Les drones civils aussi devront répondre au concept de « Privacy by Design »

Les drones civils aussi devront répondre au concept de « Privacy by Design »


D’ici un an, les opérateurs de drones comme les fabricants, auront l’obligation de mettre en œuvre des « mesures techniques et opérationnelles appropriés » afin protéger les droits des personnes et des données. Laurent Archambault, avocat à la Cour, explique ici comment les acteurs de la filière drone, en Europe à partir du 25 mai 2018, devront non seulement acheter ou concevoir des drones qui prennent en compte cette question, planifier leurs missions dans cet état d’esprit, mais aussi adopter une organisation qui permette une protection maximisée des tiers et de leurs données.

 

Les drones sont par essence des appareils permettant des prises de vue ou la captation de données, discrètement. La grande majorité de ces aéronefs est de petite taille. Ils peuvent voler près du sol, longer des édifices ou encore suivre une personne de jour comme de nuit. Comme souligné par Edouard Geffray, Secrétaire général de la CNIL, la problématique du drone pour la vie privée et la protection des données réside d’ailleurs, non pas tant dans l’emport de capteurs, mais bien dans la mobilité et la discrétion du drone.

A cet égard, le concept de « Privacy by Design » pourrait constituer un moyen de limiter, voire de supprimer tant les atteintes à la vie privée que la captation de données personnelles par drone (ces dernières pouvant être grossièrement définies, comme des «données non anonymes »). Insistons sur le fait qu’à l’ère du numérique, ces deux domaines sont poreux entre eux..[lire la suite]

 


 

A Lire aussi :

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016

DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016

Le RGPD, règlement européen de protection des données. Comment devenir DPO ?

Comprendre le Règlement Européen sur les données personnelles en 6 dessins

Notre sélection d’articles sur le RGPD (Règlement Européen sur la Protection des données Personnelles) et les DPO (Délégués à la Protection des Données)

 


Notre métier : Vous accompagner dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles




 

Réagissez à cet article

Source : Le concept de « Privacy by Design » à la rescousse des drones civils européens – Aerobuzz




Les PME , dépassées par l’arrivée du RGPD ?

Les PME , dépassées par l’arrivée du RGPD ?


Le Règlement Général sur la Protection des Données (GDPR) dont sa application est déjà prévue pour le 25 mai 2018, laisse aux entreprises un peu plus d’une année pour se conformer. Cependant, elles semblent toutefois avoir du mal à lancer les projets adaptés pour assurer leur conformité à ce nouveau Règlement.

 

Au moins c’est la conclusion principale du dernier rapport mené par IDC selon lequel Sur les 700 entreprises interrogées, 77% des décideurs informatiques ne sont pas conscients de l’impact du RGPD sur l’activité de leur entreprise ou n’ont même pas connaissance de ce règlement. Parmi celles qui connaissent le RGPD, 20% affirment y être déjà conformes, 59% travaillent à l’être et 21% avouent ne pas du tout être préparés.

« La protection des données à caractère personnel des clients et partenaires est primordiale pour les entreprises. Elles doivent prendre conscience de la valeur que représentent ces informations et mettre en place des mesures adaptées pour répondre aux obligations du RGPD. », explique Mark CHILD, Research Manager chez IDC. Dans ce sens, les petites et moyennes entreprises reconnaissent que leur logiciel anti-malware est insuffisant dans l’environnement de menace actuel, et la moitié des répondants ont avoué que ce point était le plus important à améliorer…[lire la suite]

 


 

A Lire aussi :

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016

DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016

Le RGPD, règlement européen de protection des données. Comment devenir DPO ?

Comprendre le Règlement Européen sur les données personnelles en 6 dessins

Notre sélection d’articles sur le RGPD (Règlement Européen sur la Protection des données Personnelles) et les DPO (Délégués à la Protection des Données)

 


Notre métier : Vous accompagner dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles




 

Réagissez à cet article

Source : Les PME , dépassées par l’arrivée du RGPD ? – Globb Security FR




Comment se préparer au règlement européen sur la Protection des Données Personnelles en 6 étapes ?

Règlement européen : se préparer en 6 étapes | CNIL

Comment se préparer au règlement européen sur la Protection des Données Personnelles en 6 étapes ?


