Protection des données dès la conception et par défaut

Protection des données dès la conceptionLe Comité européen de la protection des données (CEPD) soumet à consultation publique un projet de lignes directrices 4/2019 sur la protection des données dès la conception et par défaut.

En vertu du règlement général sur la protection des données (RGPD), les principes de protection des données dès la conception et de protection des données par défaut sont devenus des obligations légales pour les responsables du traitement des données et leurs sous-traitants (1).

A ce titre, ils doivent mettre « en œuvre des mesures techniques et organisationnelles appropriées […], qui sont destinées à mettre en œuvre les principes relatifs à la protection des données […] de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée » (RGPD art. 25, § 1).

La protection des données dès la conception

Le responsable du traitement et ses sous-traitants doivent respecter cette obligation de protection dès la conception c’est-à-dire :

  • « tant au moment de la détermination des moyens du traitement » (lorsque les systèmes de traitement sont conçus, développés et testés)
  • « qu’au moment du traitement lui-même » (lorsque le système de traitement est exécuté).

Par conséquent, la protection des données et le respect de la vie privée doivent être intégrés, dès la conception, aux spécifications et à l’architecture des systèmes d’information et de communication.

Cela implique la prise en compte de nombreux critères tels que :

  • « l’état de la technique » qui impose de se tenir informés des progrès technologiques afin d’assurer la mise en œuvre efficace et continue des principes de protection des données.
  • « les coûts de mise en œuvre » qui nécessitent de prendre en compte le coût et les ressources nécessaires à la mise en œuvre efficace et au maintien en vigueur de tous les principes de protection des données tout au long du traitement.
  • « la nature », « la portée », le « contexte » et « les finalités du traitement », ainsi que le risque de probabilité et de gravité variables pour les droits et libertés des personnes physiques découlant du traitement.

La protection des données par défaut

Le responsable du traitement et ses sous-traitants doivent en outre garantir que, « par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées » (RGPD art. 25, § 2).

Cela signifie que toute opération de traitement doit se limiter au strict nécessaire, ce qui s’applique « à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité » (RGPD, art. 25, § 2) qu’il s’agissent de personnes physiques ou d’organisations.

Par conséquent, les paramètres par défaut doivent être conçus dans l’esprit même de la protection des données.

Ces lignes directrices proposées par le CEDP visent à mieux appréhender l’application de ces principes. Elles donnent des indications générales sur leur mise en oeuvre effective illustrées d’exemples pratiques et de recommandations.

Les lignes directrices en ligne depuis le 20 novembre 2019, sont soumises à consultation publique jusqu’au 16 janvier 2020.

Isabelle Pottier
Avocat, Lexing Alain Bensoussan Avocats
Directeur du département Etudes et publications

(1) Voir A. Bensoussan, « Informatique et libertés », éditions Francis Lefebvre, 3e éd. à jour de la nouvelle loi Informatique et libertés, décembre 2019.




Tourisme d’affaires : quelles obligations dans la gestion des données

Anne Renard évoque pour le site Déplacements Pros les obligations incombant aux acteurs du tourisme d’affaires en matière de données personnelles.

Quelles sont les obligations incombant aux acteurs du tourisme d’affaires dans la gestion des données personnelles ? C’est le thème abordé par le site Déplacements Pro le 27 février 2019, qui donne la parole à Anne Renard, avocate, Directrice du département conformité et certification du cabinet Lexing Alain Bensoussan Avocats.

Comme le souligne la journaliste Aurélie Krau, la donnée représente aujourd’hui « le Graal pour l’acheteur et le travel manager cherchant à mieux piloter la politique voyage de l’entreprise ». Si elle devient « plus tangible grâce à des nouvelles métriques et aux progrès technologiques, quid de son utilisation au bénéfice des voyageurs afin d’aboutir à un travel management réellement personnalisé ? »

Gestion des données personnelles : BtoC or BtoB ?

Environnement BtoC (consommateur) ou environnement BtoB (professionnels) : quelles sont les principales différences en matière de gestion des données personnelles ?

Selon Anne Renard, il n’y a pas en principe de distinction à opérer sur ce point : dès lors qu’une personne physique est directement ou indirectement identifiable, peu importe qu’elle soit dans le cadre de sa vie privée ou de sa vie professionnelle. Le RGPD a pleinement vocation à s’appliquer dès lors qu’un traitement de données à caractère personnel est mis en œuvre.

