protéger ses données: mission impossible?
TRANSCRIPT
LES JEUDI DE L’AFAI
Protéger ses données – Mission
impossible ?
7 avril 2016
(c) Maître Isabelle Renard - www.irenard-avocat.com - 7 avril 2016
1
Le traitement de la donnée personnelle est omni
présent et en augmentation constante
Objets connectés
Conduite assistée
« fidélisation » du client
Profiling/géolocalisation/suggestions d’achat
Contrôle des déplacements
….
(c) Maître Isabelle Renard - www.irenard-avocat.com - 7 avril 2016
2
Des finalités différentes, mais des technologies
communes
Applications commerciales
Applications administratives (faciliter la vie du citoyen)
Applications régaliennes pour la protection de la
sécurité du territoire
(c) Maître Isabelle Renard - www.irenard-avocat.com - 7 avril 2016
3
Protection actuelle = Loi Informatique et Libertés
Imbroglio d’obligations peu lisibles, non hiérarchisées,
assorties de sanctions irréalistes et inapplicables
(c) Maître Isabelle Renard - www.irenard-avocat.com - 7 avril 2016
4
Deux enjeux sont véritablement importants :
La sécurité des Données
Le contrôle des traitements big data
(c) Maître Isabelle Renard - www.irenard-avocat.com - 7 avril 2016
5
Sous l’empire de la Loi Informatique et Libertés
actuelle
Obligation de sécurité :
Reste un « concept » dépourvu de mise en application et
de méthode, malgré les efforts de la CNIL (Privacy Impact
Assessment – démarche/outillage – Juin 2015)
(c) Maître Isabelle Renard - www.irenard-avocat.com - 7 avril 2016
6
Sous l’empire de la Loi Informatique et Libertés
actuelle
Le traitement du big data est par construction illégal :
L’interconnexion de données est soumise à autorisation
de la CNIL
Le client n’est en pratique jamais informé du traitement
(c) Maître Isabelle Renard - www.irenard-avocat.com - 7 avril 2016
7
Ce qui va changer avec le règlement européen
Le projet de règlement est quasiment finalisé
Sera adopté premier semestre 2016
Entrera en vigueur deux ans après
C’est un règlement et non une directive : SERA DIRECTEMENT APPLICABLE DANS TOUS LES ETATS MEMBRES
(c) Maître Isabelle Renard - www.irenard-avocat.com - 7 avril 2016
8
Ce qui va changer avec le règlement européen
La fin des déclarations
Principe d’accountability = le responsable du traitement
doit « rendre des comptes » sur les mesures mises en
place
(c) Maître Isabelle Renard - www.irenard-avocat.com - 7 avril 2016
9
REGLE DE : « PRIVACY BY DESIGN »
Tout équipement technologique devra être conçu dès le
départ pour protéger de façon satisfaisante les données
personnelles
(c) Maître Isabelle Renard - www.irenard-avocat.com - 7 avril 2016
10
EVALUATION DU RISQUE
Le responsable du traitement doit évaluer les risques
Et mettre en place les mesures proportionnées
(c) Maître Isabelle Renard - www.irenard-avocat.com - 7 avril 2016
11
Traitement à « haut risque » : ETUDE D’IMPACT
OBLIGATOIRE
Traitement à haut risque = nouvelles technologies, profiling,
etc. – Liste définie par autorité locale de protection (CNIL)
ETUDE D’IMPACT OBLIGATOIRE
La CNIL pourra mettre son veto si elle considère que les
précautions suffisantes ne sont pas prises (procédure
beaucoup plus différenciée que l’actuelle autorisation)
(c) Maître Isabelle Renard - www.irenard-avocat.com - 7 avril 2016
12
Une solution de place : le CODE DE CONDUITE
Les acteurs représentatifs d’un secteur d’activité
pourront élaborer des codes de conduite
Les codes de conduite seront soumis à la CNIL puis
publiés
Adhésion sur une base volontaire
Vérification de conformité par des organismes
indépendants accrédités par la CNIL
(c) Maître Isabelle Renard - www.irenard-avocat.com - 7 avril 2016
13
Encore mieux : LE LABEL
Le règlement encourage la création de labels
La conformité au label sera garantie par une entreprise
accréditée
(c) Maître Isabelle Renard - www.irenard-avocat.com - 7 avril 2016
14
Ce qui va changer d’autre avec le règlement
européen
La co-responsabilité de tous les acteurs chacun dans
leur domaine d’intervention
Notification des failles de sécurité pour tous !