Le 25 mai 2018, le règlement européen sera applicable. De nombreuses formalités auprès de la CNIL vont disparaître. En contrepartie, la responsabilité des organismes sera renforcée. Ils devront en effet assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité.

ETAPE 1 DÉSIGNER UN PILOTE

Pour piloter la gouvernance des données personnelles de votre structure, vous aurez besoin d’un véritable chef d’orchestre qui exercera une mission d’information, de conseil et de contrôle en interne : le délégué à la protection des données. En attendant 2018, vous pouvez d’ores et déjà désigner un « correspondant informatique et libertés », qui vous donnera un temps d’avance et vous permettra d’organiser les actions à mener.

> En savoir plus

ETAPE 2 CARTOGRAPHIER VOS TRAITEMENTS DE DONNÉES PERSONNELLES

Pour mesurer concrètement l’impact du règlement européen sur la protection des données que vous traitez, commencez par recenser de façon précise vos traitements de données personnelles. L’élaboration d’un registre des traitements vous permet de faire le point.

> En savoir plus

ETAPE 3 PRIORISER LES ACTIONS À MENER

Sur la base de votre registre, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées.

> En savoir plus

ETAPE 4 GÉRER LES RISQUES

Si vous avez identifié des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une analyse d’impact sur la protection des données (PIA).

> En savoir plus

ETAPE 5 ORGANISER LES PROCESSUS INTERNES

Pour assurer un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demande de rectification ou d’accès, modification des données collectées, changement de prestataire).

> En savoir plus

ETAPE 6 DOCUMENTER LA CONFORMITÉ

Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.

> En savoir plus

[lire la suite]


Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions d’expertises, d’audits, de formations et de sensibilisation dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles




 

Réagissez à cet article

Source : Règlement européen : se préparer en 6 étapes | CNIL




Protection des données personnelles : Ce qui change en 2018 avec le règlement RGPD

Protection des données personnelles: Ce qui change | L'Economiste

Protection des données personnelles : Ce qui change en 2018 avec le règlement RGPD


Le nouveau règlement européen sur la protection des données personnelles entrera en vigueur le 25 mai 2018. «Ce texte rénove la régulation européenne des données et offre à l’Europe la possibilité de récupérer sa souveraineté numérique…», indique Isabelle Falque-Pierrotin, présidente de la Commission nationale de l’informatique et des libertés (Cnil).

 

Le règlement renforce les droits des personnes à l’ère numérique
Les entreprises doivent se préparer au nouveau cadre juridique
Entrée en vigueur en mai 2018
cnil_europe_09309.jpg

En 2016, la Cnil a enregistré 7.703 plaintes (un peu moins que le record de 2015, 7.900 cas). Elles ont concerné principalement les secteurs Internet/télécom et le commerce

«La complexité du règlement avec ses 99 articles et ses 200 considérants ne doit pas masquer pour autant l’essence du texte qui consiste à renforcer la place centrale de l’individu dans l’univers des données», dit-elle. Pour le cas de la France, un projet de loi devra être déposé au Parlement au plus tard en juin 2017 pour garantir une meilleure application du règlement.

■ Nouveau cadre juridique: Le règlement européen constitue une évolution du cadre juridique de la protection des données et permet de construire une régulation commune sur l’ensemble du territoire de l’Union. Globalement, le texte renforce l’obligation des organismes publics et privés de protéger les données personnelles de leurs utilisateurs et clients. En pratique, le droit européen s’appliquera chaque fois qu’un résident européen sera directement visé par un traitement de données, y compris par Internet. La territorialité du droit européen se construit donc désormais autour de la personne. Cela se traduit par l’apparition de nouveaux droits (portabilité des données, limitation du traitement, réparation d’un dommage matériel ou moral…).  Les obligations en matière d’information sont également renforcées notamment en cas de faille de sécurité.

■ L’expression du consentement renforcée: Les utilisateurs doivent être informés de l’usage de leurs données et doivent en principe donner leur accord pour le traitement de leurs données, ou pouvoir s’y opposer. La charge de la preuve du consentement incombe au responsable de traitement. La matérialisation de ce consentement doit être non ambiguë. Le but de cette évolution est d’améliorer l’information qui doit être claire et accessible aux personnes concernées par les traitements de données.