Néanmoins, lors d’une relation BtoB, de tels traitements de données sont souvent moins nombreux et leur sensibilité moindre. Il convient par ailleurs de relever que les règles applicables en matière de prospection commerciale diffèrent selon que l’on est en BtoB ou en BtoC. Toutefois, ce n’est pas le RGPD qui est applicable en la matière. C’est le projet de règlement e-privacy qui devrait avoir un impact.

Gestion des données personnelles et expérience client

Quels conseils donner à un acteur du travel management qui souhaite utiliser les données personnelles des voyageurs pour personnaliser leur expérience ?

Selon Anne Renard, il convient

  • Premièrement, d’informer les collaborateurs en interne sur l’existence d’un profilage : « Il faut avant tout faire preuve de transparence à l’égard du salarié voyageur sur l’existence d’un profilage aux fins de personnaliser les prestations de voyage. Cela passe par la mise en place d’une politique de protection des données personnelles ou encore par l’insertion de dispositions spécifiques dans la politique voyage, ce qui aura pour effet de rassurer le voyageur. Il doit en outre être mis en mesure de s’opposer au profilage. Il convient également de l’informer des détails du profilage : qu’est-ce qui motive le profilage ? Comment va-t-il être réalisé ? Sur la base de quelles données ? Quelles conséquences ce profilage va t’il avoir ? » ;
  • Deuxièmement, d’encadrer contractuellement l’utilisation des données personnelles du voyageur avec les prestataires tiers : « On peut ainsi soit limiter, soit ouvrir le champ d’utilisation de ces données, en particulier avec les agences de voyages d’affaires » ;
  • Enfin, permettre au voyageur de « s’opposer, de manière explicite, à la prospection liée au profilage étant précisé que cette faculté de s’opposer au profilage est propre à la personne dont les données sont traitées ».

Cette interview est issue du MOOK #2 publié par Travel On Move, le média du toursime digital, à l’occasion du dernier salon IFTM Top Résa (sept. 2018).

Eric Bonnet
Avocat, Lexing Alain Bensoussan Avocats
Directeur de la communication juridique




Le RGPD pas à pas : ateliers pratiques à ne pas manquer

RGPD pas à pasLe cabinet anime des ateliers pratiques sur le « Le RGPD pas à pas », les 13 et 14 décembre 2018.

Que vous soyez juristes, DAF, Directeurs marketing, Directeurs informatique, Présidents, administrateurs et gérants, Chefs d’entreprises, ou Gestionnaires de contrats, ces ateliers « Le RGPD pas à pas » vous accompagneront sur le terrain dans la démarche de conformité à mener.

Comundi, en partenariat avec Lexisnexis et le cabinet Lexing Alain Bensoussan Avocats vous proposent :

13 ateliers pratiques illustrés de cas concrets pour vous permettre de vous mettre en conformité rapidement.

9 experts, avocats spécialisés en données personnelles, à l’écoute de vos préoccupations pour vous guider dans vos mises à jour.

  • Sensibilisation au RGPD – Les fondamentaux
  • Mener une étude d’impact (PIA)
  • Mettre en place des mesures de sécurité et une politique de Privacy by design
  • Afterwork: RGPD : contrainte ou opportunité pour l’entreprise ?
  • Sécuriser les transferts internationaux de données
  • Contrats fournisseurs et sous-traitants : comment se protéger ?
  • Savoir répondre aux sollicitations des particuliers et des entreprises
  • Réécrire ses CGV/CGU et sa charte informatique
  • RGPD et marketing : quelle application du règlement ?
  • Mettre en place un plan de communication dans son entreprise
  • Les défis des services juridiques face au RGPD
  • RGPD et RH : les réflexes à adopter

Programme détaillé et inscription




Alain Bensoussan au Workspace Expo pour présenter les impacts du RGPD

impacts du RGPDAlain Bensoussan était présent au salon Workspace Expo le 11 avril 2018 aux cotés de la Fédération EBEN. L’occasion, parmi les principales évolutions réglementaires, d’évoquer les impacts du RGPD à quelques jours de son entrée en application.

Alors que l’espace de travail devient de plus en plus intelligent (bureau avec écrans tactiles intégrés, chauffage et éclairage connectés, système de réservation des salles, etc.), que faire des données collectées par tous ces objets intelligents ?

A l’heure où les objets connectés génèrent un volume de données sans précédent, la question se pose de savoir quelles données l’on peut vraiment collecter. Peut-on les collecter alors qu’elles concernent des personnes et notamment les salariés d’une entreprise ?

