouveau mécanisme «d accountability» ou garanties appropriées pour encadrer les transferts internationaux de données Contrôle a priori essentiel afin de s assurer que les données ne circulent pas sans garanties appropriées Approbation par l autorité de protection des dérogations se basant sur une «auto-évaluation» Les transferts effectués sur la base de l ensemble des dérogations doivent être limités aux cas non répétitifs, non massifs ou non structurels Proposition pour la suppression de la possibilité d utiliser des instruments non contraignants pour encadrer des transferts internationaux 15

16 Autres points d amélioration attendus 1/4 L accountability: une exigence pour les entreprises en faveur d une meilleure protection des personnes Nécessaire maintien des dispositions telles qu elles sont formulées dans le projet de Règlement concernant ce principe MAIS Nécessaire encadrement de ces mesures afin d assurer une protection efficace des droits du citoyen: pas d autorégulation/autoévaluation Introduction de la notion de proportionnalité des dispositifs d accountability mis en œuvre par les entreprises en fonction notamment de la nature du traitement Possibilité pour les autorités de contrôle nationales de moduler les sanctions lorsqu un programme d accountability a été mis en œuvre par l entreprise (art. 79) 16

17 Autres points d amélioration attendus 2/4 Conduite d une analyse d impact (Art. 33) Position CNIL: Chacune des analyses effectuées par les entreprises devraient être formellement autorisées par l autorité de contrôle. L ensemble des données sensibles énumérées à l Article 9 devraient faire partie du périmètre de l analyse d impact. Avis G29: les autorités devront informer les autres autorités en cas de décisions favorables concernant une évaluation d impact. La documentation établie par le responsable de traitement et le sous-traitant (Art. 28) Position CNIL: cette documentation devrait contenir: les délais impartis pour l effacement des données et la durée de conservation, les mesures prises par le responsable de traitement afin d assurer la protection des données dès la conception et par défaut, la description des mesures prises pour assurer la sécurité du traitement et basées sur l évaluation d impact Avis G29: chaque entreprise doit garder une trace documentaire des procédures mises en place et exécutées en application de l obligation générale d accountability. 17

18 Autres points d amélioration attendus 3/4 Notification des failles de sécurité (Art. 31) Position CNIL : Possibilité pour les autorités de contrôle d adopter des lignes directrices et des règles destinées à déterminer la limite à partir de laquelle le responsable de traitement aurait l obligation de notification Possibilité pour les autorités de contrôle d accorder un délai supplémentaire pour la notification aux personnes concernées si besoin et si nécessaire. Avis G29 : Une notification dans les 24h si possible Les raisons pour lesquelles la notification n'a pu avoir lieu devront être communiquées. Notification avec une évaluation de la gravité de la violation des données basée sur des critères objectifs (conformément aux recommandations de l ENISA) Implication de l EDPB dans la détermination des critères et des modalités de notification. Désignation d un délégué à la protection des données Position CNIL: Le seuil de 250 salariés n est pas justifié, il ne représente que 1 ou 2% des entreprises européennes, une large part des entreprises ne seront pas soumises à cette obligation 18

19 Autres points d améliorations attendus 4/4 Définition de «données personnelles» (Art.4) Position CNIL: les adresses IP ou le profilage commercial doivent rentrer dans la définition de données personnelles Avis G29: la définition de données personnelles doit couvrir les adresses IP et les cookies. Le droit à l oubli (Art. 17) Position CNIL : Renforcer le droit à l oubli par une obligation positive de déréférencement pesant sur les moteurs de recherche Avis du G29 : La personne concernée doit avoir la possibilité de faire valoir ses droits directement auprès d un tiers dans les cas où l exercice de ses droits ne peut être accompli auprès du responsable de traitement. Les pouvoirs d enquête des autorités de contrôle limités (art.53) Position CNIL: Les autorités de contrôle doivent pouvoir mener des enquêtes sans condition préalable de présomption d activité contraire au règlement 19

20 Défis & challenges de la CNIL: montée en puissance de nouveaux outils de régulation «LES PACKS DE CONFORMITE» Un ensemble de règles et de bonnes pratiques pour un secteur donné; ex: les smart-grids Concertation avec la FIEEC LE LABEL CNIL Un outil de régulation permettant la visibilité du caractère éthique, et de conformité Informatique & Libertés (I&L) LES BINDING CORPORATE RULES Un outil efficace de régulation des transferts de données au service des multinationales LE RÔLE DU CIL Un acteur clé de la conformité I&L de l entreprise Un engagement fort pour la protection des droits de personnes 20