■ Portabilité des données: Ce nouveau droit permet à une personne de récupérer les données qu’elle a fournies sous une forme facilement réutilisable, et, le cas échéant, de les transférer ensuite à un tiers. Il s’agit de redonner aux personnes la maîtrise de leurs données et de compenser en partie l’asymétrie entre le responsable de traitement et la personne concernée.

■ Protection des enfants: L’information sur les traitements de données les concernant doit être rédigée en des termes clairs et simples, que l’enfant peut aisément comprendre. Le consentement doit être recueilli auprès du titulaire de l’autorité parentale. Les Etats membres peuvent abaisser cet âge par la loi, sans toutefois qu’il puisse être inférieur à 13 ans. Devenu adulte, le consentement donné sur un traitement doit pouvoir être retiré et les données effacées.

■ Biométrie: Les données biométriques doivent faire l’objet d’une vigilance particulière. Le règlement européen a consacré le caractère particulier de ces données en les qualifiant de données «sensibles», au même titre que les données concernant la santé, les opinions politiques ou les convictions religieuses, dont le traitement est par principe interdit sauf dans certains cas limitativement énumérés.

■ Open data: Si elle ne concerne pas initialement la protection des données à caractère personnel, le nouveau contexte numérique implique de mieux la prendre en compte. Et ce notamment au niveau de la mise à disposition des données comme de leur réutilisation, la protection de la vie privée. Le nouveau cadre juridique permet cette conciliation.

Les sanctions s’alourdissent

Les autorités de protection pourront imposer des amendes administratives (jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial d’une entreprise). Ces sanctions pécuniaires pourront être prises en complément ou à la place de nombreuses mesures correctrices (ordonner de communiquer à la personne concernée une violation de données, la rectification ou encore la suspension de flux de données vers un pays tiers). Effacer des données ou limiter le traitement ou encore retirer une certification sont sur la liste des dispositions… Ces mesures et sanctions ne seront plus limitées au responsable de traitement mais pourront également être prises à l’égard d’un sous-traitant. Dans l’hypothèse de traitements transfrontaliers, la Cnil travaillera avec d’autres autorités de protection afin qu’une seule décision de sanction soit adoptée par l’autorité chef de file.

[Article original de Fatim-Zahra TOHRY]


Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions d’expertises, d’audits, de formations et de sensibilisation dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles




 

Réagissez à cet article

Source : Protection des données personnelles: Ce qui change | L’Economiste




RGPD Règlement Européen sur la Protection des Données : Voici comment être en règle pour 2018

RGPD Règlement Européen sur la Protection des Données : Voici comment être en règle pour 2018


Le GDPR, règlement européen qui renforce le droit des utilisateurs en matière de données personnelles, entrera en vigueur en mai de l’an prochain. D’ici là, 4 actions doivent être menées.

 

 

 

2017 s’annonce chargé pour toutes les entreprises qui collectent et manipulent, de près ou de loin, de la data en provenance de leurs consommateurs. Pour cause, le nouveau règlement européen sur la protection des données personnelles (GDPR) entrera en application le 25 mai 2018. Son objectif est de renforcer les droits des personnes en la matière… et les obligations des entreprises. Voici comment éviter une amende qui sera salée pour les mauvais élèves : 2 à 4% du chiffre d’affaires ou 20 millions d’euros, le montant le plus élevé étant choisi.

Protéger les données personnelles en amont

Commençons par la bonne nouvelle. L’entreprise qui procède à un traitement de données personnelles n’aura plus à remplir de déclaration auprès de la Cnil pour l’en informer, comme elle y est pour l’instant tenue. Ce pilier de la loi « Informatique et liberté » saute.

« Les entreprises doivent ‘en échange’ se conformer au concept de « privacy by design » érigé par l’article 25 du règlement », explique Matthieu Berguig, avocat spécialisé en droit des nouvelles technologies. Ce concept leur impose de réfléchir à la protection des données personnelles en amont de la conception  d’un produit ou d’un service. « Un fabricant d’objets connectés doit donc se poser des questions de base avant de mettre son produit sur le marché : où son stocké les données, par quel protocole de cryptage seront-elles protégées, sont-elles anonymisées… », illustre Matthieu Berguig. Délestée de ce travail de vérification, la Cnil s’évite beaucoup de paperasse… et gagne du temps pour auditer le marché. « On peut être sûrs que les contrôles seront plus nombreux », prévoit Matthieu Berguig.