Quel est le cadre juridique actuel ? Quels sont les enjeux : portabilité, réversibilité, propriété… ? Et enfin, quels sont les impacts du RGPD sur les métiers du design, à l’heure du big data, des algorithmes et de l’IA ?

Le Règlement général sur la protection des données (RGPD) entré depuis en application, le 25 mai 2018, va bouleverser en profondeur l’environnement digital des entreprises, avec notamment l’obligation d’intégrer la dimension « protection des données personnelles » dès la phase de conception des produits traitant de données personnelles.

La Fédération EBEN – Entreprises du Bureau et du Numérique – est le syndicat des entreprises de distribution de mobilier et fournitures de bureau, papeterie, solutions d’impression, informatique, réseaux et télécoms. Il représente plus de 10 000 entreprises et compte 2 000 adhérents sur l’ensemble du territoire français.

Isabelle Pottier
Directrice Études et Publications

Lieux : Paris Expo Porte de Versailles
Date : 10 au 12 avril 2018




Un webinar sur le RGPD et ses enjeux pour la Fédération EBEN

webinar sur le RGPDMarie Soulez a animé un webinar sur le RGPD pour les membres de notre partenaire la Fédération EBEN.

Au cours de ce rendez-vous du 3 mai 2018, Marie Soulez a répondu aux nombreuses questions des membres de la Fédération, à quelques jours de l’entrée en application du RGPD. L’objectif était de mesurer les enjeux de cette nouvelle réglementation et d’élaborer un plan d’actions.

Le Règlement général sur la protection des données « RGPD » (ou « GDPR » en anglais), adopté le 27 avril 2016, est en effet directement applicable à l’ensemble des entreprises des Etats membres de l’Union européenne.

Ce webinar a été organisé en visioconférence afin de permettre une meilleure participation de chacun.

Au programme du webinar sur le RGPD :

  • RGPD : quels sont les enjeux ? ;
  • Comprendre ce que recouvrent les nouvelles obligations en matière de traitement et de conservation des données personnelles ;
  • Comment appréhender l’obligation d’obtenir (ou pas) le consentement ?
  • Check List des actions à mettre en place pour sécuriser votre organisation.

Avocate à la Cour d’appel de Paris depuis 2006, Marie Soulez dirige le département Propriété intellectuelle Contentieux de Lexing Alain Bensoussan Avocats.

La Fédération EBEN rassemble les entreprises de distribution de produits et services pour l’environnement de travail :

  • Papeterie et fournitures de bureau,
  • Mobilier de bureau et collectivités,
  • Solutions d’impression (copieurs et imprimantes),
  • Produits et solutions informatiques,
  • Solutions de communication électronique, télécoms et réseaux.

Webinar du 3 mai 2018, de 15h à 16h30.

 




RGPD quelle posture adopter à la veille de son entrée en application ?

RGPD quelle posture adopterRGPD quelle posture adopter à la veille de son entrée en application ? C’est le thème du petit-déjeuner débat du 16 mai 2018 animé par Aurélie Banck et Anthony Coquer.

Les dispositions du Règlement européen sur la protection des données (RGPD) seront directement applicables dans les Etats membres de l’Union européenne le 25 mai 2018. Autant dire demain.

A 9 jours de l’entrée en application du RGPD, les questions suivantes se posent  :

  • Comment « survivre » au Big Bang du RGPD ?
  • Quelle posture adopter à J-9 de l’entrée en application du RGPD ?
  • Quelles sont les actions à prioriser ?
  • Comment déployer et maintenir dans le temps votre système de management de la protection des données ? (Protection dès la conception et par défaut, accountability, DPIA et notifications des violations de données, etc.)

Car en effet, au-delà de la mise en conformité, la question du maintien en condition opérationnelle se posera également.

Ce petit-déjeuner débat animé par deux experts a été l’occasion de faire le point et de partager, à travers une approche transverse juridique, technique et organisationnelle, leurs conseils à la veille de la date fatidique du 25 mai 2018.

Aurélie Banck dirige le département Conformité RGPD Banque et Assurance et Anthony Coquer dirige le département Sécurité et Organisation du cabinet lexing Alain Bensoussan Avocats.

Le petit-déjeuner débat s’est déroulé dans nos locaux, 58 boulevard Gouvion-Saint-Cyr, 75017 Paris.

Inscription close




Le véhicule connecté selon la démarche « privacy by design »

Le véhicule connecté selon la démarche « privacy by design »Si le pack « véhicule connecté » est en cours de finalisation, la Cnil fournit ses premières préconisations.

