Le Costa Rica accueille la Conférence 2019 du réseau Lexing

La prochaine conférence annuelle du réseau international Lexing® se tiendra le 13 juin 2019 au Costa Rica. Au programme : protection des données, Internet des objets, innovation et technologie en droit comparé.

Cette année, le réseau Lexing®, premier réseau international d’avocats dédié au droit du numérique et des technologies avancées réunira ses membres à San Jose, Costa Rica, pour offrir une expérience unique sur le cadre juridique de l’innovation et des technologies.

Le Costa Rica accueille la conférence annuelle Lexing 2019

Le Costa Rica est un pays de tradition démocratique qui a choisi d’abolir l’armée en 1949 et de délaisser les armes au profit du développement social et économique.

Traditionnellement, l’activité économique au XIXe et à la fin du XXe siècle a reposé sur le commerce du café et de la banane.

Dans les années 80, l’économie costaricienne s’est ouverte aux investissements étrangers directs (IED) et le pays récolte les fruits de ses investissements dans la sécurité sociale et l’éducation.

La politique menée se concrétise par la paix en Amérique centrale et le prix Nobel de la paix en 1987.

En 1997, Intel s’installe au Costa Rica et génère au cours des années suivantes un afflux d’investissements qui dynamise aujourd’hui son économie et constitue un important centre d’investissement étranger en technologie et innovation.

Une conférence annuelle autour de la data, de l’IoT et de l’innovation

Programme 

9h00-9h15

  • Accueil et présentation du réseau Lexing, par Frédéric Forster, Vice-président, et Gabriel Lizama Oliger, Lexing Costa Rica.

9h15-10h00

  • Droit des Objets connectés et télécoms, par Frédéric Forster, Alain Bensoussan Avocats Lexing, et Daniel Preiskel, Preikel & Co.

10h00-10h15 – Pause café

10h15-11h15

  • La Nouvelle Loi Californienne sur la Protection des Données, par Francoise Gilbert, Greenberg Traurig, Etats Unis,  
  • Le Cadre juridique de la Fintech en Australie, par Dudley Kneller, Madgwicks Lawyers, Australie,
  • Les perspectives juridiques des véhicules autonomes, par Raffaele Zallone, Studio Legale Zallone, Italie.

11h15-12h15

  • Les technologies de l’information dans le secteur public mexicain,par Joaquín Mendoza Brik, Carpio, Ochoa, Martínez, Brik, Mexique,
  • l’impact de la technologie sur la transformation des services juridiques, par Miklós Orbán, Orban & Perlaki Law Firm, Hongrie.

12h15-1h15 – Déjeuner

13h15-14h15

  • Le responsable de la protection des données en Europe, par  Marc Gallardo, Lexing Espagne, et Jean-François Henrotte, Lexing Belgique.

14h15-15h15

  • Les Enjeux Juridiques du Commerce Électronique en Asie, par Koki Tada, Hayabusa Asuka Law, Japon, et Jun Yang, Jade & Fountain PRC Lawyers, Chine.

15h15-16h15

  • Les défis du cadre juridique pour l’innovation dans les entreprises, par Gabriel Lizama Oliger, Lexing Costa Rica, et Ignacio Guzmán, G&D Asesores Jurídicos.

16h15 – Conclusions et clôture des travaux

Date et lieu : le 13 juin 2019, Hotel Crowne Plaza Corobici, San José. 




Santé numérique: les enjeux du programme Hop’EN

Le programme Hop’ENLe programme Hop’EN, « Hôpital numérique ouvert sur son environnement », poursuit la politique du numérique en santé initiée par le Programme Hôpital Numérique (2012-2018).

Lancé par la DGOS et encadré par son instruction du 12 février 2019, il s’inscrit dans le cadre de la stratégie de transformation du système de santé (STSS) « Ma santé 2022 » et de son volet numérique. Il a pour objectif une modernisation nationale des systèmes d’information hospitaliers à cinq ans.

Il mobilise un budget de 420 millions d’euros dans le cadre du grand plan d’investissement (GPI).

Objectifs du programme Hop’EN

Les objectifs du programme Hop’EN sont les suivants :

  • capitaliser et poursuivre les efforts engagés dans le cadre du programme Hôpital Numérique ;
  • renforcer la structuration des données hospitalières pour en faciliter le partage ;
  • le programme Hop’EN, « Hôpital numérique ouvert sur son environnement », poursuit la politique du numérique en santé initiée par le Programme Hôpital Numérique (2012-2018).Lancé par la DGOS et encadré par son instruction du 12 février 2019, il s’inscrit dans le cadre de la stratégie de transformation du système de santé (STSS) « Ma santé 2022 » et de son volet numérique. Il a pour objectif une modernisation nationale des systèmes d’information hospitaliers à cinq ans.Il mobilise un budget de 420 millions d’euros dans le cadre du grand plan d’investissement (GPI).

Objectifs du programme Hop’EN

Les objectifs du programme Hop’EN sont les suivants :

  • capitaliser et poursuivre les efforts engagés dans le cadre du programme Hôpital Numérique ;
  • renforcer la structuration des données hospitalières pour en faciliter le partage ;
  • développer et simplifier les liens entre l’hôpital et ses partenaires, notamment la ville et le médico-social dans une logique de prise en charge décloisonnée, via le développement de la MS Santé, du DMP, et d’autres outils territoriaux appuyés par le niveau national (via le programme e-parcours notamment) ;
  • accélérer la transformation numérique des établissements de santé pour rapprocher les hôpitaux de leurs patients en offrant des services numériques adaptés et sécurisés (prise de rendez-vous, paiement en ligne, …) dans le cadre de la mise en place de l’espace numérique de santé ;
  • harmoniser les services numériques des hôpitaux sur un même territoire pour que le patient vive avec plus de facilité le passage d’un établissement à l’autre et bénéficie d’un même niveau de services (dans le contexte GHT notamment).

Le programme s’appuie sur plusieurs leviers opérationnels pour atteindre ces objectifs : la gouvernance, les compétences, les partenaires, le financement, l’accompagnement, le pilotage et la communication, la recherche et l’évaluation. Ces leviers doivent aider les établissements à atteindre le palier de maturité nécessaire pour permettre aux systèmes d’information hospitaliers (SIH) de répondre aux nouveaux enjeux de décloisonnement du système de santé et de rapprochement avec les patients.

Chaque ARS est tenue d’élaborer sa « feuille de route régionale » décrivant ses objectifs en matière d’informatisation ainsi que les modalités de déclinaison du programme Hop’EN sur son territoire. L’ARS gère l’enveloppe régionale de soutien financier qui lui a été déléguée pour le programme, sélectionne et instruit les dossiers des établissements, et rend compte de l’avancement des projets aux instances nationales.

Respect des prérequis et domaines fonctionnels

Le programme Hop’EN pose des prérequis et liste des domaines fonctionnels.

Les 4 prérequis sont :

  • identités – mouvements ;
  • sécurité ;
  • confidentialité ;
  • échange et partage ;

Les 7 domaines fonctionnels sont :

  • les résultats d’imagerie, de biologie et d’anatomo-pathologie ;
  • le dossier patient informatisé et interopérable ;
  • la prescription électronique alimentant le plan de soins ;
  • la programmation des ressources et l’agenda du patient ;
  • le pilotage médico-économique ;
  • la communication et l’échange avec les partenaires ;
  • les services aux patients ;

Pour chaque prérequis et chaque domaine fonctionnel, la DGOS a développé des indicateurs permettant de vérifier si l’objectif est atteint.

Par exemple, pour le prérequis « échange et partage », l’un des indicateurs est l’existence et l’utilisation dans l’établissement d’une messagerie intégrée à l’espace de confiance MS Santé.

De même, pour le domaine fonctionnel « informatiser la prescription alimentant le plan de soins », l’un des indicateurs est le taux de séjours disposant de prescriptions d’examens de biologie informatisées, sachant que le seuil d’éligibilité pour le programme Hop’EN est un taux de 80 % des séjours concernés.

L’ensemble des indicateurs, permettant aux établissements de vérifier leur conformité avec les prérequis et les domaines fonctionnels du programme, figurent à l’annexe 1 de l’instruction de la DGOS du 12 février 2019.

La dotation de 420 millions d’euros allouée au programme HOP’EN, sera distribuée du second semestre 2019 à l’année 2023 aux établissements ayant répondu aux exigences du programme, donc à ces indicateurs.

20 % de l’enveloppe est dédiée à l’amorçage soit 84 millions d’euros, et 80 % réservée à l’atteinte des domaines d’usage soit 336 millions d’euros.

Exigences relatives à la protection des données

Les indicateurs des prérequis intègrent des exigences issues du Règlement européen relatif à la protection des données (RGPD).

En effet, le 2ème prérequis porte sur la sécurité des systèmes d’information. Il s’agit évidemment d’une exigence au cœur du RGPD, figurant à son article 32 : « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

Le 3ème prérequis porte sur la confidentialité, laquelle constitue l’un des principes fondamentaux du RGPD (article 5.1.f)).

Parmi les indicateurs de ce prérequis se trouvent :

l’information des patients sur les traitements de leurs données (articles 13 et 14 du RGPD) ;

l’information des patients sur leurs droits à cet égard (articles 15 à 22 du RGPD) ;

à nouveau la sécurité des données (article 32 du RGPD) ;

l’existence d’une fonction DPO au sein de l’établissement (articles 37 à 39 du RGPD) ;

Ainsi, le financement alloué dans le cadre du programme Hop’EN est conditionné par la mise en conformité par les établissements de santé au RGPD.

Une date butoire au 30 juin 2019, sauf dérogation

Les établissements de santé ou GHT souhaitant soumettre un projet informatique à financer dans le cadre du programme Hop’EN doivent répondre à un appel à manifestation d’intérêt (AMI), ouvert jusqu’au 30 juin prochain, en renseignant un module de pré-candidature au sein de l’oSIS (observatoire des SI de santé).

Les établissements candidats doivent avoir atteint les prérequis Hop’EN avant le dépôt de leur dossier ou, de façon dérogatoire, avant le 1er janvier 2021, faute de quoi le montant alloué au titre de l’amorçage devra être remboursé.

Les ARS sont chargées de présélectionner les candidatures et de présenter à la DGOS leur programmation pluriannuelle prévisionnelle de financement au plus tard le 30 août 2019.

Les établissements et GHT seront informés de la sélection ou du rejet de leur candidature au plus tard le 30 septembre.

Exceptionnellement, les établissements qui n’auront pas fait part de leur souhait de candidater au cours de l’AMI pourront transmettre ultérieurement leur candidature jusqu’au 31 décembre 2021, si l’ARS et son enveloppe régionale le permettent.


M
arguerite Brac de la Perrière
Isabeau de Laage
Lexing Département Santé numérique




IAPP Data Protection Intensive conference : France 2019

IAPP Data Protection IntensiveAurélie Banck prendra la parole aux journées IAPP de la protection des données 2019 à Paris les 12 et 13 février 2019. 

La conférence IAPP Data Protection Intensive : France 2019 rassemble les professionnels de la protection des données venus de toute l’Europe pendant deux journées intensives d’apprentissage, de partage et de réseautage.