Nommer un déléguer à la protection des données

La Cnil pourra travailler dans cette perspective main dans la main avec un collaborateur d’un nouveau genre, le délégué à la protection des données (DPD). L’article 37 impose sa nomination dans plusieurs cas de figure : lorsque « le traitement est effectué par une autorité publique ou un organisme public », lorsque le traitement impose « un suivi régulier et systématique à grande échelle des personnes concernées » ou lorsque le traitement à grande échelle concerne « les catégories particulières de données visées à l’article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10« . Beaucoup d’entreprises sont donc concernées par l’obligation et toutes sont encouragées à en nommer un.

Chargé de faire respecter le règlement européen sur la protection des données au sein de l’organisme qui l’a désigné, le DPD tient un peu du mouton à cinq pattes. Chez les entreprises déjà bien structurées, le « compliance officer », le collaborateur qui s’assure de la conformité de toute décision business à la législation, sera un candidat naturel à ce rôle de DPD. « Pour toutes les autres, il faut trouver la perle rare, un profil juridique capable également de comprendre les problématiques métiers », note Alan Walter, avocat associé chez Walter Billet Avocats.

Tenir un registre de traitement des données

« En 2017, beaucoup d’entreprises vont s’embarquer dans une totale remise à plat de leurs systèmes de traitement des données à caractère personnel », note Alan Walter. Pour cause, l‘article 30 impose aux entreprises de plus de 250 salariés de tenir un registre des traitements effectués. Un registre qui comporte, entre autres, le nom et les coordonnées du responsable du traitement, les finalités du traitement, la catégorie de destinataires auxquels les données à caractère personnel ont été ou seront communiqués. « C’est ce registre qui sera consulté par la Cnil lorsqu’elle voudra entrer en action », précise Matthieu Berguig.

L’article 33 impose d’ailleurs à une entreprise qui a subi une violation de données à caractère personnel d’en notifier l’autorité de contrôle. « Seuls les opérateurs télécoms y étaient jusque-là tenus », note Matthieu Berguig.

 

 

Créer une base interopérable pour le droit à la portabilité

L’article 20 du règlement aboutit à la création d’un droit à la portabilité des données personnelles. Si un de vos clients vous quitte pour la concurrence, il a le droit de réclamer le transfert de l’intégralité des données le concernant. « Lorsque cela est techniquement possible », précise l’article. « En d’autres termes, lorsque vous passerez d’une boîte mail à une autre, vous aurez théoriquement le droit d’importer tout votre historique de mails », illustre Matthieu Berguig. Une obligation dont la mise en place pourrait être techniquement compliquée dans de nombreux cas.

Alan Walter souligne un autre écueil, juridique celui-ci, en prenant l’exemple de l’un de ses clients, courtier en assurance pour expatriés. « Les données qu’il recueille sont très sensibles car elles concernent le domaine médical. Elles ne peuvent être transmises à n’importe qui, du fait du secret médical. Donc comment doit-il faire ? », s’interroge-t-il. Dans ce cas, il faudrait s’assurer que le destinataire des données offre les garanties nécessaires pour qu’il ne soit pas porté atteinte aux droits des personnes concernées. Problématique d’autant plus épineuse avec des transferts de données qui sont susceptibles d’intervenir vers des opérateurs situés hors de l’Union européenne et donc soumis à des droits différents. Premiers éléments de réponse début mai 2018.

Original de l’article mis en page : Protection des données : voici comment être en règle pour 2018

 

 


 

A Lire aussi :

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016

DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016

Le RGPD, règlement européen de protection des données. Comment devenir DPO ?

Comprendre le Règlement Européen sur les données personnelles en 6 dessins

Notre sélection d’articles sur le RGPD (Règlement Européen sur la Protection des données Personnelles) et les DPO (Délégués à la Protection des Données)

 


Notre métier : Vous accompagner dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles




 

Réagissez à cet article




Contrôles biométriques en entreprise : vos obligations changent !

Contrôles biométriques en entreprise : vos obligations changent !


