RGPD : Données à caractère personnel, impact mondial

Documents pareils
REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

PROFILAGE : UN DEFI POUR LA PROTECTION DES DONNEES PERSONNELLES Me Alain GROSJEAN Bonn & Schmitt

Règlement d INTERPOL sur le traitement des données

The Arab Cloud Computing Study Days Tunis- Tunisia 4-5 December M elle Rafia BARKAT. Chargée d Etudes Experte

LES LOIS ANTI-CORRUPTION

LES BASES JURIDIQUES DE LA RESPONSABILITE & DE L ASSURANCE EN MATIERE DE RECHERCHE BIOMEDICALE DIU-FARC-TEC 04/11/2009 1

Protection des données et transparence dans le canton de Genève

Code de conduite Zoomit

FICHE N 2 LA GESTION COMMERCIALE DES CLIENTS ET PROSPECTS POUR LE SECTEUR DES ASSURANCES (NS 56)

Les outils «cloud» dédiés aux juristes d entreprises. Cadre juridique

CONDITIONS GENERALES DES BOITES POSTALES 1. DEFINITIONS

NOTIONS DE RESPONSABILITE

Présenté par : Imed ENNOURI

PROTÉGER VOS BASES DE DONNÉES

RISQUE SPORTIF ET ASSURANCE

PROJET D ARTICLES SUR LA RESPONSABILITE DE L ÉTAT POUR FAIT INTERNATIONALEMENT ILLICITE

PROJET D ARTICLES SUR LA RESPONSABILITE DE L ÉTAT POUR FAIT INTERNATIONALEMENT ILLICITE

Solutions hautes performances pour le gardiennage et la surveillance

Agrément des hébergeurs de données de santé. 1 Questions fréquentes

R È G L E M E N T I. Agence

Numéro du rôle : Arrêt n 108/2011 du 16 juin 2011 A R R E T

DELIBERATION N DU 20 MAI 2015 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE A LA MISE EN ŒUVRE DE LA

Juillet Comment faire de votre entreprise une organisation Purchase to Pay First Class? 14 indicateurs clés de performance

HelpDesk. Sept avantages de HelpDesk

Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale»

L ARCHIVAGE LEGAL : CE QU IL FAUT SAVOIR

ANNEXE RELATIVE AUX CONDITIONS GENERALES D UTILISATION DES FICHIERS GEOGRAPHIQUES

Académie d Orléans-Tours Février Proposition de situation d enseignement Christine Fillâtre et Marie-Line Zanon

Développement rural Document d orientation

Xi Ingénierie. La performance technologique au service de votre e-commerce. Comment exploiter les cookies sur vos applications web en toute légalité?

CONDITIONS GENERALES D ACHAT

CONDITIONS PARTICULIERES RELATIVES A LA FACILITE DE CAISSE I - En vigueur à partir du 23 mars 2015

Conférence de clôture sur le cyber harcèlement Stratégies des syndicats d enseignants en matière de cyber harcèlement. Bratislava, 7 juin 2010

Contrat d agence commerciale

016276/EU XXIII.GP Eingelangt am 25/06/07

RESPONSABILITÉ DE L ÉTAT POUR FAIT INTERNATIONALEMENT ILLICITE PREMIÈRE PARTIE LE FAIT INTERNATIONALEMENT ILLICITE DE L ÉTAT CHAPITRE PREMIER

Livre blanc. La sécurité de nouvelle génération pour les datacenters virtualisés

Nathalie Métallinos Avocat à la Cour d'appel de Paris

Conditions Générales de Vente

LE DOCUMENT UNIQUE DE DELEGATION

Pour une maîtrise totale de la reprise d activité : bonnes pratiques de continuité d activité et de virtualisation L I V R E B L A N C

CONDITIONS GENERALES DE VENTE EN LIGNE

RÉPONSE DU CONSEIL D'ETAT à l interpellation Amélie Cherbuin Comment soutenir nos ressortissants américains?