Depuis l’entrée en application du RGPD, le 25 mai 2018, de nouvelles obligations en matière de protection des données personnelles incombent aux entreprises de tous les secteurs.

A l’occasion de ces journées, seront abordées les thèmes suivants :

  • La place du Délégué à la protection des données (DPD) au sein de l’organisation
  • S’attaquer à l’analyse d’impact sur la protection des données (AIPD) : Formats et défis
  • Inventaire et cartographie des données et tenue de registres
  • Respect de la vie privée dès la conception ou par défaut – dans la pratique : Définition, scénarios, processus de développement de produit
  • Fournisseur, sous-traitance et audit
  • Satisfaire les demandes des personnes exerçant leurs droits

L’Association internationale des professionnels de la protection de la vie privée (IAPP) est une communauté mondiale au service des professionnels confrontés aux risques et menaces qui pèsent sur les entreprises de toutes tailles et de tous secteurs, en ce qui concerne leurs données (violation de données, vol d’identité, perte de confiance des clients, etc.)

L’IAPP rassemble les personnes, les outils et les pratiques de gestion de l’information globales pour réussir dans l’économie de l’information.

Aurélie Banck est certifiée CIPP/E et CIPM et s’est vu délivrer la qualification FIP par l’IAPP et formateur IAPP pour la préparation du CIPP/E et CIPM.

Programme et inscription.

Date : 12 et 13 février 2019
Lieu : The Westin Paris – Vendôme
3 Rue De Castiglione
75001 Paris

Isabelle Pottier
Directeur Études et Publications




Protection des données : quels changements pour les banques ?

protection des donnéesQuels sont les changements à attendre du projet de loi sur la protection des données personnelles dans le secteur bancaire ?

Cet article analyse les impacts pour le secteur bancaire et financier du projet de loi relatif à la protection des données personnelles sur le point d’être adopté.

Ce texte modifie la loi Informatique et Libertés afin d’intégrer en droit français les dispositions nécessaires à la mise en œuvre du RGPD (notamment en ce qui concerne les prérogatives de la Cnil). Il intègre également en droit local des spécificités prévus par le Règlement. Enfin, il transpose la directive 2016/680 relative aux traitements mis en œuvre à des fins de Prévention et de Détection des infractions pénales.

L’ensemble de ces dispositions ne sont donc pas applicables au secteur bancaire et financier notamment les articles 18 et 19 du projet qui portent sur la transposition de la Directive.

Au titre des dispositions impactantes pour ces acteurs, on peut noter la modification des pouvoirs de la Commission et notamment la possibilité qui lui est offerte d’adopter des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements.

Le projet de loi clarifie également les types de secret opposable aux agents de la Commission et exclut le secret bancaire de ces dispositions. Il introduit certaines dispositions spécifiques pour les traitements comportant une prise de décision automatisé, fréquents dans le secteur bancaire et financier. Enfin, les parlementaires ont introduit par voie d’amendement la possibilité d’engager une action de Groupe à des fins d’indemnisation du préjudice subi par les personnes concernées.

Conscient qu’un travail de rédaction postérieur à l’adoption de la loi sera nécessaire notamment afin de donner aux règles de protection des données personnelles une meilleure lisibilité, le gouvernement a prévu de prendre par ordonnance les mesures nécessaires à la réécriture de la loi Informatique et Libertés avant la fin de l’année.

Aurélie Banck, « Projet de loi sur la protection des données personnelles ? Quels changements pour les établissements financiers ? » , Revue Banque n°819, mars 2018.




Mise en conformité au RGPD : la feuille de route pour 2018

Mise en conformité au RGPD : la feuille de route pour 2018Céline Avignon dresse pour ecommercemag.fr la feuille de route de la mise en conformité au RGPD avant le 25 mai 2018.

Directrice du département Publicité et Marketing électronique au sein du cabinet Lexing Alain Bensoussan Avocats, Céline Avignon décrypte pour le site ecommercemag.fr, le « média du cross canal », les enjeux de la mise en conformité au Règlement 2016/679 relatif à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données (RGPD), à moins d’un an maintenant de son entrée en vigueur effective.

« 2017, la cote d’alerte »

Selon une enquête d’Arondor Serda Lab citée par Céline Avignon, « 55% des organisations ne savent pas que le RGPD entrera en vigueur en mai 2018 et qu’elles devront s’y conformer ». Et de citer la Présidente de la Cnil, Isabelle Falque Pierrotin, selon laquelle « 2017, c’est la cote d’alerte ».

Du côté des États membres, la France devra modifier sa loi Informatique et libertés pour la faire coïncider avec le RGPD : sans cette loi, le Règlement ne pourra être appliqué. Là encore, selon Céline Avignon, le temps presse : « ce projet devrait être adopté avant l’été, ce qui, compte tenu des échéances électorales à venir, semble ambitieux ». Pour résumer, « l’État a une pression pour élaborer un projet de loi nécessaire à l’application du RGPD et les entreprises doivent se préparer pour se mettre en conformité au texte, dont certaines dispositions renvoient au droit local non encore défini ».

Une chose est sûre : les entreprises privées et entités publiques doivent engager au plus vite une démarche de mise en conformité : « Tout le monde s’accorde à dire que ce qui compte est d’engager une démarche et de se mettre en posture pour 2018 ».

À cet égard, la tâche est, selon les professionnels, constituée de plus ou moins d’étapes : « La Cnil en relève 6, l’autorité de protection britannique 12 et la commission vie privée en Belgique, 13. Bien évidemment, selon le niveau de conformité initiale de l’organisme, la route de la conformité au RGPD pourra être jalonnée de moins d’étapes, puisque certaines obligations de la loi de 1978 sont reprises à l’identique, ou presque, dans le RGPD ».

Mise en conformité : quelle posture adopter ?

Alors, comment s’y prendre et comment mettre à profit le temps restant jusqu’à 2018, étant précisé que la taille de l’organisme est indifférente s’agissant des obligations ?

Céline Avignon détaille, dans son article, 5 règles à respecter :

1. Une décision de la direction générale : la démarche de mise en conformité doit être « initiée par la direction générale et entraîner l’ensemble des services pour devenir une nouvelle culture d’entreprise ».

2. La mise en place d’une organisation pour assurer la compliance : « Pour assurer la compliance, il faut désigner un pilote ». À cet égard, le RGPD impose, dans trois situations, la désignation d’un DPO ou délégué à la protection des données, nouveau personnage clé de l’environnement digital des entreprises.

3. Un état des lieux s’impose : « une fois l’organisation définie, il convient de réaliser un état des lieux pour établir un gap analysis (analyse d’écarts) ». À la suite de cette analyse, les zones de risque seront identifiées.

4. Se doter de politiques et de process : cela devient une nécessité en raison du principe de responsabilité ou d’accountability : « En effet, l’organisme, en cas de contrôle, devra être à même de démontrer qu’il a mis en œuvre les process, politiques et mesures organisationnelles pour respecter les RGPD ».

5. Adopter une démarche de privacy by design et de security by default : le RGPD impose ces deux démarches qui modifient le pilotage des projets au sein des organismes.

Le compte à rebours a commencé : les organisations doivent très vite prendre la mesure du RGPD et tout mettre en œuvre pour se mettre en conformité, compte tenu, notamment, des sanctions encourues.

Céline Avignon pour ecommercemag.fr, « [Tribune] RGPD : comment se mettre en posture de conformité pour 2018? », le 18 avril 2017

Eric Bonnet
Directeur du Département Communication juridique




Règlement européen de protection des données « J – 1 an »

Le règlement européen de protection des données : J - 1 anLe cabinet a organisé le 3 mai 2017 un petit-déjeuner débat sur le règlement européen de protection des données : « J – 1 an », animé par Alain Bensoussan.

En 2018, entrera en application le règlement européen de protection des données personnelles. Le compte à rebours s’accélère pour les entreprises.

Elles ont en effet jusqu’au 25 mai 2018 pour repenser la gouvernance actuellement mise en place en matière de protection des données personnelles et déployer de nouvelles actions pour être en conformité dans les délais imposés.

Il s’agira pour les entreprises notamment :

  • d’intégrer les concepts de protection des données personnelles dès la conception et par défaut. Ces principes recommandent d’inclure à toute technologie exploitant des données à caractère personnel, des dispositifs techniques de protection des données personnelles dès leur conception, ainsi que des mesures organisationnelles permettant d’anticiper en amont des projets informatiques la problématique de protection des données personnelles ;
  • de prendre en compte le principe d’accountability qui impose aux entreprises d’être en mesure de justifier l’ensemble des dispositifs de contrôle et d’encadrement mis en place pour assurer la conformité Informatique et libertés ;
  • de notifier à la Cnil toute violation de données à caractère personnel ;
  • d’introduire la fonction de Data Protection Officer (délégué à la protection) au sein de l’entreprise.

L’enjeu est primordial pour les entreprises : les sanctions susceptibles d’être prononcées sont très élevées, jusqu’à 2 ou 4 % du chiffre d’affaires mondial réalisé.

A un an de l’entrée en vigueur du règlement européen de protection des données, nous vous proposons, dans le cadre de ce petit-déjeuner débat, de préciser le chemin de route qu’il faut tracer.

Le petit-déjeuner débat a eut lieu de 9h30 à 12h00 (accueil à partir de 9h00) dans nos locaux, 58 Gouvion-Saint-Cyr, 75017 Paris.

Inscriptions closes




Contrats cloud : les impacts du RGPD et la cotraitance

Contrats cloud : les impacts du RGPD et la cotraitance

Le règlement général de protection des données personnelles précise la notion de cotraitance, pertinente pour le cloud.

La notion de responsables conjoints du traitement était esquissée dans la directive 95/46/CE du 24 octobre 1995 (1) sur la protection des données personnelles. Le règlement (« RGPD ») (2) comporte des dispositions beaucoup plus précises, applicables à compter du 25 mai 2018. L’application de ces dispositions pour les services dans le cloud paraît tout indiquée dans plus d’hypothèses que l’on ne pourrait le penser de prime abord.

Cotraitance et cloud-computing : un cas de figure possible

Alors que, classiquement, le prestataire dans le cloud est qualifié de sous-traitant (« data processor »), son client, exploitant les données à caractère personnel est qualifié de responsable du traitement (« data controller »). Le cloud computing vient rebattre les cartes.

Déjà en 2012, dans ses Recommandations pour les entreprises qui envisagent de souscrire à des services de cloud computing (3), la Cnil envisageait un régime de cotraitance (responsabilité conjointe), partant du constat que le prestataire du cloud fixe par lui-même les moyens nécessaires au traitement envisagé de données personnelles (4).

Pour les services de type SaaS, incluant des fonctionnalités métiers, c’est même, d’une certaine manière la finalité du traitement qui serait partagée. Ce dernier point est particulièrement sensible, car, en pratique, certaines sociétés du Cloud prétendent en apparence ne fournir qu’un service d’hébergement managé (de type IaaS), et se réservent pourtant dans les conditions d’utilisation de leurs services le droit d’accéder aux données et effectuer leur propre traitement.