21 Le Label: intérêts 1/3 POUVOIR DE LABELLISATION En aout 2004, la modification de la loi I&L introduit la possibilité pour la CNIL de délivrer des labels «à des produits ou des procédures» En mai 2009, la modification de la loi autorise la CNIL à définir le dispositif dans son règlement intérieur En octobre 2011, elle modifie son règlement intérieur et adopte les premiers référentiels relatifs aux: Formations Procédures d audit de traitements En juin 2012, elle délivre les premiers labels INTERÊTS DU LABEL Pour les organismes La possibilité de se distinguer en garantissant un haut niveau de protection des données Pour les clients Indicateur de confiance permettant d identifier et de privilégier ceux qui garantissent un haut niveau de protection de leurs données personnelles Pour la CNIL C est un moyen d encourager les organismes à adopter des pratiques respectueuses de la protection des données L objectif de la labellisation est d attester de la qualité des produits et procédures. Elle ne doit pas pour autant aboutir à une standardisation des produits et procédures proposés sur le marché, les exigences peuvent donc être satisfaites par des programmes différents 21

22 Le label: procédure, utilisation & contrôle 2/3 1) La création de référentiels: une organisation professionnelle ou institution regroupant des responsables de traitement adresse à la Commission une demande de création de label relatif à des produits ou des procédures. Les référentiels sont ensuite proposés par le Comité de labellisation et adoptés en séance plénière. 2) La demande d autorisation d un label Les demandeurs indépendamment de leur appartenance à l organisation professionnelle ayant sollicité la création du label, peuvent déposer une demande d homologation individuelle procédure L instruction 1) Dépôt de la demande via un formulaire 2) Détermination de la recevabilité de la demande dans les deux mois qui suivent son dépôt 3) Instruction du dossier par l équipe «Labels» 4) Évaluation de la conformité par le Comité de Labellisation 5) Présentation du dossier en séance plénière 6) Notification au demandeur et publication de la délibération Vérification du respect de l utilisation du Label contrôle Vérification possible à tout moment par la CNIL Signalement possible à la CNIL par un tiers En cas de non respect des conditions d utilisation du label : Courrier au titulaire avec 1 mois pour faire des observations Possibilité de retirer le label (décision adoptée en séance plénière) si réponse non satisfaisante Conditions d utilisation: 3ans utilisation En cas de modification dans ce délai *Information obligatoire de la Commission *Evaluation du caractère substantiel ou non de la modification *Si modification substantielle, nécessité d une nouvelle délibération Renouvellement *Au moins 6mois avant expiration (même formalisme qu une demande) Publicité *délivrance, retrait, reconduction sont publics *liste des produits et procédures labellisés : site de la CNIL 22

23 Le Label: deux référentiels opérationnels 3/3 LES REFERENTIELS: DEFINITION Une liste d exigences fixées par la Commission que doit satisfaire le produit ou la procédure pour obtenir le label Le demandeur peut démontrer par tous moyens que le produit ou la procédure satisfait ces exigences L AVENIR DU LABEL Poursuivre l instruction des demandes Créer de nouveaux référentiels pour 2013 Vers des référentiels «produits» Besoin des CILs comme relais LE REFERENTIEL FORMATIONS Orientation: Possibilité d auditionner les formateurs et d assister à une formation Des connaissances fondamentales obligatoires et des modules optionnels Exigences: Sur la méthode: évaluation de l activité de formation Sur le contenu de la formation: contenu pédagogique LE REFERENTIEL PROCEDURE D AUDIT DE TRAITEMENT Orientation: Nécessité d effectuer des vérifications techniques Limitation d accès à des données Audit de traitement Exigences: Sur la méthode: compétence des auditeurs, gestion des docs Sur le contenu de la formation Des pages dédiées aux labels - La procédure de labellisation - Les référentiels d évaluation - Une foire aux questions - Les dossiers de demande - Une clé de chiffrement - Des articles et actualités - La liste des produits et procédures labellisés 23

24 Les BCR: historique, définition & objectifs 1/5 HISTORIQUE DEFINITION L aventure commence en 2003 Expérience terrain GE/Philips en 2005 Fort investissement de la CNIL en 2008 au sein du G29 Adoption de 3 documents clés UN CODE DE CONDUITE DEFINISSANT UNE SEULE POLITIQUE POUR UN GROUPE Un code de conduite définissant la politique globale d une entreprise en matière de transferts de données personnelles hors de l UE => Encadrer les transferts internationaux des grands groupes Mise en place d un système de reconnaissance mutuelle au sein du G29 Club BCR CNIL: coordinateur des travaux G29 Pour qui? Les multinationales qui exportent des données depuis l Union européenne vers d autres entités du groupe situées dans des pays tiers n assurant pas un niveau de protection équivalent à celui de l Union européenne Pourquoi? De multiples transferts couverts par une seule politique groupe OBJECTIFS DES BCR Assurer un niveau de protection adéquat Uniformiser les pratiques Prévenir les risques Éviter de conclure un contrat pour chacun des transferts Communiquer Constituer un guide interne en matière de gestion des données personnelles Placer la protection des données au rang des préoccupations éthiques au même titre que la protection de l environnement 24