Critères d accès aux Tarifs Direct Mail de bpost

repensez votre courrier transactionnel pour une nouvelle expérience clients

Emplacement de la photo d ouverture du domaine

DEMANDE DE CARTE MASTERCARD CORPORATE GOLD OU RELATED CARD LIEE AU COMPTE PRIVE DONNEES DE L EMPLOYEUR

CHARTE INFORMATIQUE LGL

nugg.ad Déclaration sur la protection des données

Le BIG DATA. Les enjeux juridiques et de régulation Claire BERNIER Mathieu MARTIN. logo ALTANA CABINET D AVOCATS

PC banking Ma première connexion GESTION COURANTE

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

Les Matinales IP&T. Les données personnelles. Le paysage changeant de la protection des données personnelles aux Etats-Unis et en Inde

CHARTE D UTILISATION DU SYSTÈME D INFORMATION ET EN PARTICULIER DES RESSOURCES INFORMATIQUES.

CONVENTION DE PARTENARIAT AGENCES

POLITIQUE D ÉGALITÉ ENTRE LES FEMMES ET LES HOMMES

Le rôle du syndic. Introduction

Etes-vous un agriculteur qui exerce ses activités en personne physique? Les informations suivantes vous concernent.

Archives numériques de Presse et Droit à l oubli

LIVRE BLANC WiFi PUBLIC

La protection de vos données médicales chez l assureur

Convention. Assurance Protection Juridique de Generali Belgium SA

Plateforme académique de partage de documents - owncloud

Belgique-Bruxelles: Logiciels de gestion de la relation clientèle 2013/S Avis de marché. Fournitures

La prise de conscience de la Cyber Sécurité est en hausse

Une saisie européenne des avoirs bancaires Éléments de procédure

Les Licences Libres Ouverture et Protection des Logiciels. Plan

professionnels PC banking Pro

Offre et Contrat. Type de Contrat: Abonnement annuel ; = = =

Protéger et héberger vos donnés métiers : les tendances cloud et SaaS au service des entreprises

En outre, son architecture logicielle moderne lui confère une stabilité, une rapidité de traitement ainsi qu ergonomie optimale.

CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES

Assurance obligatoire des soins

Sync-A-BOX et Duplicati. est une plateforme Cloud pour stocker et gérer vos données en ligne.

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités

Toute utilisation du site doit respecter les présentes conditions d utilisation.

COMMENT BOOSTER LA PERFORMANCE DE VOTRE ENTREPRISE? QUELLES SOLUTIONS ERP A L ERE DU NUMERIQUE? JEN 9 & 10 AVRIL 2015

Service Agreement CloudOffice powered by Office 365

LA PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL AUX ÉTATS-UNIS : CONVERGENCES ET DIVERGENCES AVEC L APPROCHE EUROPÉENNE. Winston J.

Introduction aux concepts d ez Publish

Conditions Générales d utilisation de l Application «Screen Mania Magazine»

CONTRAT DE MAINTENANCE INFORMATIQUE MISE A JOUR SITE INTERNET

Archivage électronique - Règle technique d exigences et de mesures pour la certification des PSDC

Droit civil anglais et automobiliste étranger. Justice ou profit pour les avocats?

Les Cahiers du Conseil constitutionnel Cahier n 24

Politique de gestion documentaire

Contrat de création d un site web

Fiche info financière Assurance-vie Top Protect Financials 08/2018 1

Créer et partager des fichiers

What we do 4. Packages 6. CMD.mail 8. CMD.hosting 12. CMD.box 16. CMD.phone 20. CMD.desktop 24. CMD.services 28

Filière métier : Administrateur messagerie et portail collaboratif

Commission nationale de l informatique et des libertés

5.4. Sécurité des réseaux sans fil. Rapport du vérificateur général de la Ville de Montréal au conseil municipal et au conseil d agglomération

En collaboration avec LA GESTION DES RISQUES AU SEIN DU SECTEUR PUBLIC LOCAL EN 2013

Base de Données Economiques & Sociales (dite Unique) des entreprises

Introduction. Nous vous remercions d'avoir porté votre attention sur le nouveau service e-salairefer.