Sous l’empire du RGPD, l’analyse de la Cnil ne s’appliquera que d’autant mieux qu’il est prévu, à l’article 26 du règlement, une définition claire de la notion de responsable conjoint du traitement. Ledit article précise que ces « responsables conjoints du traitement définissent de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences du présent règlement » et en particulier :

  • le point de contact pour la personne physique concernée par le traitement ;
  • la communication des informations visées aux articles 13 et 14 du RGPD.

C’est par contrat que ces exigences de transparence doivent se concrétiser (article 26§2).

Cotraitance et contrat : les principales dispositions

L’accord visé dans le RGPD doit refléter dûment les rôles respectifs des responsables conjoints du traitement et leurs relations vis-à-vis des personnes concernées (« data subjects »).
Les grandes lignes de l’accord sont mises à la disposition de la personne concernée.

Déclinées dans quelque contrat cloud (IaaS, PaaS, SaaS) que ce soit, les obligations précitées au titre de la cotraitance pourront notamment se présenter comme suit :

  • un article « finalité » fixant la ou les finalités du traitement partagées totalement ou partiellement entre les parties ;
  • l’article « moyens » précise les mesures techniques et organisationnelles pour effectuer le ou les traitements conformément au règlement avec maintien en conditions opérationnelles (« accountability »), ainsi que le partage, le cas échéant, des responsabilités techniques à ce titre ;
  • l’article « sécurité » : présente, en lien avec une annexe plan d’assurance sécurité, la politique de sécurité physique et logique convenue des parties, outre les mesures applicables en cas d’intrusion frauduleuse (« data breach process ») ;
  • l’article « point de contact » et « information de la personne concernée » va préciser qui, vis-à-vis de cette personne, va effectivement lui répondre et s’assurer du respect effectif de ses droits ;
  • les conditions d’intervention d’un sous-traitant au sous-traitant doivent aussi être prévues au contrat ;
  • l’article « confidentialité » ne doit pas concerner seulement les propres salariés de chacun des responsables conjoints du traitement mais doit comporter un engagement de porte-fort envers les éventuels autres sous-traitants ou free-lance mobilisés par l’une ou l’autre des parties ;
  • la localisation des données et les responsabilités respectives en découlant, en cas de traitement transfrontières ;
  • le partage des risques et de la responsabilité entre les responsables conjoints, étant précisé que vis-à-vis de la personne concernée la responsabilité de chacun des responsables conjoints est solidaire (art. 26§3 du règlement) ;
  • des précisions sur la fin des relations contractuelles et la destruction des données dans le cloud.

Au-delà de l’hypothèse du cloud computing, la notion de cotraitance (responsabilité conjointe) au sens du RGPD peut également être pertinente pour les échanges de données entre sociétés d’un même groupe ou appartenant à un même réseau de distribution.

Eric Le Quellenec
Lexing Droit Informatique

(1) Directive 95/46/CE du 24-10-1995, art. 2 d)
(2) Règlement 2016/679 du 27-4-2016
(3) Cnil, Recommandations, page 6
(4) Post du 23-7-2013




Les missions du délégué à la protection des données (DPO)

Les missions du délégué à la protection des données (DPO)Le G29 apporte des précisions sur les missions du futur délégué à la protection des données personnelles (DPO).

Ce groupe, rassemblant les autorités de protection des données des Etats membres de l’Union européenne vient d’adopter ses lignes directrices relatives à la désignation, aux fonctions et missions du DPO (1).

Ces dernières étaient très attendues, dans la mesure où la nomination d’un DPO sera, selon les cas, obligatoire ou fortement recommandée à compter de l’entrée en vigueur du Règlement général sur la protection des données (RGPD) en 2018 (2).

Contrôle du respect du RGPD

Le G29 rappelle la mission principale du DPO qui sera d’assister le responsable du traitement et le sous-traitant afin de veiller au respect du RGPD.

Pour ce faire, il est en charge de recueillir les informations visant à connaître les opérations de traitement et d’apprécier leur conformité au cadre légal. Il doit informer, conseiller et émettre des recommandations au responsable de traitement et au sous-traitant.

Le G29 précise que le DPO ne peut être tenu responsable personnellement en cas de non-conformité au RGPD. C’est effectivement au responsable du traitement qu’il appartient de mettre en œuvre les mesures techniques et organisationnelles appropriées pour s’assurer de la conformité des traitements au règlement (3), et c’est par conséquent sur lui que pèse toute responsabilité.

Conseil lors de l’analyse d’impact relative à la protection des données

Selon le G29, à l’occasion de l’analyse d’impact relative à la protection des données qu’effectuera le responsable du traitement, le devoir de conseil du DPO (4) devra porter sur :

  • l’opportunité de réaliser de ladite analyse d’impact ;
  • la méthodologie à suivre ;
  • les modalités de réalisation (en interne ou externalisées) ;
  • les mesures de protection, tant techniques qu’organisationnelles, à mettre en œuvre pour limiter les risques aux droits et intérêts des personnes concernées ;
  • l’appréciation sur la qualité de réalisation de l’analyse d’impact et sur la conformité de sa conclusion avec le cadre légal.

Si le responsable du traitement est en désaccord avec les conseils délivrés par le DPO, ce dernier devra, au sein de l’analyse, préciser les raisons pour lesquelles il ne les a pas suivis.

Ces missions de conseil devront être clairement définies dans le contrat du DPO et être portées à la connaissance des employés et de toutes les personnes concernées.

Mission d’appréciation des risques

Dans l’accomplissement de ses missions, le RGPD précise que le DPO apprécie les opérations de traitement eu égard aux risques associés à leur nature, portée, contexte et finalités (5). Selon le G29, le DPO est ainsi tenu de prioriser et de porter davantage attention aux traitements à risque élevé.

Le DPO, lors la réalisation de l’analyse d’impact, doit se prononcer sur la méthodologie, les modalités ou encore les mesures de protection eu égard aux risques encourus.

Rôle dans la tenue du registre des activités

Le RGPD indique que c’est le responsable du traitement ou le sous-traitant qui tient le registre des activités de traitement effectuées sous leur responsabilité (6).

Toutefois, tant la pratique que les législations nationales et européennes ont dévolu au DPO la mission d’inventorier les opérations de traitement à partir des informations fournies par les différents services de l’organisme au sein duquel il travaille.

Ainsi, la circonstance selon laquelle le RGPD ne confère pas explicitement cette mission au DPO, ne signifie pas qu’elle ne peut lui être attribuée. Les missions qui lui sont confiées ne correspondent qu’à une liste plancher pouvant être enrichie librement sur le fondement de son devoir de conseil et de sa mission de contrôle du respect du RGPD.

A la lumière de ces lignes directrices, il ne fait nul doute que le DPO a vocation à occuper une place centrale au sein des organismes et entreprises, et qu’il sera doté de moyens et de garanties bien supérieurs à ceux dont les Correspondants Informatique et libertés (Cil) disposent aujourd’hui.

Lexing Alain Bensoussan Avocats

(1) Lire le Post du 2-2-2017
(2) Règlement (UE) 2016/679 du 27-4-2016, dit RGPD
(3) Règlement (UE) 2016/679 du 27-4-2016, dit RGPD, art. 24
(4) Règlement (UE) 2016/679 du 27-4-2016, dit RGPD, art. 35 et 39
(5) Règlement (UE) 2016/679 du 27-4-2016, dit RGPD, art. 39 (2)
(6) Règlement (UE) 2016/679 du 27-4-2016, dit RGPD, art. 30




Un droit à l’effacement des données personnelles des mineurs

Un droit à l’effacement des données personnelles des mineursLa loi pour une République numérique consacre un droit à l’effacement des contenus diffusés en ligne par un mineur.

Introduction

Ce droit nouveau vise essentiellement à protéger la Génération Z (voire la Génération Y) contre elle-même. Cette génération est née connectée, elle s’exprime et échange sur les réseaux sociaux, sans véritable limite, parfois sans tabou et sans contrôle.

Or, cette liberté peut avoir un prix à l’âge adulte, à l’instar d’un tatouage que l’on ne peut effacer. On peut avoir envie de faire disparaitre les poèmes que l’on écrivait ado ou d’effacer les traces d’un premier amour. Mais de manière plus pragmatique, il apparait parfois nécessaire, notamment en phase de recrutement pour une école, une université ou un premier emploi, de gommer ces posts gênants ou d’effacer des vidéos publiées sur le Net.

La consécration du droit à l’effacement pour les mineurs à l’article 63 de la loi pour une République numérique

L’article 63 de la LRN (1) vient modifier l’article 40 de la loi Informatique et libertés (2) prévoyant déjà le droit pour toute personne concernée de rectifier, compléter, mettre à jour, verrouiller ou effacer les données à caractère personnel la concernant. Ce droit est cependant conditionné en ce qu’il ne peut être exercé si les données en cause sont inexactes, incomplètes, équivoques, périmées, ou si leur collecte, utilisation, communication ou conservation est interdite.

Justifié par la nécessité de protéger les mineurs face à une surexposition sur les réseaux numériques, l’article 63 ajoute un second paragraphe à l’article 40. Il y consacre un droit à l’effacement non conditionné pour les personnes mineures au moment de la collecte des données à caractère personnel. Dorénavant sur demande de la personne concernée, le responsable du traitement est tenu d’effacer dans les meilleurs délais les données à caractère personnel qui ont été collectées dans le cadre de l’offre de service de la société de l’information lorsque la personne concernée était mineure au moment de la collecte. Ce droit n’est donc soumis à aucune condition autre que la minorité.

A l’image du droit d’opposition existant, c’est bien le titulaire de la responsabilité parentale à l’égard de l’enfant qui exerce ce droit. La LRN consacre donc un droit à l’effacement pour la personne adulte ou non, de demander sans motif l’effacement des données lorsque celle-ci ont été collectées alors qu’elle était mineure. Elle répond ainsi à la problématique de surexposition des enfants sur les réseaux sociaux et à la difficulté de recueillir le consentement réel de leurs parents.

De plus, le droit à l’effacement des contenus des mineurs ne souffre que de rares exceptions. Il ne s’applique pas lorsque le traitement de données à caractère personnel est nécessaire pour exercer le droit à la liberté d’expression et d’information ; pour des motifs d’intérêt public dans le domaine de la santé publique, de recherche scientifique ou historique, à des fins statistiques ou archivistiques ou encore à la constatation, à l’exercice ou à la défense de droits en justice.

Le droit à l’effacement doit par ailleurs être distingué du droit au déréférencement. Le déréférencement vise essentiellement les outils de recherche qui désindexent les contenus présents sur la toile. Mais ces contenus sont toujours présents au plan technique. L’effacement va plus loin en ce qu’il consiste à supprimer le contenu lui-même, ces copies ou reproductions. Il ne vise pas les moteurs de recherche mais tous les éditeurs de service en ligne et singulièrement les réseaux sociaux.

Les incertitudes autour de ce nouveau droit

Cette nouvelle disposition n’est pas sans poser un certain nombre de questions quant à son application.