Le pack « véhicule connecté » de la Cnil : outil de compliance

La Cnil, qui se positionne résolument en faveur des technologies avancées, travaille à la définition d’un pack de conformité « véhicule connecté ».

Les packs de conformité traduisent la volonté de la Commission de fournir aux responsables de traitements des outils leur facilitant la mise en conformité de leurs traitements dans le cadre d’une démarche de compliance.

Ces packs sont établis en concertation et pour les besoins des professionnels et des secteurs d’activités concernés.

A titre d’exemple, le secteur social, les bailleurs sociaux, les assurances et les banques, sont autant de secteurs qui ont pu bénéficier de ces outils.

La démarche proposée pour les véhicules connectés (1) est similaire à celle adoptée par la Cnil pour les compteurs intelligents.

Les premières recommandations de la Cnil

A l’occasion du mondial de l’automobile, la Cnil publie ses premières réflexions résultant des discussions intervenues avec l’ensemble de l’écosystème des véhicules connectés.

Elle confirme que l’enjeu recherché est « d’intégrer la dimension « protection des données personnelles » dès la phase de conception des produits et assurer la transparence et le contrôle par les personnes de leurs données ».

Pour atteindre ces objectifs la Cnil, anticipant la future entrée en vigueur du règlement européen, recommande d’adopter une approche de protection des données dès la conception ou « privacy by design ».

Dans le cadre de cette démarche, les acteurs, parties prenantes à un projet de véhicule connecté, doivent intégrer dès l’origine les contraintes de protection des données et notamment, prévoir les fonctionnalités nécessaires pour assurer la conformité de leur projet.

A ce titre, tout projet doit intégrer des mécanismes visant, non seulement, à assurer, la sécurité et la confidentialité des données, mais également, l’information des personnes ou encore le principe de minimisation des données …

IN => IN, IN => OUT et IN => OUT => IN

La Cnil insiste aussi sur l’importance de l’information des personnes voir, sur le recueil de leur consentement préalable.

De ce point de vue, elle reprend la démarche qu’elle avait adoptée dans son pack « compteurs communicants » en distinguant trois situations correspondant à trois caractéristiques différentes de traitement de données dans le cadre du véhicule connecté, à savoir :

  • IN => IN les données demeurent dans le véhicule, sans aucune communication à l’extérieur ;
  • IN => OUT les données collectées via le véhicule connecté sont transmises à un tiers en vue de la fourniture d’une prestation de service à la personne concernée ;
  • IN => OUT => IN les données collectées dans le véhicule sont transmises à l’extérieur pour déclencher une action automatique dans le véhicule.

Compte tenu de la volonté de la Cnil d’encourager l’innovation, même si au regard de ces premières réflexions elle privilégie le IN => IN, il ne fait pas de doute que son pack définira les conditions dans lesquelles les projets IN => OUT et IN => OUT => IN devront s’inscrire pour répondre aux impératifs de protection des données.

Démarche prospective en attente du pack « véhicule connecté »

D’ores et déjà, à l’instar des recommandations de la Cnil en matière de compteurs communicants, il est recommandé aux constructeurs et autres acteurs de l’écosystème des véhicules connectés de procéder à une double analyse :

  • d’impact sur la vie privée ;
  • des risques ;

pour déterminer les mesures et mécanismes de garantie à mettre en œuvre pour assurer la protection des données des personnes concernées.

A cet effet, la Cnil insiste sur la nécessité de mettre en place des outils permettant aux personnes concernées de maitriser leurs données selon le concept d’ « empowerment ».

Si à ce stade, la démarche adoptée par la Cnil est similaire à celle adoptée pour les compteurs communicants, il faudra attendre la publication du pack pour permettre aux acteurs d’identifier les spécificités du véhicule connecté.

Nathalie Plouviet
Lexing Droit de l’internet des Objets
Céline Avignon
Lexing Publicité et Marketing électronique

(1) Cnil, Dossier « Pack de conformité : Les compteurs communicants » 5-2014 ; Lire également notre Post du 3-7-2014.




Mettons le cap sur l’approche Privacy by design !

Mettons le cap sur l’approche Privacy by design !Nouveauté du règlement européen, l’approche privacy by design est un véritable outil de protection des données.

Définie à l’article 25 du règlement général sur la protection des données (1), l’approche privacy by design consiste pour une entreprise à développer des produits et des services en prenant en compte, dès leur conception et tout au long de leur cycle de vie, les aspects liés à la protection de la vie privée et des données à caractère personnel.