Transcription:

Interview RGPD : Données à caractère personnel, impact mondial Sheila M. FitzPatrick Chief Privacy Officer NetApp www.proximus.be/rgpd 1

En prévoyant de nouvelles exigences pour les organisations et de nouveaux droits pour les individus, le Règlement général sur la protection des données (RGPD) influencera radicalement chaque organisation, qu elle soit active en Europe ou non. Nous avons demandé à Sheila FitzPatrick, un des principaux experts mondiaux en matière de législation applicable à la protection des données, de nous faire part de sa vision et de son expérience concernant la meilleure façon d appréhender l environnement changeant de la protection des données et de se préparer à ce qui s avère être une profonde mutation de la manière dont les entreprises traitent les données à caractère personnel. Si vous avez accès aux données à caractère personnel d un citoyen européen, fournissez un service aux citoyens européens, employez des citoyens européens, rassemblez les données personnelles de citoyens européens, vous devrez respecter la nouvelle réglementation, même si vous n êtes pas physiquement présent dans l UE, déclare Sheila FitzPatrick. Le RGPD devient par conséquent un véritable défi en termes de respect de la protection des données, et il ne nous reste plus beaucoup de temps pour nous plier à ses exigences. L entrée en vigueur de la nouvelle législation en matière de protection des données est en effet prévue en mai 2018. En cas de violation des règles, la sanction peut atteindre 20 millions ou 4 % de votre chiffre d affaires annuel mondial, en fonction du montant le plus élevé. Cette nouvelle réglementation a par conséquent une portée relativement vaste et son impact se fera particulièrement sentir au niveau des responsables du traitement des données, des centres de données, des fournisseurs de services de cloud et de leurs clients, ajoute-t-elle. La nouvelle réglementation européenne change radicalement la manière dont les entreprises récoltent, traitent, utilisent, stockent, transfèrent les données à caractère personnel et y accèdent. Beaucoup d entreprises devront comprendre les obligations qui leur incombent aux termes du RGPD et adapter leurs services, contrats et processus en conséquence. Celles qui comprendront le mieux la nécessité de les respecter et les fondements de ce respect bénéficieront d un avantage concurrentiel sur les autres acteurs du marché. Créer la confiance dès la conception Un des changements majeurs introduits par le législateur européen est la définition étendue de la notion de donnée à caractère personnel. Conformément au RGPD, toute donnée susceptible d identifier un individu est à présent considérée comme donnée à caractère personnel. Les identifiants uniques, les données de géolocalisation, les données biométriques, les données génétiques et les données relatives aux aspects culturels ou économiques d un individu tombent à présent sous le champ d application de la loi. Même une adresse IP sera considérée comme donnée à caractère personnel, précise Mme FitzPatrick. Le principe de minimisation des données du RGPD est plus strict que la réglementation européenne www.proximus.be/rgpd 2