D’une part, le droit à l’oubli ne concerne, selon la lettre du texte, que les données collectées dans le cadre de l’offre de « services de la société de l’information ». Or, la loi ne définit pas ces « services ». Cette notion pourrait renvoyer à la définition proposée par la directive n°2015/1535/EC (3) « tout service presté normalement contre rémunération à distance par voie électronique ». Cependant une telle référence limiterait le droit à l’effacement aux seules données communiquées dans le cadre de services payants. Cette définition exclurait donc stricto sensu les plateformes n’exigeant aucune contrepartie monétaire. Or, il est clair que cela vise la plupart des outils, applis ou réseaux sociaux utilisés par les enfants. De plus, si aucune contrepartie financière n’est exigée à strictement parler, la collecte des données à caractère personnel s’apparente à une certaine forme de rémunération ce qui exclut toute gratuité véritable. Dans un contexte dans lequel la protection des mineurs est la priorité, il apparait difficile de croire que le législateur ait volontairement réduit l’application de ce nouveau. Ainsi, une lecture extensive conforme à l’esprit du texte est à privilégier.

Etude d’impact

Du côté des services de la société de l’information et principalement des réseaux sociaux, ce nouveau droit est impactant à plusieurs égards.

Impact 1 – mise en œuvre technique et fonctionnelle

Concernant sa mise en œuvre technique et fonctionnelle, il s’agit non seulement de définir les moyens techniques de nature à permettre la suppression des contenus, des copies et des liens mais également de créer des interfaces et autres moyens mis à la disposition de la personne pour exercer son droit à l’effacement.

Impact 2 – information de la personne concernée sur son droit à l’effacement

Comme tous les droits des personnes, les conditions de mise en œuvre du droit à l’effacement doivent être portées à la connaissance des personnes concernées. En pratique, cela consiste à modifier les conditions générales de service et la politique « données à caractère personnel » ou «de confidentialité».

Impact 3 – dispositif imposé à l’égard des tiers

Le texte prévoit que lorsque le responsable du traitement a transmis les données en cause à un tiers lui-même responsable du traitement, il prend des mesures raisonnables, y compris d’ordre technique, compte tenu des technologies disponibles et des coûts de mise en œuvre, pour informer le tiers qui traite ces données que la personne concernée a demandé l’effacement de tout lien vers celles-ci, ou toute copie ou reproduction de celles-ci.

Impact 4 – une sanction lourde

La loi prévoit qu’en « cas de non-exécution de l’effacement des données à caractère personnel ou en cas d’absence de réponse du responsable du traitement dans un délai d’un mois à compter de la demande, la personne concernée peut saisir la Commission nationale de l’informatique et des libertés, qui se prononce dans un délai de trois semaines ».

La sanction prévue par la LRN démontre de l’importance de ce nouveau droit dont l’application même sera contrôlée par la Cnil dans des conditions particulières.

Conclusion

Le droit à l’effacement, s’il représente indubitablement une avancée considérable pour les droits des personnes, ne demeure pas moins un droit difficile à mettre en œuvre au regard de la rapidité de propagation des données sur l’internet et des délais prévus par la LRN.

L’accent doit donc être mis avant tout sur l’information et la sensibilisation des mineurs face aux risques des réseaux sociaux.

Lexing Alain Bensoussan Avocats
Lexing Droit numérique

(1) Loi 2016-1321 du 7-10-2016 pour une République numérique
(2) Loi 78-17 du 6-1-1978 modifiée relative à l’informatique, aux fichiers et aux libertés, art. 40
(3) Directive 2015/1535/CE du 9-9-2015 prévoyant une procédure d’information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l’information




Précisions apportées par le G29 sur la désignation du DPO

Précisions apportées par le G29 sur la désignation du DPOAnticiper le règlement en éclaircissant la désignation d’un DPO, telle est la tâche du G29 et de ses lignes directrices.

Suite à la consultation publique sur le règlement européen sur la protection des données (RGDP) en juin 2016, le groupe de travail de l’article 29 (G29) a adopté des lignes directrices (1) et des Faq (2) sur différentes thématiques et notamment sur le délégué à la protection des données (DPO).

Ces documents ont pour vocation :

  • d’aider et d’accompagner les responsables de traitement et les sous-traitants dans la mise en place de la fonction de délégué à la protection des données ;
  • de seconder les futurs délégués à la protection des données dans la réalisation de leur mission.
Rôle du DPO

Le DPO sera au cœur du niveau cadre légal dans la mesure où son rôle sera de faciliter la conformité avec les dispositions du règlement européen. Le DPO deviendra un avantage compétitif important et se placera comme un intermédiaire facilitant les relations entre les différents acteurs.

Il demeure l’acteur qui contrôle le respect des dispositions du règlement.

Désignation obligatoire du DPO

Le groupe de travail rappelle les cas dans lesquels la désignation d’un DPO chez un responsable du traitement ou un sous-traitant est obligatoire. Le G29 souligne néanmoins qu’en dehors de ces cas, il peut être opportun de désigner volontairement un DPO, ce qu’il encourage. Dans ce cas, les mêmes obligations viennent à s’appliquer.

Dans le cas où un DPO est désigné à la fois chez un responsable du traitement et son sous-traitant, les deux délégués sont alors appelés à coopérer.

Le G29 rappelle que les coordonnées du DPO doivent être facilement accessibles afin que ce dernier puisse effectivement échanger avec les personnes concernées et l’autorité de contrôle, et ce dans la ou leurs langues.

Les cas dans lesquels la désignation d’un DPO est obligatoire sont les suivants (3) :

a) le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle;
b) les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ; ou
c) les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données et de données à caractère personnel relatives à des condamnations pénales et à des infractions.

Aussi plusieurs critères doivent être remplis dans chacune des situations et deux de ces critères à savoir « les activités de base » et à « grande échelle » apparaissent dans plusieurs situations.

Le G29 repart alors des termes employés par l’article 37 1 a), b) et c) du règlement européen, afin d’éclaircir les différentes situations dans lesquelles un DPO est obligatoire, et en apporte une nouvelle lecture extensive.

Autorité publique ou organisme public

Ces notions d’autorité publique ou d’organisme public renvoient uniquement à l’article 37 1 a) du règlement.

Ces notions ne sont pas définies dans le règlement européen. Aussi, le G29 indique que ces définitions reviennent à chaque Etat-membre, dans la mesure où s’il est évident que le concept d’autorité publique inclut nécessairement les autorités nationales, régionales et locales, d’autres organismes ou entreprises publics sont également concernés et sont, quant à eux définis par le droit national.

De plus, le G29 appelle de ses vœux que :

  • les organisations privées en charge d’exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique désignent également un DPO ;
  • le DPO nommé par une autorité publique ou un organisme public intègre également dans son activité les traitements qui n’ont pas un lien direct avec la mission d’intérêt public ou l’exercice de l’autorité publique, comme la gestion d’une base de données des salariés.
Activités de base

Ce critère des « activités de base » du responsable du traitement ou du sous-traitant est repris à la fois dans l’article 37 1 b) et dans l’article 37 1 c) du règlement européen.

Le G29 souligne que le considérant 97 du règlement européen définit les activités de base comme : « les activités principales et ne concernent pas le traitement des données à caractère personnel en tant qu’activité auxiliaire ». Aussi, le G29 considère que ces activités de base sont les opérations clés afin que le responsable du traitement ou le sous-traitant atteignent leurs objectifs, tout en incluant les activités sans lesquelles ces activités principales ne pourraient pas être réalisées.

Le G29 prend alors deux exemples, celui d’un hôpital et d’une société de sécurité effectuant la surveillance d’un certain nombre de centres commerciaux et d’espaces publics.
Pour l’hôpital, son activité principale est de délivrer des soins de santé. Pour cela il doit traiter des données de santé. Aussi, le traitement de ces données de santé doit être considéré comme l’une des activités principales de tout hôpital. Les hôpitaux doivent par conséquent désigner un DPO.

Pour la société de sécurité effectuant la surveillance d’un certain nombre de centres commerciaux et d’espaces publics, son activité principale est la sécurité qui est inextricablement liée au traitement de données à caractère personnel qu’elle effectue. Aussi, pour le G29, cette société doit également désigner un DPO.

Par ailleurs, le G29 précise que les fonctions support communes à toute entreprise, comme la paie de ses salariés, qui sont des activités nécessaires ou essentielles pour l’organisation de l’activité principale, sont généralement considérées comme des activités auxiliaires plutôt que principales.

Grande échelle

Ce critère à « grande échelle » est repris, tout comme le critère précédent à la fois dans l’article 37 1 b) et dans l’article 37 1 c) du règlement européen.

Le G29 mentionne que la notion de « grande échelle » n’est pas définie dans le règlement européen mais que le considérant 91 donne certaines orientations. Aussi, s’il n’est pas aujourd’hui possible de fixer un seuil quant au volume de données traitées ou au nombre de personnes concernées, le G29 souligne que cela pourrait être possible ultérieurement. Aussi une pratique standard pourrait se développer et définir ce que l’on entend d’un point de vue qualitatif et quantitatif eu égard aux traitements classiques. A ce titre, le G29 souhaite contribuer à définir cette notion et partagera et publiera des exemples des seuils pertinent pour désigner un DPO.

Le G29 donne des grands axes afin de s’interroger sur ce qui doit être considéré comme « à grande échelle » :

  • le nombre de personnes concernées, que cela soit un nombre précis ou une partie de la population considérée ;
  • le volume de données et/ou un éventail de différents types de données traitées ;
    la durée ou la permanence du traitement ;
  • le périmètre géographique du traitement.

Le G29 propose des exemples de traitement pouvant être considérés comme à grande échelle. Tel est notamment le cas de la géolocalisation en temps réel de clients d’un fast food mondialement implanté à des fins statistiques réalisées par un sous-traitant spécialisé dans ce domaine, le traitement des données des clients par une compagnie d’assurance ou une banque, le traitement de données à des fins de publicité comportementale par un moteur de recherche, le traitement de données par un opérateur téléphonique ou un fournisseur d’accès internet…

En revanche, le traitement des données de clients relatives à leurs condamnations ou infractions mis en œuvre par un cabinet d’avocat ne peut pas être considéré comme étant un traitement à grande échelle, tout comme le traitement de données de patients mis en œuvre par un médecin individuel.

Suivi régulier et systématique

Ce critère de « suivi régulier et systématique », quant à lui n’est repris que dans l’article 37 1 b) du règlement européen.

Si cette notion n’est pas non plus définie dans le règlement européen, le G29 indique que le considérant 24 mentionne « le suivi du comportement des personnes concernées » qui inclut clairement toute forme de tracking et de profilage sur internet y compris pour des publicités comportementales. Cependant, le G29 précise que ce suivi n’est pas uniquement limité à être effectué en ligne mais qu’il n’est qu’un exemple de la possibilité de suivre le comportement des personnes concernées.

Pour le G29, le terme « régulier » signifie l’un ou plusieurs de ces éléments :

  • en cours ou intervenant à intervalles réguliers pour une période déterminée ;
  • récurrent ou se répétant à une période définie ;
  • constant ou survenant périodiquement.

De même, le G29 considère que le terme « systématique » signifie l’un ou plusieurs de ces éléments :

  • survenant conformément à un système ;
  • prédéterminé, organisé ou méthodique ;
  • ayant lieu dans un cadre général de collecte de données ;
  • mené dans le cadre d’une stratégie.

