+ Privacy is good for business www.protection-des-donnees.com
+ Qu est-ce qu une donnée personnelle?
+ Identification directe ou indirecte Une donnée personnelle permet l identification directe ou indirecte d une personne. Nom, adresse, email ou numéro de Sécurité sociale, Unique Device Identifier, Logs des appels, historique de navigation, Geo-localisation (GPS, WiFi, user-entered)... PROTECTION DES DONNEES, PROTECTION DE LA VIE PRIVEE, DES DROITS, DES LIBERTES Identité physique, psychique, physiologique, économique, culturelle ou sociale «Etre laissé tranquille», habitudes, comportements, relations, déplacements, communications, images ou vidéo, opinions, intimité Tout au long du cycle de vie de la donnée
+ Les technologies en cause Near Field Contact (NFC) Radio-frequency identification (RFID) Identification sans contact Reconnaissance faciale Reconnaissance comportementale Données sensibles Biométrie 2 nde génération Surveillance Drones, UAV Surveillance intrusive (corps, maison) Amélioration des capacités de traitement Réseaux sociaux Capteurs de son Location based services, Behaviour based services Data mining, Profiling
+ Zoom sur les traitements à risques Cf.Profiling
+ Cas des cookies Cookies de navigation sur le site à Information préalable Cookies de tracking, publicité comportementale à Information et consentement préalables Ma responsabilité est-elle engagée si le cookie est déposé par un tiers sur mon site? OUI Peut-on conserver les cookies? NON
+ Cookies : quels risques pour la vie privée Sociétés de tracking : suivi de vos historiques navigation, clicks, achats, sites visités, vidéos visionnées ex.sdk / Apps Orientation sexuelle Opinions politiques Profiling : centres d intérêts, choix personnels, habitudes de vie, informations démographiques Etat de santé Social networking : Ces boutons indiquent tout ce que vous faites sur le Net, même sans cliquer dessus ou sans en être membre Croyances religieuses Capacités de crédit
+ Quels sont les risques pour la vie privée? Atteinte à l intimité Usurpation d identité Usurpation d identité Obtenir un crédit ou ouvrir un compte bancaire Obtenir un abonnement téléphonique Faire des achats frauduleux Obtenir de faux papiers Bénéficier de droits ou bénéfices à votre place Discrimination Exclusion Inclusion
+ Au delà de la sécurité et de la seule conformité Sécurité Standards & bonnes pratiques
+ Qui? Pourquoi? Qui? Le responsable de traitement (finalité, moyens) Ex. Les fournisseurs de réseaux sociaux Le fournisseur de services en ligne ou via une App Le gestionnaire de CRM Le sous-traitant, le co-responsable Le designer et le développeur de systèmes et solutions Pourquoi? Conformité (sanctions) mais pas seulement Gestion des risques Démarche proactive : réforme 2014 - droits des personnes, des obligations et des sanctions Réponse aux attentes et évolutions du marché Différenciation, avantage compétitif Création de valeur cf. Empowerment
+ Quelques chiffres 70% des personnes se disent concernées par l utilisation de leurs données personnelles 74% souhaitent un consentement spécifique préalable 51% des européens pensent que les entreprisent devraient être pénalisées, interdites d utiliser les données par la suite (40%), ou obligées de dédommager les victimes (39%).* A prix égal pour un même service è 83% optent pour le service privacy friendly Si le prix est plus élevé è 30% optent pour le service privacy friendly 61% des utilisateurs de réseaux sociaux partageraient plus s ils pouvaient garder le contrôle 57% des utilisateurs US d Apps ont désinstallé ou refusé une App partageant les DP Sources : PEW Survey, Special Eurobarometer 359 A"tudes on Data Protec0on and Electronic Iden0ty in the European Union, June 2011
+ OBJECTIF CONFIANCE
+ La protection des données au service de votre communication Nouvelle campagne de Microsoft Février 2013
+ Lien croissant entre confiance et business Une crise de confiance latente à l origine d un rejet croissant des solutions. Un impact direct sur le chiffre d affaires * Source: TRUST-e - Consumer 2013 UK