En pratique, l’approche privacy by design consiste pour le responsable de traitement à appliquer des mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel nécessaires à la finalité du traitement seront traitées.

A titre d’exemple, la pseudonymisation (2) des données est une mesure technique et organisationnelle à laquelle les entreprises peuvent recourir. Elle permet de ne plus pouvoir associer des données à une personne physique précise sans avoir recours à des informations supplémentaires. La minimisation des données (3), qui consiste à ne traiter que des données adéquates, pertinentes et limitées à la finalité du traitement, constitue également une mesure qui peut être appliquée au titre de l’approche privacy by design.

Afin de définir les mesures à mettre en œuvre, le responsable de traitement peut être aiguillé par différents critères : l’état des connaissances, les coûts de mise en œuvre des mesures, la nature, la portée, le contexte et les finalités du traitement, ainsi que la probabilité et la gravité des risques encourus pour les droits et libertés des personnes physiques.

L’implémentation d’une approche privacy by design constitue ainsi un gage supplémentaire de qualité et de confiance pour l’entreprise quant au traitement des données à caractère personnel des clients mais également des salariés, partenaires, prestataires.

Elle est de plus un outil de différenciation vis-à-vis des autres acteurs du secteur.

L’approche privacy by design qui sera obligatoire dès le 25 mai 2018 est donc un atout pour la protection des données à caractère personnel et pour l’entreprise elle-même. Il est ainsi essentiel de mettre en place dès à présent une procédure ou une politique privacy by design.

Chloé Torres
Julie Schwartz
Lexing, Droit Informatique et libertés

(1) Règlement (UE) 2016/679 du 27-4-2016 abrogeant la directive 95/46/CE (règlement général sur la protection des données).
(2) Règlement général sur la protection des données, art. 4.
(3) Règlement général sur la protection des données, art. 5-1.




Les grands chantiers qui attendent les DSI (3) : Privacy by design

Les grands chantiers qui attendent les DSI (3) : Privacy by designDans ce troisième épisode de « Paroles d’experts pour les décideurs informatiques », Maître Alain Bensoussan définit pour IT-expert Magazine ce qu’est le « Pricacy by design » qui va s’imposer aux entreprises et notamment aux DSI avec l’adoption prochaine du nouveau règlement européen sur la protection des données à caractère personnel. La dimension de protection des données à caractère personnel et de la vie privée devra être intégrée dès la conception d’un projet informatique, selon une démarche « Privacy by design ».

Maître Bensoussan nous explique quelles sont les obligations à respecter pour ce faire. Il nous parle également de la nécessaire coopération entre les services juridiques et informatiques.




Le concept de Privacy by Design

Privacy by DesignLe concept de « Privacy by Design » consiste à concevoir des produits et des services en prenant en compte dès leur conception les aspects liés à la protection de la vie privée et des données à caractère personnel.

Il implique également le respect de ces valeurs tout au long du cycle de vie de la technologie concernée. Ce concept est une tendance très marquée, principalement dans les groupes internationaux, et est amené à se développer de plus en plus chez les éditeurs.

La pratique du Privacy by Design constitue en effet, un nouvel outil de différenciation face à la concurrence et un gage supplémentaire de qualité et de confiance pour les clients.

Cette tendance est appelée à se généraliser, dans la mesure où elle correspond à l’esprit du projet de règlement européen visant à réformer la directive n° 95/46/CE relative à la protection des données à caractère personnel. La Commission européenne prévoit ainsi de rendre obligatoire l’approche « protection des données personnelles dès la conception » et propose l’adoption du Privacy by Design pour tous les produits, services et systèmes exploitant ce type de données.

L’implémentation d’une politique de Privacy by Design permet, en effet, aux entreprises de s’assurer de la conformité des traitements qui seront mis en œuvre à la réglementation Informatique et libertés et constitue ainsi un outil de management du risque juridique.

La mise en œuvre d’une politique de Privacy by Design nécessite, dans un premier temps, l’élaboration d’une méthodologie permettant de l’intégrer concrètement dans les projets technologiques. Elle implique dans un deuxième temps, d’analyser le traitement envisagé. Cela permettra enfin, de déterminer très précisément dans le cahier des charges, au regard de la réglementation applicable, les caractéristiques de l’application afin que celles-ci soient en adéquation avec les modalités du traitement (durée de conservation, type de donnée pouvant être collectées, etc.).

Chloé Torres