Le G29 liste des exemples d’activités proposant un suivi régulier et systématique. Tel est notamment le cas pour exploiter un réseau de télécommunication, fournir des services de télécommunications, un programme de fidélité, la publicité comportementale, le suivi du bien-être, les objets connectés comme les compteurs ou les voitures intelligents, la domotique…
Catégories particulières de données et données relatives à des condamnations pénales et à des infractions

Ce critère de « catégories particulières de données et données relatives à des condamnations pénales et à des infractions » n’est repris que dans l’article 37 1 c).

Le G29 précise que même si l’article 37 1 c) indique que le traitement contient des données de catégories particulières ainsi que des données relatives à des condamnations et à des infractions, la présence de ces deux catégories de données dans le traitement n’est pas cumulative mais bien distincte.

Recommandations du G29

Dans ses lignes directrices, le G29 conseille aux responsables de traitement et aux sous-traitants de formaliser par écrit le raisonnement qu’ils ont suivi pour conclure à la désignation ou non d’un DPO afin de prouver que tous les éléments importants ont bien été pris en compte.

Le G29 rappelle que si l’entreprise n’a pas l’obligation de désigner un DPO et n’en désigne pas un volontairement, elle peut néanmoins faire appel à un tiers pour gérer la protection de ses données à caractère personnel. Néanmoins, le G29 insiste sur le fait que ce tiers doit clairement être identifié comme n’étant pas le DPO de l’entreprise.

Les lignes directrices du G29 apportent des indications importantes quant aux entreprises et organismes appelés à désigner de manière obligatoire un DPO, lorsque les critères des différentes situations de l’article 37 1 a), b) ou c) du règlement européen sont réunis, et à encourager les autres à en faire autant.

Ces lignes directrices peuvent être commentées d’ici fin janvier 2017 par tout acteur économique ou de la société civile.

Lexing Alain Bensoussan Avocats
Lexing Droit Informatique et libertés

(1) G29, Lignes directrices du 13-12-2016
(2) G29, FAQ sur le DPO
(3) Règlement UE 2016/679 du 27-4-2016, art. 37 1 a), b) et c)




Le DPO public, obligatoire pour tous les organismes publics

Le DPO public, obligatoire pour tous les organismes publicsLe règlement 2016/679 du 27 avril 2016 rend obligatoire la désignation d’un DPO au sein des organismes publics.

Organismes publics concernés

En effet, le règlement (1) à l’article 37 prévoit que « le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque : (a) le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ». C’est donc une nouvelle contrainte imposée à tous les organismes publics.

Cependant, le règlement ne définit pas les notions d’ « autorité publique » ou d’ « organisme public ». Le Groupe de travail Article 29 estime que ces notions doivent être interprétées par le droit national ; il reconnaît que ces organismes peuvent exister à plusieurs niveaux :

  • au niveau national ;
  • au niveau régional ;
  • au niveau local.

La seule dérogation prévue par le texte est celle accordée aux juridictions, lorsqu’elles agissent dans l’exercice de leur fonction juridictionnelle (1).

Le G29 rappelle qu’une mission de service public peut être exercée, en plus des autorités ou organismes publics, par des personnes physiques ou morales gouvernées par le droit public ou privé. Le G29  fait notamment référence aux secteurs tels que les transports publics, la fourniture d’eau et d’électricité, les infrastructures routières, etc. (2).

Le G29 recommande aux personnes privées en charge de missions de service public de désigner un délégué à la protection des données (abrégé en « DPO », acronyme anglais pour « Data Protection Officer »).

Nécessité d’un DPO public

Le DPO public a, entre autres fonctions, celle d’intermédiaire avec les autorités de contrôle et les personnes concernées. Or, lorsqu’un traitement est mis en œuvre par un organisme public, les personnes concernées par le traitement risquent d’avoir peu ou pas de maîtrise sur la façon dont leurs données sont traitées. Le DPO public offre alors à ces personnes un degré supplémentaire de protection.

Possibilité de mutualiser un DPO public

Le règlement prend en compte la spécificité des organismes publics et leur permet de mutualiser un DPO public :

« Lorsque le responsable du traitement ou le sous-traitant est une autorité publique ou un organisme public, un seul délégué à la protection des données peut être désigné pour plusieurs autorités ou organismes de ce type, compte tenu de leur structure organisationnelle et de leur taille» (2).

Cette disposition permet à des organismes publics de se regrouper pour désigner leur DPO public. Un exemple parlant est celui des collectivités territoriales, particulièrement celui des communes. Les communes doivent désigner un DPO pour gérer les traitements de données à caractère personnel qu’elles mettent en place. Des communes dans des situations similaires (géographique, économique etc.) mais également compte tenu de leur structure organisationnelle et de leur taille, pourront avoir intérêt à désigner le même DPO, qui sera plus à même de traiter les problématiques spécifiques aux services publics gérés par ces collectivités territoriales.

Mise en conformité

Les organismes publics doivent se mettre en conformité avec le règlement avant le 25 mai 2018 ; pour ces derniers, la désignation d’un DPO sera une étape essentielle de la mise en conformité au RGPD

Lexing Alain Bensoussan Selas
Lexing Publicité et marketing électronique

(1) Règl. (UE) 2016/679 du 27-4-2016, art. 37
(2) Règl. (UE) 2016/679 du 27-4-2016, art. 37




La certification dans le règlement européen Data Protection

P. Lanternier, H. Legras, A. Bensoussan, L. MidrierLe cabinet a organisé le 24 janvier 2017 un petit-déjeuner débat sur le thème : « Règlement européen Data Protection : quelle place pour la certification ?  »

Ce débat a été animé par Alain Bensoussan, Hélène Legras, CIL mutualisé/ Data Protection Officer Groupe Areva, Vice-Présidente de l’ADPO, Philippe Lanternier, Chief development officer et Laurent Midrier, Vice President Strategy & Innovation, Bureau Veritas, qui débattront de la place faite par le nouveau règlement européen 2016/679 à la certification en matière de protection des données à caractère personnel.

De 9H00 à 11H30 (accueil café à 9H00)

Les entreprises, et particulièrement les grands groupes, ont d’ores et déjà intégré à leur politique de compliance les obligations découlant du règlement du 27 avril 2016, et le nécessaire redéploiement de nouvelles actions qu’il implique pour se mettre en conformité d’ici mai 2018.

Pour autant, le monde économique est demandeur d’une méthode lui permettant de se mettre en conformité avec la nouvelle réglementation et dans l’attente d’une norme qui lui permettra de traduire en pratique les contraintes nouvelles nées du règlement.

Quelle place pour la certification en matière de protection des données ? Quid d’un référentiel dédié à la protection des données personnelles ?

Autant de questions qui ont été abordées lors de ce petit-déjeuner débat qui a eu lieu dans nos locaux, 58 boulevard Gouvion-Saint-Cyr, 75017 Paris.

La vidéo de l’événement est diffusée sur notre Chaîne Lexing YouTube.




Le partage d’informations WhatsApp/Facebook inquiète …

Le partage d’informations WhatsApp/Facebook inquiète le G29Après la Cnil et le Commissaire hambourgeois, le G29 se saisit du partage des données entre WhatsApp et Facebook.

Les inquiétudes du groupe de l’article 29 suite aux modifications de la politique de confidentialité de WhatsApp

En août 2016, WhatsApp a modifié sa politique de confidentialité en prévoyant dans un article « sociétés affiliées » un échange d’informations entre les sociétés de la famille Facebook.

Ces échanges réciproques en réception et en transmission de données ont pour finalité selon la nouvelle politique de WhatsApp d’« aider à exploiter, fournir, améliorer, comprendre, personnaliser, prendre en charge et commercialiser nos Services [services de WhatsApp] et leurs offres [offres des entités de la famille Facebook].

Il s’agit notamment d’améliorer les infrastructures et les systèmes de diffusion, de comprendre comment nos Services [services de WhatsApp] et les [leurs offres des entités de la famille Facebook] sont utilisés, de sécuriser les systèmes et de lutter contre les courriers indésirables, les abus ou les violations.

Facebook et les autres sociétés de la famille Facebook peuvent également utiliser des informations que nous avons fournies pour améliorer vos expériences au sein de leurs services, comme faire des suggestions de produit (par exemple d’amis, de connexions ou de contenus intéressants) et afficher des offres et des publicités pertinentes.

Cependant, vos messages WhatsApp ne seront pas partagés sur Facebook à la vue des autres. En fait, Facebook n’utilisera pas vos messages WhatsApp dans un but autre que celui de nous aider à exploiter et fournir nos services ».

Cette mise à jour s’est accompagnée d’un process destiné à recueillir le consentement des utilisateurs.

C’est précisément ce process qui est en cause aujourd’hui puisque le groupe de l’article 29, dans sa lettre adressée à WhatsApp (1) s’interroge sur les modalités d’information des personnes, sur la validité du consentement des utilisateurs, sur l’efficacité des mécanismes de contrôle offerts aux utilisateurs d’exercer leurs droits ainsi que sur les effets que le partage de données aura sur les personnes qui ne sont pas utilisateurs de tout autre service au sein de la famille d’entreprises Facebook.

Des inquiétudes partagées au sein de l’Europe

Le 27 septembre 2016 (2), un ordre administratif du Commissaire de la protection des données d’Hambourg a été publié contre la synchronisation de masse des données entre Facebook et WhatsApp. Par cette procédure, il interdit à Facebook de collecter et d’enregistrer des données des utilisateurs allemands de WhatsApp. Par ailleurs, il ordonne à Facebook de supprimer toutes les données déjà transférées par WhatsApp.

Selon lui, outre le fait que les sociétés ont annoncé publiquement qu’il n’y aurait pas de partage d’informations entre elles ce qui est en soi critiquable, compte tenu de leurs politiques actuelles, le Commissaire précise d’une part que Facebook n’a jamais obtenu de consentement des utilisateurs WhatsApp et d’autre part que Facebook ne peut se prévaloir d’une base légale pour la réception de données des utilisateurs de WhatsApp.

La mise en demeure de la Cnil de Facebook

En janvier 2016 (3), la Cnil a mis en demeure Facebook après avoir relevé que la société procédait à des combinaisons massives de données recueillies dans des contextes différents sans avoir recueilli préalablement le consentement des utilisateurs sur le fondement de l’article 7 de la loi Informatique et libertés (4).

La Cnil a précisé que la combinaison était effectuée non seulement au regard des différentes utilisations du réseau social, mais également en combinant des données provenant de plusieurs sociétés du groupe. La Commission, après avoir effectué une analyse de la balance entre l’intérêt légitime poursuivi par les sociétés et l’intérêt, les droits et libertés des personnes concernées, conclut que les sociétés ne disposent pas d’un fondement légal pour la mise en œuvre du traitement dans la mesure où, notamment, elles n’apportent pas de garantie pour préserver les intérêts, droits et libertés des personnes concernées et n’organisent pas cette combinaison dans le cadre contractuel.

La demande du groupe de l’article 29 de ne pas procéder à la mise en commun des données des utilisateurs jusqu’à ce que les protections juridiques appropriées puissent être assurées

Le groupe de l’article 29 ne dispose pas de pouvoir à l’encontre des responsables de traitement. En effet, seules peuvent agir les autorités européennes de protection à leur niveau national selon leurs compétences.