Obligation renforcée d’information des personnes
(c) Maître Isabelle Renard - www.irenard-avocat.com - 7 avril 2016
15
Ce qui va changer d’autre avec le règlement
européen (suite)
Des amendes DISSUASIVES
20 M€, ou 4% du CA …
(c) Maître Isabelle Renard - www.irenard-avocat.com - 7 avril 2016
16
MAIS …
Tout ceci sera-t-il réellement efficace ?
(c) Maître Isabelle Renard - www.irenard-avocat.com - 7 avril 2016
17
On peut en douter …
« Le bouclier est-il la réponse au problème de
protections des données ? »
lesechos.fr – 23/02/2016
La mise en place du « privacy shield » en remplacement
de feu « safe harbor » ne changera rien au fond du
problème…
(c) Maître Isabelle Renard - www.irenard-avocat.com - 7 avril 2016
18
On peut en douter …
« Protection des données personnelles vs sécurité publique – le grand écart »
novethic.fr – 08/03/2016
L’exigence de «sécurité publique » ruine le concept du « privacy by design » - par exemple cryptage des
données sur les smartphones – cf bras de fer APPLE / Gvt US
(c) Maître Isabelle Renard - www.irenard-avocat.com - 7 avril 2016
19
On peut en douter …
« Ville intelligente – ne pas négliger les enjeux éthiques »
directioninformatique.com – 29/02/2016
Impacts d’un problème de sécurité des services urbains
« intelligents » sur la vie privée des habitants ?
(c) Maître Isabelle Renard - www.irenard-avocat.com - 7 avril 2016
20
On peut en douter …
« Les données sensibles partagées trop librement dans le cloud »
cio-online.com – 29/02/2016
Etude Elastica Cloud /Blue Coat
Un fichier sur 10 partagé dans le cloud contient des données sensibles réglementées (mauvaise gestion ds
consignec de sécurité par les utilisateurs)
(c) Maître Isabelle Renard - www.irenard-avocat.com - 7 avril 2016
21
On peut en douter …
« Trop de données personnelles»
journaldemontreal.com – 16/03/2016
Prévient contre les dangers de la prise de décision
arbitraire sur la base de profiling big data dont les
consommateurs n’ont aucune conscience
(c) Maître Isabelle Renard - www.irenard-avocat.com - 7 avril 2016
22
On peut en douter …
« Adobe lance une coopérative de données personnelles pour vous tracer partout»
numerama.com – 23/03/2016
Permet aux annonceurs de proposer des publicité ciblées sur l’ensemble des équipements informatiques des
utilisateurs quelle que soit la marque – incertitude sur la sécurité des DP
(c) Maître Isabelle Renard - www.irenard-avocat.com - 7 avril 2016
23
En résumé
Une législation européenne plus efficace et plus adaptée
MAIS :
En pratique incapable d’endiguer le mouvement massif
d’utilisation des DP à des fins commerciales (enjeux
financiers puissants)
Par définition incapable d’empêcher l’accès aux
données par les gouvernements (enjeux sécuritaires –
mais quid si utilisé dans contexte non démocratique ?)
(c) Maître Isabelle Renard - www.irenard-avocat.com - 7 avril 2016
24
Alors que faire ?????
Face au manque d’efficacité des instruments juridiques
Face à la difficulté de lutter contre les opérations régaliennes
C’est à chacun, dans sa sphère privée, de recouvrer
un peu de bon sens et de refuser la facilité des applications « gadget »
Car « Science sans conscience n’est que ruine de l’âme »…
(c) Maître Isabelle Renard - www.irenard-avocat.com - 7 avril 2016
25
Merci de votre attention ….
(c) Maître Isabelle Renard - www.irenard-avocat.com - 7 avril 2016
26