Le cadre légal régissant la mise en place de dispositifs biométriques en entreprise évolue. En effet, la Cnil a adopté le 30 juin 2016, suite aux exigences fixées par le règlement européen sur la protection des données personnelles (2), 2 autorisations uniques, publiées au journal officiel le 27 septembre 2016.

 

 

Ces autorisations uniques fixent un nouveau cadre légal afin d’encadrer le recours aux dispositifs biométriques et protéger au mieux les libertés individuelles des personnes concernées par de tels systèmes d’identification.

Ainsi, les entreprises ayant recours à la mise en place de dispositifs biométriques ne seront plus soumises à une autorisation préalable de la Cnil. Elles devront simplement réaliser une demande d’autorisation unique et se conformer aux obligations prévues par l’autorisation.

 

 

La Cnil distingue désormais 2 types de dispositifs :

1/ l’autorisation unique 052 (3) pour les dispositifs garantissant la maîtrise par la personne concernée sur son gabarit biométrique. Ce peut être soit :
– un système recourant au stockage des données biométriques sur un support individuel détenu par les personnes concernées ;
– si la détention d’un support dédié au seul stockage du gabarit n’est pas adaptée à l’architecture et au contexte d’exploitation du dispositif, le responsable du traitement peut, de manière alternative, assurer le verrouillage des données biométriques stockées en base, par un secret détenu uniquement par la personne concernée ;

Dans ces deux hypothèses, l’utilisation du gabarit biométrique est conditionnée à une action de la personne concernée en tant que détentrice du gabarit ou du secret permettant de le déverrouiller.

 

2/ l’autorisation unique 053 (4) pour les dispositifs reposant sur une conservation des gabarits en base par le responsable du traitement.
Un « gabarit » biométrique désigne les mesures qui sont mémorisées lors de l’enregistrement des caractéristiques morphologiques, biologiques ou comportementales de la personne concernée.

 

Ainsi, à chaque demande d’autorisation unique visant à mettre en place un dispositif biométrique dans leur entreprise, les dirigeants doivent se conformer à certaines exigences :

  • justifier de la nécessité et de la pertinence d’avoir recours à un dispositif biométrique. Le recours à ce dernier ne doit pas avoir pour effet de se substituer à des dispositifs non biométriques ;
    privilégier les dispositifs biométriques qui garantissent aux personnes concernées la maîtrise de leur gabarit ;
    justifier et garantir la protection et la conservation des gabarits en base ;
  • prendre toute mesure permettant de limiter les risques d’atteinte à la vie privée.
    Si vous avez mis en place un dispositif biométrique sous couvert de l’ancien cadre légal, vous devez vérifier s’il répond à ces nouvelles exigences :

si c’est le cas : un engagement de conformité à l’une de ces nouvelles autorisations peut être réalisé ;
si ce n’est pas le cas : vous avez 2 ans pour vous mettre en conformité.

 

 

2ans pour être en conformité

Si vous ne vous êtes pas mis en conformité d’ici la fin de ce délai, sachez néanmoins que la Cnil pourra à tout moment contrôler que le dispositif de biométrie mis en place dans votre entreprise répond aux obligations imposées par les nouvelles autorisations uniques.

 

 

Références :
(1) Article 25 de la Loi n°78-17 du 6 janvier 1978 modifiée, modifié par la Loi n°2016-1321 du 7 octobre 2016 pour une République numérique
(2) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (Texte présentant de l’intérêt pour l’EEE)
(3) Délibération n°2016-186 du 30 juin 2016 portant autorisation unique de mise en œuvre de dispositifs ayant pour finalité le contrôle d’accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail et garantissant la maîtrise par la personne concernée sur son gabarit biométrique (AU-052)
(4) Délibération n°2016-187 du 30 juin 2016 portant autorisation unique de mise en œuvre de dispositifs ayant pour finalité le contrôle d’accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail, reposant sur une conservation des gabarits en base par le responsable du traitement (AU-053)…[Article source et complet]


Notre métier : Sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la Protection des Données Personnelles (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Denis JACOPINI anime dans toute le France et à l’étranger des conférences, des tables rondes et des formations pour sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la protection de leurs données personnelles (Mise en Place d’un Correspondant Informatique et Libertés (CIL) dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles




 

Réagissez à cet article

Original de l’article mis en page : Contrôles biométriques en entreprise : vos obligations changent !