Néanmoins, afin d’assurer une action coordonnée et efficace, le Groupe de l’article 29 a décidé de la création d’un sous-groupe de travail relatif aux activités répressives transfrontières. Ce sous-groupe a pour objet de faciliter le partage entre les autorités européennes sur les stratégies et actions répressives en Europe.

Un point sur l’état d’avancement est annoncé, notamment sur le sujet WhatsApp en novembre, lors de la première réunion du sous-groupe.

Les attentes des autorités de protection des données en matière d’échanges de données

Les autorités ne condamnent pas en tant que tels les échanges de données entre entités d’un même groupe. Néanmoins, elles attendent que les responsables de traitement mettent préalablement des process visant :

  • à informer de manière transparente claire et précise les personnes concernées de la nature des échanges ;
  • à donner une base légale au traitement mis en œuvre pour l’échange de données à savoir généralement qu’ils organisent le recueil du consentement ou poursuivent un intérêt légitime pour la mise en œuvre du traitement en apportant des garanties pour préserver les intérêts, droits et libertés des personnes concernées, dans la mesure où cet échange ne peut s’effectuer sur la base de l’exécution d’un contrat.

Au final, il sera intéressant de suivre les travaux du sous-groupe de travail relatif aux activités répressives transfrontières et les éventuelles décisions des autorités de protection nationales.

En effet, ils permettront sans nul doute de définir un peu plus les premiers critères dégagés en matière de partage de données et d’établir ceux qui permettront de réunir les conditions d’une balance d’intérêts équilibrée.

Céline Avignon
Lexing Publicité et Marketing électronique

(1) Cnil, Délib. 2016-007 du 26-1-2016, Facebook Inc et Facebook Ireland
(2) The Hamburg Commissioner for Data Protection and Freedom of Information, Communiqué du 27-9-2016
(3) Lire notre Post du 9-2-2016
(4) Loi 78-17 du 6-1-2016




Deux projets de normes ISO pour la transparence du cloud

Deux projets de normes ISO pour la transparence du cloudDeux projets de normes ISO doivent permettre de renforcer la transparence des offres du cloud computing.

La nouvelle réglementation introduit pour toute l’Union européenne de nouveaux standards qui renforcent la protection des données personnelles (1). Alors que la sécurité et la confidentialité des données est déjà un enjeu majeur pour le cloud computing, deux projets de normes ISO doivent permettre de relever le défi de la « compliance » ou conformité.

Norme ISO 29134 (2) sur les études d’impact et les données personnelles dans le cloud : le nouveau règlement européen contribue à l’adoption de projets de normes ISO

L’analyse d’impact est la grande innovation de l’article 35 règlement (3). Le responsable de traitement, ici le client du service cloud, doit effectuer une analyse de l’impact des opérations de traitement envisagées sur la protection des données personnelles lorsqu’un type de traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques.

Le projet de nouvelle norme vise à établir une méthodologie pour la mise en œuvre des « privacy impact assessment » ou PII. Cette norme devrait permettre de fixer la trame de ces études d’impact afin de réduire les divergences d’approche et en améliorer la qualité.

Norme ISO 29151 (4) pour mieux responsabiliser les acteurs du cloud computing : les projets de normes ISO dans le cloud couvrent l’intégralité du cycle de vie de la donnée

Ce projet de norme vient directement en complément de la norme 27018 (5) qui a constitué une avancée majeure portée par plusieurs grands acteurs du cloud pour la transparence sur la localisation des données personnelles et la manière dont elles sont traitées. L’apport du projet de nouvelle norme est, dans le cadre d’études d’impact, de couvrir l’ensemble du traitement réalisé dans le cloud. De la collecte jusqu’à la destruction des données, l’ensemble du cycle de vie des données est concerné. L’objectif est de mieux responsabiliser les acteurs intermédiaires, sous-traitants et autres prestataires de service pour améliorer la confiance dans le cloud.

Dans tous les cas, après leur adoption et publication, la mise en œuvre de ces deux projets de normes ISO ne saurait suffire pour pouvoir se déclarer conforme à la réglementation sur les données personnelles. Il s’agit simplement de normes rassemblant des bonnes pratiques permettant d’atteindre cet objectif de conformité. C’est déjà beaucoup mais cela ne dispense pas non plus de prévoir des engagements fermes par contrat, notamment au moyen d’annexes circonstanciées.

Eric Le Quellenec
Avocat, Directeur de département Informatique conseil
Lexing Pôle Informatique conseil

(1) Règlement (UE) 2016/679 du 27-4-2016.
(2) Projet de norme ISO 29134.
(3) Post du 13-6-2016.
(4) Projet de norme ISO 29151.
(5) Post du 26-1-2015.




Data privacy : Tout comprendre à la protection des données personnelles

Data privacy : Tout comprendre à la protection des données personnellesLe cabinet Alain Bensoussan organise en partenariat avec Le Cercle de la Compliance une conférence sur la Data privacy : « Tout comprendre à la protection des données personnelles » le 29 septembre.

La nouvelle réglementation européenne Data privacy

La nouvelle réglementation européenne sur la protection des données exige des entreprises de concevoir et de mettre en œuvre un programme de compliance spécifique à la protection des données gérées par l’entreprise.

Cette règlementation, comporte des exigences beaucoup plus strictes, un renforcement des pouvoirs des autorités de contrôle et des amendes pouvant aller jusqu’à 4 % du chiffre d’affaires mondial de l’entreprise. Elle donne également l’opportunité aux entreprises d’intégrer le respect de la confidentialité des données dans leurs stratégies tant commerciale que de transformation numérique. De plus, elle leur permet de libérer leur potentiel d’innovation des produits et des services et également de renforcer la confiance dans l’écosystème numérique.

Maitre Alain Bensoussan et Bojana Bellamy, Présidente du Centre for Information Policy Leadership à Londres analyseront les toutes dernières évolutions en matière de Data Privacy.

La Compliance en matière de Data privacy

La compliance tire ses sources non seulement des lois (nationales, européennes et internationales) mais aussi de conventions ou de textes, selon le secteur de l’activité de l’entreprise.

Elle vise des domaines divers et variés tels que les règles applicables en matière de concurrence, le respect des conditions de travail, la gestion des actifs immatériels, la responsabilité sociale de l’entreprise (RSE), mais également la protection des données à caractère personnel.

Le Cercle de la Compliance (LCDC) a pour mission de promouvoir, publier, conseiller, former et sensibiliser les acteurs du monde économique, politique et médiatique à la Compliance, à l’éthique des affaires, à la conformité, notamment dans le contexte de la responsabilité sociétale et environnementale (RSE). L’association est animée par la volonté d’apporter des éclairages précis et des réponses pratiques et opérationnelles sur les questions clés de compliance.

Le Cercle de la Compliance est présidé par Monsieur Daniel Tricot Ancien Président de la chambre commerciale, financière et économique de la Cour de Cassation et Catherine Delhaye, Chief Ethics and Compliance officer de Valeo et Secrétaire générale du Cercle De la Compliance.

Inscription et renseignement sur : www.cercledelacompliance.com




Protection des données en Europe : le rôle du Data Protection Officer

Protection des données en Europe : le rôle du Data Protection OfficerInterviewé par Rémi Jacquet pour IT-expert Magazine, Alain Bensoussan nous présente le rôle et les fonctions du « Data Protection Officer ».

Qu’est-ce qu’un Data Protection Officer ?

Le nouveau règlement européen 2016/679 sur la protection des données introduit l’obligation de désigner un « Data Protection Officer » (DPO) ou délégué à la protection des données en charge du contrôle de la conformité des traitements.

Pour Alain Bensoussan, ce nouveau dispositif peut coexister avec l’actuel dispositif des correspondants Informatique et libertés (Cil) pour les organismes qui ne relèveraient pas directement du règlement.

Rappelons qu’aux termes de l’article 37 du Règlement 2016/679, sa désignation est obligatoire pour les organismes du secteur public et pour ceux du secteur privé, uniquement lorsque les « activités de base » de l’organisme (ou du sous-traitant) sont liées au traitement des données consistant en des opérations exigeant « un suivi régulier et systématique à grande échelle des personnes » ou consistant en des traitements « à grande échelle » de données sensibles ou à risque (1).

A qui est-il rattaché ?

Pour Alain Bensoussan, le Data Protection Officer est un nouveau métier de très haut niveau. Ces compétences sont autant juridiques, techniques, organisationnelles que stratégiques.

Il est en effet désigné sur la base de ses qualités professionnelles « et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir ses missions » (Art. 37, § 5).

Il doit par ailleurs pouvoir dialoguer avec les directions opérationnelles des aspects techniques relatifs notamment au « Privacy by Design » (protection dès la conception). Pour cette raison, Alain Bensoussan préconise de le rattacher à la direction exécutive de l’organisme. Il existe des cursus de formation (2) (…)

Alain Bensoussan pour IT-expert magazine, « Le Data Protection Officer », le 20-9-2016.

(1) Voir « Le délégué à la protection des données, un Cil renforcé » , Post du 13-6-2016.
(2) Voir également l’Association des Data Protection Officers (ADPO) fondée par Alain Bensoussan Avocats pour aider les DPO dans leurs fonctions.




Protection des données en Europe : la DSI fortement impactée

Protection des données en Europe : la DSI fortement impactéeDans IT-EXPERT MAGAZINE, Alain Bensoussan aborde l’impact du règlement européen Data protection sur la DSI.Quelles sont les grandes obligations de la DSI en matière de protection des données et les conséquences du non-respect du règlement européen ?

Interviewé par Rémi Jacquet pour IT-expert Magazine, Alain Bensoussan nous expose l’impact du règlement européen de protection des données sur l’activité de la DSI au sein de l’entreprise.

Protection des données : des sanctions sans commune mesure

Le nouveau règlement européen 2016/679 sur la protection des données a un impact considérable sur la Direction des systèmes d’information. Pour Alain Bensoussan, « cela représente deux tiers de droit en plus par rapport à ce qui existait déjà pour la DSI avec la directive 95/46/CE abrogée. Si l’on considère que sur le tiers restant, elle n’en avait appliqué que le quart, on voit l’ampleur de la situation » .

Or aujourd’hui, « le risque encouru représente 20 millions d’euro ou 4 % du chiffres d’affaires mondial réalisés. On est très loin de l’ancien système où il y avait au maximum 150 000 euro et en cas de récidive 300 000 euro » .

Protection des données : de nouvelles obligations

Parmi les nouvelles obligations de la DSI, il y a d’une part celle de se mettre en conformité avec les dispositions de l’ancien système qui demeurent applicables. En effet 80 % de l’ancien système se retrouve dans le nouveau dispositif.

D’autre part, il y a surtout l’obligation d’appliquer le nouveau « paquet » issu du règlement. Il y a notamment le « privacy by design » (protection dès la conception), le « privacy by default » (protection par défaut), le traitement des failles de sécurité et l’accountability (1).

Ces nouvelles obligations entraînent pour la DSI la nécessaire conformité « du début du logiciel, jusqu’à sa mise en oeuvre, en passant par les progiciels, tout doit être conforme au nouveau règlement européen. Or, le logiciel commence dès la première ligne de spécification générale et se  termine à la dernière ligne du dossier de maintenance en passant bien évidemment par le coding » . (…)

Alain Bensoussan pour IT-expert magazine, « La protection des données, le cadre légal », le 18-9-2016.