+ Lien croissant entre confiance et business
+ Lien croissant entre confiance et business Totalement protégé Pas du tout protégé Ne sait pas Sentiment de protection le plus élevé : Scandinavie Pays Bas Royaume Uni Source: Eurobarometer 342
+ Une nécessaire approche globale et transversale
+ Privacy is good for Business Avantage concurrentiel Fidélité et Qualité des données Privacy Data protection Confiance Fiabilité Loyauté Participation du consommateur Réputation Visibilité Image
+ Une problématique globale Source Nymity
+ Vos obligations vis-à-vis des personnes Transparence Information claire, visible, complète compréhensible (quoi, qui, pourquoidroits): ex.localisation, geo-tagging,profiling Consentement préalable, explicite, spécifique Droit des personnes Droit d accès, de rectification, mise à jour, effacement Opposition, Gestion des plaintes Portabilité Finalité spécifique & ConservaHon Nouvelle finalité : consentement et information Durée de conservation limitée, suppression de données vérifiée
+ Vos obligations relatives aux traitements de données Collecte minimum Données sensibles / à risques Transferts hors U.E. Sécurité Données strictement nécessaires. Données adéquates, justes, à jour. Autorisation / Protection renforcée : santé, préférences, enfants, génétique, opinions, finances, profiling Principe : Interdit Exception : Safe Harbor, «adéquat», autorisation Cloud computing & Outsourcing Mesures adaptées aux risques - Ex. Mobile Conservation Transmissions Logiciel- Serveur- Sous-traitance
+ Les formalités préalables Collecte anonyme de DP NON Traitement Données sensibles OUI Consentement exprès OUI NON OUI NON La loi du 06/01/1978 ne s applique pas Déclaration (sauf dispense) Autorisation préalable si: -Anonymisation à bref délai -Intérêt public
+ Par où commencer?
+ La démarche ETAT DES LIEUX Contexte- Flux Données AUDIT DE CONFORMITE ANALYSE DE RISQUES ACTIONS Mesures sécurité PoliHque Procédures Conformité: Loi et standards Risques: Cloud-Mobile- Outsourcing- Données sensibles-profiling- Marketing direct Sensibilité des données- activité Sous-traitants-plateformes-divulgations GESTION Contrôle conhnu Mises à jour Accès aux données-incident Conservation- Outsourcing Information-Consentement Droits des personnes
+ Pour aller plus loin Privacy Impact Assessment Le PIA (ou Etude d Impacts sur la Vie Privée) permet de détecter les risques pour la vie privée et sur les données personnelles associés à une technologie, une application ou un nouveau projet, d évaluer leur probabilité et de documenter les mesures prises pour les limiter ou les éviter. Gouverna - nce Respect de la vie privée de L utilisateur Proactif préventif Privacy by Default Accounta bility Privacy By Design Visibilité Transparence «Accountability» Ratique des affaires Technologies de L information ii Conception et infrastructure Insertion dans la conception CIL/DPO externe Protection tout au long du cycle de vie Pleine fonctionnalité Somme positive
+ Application à l environnement du mobile Mobile malware 2013* : +400% Qualité des données Légitimité Finalité spécifique Conservation limitée Transparence Information Sécurité Droit des personnes Transferts hors U.E. * Source 2013 Trustwave Global Security Report
+ Application à l environnement du mobile Faire un inventaire détaillé des données nécessaires pour le bon fonctionnement de votre application / de votre service. Appliquer le principe de collecte minimum et de proportionnalité au regard du service rendu par votre application. Arbitrer sur les modèles de collecte, d utilisation, de conservation et d éventuelle transmission des données de votre application. Préparer la politique de gestion des données et les procédures appropriées à sa mise en œuvre. Déterminer d éventuelles adaptation / extensions techniques ou relatives aux différents contextes d utilisation
+ 2014 : Faut-il s inquiéter de la prochaine règlementation européenne de protection des données?