Denis JACOPINI intervient au Conseil de l’Europe lors de la conférence Octopus 2016

Denis JACOPINI intervient au Conseil de l’Europe lors de la conférence Octopus 2016


A l’occasion de sa conférence annuelle consacrée à la lutte de la Cybercriminalité à travers le monde du 16 au 18 Novembre prochain au Conseil de l’Europe, Denis JACOPINI intervient au Workshop n°7

 

 

Au programme :

  • La Convention de Budapest: 15e anniversaire
  • Criminalité et compétence dans le cyberespace : la voie à suivre

Ateliers

  • Coopération entre les fournisseurs de service et les services répressifs en matière de cybercriminalité et de preuve électronique
  • L’accès de la justice pénale aux preuves dans le Cloud: les résultats du groupe sur les preuves dans le Cloud (Cloud Evidence Group)
  • Renforcement des capacités en cybercriminalité: les enseignements tirés
  • L’état de la législation en matière de cybercriminalité en Afrique, en Asie/Pacifique et en Amérique latine/aux Caraïbes
  • Le terrorisme et les technologies de l’information : la perspective de la justice pénale
  • Coopération internationale: amélioration du rôle des points de contact 24/7
  • A la recherche des synergies: politiques et initiatives en cybercriminalité des organisations internationales et du secteur privé

Participation

La conférence sera l’occasion, pour les experts en cybercriminalité des secteurs public et privé ainsi que les organisations internationales et non gouvernementales du monde entier, d’échanger.

 

La conférence Octopus fait partie du projet Cybercrime@Octopus financé par les contributions volontaires de l’Estonie, du Japon, de Monaco, de la Roumanie, du Royaume-Uni, des Etats-Unis d’Amérique et de Microsoft ainsi que du budget du Conseil de l’Europe.
Agenda Octopus 2016

 


Notre métier : Sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la Protection des Données Personnelles (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Denis JACOPINI anime dans toute le France et à l’étranger des conférences, des tables rondes et des formations pour sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la protection de leurs données personnelles (Mise en Place d’un Correspondant Informatique et Libertés (CIL) dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles


 

Réagissez à cet article

Original de l’article mis en page : Octopus 2016




L’accord sur la transmission des données validé par la Commission Européenne

L’accord sur la transmission des données validé par la Commission Européenne – Filière 3e


Le 8 juillet, la Commission européenne a validé le projet des représentants des Etats-membres de l’UE et des Etats Unis sur le transfert des données en ligne. Une législation qui pourrait favoriser l’Open Data, les objets connectés ainsi que la mise en place de projets de transition énergétique.

 

 

A l’origine l’accord sur la transmission des données était appelé « Safe Harbour ». La Cour de Justice de l’Union européenne (CJUE) avait invalidé le texte en octobre 2015 en raison de sa faible sécurité pour les données personnelles. Après des mois de débats, l’accord sur la « protection de la vie privée » (Privacy Shield) a été approuvé par les Etats membres et est entré en vigueur le 11 juillet 2016. Il a pour but de faciliter le transfert des données entre les Etats-Unis et l’Union européenne dans le cadre de la signature du Traité Transatlantique (TAFTA ou TIPP). Ce texte a pour but de faciliter les échanges économiques entre l’UE et les Etats-Unis, en harmonisant les normes européennes à celles américaines. Ces échanges serviraient à encadrer le progrès dans la croissance économique, en favorisant les flux correspondant au secteur du numérique. Dans un communiqué de presse, Andrus Ansip, membre désigné de la Commission Juncker comme vice-président chargé du marché numérique, et la commissaire à la Justice, Vera Jourva, ont déclaré communément : « le texte est fondamentalement différent de l‘ancien Safe Harbour: il impose des obligations claires et fortes aux entreprises traitant les données et s‘assure que ces règles sont suivies et mises en pratique ».

 

 

L’Open Data utile à la transition énergétique ?