(1) Voir C. Torres, « Accountability et règlement sur la protection des données » , Post du 19-9-2016.




Accountability et règlement sur la protection des données

Accountability et règlement sur la protection des donnéesL’accountability est un processus de mise en conformité d’une entreprise à la réglementation Informatique et libertés.

Grâce à un ensemble de règles contraignantes, d’outils et de bonnes pratiques correspondantes (1), le responsable du traitement peut s’acquitter de son obligation de rendre des comptes.

L’accountability consiste également en un mécanisme permettant de démontrer l’efficacité des mesures prises et l’effectivité de la protection des données.

Accountability : les acteurs concernés

Le règlement sur la protection des données (RGPD) impose au responsable du traitement d’adopter des règles internes et de mettre en œuvre les mesures appropriées pour garantir, et être à même de démontrer, que le traitement des données à caractère personnel est effectué dans le respect de la réglementation Informatique et libertés (2).

Accountability : la mise en œuvre

Principe. L’obligation d’accountability implique pour le responsable du traitement :

  • de prendre des mesures efficaces et appropriées afin de se conformer au règlement européen ;
  • d’apporter la preuve, sur demande de l’autorité de contrôle, que les mesures appropriées ont été prises.

Mise en pratique. Certaines mesures sont décrites dans le règlement général sur la protection des données (3)à savoir notamment :

  • l’adoption de règles internes ;
  • l’obligation de conserver une trace documentaire de tout traitement effectué sous la responsabilité du responsable du traitement ou du sous-traitant ;
  • la réalisation d’une analyse d’impact pour les traitements présentant des risques particuliers au regard des droits et libertés des personnes concernées ;
  • l’adoption de l’approche « Privacy by design » ;
  • la désignation d’un délégué à la protection des données.

L’accountability passe également par un renforcement des pouvoirs de sanction de l’autorité de contrôle.

Synthèse. L’ensemble des obligations découlant du concept d’accountability qui devront être mis en œuvre par les entreprises et organismes publics peuvent se schématiser comme suit :

Schéma accountability

Chloé Torres
Lexing Informatique et libertés

(1) Chloé Torres, Post du 24-10-2012.
(2) Règlement (UE) 2016/679 du 27-4-2016, art.24
(3) Règlement (UE) 2016/679 du 27-4-2016, art.24




Technolex: les enjeux couplés de la technologie et du droit

Technolex: les enjeux couplés de la technologie et du droitLe 17 novembre 2016 se tiendra la première édition de Technolex, manifestation annuelle entièrement dédiée aux enjeux couplés de la technologie et du droit.

Les usages massifs des technologies numériques par les usagers clients ou citoyens révolutionnent les organisations et les entreprises. Brisant les modèles classiques et proposant des modèles disruptifs, ils accélèrent leur transition digitale. Et, ainsi, les incitent à dématérialiser, adopter le document intelligent, le big data, ou encore les objets connectés, les robots et l’intelligence artificielle.

Selon Alain Bensoussan, directeur scientifique de Technolex, « ces technologies de l’intelligence (documents, données, algorithmes, robots…) vont devenir des technologies classiques en lieu et place des technologies existantes. Evaluer et proposer les nouvelles solutions: telle est l’ambition de Technolex ».

D’une part, les technologies numériques offrent des opportunités sans commune mesure en termes de business et de développement. D’autre part, elles doivent répondre aux nouveaux environnements légaux.

Autant d’enjeux qui seront évoqués lors la première édition de Technolex.

Entièrement dédié aux enjeux couplés de la technologie et du droit, cet  évènement organisé par le cabinet Alain Bensoussan Avocats en partenariat avec le Groupe Serda-Archimag, se déroulera le jeudi 17 novembre 2016 de 9H à 17H au Conservatoire National des Arts et métiers, 292 Rue Saint-Martin, 75003 Paris.

Technolex : imaginer et préparer le futur

Quatre tables rondes se tiendront à cette occasion, consacrées aux thèmes suivants :

9h15 – 10h30 : Documents et contenus intelligents

– Cycle de vie du document, archivage électronique, blockchain, etc.
– Comment l’intelligence artificielle révolutionne les contenus
– La fraude documentaire
– Retour d’expérience dans le secteur des assurances

11h15 – 12h30 : Données et algorithmes

– Les tendances de la data
– Algorithmes : décisions et responsabilités
– La protection des algorithmes
– Retour d’expérience : gestion des signaux faibles des utilisateurs

14h – 15h15 : Objets intelligents

– Intelligence des objets et impacts juridiques
– Combinatoire énergie, intelligence et communication
– Protection des données personnelles identifiantes
– Retour d’expérience : la smart City

15h45 – 17h : Les robots

– Les tendances de la robotique et impacts juridiques
– Ethique et personnalité juridique
– Le régime de responsabilité
– Retour d’expérience sur les voitures intelligentes

Ces conférences seront animées par des experts du secteur, parmi lesquels :

  • Ghislaine Chartron, Professeure titulaire de la Chaire d’Ingénierie documentaire du Conservatoire National des Arts et métiers ;
  • Pierre Fuzeau, Président de la CN 46, AFNOR, Co-président du groupe Serda-Archimag ;
  • Jean-Gabriel Ganascia, Professeur de Sciences informatique à l’Université Pierre et Marie Curie  (Paris VI), chercheur au Laboratoire d’informatique de l’Université Paris VI ;
  • Olivier Gibaru, Professeur des Universités en Mathématiques Appliquées à Arts et Métiers Paris Tech ;
  • Olivier Guilhem, Legal manager, Aldebaran Robotics, Vice-Président de l’Association du droit des robots (ADDR) ;
  • Hélène Legras, CIL mutualisé,  Groupe AREVA, Data Protection Officer, Vice-Présidente de l’ADPO ;
  • Yves Page, Chef de Projet « Expérimentations Véhicule Autonome », Groupe Renault ;
  • Frédéric Forster, Avocat à la Cour, Cabinet Alain Bensoussan Avocats Lexing, Directeur du Pôle Télécoms.

Eric Bonnet
Directeur du département Communication juridique




Focus sur les données des applications abandonnées

Guide IT Modernisation 360Blog CGI France, Polyanna Bigle précise le régime juridique des données d’applications abandonnées (1).

Cette interview est intégrée au guide IT Modernisation 360, constitué par CGI en vue de proposer aux entreprises, plus particulièrement à leur DSI, les clés pour définir une stratégie de modernisation IT optimale et « entamer sereinement cette mutation des outils et des pratiques ». Il figure plus précisément au sein d’un article de Julien Fontaine, Directeur du centre d’excellence ECM, relatif aux applications abandonnées dans le cadre d’un processus de modernisation IT mis en oeuvre par l’entreprise.

Conservation des données. Afin de pallier aux risques de perte de données nécessaires à l’entreprise, induits de la suppression de certaines applications, Polyanne Bigle rappelle, dans cet entretien, l’obligation pour les entreprises de prévoir un moyen de réversibilité, c’est-à- dire un moyen de récupérer les données et cela, quelle que soit l’application concernée.

Normes d’archivage. La principale raison à cette conservation nécessaire des données est qu’elles constituent bien souvent des preuves juridiques. La loi est même très précise quant à la durée de conservation de chaque type d’information. Si le droit précise des durées de conservation légales, il ne donne pas encore d’indications sur la façon dont ces données doivent être conservées. Selon Polyanna Bigle, il existe plusieurs recommandations qui, si elles n’ont pas force contraignante à ce jour, risquent de devenir obligatoires dans les prochaines années.

Données personnelles. Les entreprises sont tenues de procéder à la destruction des données à caractère personnel dès lors que le motif pour lequel elles ont été collectées n’existe plus, en vertu du principe du droit à l’oubli, introduit dans la Informatique et libertés en 2004. Les entreprises sont ainsi tenues de supprimer les données personnelles, quelle que soit la situation de l’application qui les conserve. Dans ce cadre, Polyanna Bigle préconise l’instauration d’un système d’archivage et de purge des données sans attendre l’obsolescence des applications.

Un livre blanc réunissant tous les avis d’expert réalisés dans le cadre de la campagne sur la modernisation IT sera prochainement disponible en téléchargement sur le site de CGI.

(1) Groupe CGI (Common Gateway Interface).




Protection des données personnelles : matinée-débats

Protection des données personnelles : matinée-débatsAlain Bensoussan intervient lors d’une matinée-débats Lamy sur la réforme de la protection des données.

Cette matinée-débats Lamy, initiée en partenariat avec Le Lamy Droit du Numérique, Le Lamy Droit des médias et de la Communication et la Revue Lamy Droit de l’Immatériel, se déroulera le mardi 28 juin 2016.

Le règlement européen 2016/679 du 27 avril 2016 vise à instaurer des mécanismes visant à assurer une application cohérente de la législation en matière de protection des données dans l’ensemble de l’Union européenne.

Adopté par les parlementaires à l’issue de quatre années de travaux et de débats, il est entré en vigueur 20 jours après sa publication au Journal officiel de l’Union européenne.

Les initiateurs de cet événement ont souhaité confier à Alain Bensoussan la co-direction des débats afin de permettre aux entreprise d’évaluer les impacts et les conséquences induites de la réforme des données personnelles sur la vie pratique des entreprises.

Ces dernières disposent en effet d’un délai de deux ans pour se conformer aux nouvelles exigences prévues par le règlement.

Cette mise en conformité est assortie de sanctions susceptibles d’être prononcées à l’égard de tout responsable de traitement ou sous-traitant qui ne respecterait pas les dispositions du règlement. Le montant, très élevé, pourrait atteindre jusqu’à 2 % ou 4 % du chiffre d’affaires mondial.

Les débats porteront sur les thématiques suivantes :

  • objectifs et points clefs de la réforme des données à caractère personnel introduite par le règlement européen 2016/679 du 27 avril 2016 ;
  • l’obligation pour les entreprises d’informer les autorités de contrôle national de toute violation de données personnelles ;
  • les sanctions encourues en cas de non-respect de cette obligation d’information ;
  • la difficulté de concilier ce règlement et la stratégie des opérations marketing de l’entreprise.

Des cas pratiques ponctueront les débats, tels que l’étude du formulaire Google ou encore les modalités d’établissement d’un formulaire de déclaration de demande d’autorisation auprès de la Cnil.

Cette conférence a vocation à concerner dédiée principalement  les juristes, directeurs administratifs et financiers, directeurs marketing, directeurs informatique, présidents, administrateurs et gérants, chefs d’entreprises et gestionnaires de contrats.

Programme et inscription à tarif préférentiel (-20%) à l’aide du Formulaire ci-joint.

 




Analyse d’impact à l’heure du règlement européen

Analyse d'impact à l’heure du règlement européenParmi les nouvelles obligations qui pèsent sur les responsables de traitement figure la réalisation d’une analyse d’impact.

L’article 35 du règlement général sur la protection des données (1) prévoit ainsi que lorsqu’un type de traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable de traitement effectue une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel.

Il est précisé qu’une seule et même analyse peut porter sur un ensemble d’opérations de traitement similaires qui présentent des risques élevés similaires.