antérieure en matière de protection des données. Si les données à caractère personnel ne sont pas indispensables à la gestion de la relation d affaires (ou d emploi), les sociétés doivent s abstenir de les collecter, recommande Sheila FitzPatrick. Les responsables du contrôle des données - les personnes physiques ou morales chargées de contrôler, conserver et utiliser les informations à caractère personnel - ne doivent pas seulement s abstenir de conserver les données plus longtemps que nécessaire, mais également éviter de modifier l utilisation des données qu elles ont récoltées sans demander le consentement explicite et volontaire de la personne concernée - l individu à l origine des données - pour l utilisation nouvelle ou étendue. Les personnes concernées disposent d un nouveau droit à l oubli et les entreprises doivent mettre en place des processus clairs en vue de l effacement des données personnelles des personnes concernées lorsque celles-ci le demandent. Les entreprises doivent faire preuve de transparence lorsqu il s agit de justifier la collecte, le stockage et le traitement de données à caractère personnel, leur finalité et leur transfert éventuel en dehors du pays d origine. Et si le recueil de données à caractère personnel ne répond à aucun impératif, abstenez-vous : utilisez plutôt des données agrégées, statistiques ou anonymes, conseille Sheila FitzPatrick. Conformément au RGPD, les organisations devront trouver le juste équilibre entre la conservation de données à des fins de découverte et la minimisation des données. Le droit à l oubli - ou le droit à l effacement - représentera un sérieux défi pour chaque organisation. C est la raison pour laquelle les ingénieurs et les développeurs doivent, dès le moment où ils conçoivent des solutions, réfléchir à la possibilité de détruire les données dès qu elles ne seront plus nécessaires. En fonction de l application ou de l offre proposée par le fournisseur de services de cloud, il peut s avérer difficile de supprimer les données à caractère personnel dans leur totalité étant donné la possibilité de copier l information, d en faire une copie de sauvegarde ou de la diffuser à plusieurs endroits. Cela signifie que chaque fois que l on développe une nouvelle application ou que l on implémente un nouveau système susceptible d avoir un impact sur les données à caractère personnel, il convient de réaliser une Évaluation de l impact sur la vie privée (EIVP) afin de déterminer le bien-fondé de l utilisation de ces données par rapport au service fourni, déclare Sheila FitzPatrick. Cette EIVP doit fournir un aperçu clair de l emplacement de toutes les données au sein de l organisation et schématiser chaque flux de données. Tout investissement dans des ressources destinées à automatiser la découverte de données en prévision du RGPD portera néanmoins ses fruits ultérieurement puisqu il permettra de réduire les coûts généraux liés à la découverte de données. Les amendes exorbitantes infligées en cas de transgression du RGPD représentent un risque majeur pour toute entreprise. Les hauts responsables ont un rôle important à jouer au sein de l entreprise en ce qui concerne la mise en œuvre de l approche Protection de la vie privée dès la conception (privacy by design) imposée par la nouvelle réglementation. Autrement dit, toute initiative visant à redessiner les processus d entreprise ou collecter de nouvelles données doit faire l objet d une réflexion placée dès le début sous le signe du respect du RGPD. www.proximus.be/rgpd 3

La sécurité ne garantit pas le respect de la vie privée, mais elle y contribue Le RGPD exige des pouvoirs publics traitant les informations à caractère personnel qu ils désignent un Data Protection Officer (DPO), en plus d autres entités, lorsque les activités de base requièrent une surveillance régulière et systématique des personnes concernées à grande échelle ou consistent à traiter des catégories spéciales de données à grande échelle. Selon une étude réalisée par l International Association of Privacy Professionals (IAPP), cette exigence implique la désignation de 28 000 DPO au cours des deux prochaines années pour l Europe et les États-Unis seulement. Le nouveau cadre légal introduit également pour la première fois le concept de violation de données à caractère personnel dans la législation européenne, et définit des exigences en matière de notification vis-à-vis de l autorité de contrôle et des personnes concernées. En cas de violation de données à caractère personnel, les responsables du contrôle des données sont tenus d en informer l autorité de contrôle sans retard excessif et dans la mesure du possible, dans les 72 heures suivant le constat de la violation, explique Sheila FitzPatrick. Elle ajoute que si le responsable du contrôle a établi que la violation des données à caractère personnel risque fortement de nuire aux droits et libertés des individus, il est également tenu de communiquer l information relative à la violation de données à caractère personnel aux personnes concernées. De même, lorsqu un responsable du traitement des données est personnellement victime d une violation de ses données, il est à son tour tenu d en aviser le responsable du contrôle. À la question qui lui est fréquemment posée sur la différence entre confidentialité et sécurité, Sheila FitzPatrick répond que les notions de confidentialité et de sécurité sont loin d être identiques, même si elles sont intimement liées. On peut avoir une sécurité de classe mondiale sans disposer du moindre dispositif en matière de confidentialité, répond-elle. Par analogie, la confidentialité des données est comparable à une roue, la totalité de la roue représentant le cycle de vie complet des données. La sécurité représente uniquement un rayon de cette roue et si l on ne tient compte que de ce rayon spécifique, la roue va se briser. La sécurité est bien sûr extrêmement importante parce qu il faut verrouiller ses données. Mais se contenter de crypter des données que l on n aurait jamais dû collecter ne suffit pas pour respecter pas ses obligations en matière de vie privée. Choisir un fournisseur de services de cloud de confiance Même si le RGPD est principalement une question d ordre juridique et de conformité, la technologie et les outils joueront un rôle central pour aider les organisations à garantir le respect des exigences du RGPD. Le RGPD établit une distinction entre les responsabilités et les tâches des responsables du contrôle des données et celles des responsables du traitement des données. Les responsables du contrôle sont tenus d engager uniquement les responsables du traitement offrant des garanties suffisantes afin de mettre en œuvre des mesures techniques et organisationnelles rencontrant les exigences du RGPD et protégeant les droits des personnes concernées. www.proximus.be/rgpd 4