Largement décriée, la récupération des données servira pourtant à construire le monde de demain en s’inscrivant dans une logique de transition énergétique. Ainsi les villes, les maisons et les énergies fonctionneront dans un même système connecté et durable. Nombreuses sont les start-up a créer des applications facilitant la mobilité, la sécurité et l’habitat dans le cadre de projets « verts ». Les données deviennent un facteur important du marché économique et énergétique. Pour Christian Buchel, Directeur général adjoint, Chef digital et international pour le groupe ENEDIS : « l’Open Data est utilisé dans le monde entier. Humaniser la DATA c’est mieux comprendre la consommation générale d’énergie ». Des informations qui pourraient être utilisées à grande échelle afin d’accroître la capacité de gestion des énergies. L’anonymat des données serait préservé puisque seul le consommateur aurait accès à ses informations. Pour Sampo Hietanen, de MAAS Finlande, une entreprise spécialisée dans l’Open DATA, il faut « générer de l’information pour construire la ville de demain afin que les services proposés communiquent ensemble ».

Les Etats Unis ont déjà commencé à déployer ce système numérique avec la mise en place de compteurs intelligents, récupérant les données des citoyens pour adapter la consommation énergétique à la demande. La France et ERDF commencent à commercialiser Linky, le compteur intelligent français. En ce sens, la signature du Traité Transatlantique devrait favorisait les partenariats énergétiques et numériques entre l’Union Européenne et les Etats-Unis.

Article original de Mailys Kerhoas



 

Réagissez à cet article

Original de l’article mis en page : L’accord sur la transmission des données validé par la Commission Européenne – Filière 3e




Privacy Shield : un « bouclier » troué à refuser !

Binaires, Une, Null, Continents, Terre

: un « bouclier » troué à refuser !


Le 8 juillet 2016, les États membres de l’Union européenne, réunis dans ce qu’on appelle le « comité de l’article 31 », se sont prononcé sur l’adoption de la décision d’adéquation qui encadrera les échanges de données personnelles entre les États-Unis et l’Union européenne : le Privacy Shield. Cette décision, adoptée dans la plus grande précipitation, ne répond pas aux inquiétudes exprimées ces dernières semaines à tour de rôle par le groupe des CNILs européennes, le Parlement européen et différents gouvernements européens, ainsi que par les associations de défense des droits.

 

Le 6 octobre 2015 la Cour de justice de l’Union européenne avait annulé l’accord du « Safe Harbor » couvrant les transferts de données depuis 2000, estimant que celui-ci permettait une collecte massive des données et une surveillance généralisée sans offrir de voies de recours effectives aux États-Unis pour les individus concernés en Europe. Aujourd’hui, force est de constater que le Privacy Shield ne répond pas non plus aux exigences de la Cour de justice.

Sur les principes de respect de la vie privée qui incombent aux entreprises couvertes par le Privacy Shield, on peut se demander l’utilité même d’une telle décision dans la mesure où celle-ci ne se substituera pas aux clauses contractuelles types ni aux règles internes d’entreprises, moins contraignantes et actuellement en vigueur, mais qu’elle s’y ajoutera. Cela signifie que si une entreprise couverte par le Privacy Shield s’en fait exclure pour non-respect des obligations qui lui incombent en matière de vie privée, elle pourra continuer à traiter des données avec les deux mécanismes internes cités plus hauts.

Mais le cœur de la décision se retrouve plutôt dans le chapitre sur l’accès aux données par les autorités publiques des États-Unis. Dans le texte, il n’est pas question de « surveillance de masse » mais plutôt de « collecte massive ». Or, si les États-Unis ne considèrent pas la collecte de masse comme de la surveillance, l’Union européenne, elle, par l’intermédiaire de sa Cour de justice, a tranché sur cette question en considérant, dans l’affaire C-362/14 Schrems c. Data Protection Commissioner, que la collecte massive effectuée par l’administration des États-Unis était de la surveillance de masse, contraire à la Charte des droits fondamentaux de l’Union européenne. Cette décision avait mené à l’invalidation du « Safe Harbor », et tout porte à croire que les voeux pieux et les faibles garanties d’amélioration exprimées par le gouvernement américain ne suffiront pas à rendre la décision du Privacy Shield adéquate avec la jurisprudence européenne.