+ Le nouveau réglement contraintes ou opportunités? Ressources humaines et financières- temps- Image/réputation Procédures Portabilité/perte clients Nouvelles obligations : Accountability, notifications des failles, PIA, PbD Accroissement des droits des personnes Visibilité, réputation: Outils de communication Mesures préventives Avantage concurrentiel Confiance, réputation, service client Portabilité/gain clients Plaintes, préjudices Sanctions 2% (C.A. global groupe) Nouvelles actions en justice, sanctions plus sévères Prévention Contrôle Amélioration
+ Pour finir... Quelques exemples à ne pas suivre
+ n Cases pré-cochées : Opt Out n Copier-coller incompréhensible : moyen effectif et immédiat de communiquer vis-à-vis de vos clients n Politique de données personnelles «cachée» dans les CGU n Accès ou divulgation non autorisée : Pour de la publicité comportementale n Données de géo-localisation n Accès aux contacts, photos, vidéos n Accès à d autres capteurs ou systèmes sur le téléphone n (camera ou microphone) n Accès au texte des messages diffusés 02/2013 Path condamné à verser 800 000 USD et à se soumettre régulièrement à un audit sur sa protection des données.
Yatedo aime (un peu trop) vos données personnelles
+ Quelques exemples à ne pas suivre n Collecter des données de manière frauduleuse ou illégitime : n Adresses mail collectées dans des espaces publics de sites (annuaire, forum, discussion, ) n Collecte massive, répétitive et indifférenciée de profils sur les réseaux publics n Données inappropriées, données sensibles Cf. Pages jaunes 2011 n Conserver les données au cas où : n Données bancaires au-delà de la réalisation de la transaction Cf. FNAC CNIL 2012 n Recourir à des prestataires sans vous informer sur leurs pratiques cf. codes ou logiciels tiers; hébergeurs; Cloud n Faire appel à un sous traitant situé hors de l U.E. sans être certain d en avoir le droit 2013 - Le secteur du n Laisser vos collaborateurs accéder aux données Retail 1 ère cible des n sans le «besoin d en connaitre» cybercriminels* n sans enregistrer les connections = Maillons faibles n Transmettre des données personnelles sans chiffrement n Ne pas respecter les droits des personnes, ne pas mettre à jour les données n cf. YATEDO Avertissement CNIL 2012 - Quid d un profiling avec des données erronées? * Source 2013 Trustwave Global Security Report
+ Les questions essentielles à vous poser n Votre projet comprend-il des technologies pouvant avoir un impact substantiel sur la vie privée? n Votre projet implique-t-il le traitement d'une grande quantité d informations concernant un individu? OUI NON OUI NON n Votre projet implique-t-il de nouveaux identifiants ou réutilise-t-il des identifiants existants, ou des données personnelles? n Votre projet implique-t-il un croisement ou une comparaison de données personnelles de sources différentes? OUI NON OUI NON n Votre projet comprend-il des traitements de données sensibles ou confidentielles pour les individus ou des traitements relatifs à des personnes vulnérables? n Votre projet implique-t-il le traitement de données personnelles relatives à une quantité significative d'individus? OUI NON OUI NON Plusieurs OUI? Parlons en
+ So what? n La protection des données s inscrit dans une démarche de gestion des risques : Global Risk Compliance n Les données personnelles sont un actif (patrimoine informationnel) de votre entreprise n Comment inciter vos clients à partager leurs données? Comment les encourager à vous communiquer des données exactes et de qualité? n En créant une relation de confiance (privacy friendly) : n La protection des informations les concernant : conformité, sécurité n La transparence Smart disclosure means transparent, plain language, comprehensive, synthesis and analysis of data that helps consumers make better-informed decisions,
+ Désignez un CIL externe n Le Correspondant Informatique et Libertés (ou CIL) assure la mise en conformité de l utilisation des données personnelles au sein de l organisation qui l a désigné. n Avantages: Externalisation des contraintes juridiques, Limitation des risques de sanctions, Image, réputation. n Comment? info@cil-consulting.com
+ Merci de votre attention www.protection-des-donnees.com La protection des données personnelles comme avantage compétitif