Le RGPD étend les responsabilités liées aux données traitées. Les sociétés fournissant des services basés sur le traitement de données pour le compte de leurs clients - ainsi que les soustraitants potentiels de ces fournisseurs - doivent comprendre clairement leurs responsabilités et les droits des personnes concernées. Vous avez besoin d un partenaire capable de vous aider à naviguer à travers les défis que représente le stockage des données dans le cloud sous l angle de la confidentialité de celles-ci. Vous ne pouvez pas prendre la décision uniquement sur la base du coût, de la flexibilité et de l évolutivité. Vous devez intégrer la confidentialité des données dans votre équation. En agissant de la sorte, vous éviterez non seulement d importantes amendes financières, mais vous aiderez aussi votre organisation à acquérir de nouveaux avantages concurrentiels, conclut Sheila FitzPatrick. Sheila M. FitzPatrick peut se prévaloir de plus de trente années d expérience en tant qu avocate dans les domaines de l emploi international et de la protection des données. Considérée comme l un des principaux experts mondiaux en matière de législation relative à la confidentialité des données, elle travaille en étroite collaboration avec le Gouvernement américain, le Conseil de l Union européenne et des agences nationales de protection des données en Europe, en Asie/Pacifique et sur l ensemble du continent américain. Mme FitzPatrick travaille actuellement chez NetApp en qualité de Data Governance and Privacy Counsel et Chief Privacy Officer. Elle est responsable du programme international de NetApp en matière de respect de la confidentialité des données, qui inclut la responsabilité du respect des législations mondiales relatives à la protection des données, la souveraineté des données, la cybersécurité, la notification en cas de violation des données, le cloud computing et la gestion de la documentation. NetApp est perçue comme un modèle pour le RGPD en raison de son approche data privacy first. Elle a même instauré des Binding Corporate Rules (BCR) dans chaque pays où elle est active. NetApp a élaboré un programme robuste, proactif et mondial en matière de respect de la confidentialité des données - plutôt qu une approche axée sur les États-Unis -, qui a permis à l entreprise de se positionner comme conseiller de confiance dans le domaine de la confidentialité des données. Annexe: Infographique RGPD de la Commission européenne Cet infographique publié par la Commission européenne offre un aperçu du Règlement général sur la protection des données, y compris les informations qui constituent des données à caractère personnel, la raison du changement, les obligations des sociétés et le coût lié au non-respect : http://ec.europa.eu/justice/newsroom/data-protection/infographic/2017/index_en.htm Plus d infos? Contactez votre personne de contact Proximus habituelle ou surfez sur www.proximus.be/rgpd Proximus SA de droit public, Bd du Roi Albert II, 27, B-1030 Bruxelles, T.V.A. BE 0202.239.951 R.P.M. Bruxelles, BE61 0001 7100 3017 BPOTBEB1. Ce document vous est remis à titre d information et ne revêt donc aucune valeur contractuelle. Les spécifications des produits peuvent subir des modifications sans avis préalable.

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back