Il en va de même sur la question des possibilités de recours. L’une des exigences de la CJUE, des CNIL européennes, du contrôleur des données personnelles et de la société civile était que toute personne concernée par un traitement de données avec cet État tiers puisse avoir la possibilité de déposer une plainte et de contester un traitement ou une surveillance illégale. Pour pallier cette sérieuse lacune du Safe Harbor, un mécanisme de médiateur («  ») a été instauré. L’initiative aurait été bonne si ce médiateur était réellement indépendant. Mais d’une part il est nommé par le Secrétaire d’État, d’autre part les requérants ne peuvent s’adresser directement à lui et devront passer par deux strates d’autorités, nationale puis européenne. L’Ombudsperson pourra simplement répondre à la personne plaignante qu’il a procédé aux vérifications, et pourra veiller à ce qu’une surveillance injustifiée cesse, mais le plaignant n’aura pas de regard sur la réalité de la surveillance. Cette procédure ressemble à celle mise en place en France par la loi Renseignement avec la et, pour les mêmes raisons, ne présente pas suffisamment de garanties de recours pour les citoyens.

Le projet de Privacy Shield, préparé et imposé dans la précipitation par la Commission européenne et le département du Commerce américain, ne présente pas les garanties suffisantes pour la protection de la vie privée des Européens. Il passe sciemment à côté du cœur de l’arrêt de la CJUE invalidant le Safe Harbor : la surveillance massive exercée via les collectes de données des utilisateurs. Les gouvernements européens et les autorités de protection des données doivent donc absolument refuser cet accord, et travailler à une réglementation qui protège réellement les droits fondamentaux. Les nécessités d’accord juridique pour les entreprises ayant fait de l’exploitation des données personnelles leur modèle économique ne peuvent servir de justification à une braderie sordide de la vie privée de dizaines de millions d’internautes européens.

Article original de La Quadrature du Net




 

Réagissez à cet article

Original de l’article mis en page : Privacy Shield : un « bouclier » troué à refuser ! – Global Security Mag Online




Le gouvernement pourrait partager vos données personnelles avec le secteur pharmaceutique

Le gouvernement pourrait partager vos données personnelles avec le secteur pharmaceutique - Express [FR]

Le gouvernement pourrait partager vos données personnelles avec le secteur pharmaceutique


Selon une information du quotidien De Morgen, le secrétaire d’Etat à la vie privée Philippe De Backer (Open Vld), estime que le gouvernement devrait être en mesure de transmettre des données relatives à la santé des citoyens belges au secteur pharmaceutique. « Nous pourrions demander de l’argent pour cela, à partir du moment où il y a un retour vers le patient », a expliqué De Backer.

 

 

 

Philippe De Backer présente sa note politique « Privacy » au Parlement. Dans celle-ci, il envisage un échange plus large des données personnelles des patients. Selon le secrétaire d’Etat, l’accès aux données et le traitement des données personnelles offrent d’importantes opportunités sociales et économiques. Les données publiques dans le domaine des soins de santé peuvent aboutir à des innovations intéressantes dans le secteur pharmaceutique, notamment en termes de prévention et vice-versa.

Compensation financière et contrôle du partage des données

En échange de ces informations privées, les patients pourraient recevoir une compensation financière. « Nous pourrions demander de l’argent pour cela, à partir du moment où il existe un juste retour pour le patient », a expliqué Philippe De Backer. Ce dernier évoque entre autres des prix moins élevés pour les médicaments des patients.

Par ailleurs, le secrétaire d’Etat souhaite également étendre la marge de manœuvre de la Commission de la vie privée. Celle-ci devrait déterminer quelles entreprises privées pourraient avoir accès aux données personnelles aux mains des pouvoirs publics. La Commission de la vie privée devrait également être en mesure d’infliger des amendes pouvant aller jusqu’à 4% du chiffre d’affaires pour les entreprises qui utilisent de façon inadéquate ces informations personnelles.

Philippe De Backer veut enfin que le patient ait davantage de contrôle sur la manière dont sont utilisées ses données. Dans ce sens, il évoque la création d’un passeport de confidentialité qui permettrait aux patients de savoir qui utilise leurs données personnelles.
Article original de Arnaud Lefebvre




 

Réagissez à cet article

Original de l’article mis en page : Le gouvernement pourrait partager vos données personnelles avec le secteur pharmaceutique – Express [FR]