Risque élevé. Pour évaluer si un type de traitement peut engendrer un risque élevé, il convient de prendre en compte le recours à des nouvelles technologies, ainsi que la nature, la portée, le contexte et les finalités du traitement.

L’article 35 du règlement décrit plusieurs situations dans lesquelles une analyse d’impact relative à la protection des données sera requise, à savoir :

  • « l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire ;
  • le traitement à grande échelle de catégories particulières de données visées à l’article 9, paragraphe 1 (2), ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 ; ou
  • la surveillance systématique à grande échelle d’une zone accessible au public ».

A ce jour, les contours de la notion de « risque élevé » demeurent relativement flous. Le Groupe de l’article 29, qui rassemble les autorités de protection des données de l’Union européenne, pourrait toutefois être amené à préciser cette notion d’ici la fin de l’année 2016 (3).

Par ailleurs, l’article 35 du règlement prévoit que les autorités de contrôle établiront et publieront des listes recensant :

  • les types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise ;
  • les types d’opérations de traitement pour lesquelles aucune analyse d’impact relative à la protection des données n’est requise.

Eléments de méthodologie. L’article 35 du règlement précise que le responsable de traitement effectue une analyse d’impact « avant le traitement ».

Lorsqu’il effectue cette analyse, il demande conseil au délégué à la protection des données, dans le cas où un tel délégué a été désigné.

Concernant le contenu de cette analyse d’impact, celle-ci doit contenir au moins :

  • « une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l’intérêt légitime poursuivi par le responsable de traitement ;
  • une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ;
  • une évaluation des risques pour les droits et libertés des personnes concernées (…) ; et
  • les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent règlement, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées ».

Le respect, par le responsable de traitement ou le sous-traitant concerné, de codes de conduite approuvés conformément aux dispositions du règlement européen est dûment pris en compte au moment de l’évaluation de l’impact des opérations de traitement.

Les personnes concernées peuvent également être impliquées dans l’analyse. Il est ainsi prévu que « le cas échéant, le responsable de traitement demande l’avis des personnes concernées ou de leurs représentants au sujet du traitement prévu », cela « sans préjudice de la protection des intérêts généraux ou commerciaux ou de la sécurité des opérations de traitement ».

Par ailleurs, l’article 35 § 10 du règlement évoque la possibilité de réaliser des analyses d’impact générales, lorsque le traitement a une base juridique dans le droit de l’Union ou dans le droit de l’État membre auquel le responsable de traitement est soumis, que ce droit réglemente l’opération de traitement spécifique ou l’ensemble des opérations de traitement en question.

Pour finir, l’article 35 énonce que « si nécessaire, le responsable de traitement procède à un examen afin d’évaluer si le traitement est effectué conformément à l’analyse d’impact relative à la protection des données, au moins quand il se produit une modification du risque présenté par les opérations de traitement ».

Consultation préalable de l’autorité. L’article 36 du règlement prévoit également que le responsable de traitement consulte l’autorité de contrôle, préalablement au traitement, lorsqu’une analyse d’impact relative à la protection des données qui aurait été effectuée au titre de l’article 35 indique que le traitement présenterait un risque élevé si jamais le responsable de traitement ne prenait pas de mesures pour atténuer le risque.

Calendrier. Le règlement général sur la protection des données sera applicable à partir du 25 mai 2018. Les responsables de traitement ont donc deux ans pour se préparer.

Notre conseil. Les organismes devraient dès à présent rédiger des procédures d’analyse d’impact, afin de définir :

  • les personnes devant être impliquées dans une analyse d’impact ;
  • la méthodologie à adopter et les différentes étapes à suivre ;
  • le moment auquel l’analyse d’impact doit être menée.

Il est possible de s’inspirer de travaux déjà publiés tels que  :

  • les guides publiés par la Cnil en juin 2015 « PIA la méthode – Comment mener une EIVP, un PIA » (4) et « PIA l’outillage – Modèles et bases de connaissances » (5) ;
  • le Livre blanc « Gouvernance des données personnelles et analyse d’impact » (6), fruit de la réflexion d’un groupe de travail composé de Cils, juristes d’entreprise, avocats, commissaires aux comptes, ingénieurs et RSSI, coprésidé par Serge Yablonsky du cabinet SYC consultants et Maître Alain Bensoussan.

Lexing Alain Bensoussan Selas
Lexing Informatique et libertés

(1) Règlement 2016/679 du 27-4-2016.
(2) Il s’agit des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.
(3) En effet, le G29 a inclut dans son plan d’action 2016 la rédaction de procédures et guidelines destinées à accompagner les responsables de traitement et sous-traitant et à les aider à se préparer au règlement européen. La notion de « risque élevé » et l’analyse d’impact relative à la protection des données figurent parmi les principaux thèmes concernés.
(4) Guide Cnil « PIA la méthode – Comment mener une EIVP, un PIA ».
(5) Guide Cnil « PIA l’outillage – Modèles et bases de connaissances ».
(6) Livre blanc « Gouvernance des données personnelles et analyse d’impact », cf. notre post du 11-12-2014.




Le délégué à la protection des données, un Cil renforcé

Le délégué à la protection des données, un Cil renforcéLe règlement européen (1) a créé le délégué à la protection des données,  acteur essentiel des données personnelles.

Le Data protection Officer (DPO), traduit dans la version française du règlement en « délégué à la protection des données », se substitue au Correspondant Informatique et libertés (Cil) et se voit doter de compétences élargies.

Tout d’abord, la désignation d’un délégué à la protection des données est impérative, pour le responsable et le sous-traitant dans les situations suivantes (2) :

  • le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ;
  • leurs activités de base consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ; ou
  • leurs activités de base consistent en un traitement à grande échelle de données sensibles ou de données relatives aux condamnations pénales et aux infractions.

Force est de constater que certains des critères de désignation visés ci-dessus demeurent flous et requièrent d’être précisés par les autorités de contrôle, et ce avant le 25 mai 2018, date d’application du règlement.

Le rôle qui est confié au délégué à la protection des données prend de l’ampleur notamment dans l’étendue des missions qui lui sont attribuées (3). Ainsi, il sera chargé de :

  • informer et conseiller le responsable de traitement ou le sous-traitant sur les obligations qui lui incombent en matière de protection des données ;
  • contrôler le respect de la législation applicable en matière de protection des données et des règles internes du responsable de traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant ;
  • dispenser des conseils sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci ;
  • coopérer avec l’autorité de contrôle ;
  • faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable, et mener des consultations, le cas échéant, sur tout autre sujet.

Le large spectre couvert par ses missions explique, alors, l’exigence du degré de compétences requis, puisque le délégué à la protection des données doit être doté de « connaissances spécialisées du droit et des pratiques en matière de protection des données  (4) », et doit disposer de « la capacité à accomplir les missions » qui lui sont attribuées.

Cela n’empêche pas, toutefois, au responsable de traitement ou au sous-traitant de recourir, soit à un membre du personnel, soit de faire appel à un prestataire externe pour l’exercice de cette mission.

Le renforcement des compétences du délégué à la protection des données se traduit également par le fait qu’il constitue désormais une interface de contact auprès de l’autorité de contrôle mais également auprès du responsable de traitement notamment à la suite d’une analyse d’impact pour laquelle il existe un risque de violation de données personnelles (5).

Enfin, l’ensemble des missions confiées au délégué à la protection des données doit pouvoir être exercée en toute indépendance, ainsi, le responsable de traitement et le sous-traitant devront veiller à ce qu’il « ne reçoive aucune instruction en ce qui concerne l’exercice de ses missions » (6).

Le délégué à la protection des données apparaît comme un des acteurs incontournables du traitement des données à caractère personnel, sous réserve que les autorités de contrôle interprètent de façon extensive les critères de désignation retenus par le règlement.

Lexing Alain Bensoussan Selas
Lexing Informatique et libertés

(1) Règlement 2016/679 du 27-4-2016.
(2) Règlement 2016/679 du 27-4-2016, art. 37.
(3) Règlement 2016/679 du 27-4-2016, art. 39.
(4) Règlement 2016/679 du 27-4-2016, art. 37.5.
(5) Règlement 2016/679 du 27-4-2016, art. 36.3.
(6) Règlement 2016/679 du 27-4-2016, art. 38.




Décret encadrant la mise en place des téléservices

Décret encadrant la mise en place des téléservicesLe décret permettant d’encadrer la mise en œuvre des téléservices est paru au journal officiel du 29 mai 2016 (1).

Il concilie deux impératifs :

  • la simplification des démarches pour les usagers qui souhaitent adresser à une administration, une demande, une déclaration, un document ou une information, ou lui répondre par la voie électronique ;
  • la constitution et l’utilisation des fichiers avec les droits et les libertés des usagers, notamment en limitant les interconnections entre administrations.

La loi du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés est conçue pour encadrer et contrôler le développement de l’informatique. Cette loi a mis en place un ensemble de contraintes qui permet de préciser les limites et les garanties à respecter à l’occasion du traitement de données à caractère personnel. En outre, elle limite fortement, pour les administrations, les possibilités de croisement des fichiers informatiques en leur possession, ce qui nuit à la simplification des démarches administratives (multiplication des demandes d’information redondantes auprès des administrés).

Le présent décret tient compte de ces deux impératifs à savoir garantir le respect des libertés individuelles des usagers et simplifier l’exercice des démarches administratives, en permettant aux usagers de les faire par voie électronique.

Il fixe en particulier les catégories de données à caractère personnel qui sont enregistrées et traitées, à l’initiative des usagers, dans les téléservices pour les particuliers, pour les entreprises, pour les associations ainsi que pour la traçabilité des accès.

Au titre des garanties, le décret prévoit que :

  • l’autorisation des téléservices « est subordonnée à l’envoi à la Commission nationale de l’informatique et des libertés d’un engagement de conformité faisant référence au présent décret et accompagné d’une description synthétique des fonctionnalités, de la sécurité desdits téléservices particulièrement en cas d’interconnexions, et des éventuelles transmissions et interconnexions mises en œuvre » ;
  • les téléservices « sont créés par un acte réglementaire publié des services ou des établissements qui en ont la responsabilité juridique, lequel vise l’engagement de conformité prévu à l’alinéa précédent ».

Consultée pour avis (2), la Cnil rappelle que s’agissant de la mise en œuvre d’un téléservice au sens de l’ordonnance n° 2005-1516, les téléservices doivent notamment être conformes aux référentiels généraux de sécurité (RGS) et d’interopérabilité (RGI). Ils doivent en outre, dans certaines conditions, respecter le Référentiel général d’accessibilité à l’administration (RGAA).

La Cnil estime que ces mesures doivent être conformes à l’exigence de sécurité prévue par l’article 34 de la loi du 6 janvier 1978 modifiée et rappelle que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques. Les responsables de traitement devront ainsi être tout particulièrement attentifs aux mesures permettant de garantir, d’une part, l’intégrité des données transmises entre administré et administration et, d’autre part, leur confidentialité, notamment au regard des attributions légales des agents y accédant et du niveau d’authentification requis pour apporter une réponse à l’administré.

Polyanna Bigle
Lexing Droit Sécurité des systèmes d’information

(1) Décret 2016-685 du 27-5-2016, JO du 29-5-2016.
(2) Délibération 2016-111 du 29-5-2016.