Matinale du 19 janvier 2012 Actualités Données Personnelles Carol Umhoefer, Avocat Associé Jonathan Rofé, Avocat DLA Piper
Actualités - France Actualités Données Personnelles Matinale 19 janvier 2012 2
CNIL - Les orientations 2011 et 2012 Des contrôles ciblant principalement : La vidéo-protection (LOPPSI) La sécurité des données de santé Les transferts de données hors UE Nombreuses actions de sensibilisation contre le harcèlement numérique à l'attention des jeunes Nouvelle présidence : "dans un environnement évolutif et mondialisé, la CNIL doit innover et s'ouvrir pour rentrer résolument dans le monde numérique" Actualités Données Personnelles Matinale 19 janvier 2012 3
CNIL - Les faits marquants 2011 6 janvier 2011 : signature d'un protocole de coopération avec la DGCCRF 3 mars 2011 : publication de l'avis de la CNIL sur le décret relatif à la conservation d'informations par les hébergeurs et Fournisseurs d'accès à Internet 16 juin : mise en demeure par la CNIL des sociétés de perception et de répartition des droits concernant la "réponse graduée" Juin : coopération entre la CNIL et l'arjel pour contrôler les opérateurs de jeux en ligne Actualités Données Personnelles Matinale 19 janvier 2012 4
CNIL - Les faits marquants 2011 Ordonnance du 26 août 2011 transposant les directives «Paquet Telecom» : Renforcement des droits des internautes (cookies) Signalement des failles de sécurité («dans le cadre de la fourniture au public de services de communications électroniques sur les réseaux de communications électroniques ouverts au public») Octobre 2011 : ouverture de la consultation Cloud Computing 3 novembre 2011: deux premiers labels créés : Procédures d audit «Informatique et libertés» Formation «Informatique et libertés» Actualités Données Personnelles Matinale 19 janvier 2012 5
Une CNIL qui sanctionne Un peu : Société de Coffrets cadeaux (3 mars 2011) : 50 000 Google Street View (17 mars 2011) : 100 000 LEXEEK (12 juillet 2011) : 10 000 Mais pas trop: 5 sanctions financières sur 111 mises en demeure (4.5% des cas) Consécutives de 4 821 plaintes et/ou 308 contrôles Exemple: non réponse à une mise en demeure de la CNIL : un avertissement (Agence Immobilière 6 décembre 2011) Actualités Données Personnelles Matinale 19 janvier 2012 6
Consultation CNIL sur le Cloud Computing Le constat : Le Cloud Computing soulève des risques : Liés à l identification de la localisation des données Liés à la sécurisation des données Difficulté de qualifier le responsable de traitement : Qui détermine les finalités et les moyens du traitement dans le cadre du cloud computing (en particulier cloud public)? Problème de l'applicabilité de la loi française : Exemple: un responsable de traitement non français qui passe par la France uniquement pour l'hébergement des données Complexité du formalisme : les clauses types Actualités Données Personnelles Matinale 19 janvier 2012 7
Consultation CNIL sur le Cloud Computing Plusieurs pistes "étudiées" par la CNIL : Définition du Cloud Computing : une définition par "faisceau d'indices" Ne traite qu'une partie de la réalité du cloud computing Qualification du "responsable de traitement" Sous-traitance : le prestataire est présumé sous-traitant à moins qu'un faisceau d'indices ne fasse tomber cette présomption Création d'un régime juridique spécifique pour les prestataires Extension de la notion de moyens de traitement. tout en évitant une application systématique de la loi française Actualités Données Personnelles Matinale 19 janvier 2012 8
Consultation CNIL sur le Cloud Computing Autres pistes étudiées : Intégration des clauses types dans les contrats de prestations des services Mise en place de BCR sous-traitants Mais le prestataire doit faire approuver ses BCRs. et le client doit faire autoriser les transferts Une consultation qui va dans le bon sens L'adoption risque de prendre du temps Propositions dépassées par l'adoption d'un Règlement remplaçant la Directive de 1995? Actualités Données Personnelles Matinale 19 janvier 2012 9
Actualités - Europe
Europe En route vers un Règlement relatif aux données personnelles Projet de Règlement diffusé officieusement en décembre 2011 Publication officielle du projet attendue pour février/mars 2012 Consultation inter-services entre les départements de la Commission Débats au Parlement et au Conseil Adoption définitive fin 2012? Entrée en vigueur fin 2014? Actualités Données Personnelles Matinale 19 janvier 2012 11
Europe Objectifs affichés du projet de Règlement Faciliter la mise en conformité grâce à la diminution des obligations administratives d'enregistrement et d'autorisation Harmoniser les différentes interprétations de la Directive entre états membres Étendre les droits des personnes Renforcer les sanctions pour défaut de conformité Actualités Données Personnelles Matinale 19 janvier 2012 12
Europe ce que prévoit le projet de Règlement Des changements majeurs : Un consentement explicite, nécessitant une action affirmative de la personne dont les données font l'objet d'un traitement Les obligations de minimisation des données à caractère personnel seraient étendues Des obligations en matière de contrôle interne (accountability) L obligation de mettre en place «Privacy by Design/Privacy by Default» Actualités Données Personnelles Matinale 19 janvier 2012 13
Et dans le reste du monde? Actualités Données Personnelles Matinale 19 janvier 2012 14
Aperçu Mexique : Loi Fédérale pour la protection des données personnelles détenues par des personnes privées datée du 21 décembre 2011 (article 52 relatif aux prestataires de cloud computing) Corée du Sud : Personal Information Protection Act (PIPA) prend effet au 30 septembre 2011 Afrique du Sud : Protection of Private Information (POPI) en discussion Zone Asie-Pacifique : Cross-Border Privacy Rules de l'apec Inde : Information Technology Rules 24 août 2011 : clarifications apportées suite aux protestations des outsourcers USA : vers une évolution via les failles de sécurité Actualités Données Personnelles Matinale 19 janvier 2012 15
Questions?