Accountability comment le traduire dans une entreprise???? Colloque INRIA Lyon 11 Septembre, 2013 Daniel Pradelles - EMEA Privacy Officer La dynamique d un Contexte Global 1
Les challenges d aujourd hui et de demain (Business) Contexte Technique Environnement Complexe, Global & Multi Dimensionnel Flots de données Globaux, Dynamiques & Fragmentés.. Augmentation exponentielle de la création / collecte Technologie omniprésente et en évolution exponentielle Contexte Business Multi intervenants, Hautement dynamique Tendances Fort potentiel / Haut risque Supporte Innovation, Business intelligence, et croissance économique Certains «Business models» n ont pas été validés privacy à un point d inflexion et dans une évolution qui ne se ralentira pas 3 Les challenges d aujourd hui et de demain (Legal) Contexte Régulatoire Incertitude dans toutes Régions et Secteurs économiques Opposition «Globalisation & Technologies» vs Approche traditionnelle Lois en décalage chronique avec technologies et pratiques Trop d emphase sur les critères géographiques Approche trop centrée sur l unique conformité réglementaire Consensus global sur les principes / différentes de mises en pratique Absence d Interoperabilité entre grands blocs régionaux 4 2
Les challenges d aujourd hui et de demain (Sociétal) Contexte Sociétal Nomes sociales changent mais la protection doit rester Modèles économiques abscons pour les utilisateurs Complexité et opacité du «Nuage» L axiome «Consentement & Contrôle» ne suffit plus Doutes & Craintes façonnent le perception Citoyens et Politiques réclament plus de protection Scandales et Fuites de données génèrent des lois «impulsives» Experience utilisateurs difficile diminuent les retours attendus Risques de ralentissement ou de rejet de nouveaux modèles / technologies La Confiance devient un nécessité fondamentale. D où le besoin d une approche nouvelle 5 Le Projet Accountability 3
Projet Accountability Concept & Evolution Participants: Regulateurs, Industrie, NGO Scope: Définition, mise en pratique, Evolution Intégration cadre réglementaire Phases: Galway 2009 Paris 2010 Madrid 2011- Brussels 2012 - Varsovie / Toronto 2013-2014 7 Definition de l Accountability Accountability is the obligation.. to act as a responsible steward of the personal information of others, to take responsibility for the protection and appropriate use of that information beyond mere legal requirements, and to be accountable for any misuse of that information. The Galway Project working definition.. And to be implemented efficiently....it has to be a Company Culture and a Mindset Une voie médiane entre Regulation & Self regulation 4
Les Eléments d accountability Engagement formel de la société, Politiques internes alignées sur des critères internes et externes 1 Mécanisme pour mettre ces politiques en pratique, incluant outils formation et culture d entreprise 2 Systémes de validation, vérification et correction en continu. 3 Transparence et implication active des clients Moyens de mise en vigueur et de réparation des préjudices 4 5 9 Accountability@HP 5
Privacy Risk Model pour une Société Accountable 1. Compliance Risk 2. Reputation Risk 3. Investment Risk 4. Reticence Risk 5. Business Continuity Risk 6. Compounding Risk + Data Subject Risks & Expectations 11 Accountability Liability Accountability Décisions prises en fonction des seules contraintes légales Basée sur une conformité théorique Alignée sur un standard minimum Fonction des technologies et pratiques connues Décisions en fonction de règles basé sur l éthique, les attentes clients en complément de la conformité réglementaire Tous les employéz sont responsables d une utilisation responsable des données, Protection des données effective Basé sur les attentes et les risques réels et potentiels des nouvelles pratiques + 12 6
..au-delà du Légal Legal? Sécurité? Engagements? Ethique Is it Fair? Is it not misleading? Is it right by the customer? Is it expected by user? Is it transparent? Is it right by HP? Is it right by other stakeholders? + Privacy Policies + Global Privacy Policy Customer & Employee Privacy Policies Online Privacy Statement Privacy Notices Risques Will it affect reputation? Will privacy concerns affect investment? Will decision impact normal operations? Will your decisions compound to create risk? Accountability Model 13 En pratique.. 7
Le Cadre Privacy Accountability dans l entreprise Processus et DEMONSTRATION et de leur efficacité Demonstration Contextual Approach Oversight Identify Risks and Opportunities Commitment Implementation Validation Solid policies aligned to external criteria Management commitment Full transparency Mechanisms to ensure policies and commitments are put into effect with employees Integrated Governance Monitoring and assurance programs that validate both coverage and effectiveness of implementation Demonstrate capacity to internal stakeholders (Management, Internal Audit, Board) Demonstrate capacity to external stakeholders (Trust Agents, Regulators) Demonstrate capacity to individual data subjects 15 L accountability dans les Nuages? BCR Proc BCR Proc Proc. Proc. BCR Proc Proc. Proc. BCR Proc BCR Cont Data Controller Proc. Proc. BCR Proc BCR Proc Data Subject Questions en suspens: - Controller Vs BCR Processor liability? - Intra Corp. BCR Controller Vs BCR Processor? - Inter Corp. BCR Controller Vs BCR Processor? - Inter Corp. BCR Controller Vs BCR Controller? 16 8
BCR comme une demonstration???? It provides: EU directive compliance for WW Intra Company transfers Flexibility adapted to Global Business models technologies. More than just Compliance for transfers It is a Framework: Demonstrating Company Capacity to ensure Accountability Ensuring effective Privacy / Personal Data Protection, Fostering Trust from Customers, 3rd Parties, Employees & Regulators. It is a Package: EU approved summary (WP133) Binding mechanism via Intercompany agreement DPA approved compliance with EU requirements (WP153) Detailed description of HP Policies, Guidelines and processes, Audit, Training, Privacy Organization, (WP154) 17 Lien avec le projet de Réglement Européen 9
Le Projet de Règlement sur la Protection des Données.en Résumé Points Clés Droit des individus à un contrôle effectif de leurs données, Amélioration de la confiance dans les services en ligne, Exploitation du plein potentiel de l économie numérique, Stimulation de l innovation, la croissance et l emploi. Nouveaux concepts Droit à l oubli Responsabilité # Accountability Portabilité des données Privacy by Design Privacy by Default Data Protection Impact Assessments 19 HP Recommandations Protection des Données est un droit fondamental Support d un Règlement Européen Protection des données = Avantage concurrentiel Les Organisations doivent être Accountable Harmonisation Européenne indispensable Interopérabilité Réglementaire Globale Système Globaux Complexes = Outils fluides et flexibles 20 10
HP Red Flags Contraintes administratives partiellement adressées Concept d Accountability incomplet Trop rigide et prescriptif (Quoi Vs Comment) Rôle du «Data Privacy Officer» BCR Contrôleur et Processeur à développer Montants des Amendes et autres moyens.. Notification de failles de sécurité à clarifier Responsabilité pénales des processeurs Mécanismes de Consentement Traitement du Profiling 21 Privacy today and beyond (Cloud, Internet of things, Big data, etc ) It should be addressed by: Consistent and Coordinated development - in 3 main Dimensions - with Active collaboration between ALL stakeholders: Responsible Company Governance (Accountability ) Supporting Technologies (Access Governance, Obfuscation, Data Minimization.) Innovative Regulatory Frameworks (International Standards and Tools i.e. BCR, CBPR ) 22 11
Thanks for your attention Daniel Pradelles EMEA Privacy Officer 12