25 Le contenu des BCR: engagements & mesures 2/5 DES ENGAGEMENTS JURIDIQUES FORTS Force contraignante Droits des personnes concernées Responsabilité du groupe DES MESURES CONCRETES Transparence Audits Formation Réseau de Délégués à la Protection des données Une procédure de suivi de plaintes en interne 25

26 Les BCR en pratique: étapes vers l adoption 3/5 1 ère étape Réunion avec l entreprise (comprendre ses attentes, exposer les attentes de la CNIL) et désignation de la CNIL comme autorité chef de file 2 ème étape Rédaction des BCR par l entreprise sur la base des documents de référence 2-6 mois 3 ème étape Revue des BCR par deux autres autorités de protection des données 1-2 mois 4 ème étape Procédure de coopération Pays en reconnaissance mutuelle: La revue par l autorité chef de file vaut approbation par les autres autorités Pays hors reconnaissance mutuelle: 1 mois pour faire des commentaires prise en compte des commentaires par l entreprise Clôture de la procédure de coopération: L entreprise peut faire ses demandes d autorisation (procédure d instruction accélérée) 26

27 Les BCR: un paysage juridique en évolution 4/5 Révision de la directive européenne Les BCR officiellement reconnus comme outils de conformité Zone APEC L Asie Pacifique développe un outil comparable aux BCR: les Cross- Border PrivacyRules OCDE Révision des lignes Directrices de l OCDE ENJEU: l interopérabilité des différents instruments 27

28 Les BCR: un succès pour plus de 40 entreprises 5/5 Les entreprises ayant adopté les BCR avec la CNIL Les témoignages des entreprises: «Les BCR permettent une revue approfondie des différentes politiques et procédures de l entreprise en matière de protection des données.» «Les filiales s investissent dans la protection des données et adoptent des réflexes en la matière.» Les entreprises ayant adoptés les BCR avec d autres autorités «chef de file» «L organisation (nombre d entités, implantations ) des grands groupes étant de plus en plus complexe, la solution BCR permet un pilotage pertinent et agile de la protection des données.» «Une approche pragmatique de la protection des données.» 28

29 Le CIL: un acteur clé de la conformité I&L de l entreprise Le CIL élément central pour garantir l'effectivité de la protection des données. Un succès étendu hors de nos frontières. Tendance raffermie par le projet de Règlement européen qui rendrait le correspondant obligatoire pour certains organismes. En France Plus de organismes ont désigné un CIL Ils étaient en 2008 et en Il s'agit aussi bien de grandes entreprises à rayonnement international que de PME/PMI, de collectivités locales, ou de professions réglementées En Europe 13 pays de l UE disposent d un CIL Aux Etats-Unis De nombreuses entreprises se sont dotées de Compliance Privacy Officers/ Data Protection Officer Des missions cruciales S'assurer que l'organisme qui l'a formellement désigné auprès de la CNIL respecte bien les obligations issues de la loi I&L Maîtrise des risques liés au développement des technologies Création des conditions nécessaires à un usage efficace et raisonné des outils numériques. Initialement, un moyen de bénéficier d'un allégement des formalités administratives, pour exonérer le responsable de traitement d'effectuer des déclarations. Désormais le CIL est un véritable vecteur de conformité dynamique pour les organismes qui lui ont donné les moyens de mener à bien ses missions. le CIL constitue une preuve d'engagement éthique et s inscrit dans le cadre plus général des actions en lien avec la Responsabilité Sociale des Entreprises (RSE). Le CIL face aux contrôles Les contrôles effectués auprès d'organismes dotés de CIL en 2010 et 2011 ont ainsi révélé que: les CIL bénéficiant du soutien effectif du responsable de traitement sont une source de sécurité juridique et informatique. 29

30 Conclusion Le «défi» de la CNIL: 1. saisir la question de l innovation dans sa globalité L innovation sur le plan I&L: pas seulement juridique/technologique mais également économique, sociétale, éthique, politique Sa réponse: la Direction des études, de l innovation et de la prospective et le laboratoire d innovation de la CNIL Pilotage en commun avec le Service de l expertise informatique d un laboratoire d innovation dont les objectifs sont : Réaliser, grâce à une plateforme technique dédiée, des tests techniques sur des produits et services Développer ou expérimenter des outils de pédagogie ou de maitrise des données personnelles. 2. En tant que régulateur des données personnelles, adapter son mode de gouvernance: Travail intégré avec les professionnels (rôle proactif, écoute, accompagnement dans la mise en conformité) Rôle majeur dans l éducation au numérique 30

31 Merci de votre attention et Place aux questions 31

Documents pareils
2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back