Retour

La RGPD va-t-il nous laisser sans voix?

La RGPD va-t-il nous laisser sans voix?

 

Quand on en parle, ça tombe sous le sens ! Non, la voix n’est pas une donnée libre de droits. Ce serait même l’une des données les plus sensibles au regard du règlement sur la protection des données personnelles, entré en vigueur il y a déjà un an. La voix serait donc une donnée qui s’ignore ? Décidément oui puisque, selon un sondage Mediartis, près de 82% de Français ne savent pas que leur voix est protégée par le RGPD.

Que faisons-nous de notre voix au quotidien ?

 

C’est la question que pose en substance Mediartis, la première plateforme conforme au RGPD pour la gestion des « data-voix » des comédiens. Avec la multiplication des usages vocaux digitaux la question prend tout son sens. Et le RGPD y répond en estimant qu’au même titre que le nom, l’adresse, le numéro de sécurité sociale, la voix est une donnée à caractère personnel au sens du règlement et qu’elle doit être protégée car susceptible d’identifier « directement ou indirectement » une personne physique. L’article 4.1 du RGPD définit une « donnée personnelle» comme étant toute information relative à une personne permettant de l’identifier directement ou indirectement (…) notamment par référence à une ou plusieurs propriétés spécifiques uniques qu’elle soit physique, physiologique, génétique, économique, sociale, culturelle, psychique. La voix est donc protégée par cet article car elle correspond à l’identité physiologique d’une personne. Bien que les nouvelles technologies ont fortement impacté nos habitudes, les Français ont gardé, pour une large majorité d’entre eux, un usage traditionnel de leur voix. Ainsi 86% « passent des appels téléphoniques à leur entourage » et 41% « ont déjà échangé avec des centres d’appels ». Cependant, avec l’arrivée de technologie comme la reconnaissance vocale ou encore l’intelligence artificielle, de nouveaux usages s’invitent dans le quotidien des Français. Près de 30% saisissent vocalement leur texte (sms, mail…). 24% n’écrivent plus mais enregistrent des messages vocaux sur les réseaux sociaux (whatApp, Messenger…). Et 17% échangent avec des assistants comme Siri de Apple, Alexa de Amazon ou encore Cortona de Microsoft et Google home.

 

 

Selon les exigences du RGPD, le traitement de la voix, comme toute donnée personnelle, doit être fondé sur une base juridique. A savoir, le consentement, l’exécution d’un contrat, le respect d’une obligation légale, la protections des intérêts vitaux, l’intérêt public et l’intérêt légitime.

Juridiquement, les personnes possèdent depuis le 25 mai 2018, de nouveaux droits : d’accès, d’opposition, de rectification, à l’oubli, à la limitation du traitement, à la portabilité. Or, selon le sondage de Mediartis, 28% des personnes interrogées n’ont pas conscience du niveau de protection dont ils bénéficient avec le RGPD.

⭐️ 54% estiment que c’est uniquement ce qu’ils disent qui est protégé.
⭐️ Seuls 17% estiment que leur voix pourrait être protégée.

 

 

La voix tombe donc sur le coup du règlement puisqu’elle permet, à elle-seule, d’identifier une personne. Mais au-delà de l’identification, avoir accès à l’enregistrement d’une voix expose les individus à un plus grand risque : celui de l’usurpation d’identité. Interrogés sur les risques que peut entraîner leurs usages « vocaux », ils sont seulement 39% à avoir conscience que leur voix peut être reproduite, et donc soumise par exemple à un risque d’usurpation d’identité. Par contre, ils sont plutôt conscients des risques encourus par les informations transmises. Près de 62% pensent que ces informations peuvent être stockées et 53% estiment qu’elles peuvent être utilisées à des fins commerciales.

 

Méthodologie

 

Sondage réalisé sur un échantillon Toluna de 1114 personnes, représentatives de la population française âgée de 18 ans et plus. Les interviews ont eu lieu par questionnaire auto-administré en ligne du 14 au 23 mai 2019.

Retour

Les consommateurs ne comprennent rien au RGPD

Les consommateurs ne comprennent rien au RGPD

 

Un an après l’entrée en vigueur du règlement européen sur la protection des données personnelles, les consommateurs ont toujours beaucoup de mal à saisir de quoi il en retourne. Selon une enquête, menée par Ogury, entreprise spécialisée dans le marketing mobile, seuls 8% des consommateurs dans le monde estiment mieux comprendre comment les entreprises utilisent leurs données.

 

Les principaux enseignements de l’étude

 

  • En France, 60% des consommateurs ne comprennent pas comment leurs données sont utilisées après avoir lu un formulaire de consentement et des politiques de confidentialité.
  • 47% de Français disent même « ne pas savoir ce qu’est le RGPD ». Ce chiffre descend à 39 % en moyenne pour l’ensemble des répondants européens.
  • Lorsqu’on leur propose un choix clair et juste, 7 consommateurs sur 10 dans le monde choisissent de partager leurs données plutôt que de payer pour accéder à un contenu en ligne.
  • 71 % des mobinautes dans le monde se déclarent prêts à partager leurs données (à condition de savoir exactement quelles données sont collectées et comment elles seront utilisées).

 

Le message n’est pas passé !

 

Près d’un Français sur 2 (47%) dit « ne pas savoir ce qu’est le RGPD ». Un chiffre qui en dit long sur l’incompréhension d’un règlement censé mieux protéger leurs informations personnelles. Dans la ligne de mire, les entreprises et un manque certain de pédagogie.

JeanCanzoneri, co-fondateur et CEO d’Ogury, estime que l’application du RGPD n’a pas été suffisamment prise au sérieux par les organisations. « Les spécialistes du marketing doivent prendre en considération les enseignements de cette étude : le message n’est clairement pas bien passé. Il revient d’abord aux entreprises de maîtriser le RGPD, puis de sensibiliser les consommateurs à l’importance du partage des données. »

 

 

Lorsqu’on leur demande s’ils ont l’impression de mieux comprendre la façon dont les entreprises utilisent leurs données depuis l’entrée en vigueur du RGPD, une grande partie des sondés, soit 55% des répondants à travers le monde, répondent “non”. En France, 33 % des personnes interrogées déclarent ne pas mieux comprendre l’utilisation faite de leurs données depuis l’entrée en vigueur de la loi. 47 % disent même « ne pas savoir ce qu’est le RGPD ». Ce chiffre descend à 39 % en moyenne pour l’ensemble des répondants européens, une proportion qui demeure étonnamment élevée plus d’un an après l’entrée en vigueur de la loi dans les Etats membre de l’Union européenne. « Ces chiffres doivent sembler décourageants pour les régulateurs, qui auraient sans nul doute espéré une meilleure compréhension de la part des consommateurs, que le RGPD est justement censé protéger. Cette pédagogie va devenir de plus en plus clé, et ce partout dans le monde, notamment aux Etats-Unis avec l’entrée en vigueur le 1er janvier 2020 du California Consumer Protection Act (CCPA). » poursuit Jean Canzoneri.

Trop long pour être lu !

 

L’étude révèle en effet que les entreprises n’ont pas mis en place les moyens nécessaires pour que le message passe clairement. Mais également que les entreprises n’ont pas mis en place les moyens nécessaires à l’obtention du consentement explicite et éclairé de l’utilisateur pour collecter et utiliser ses données. En moyenne en France, 77 % des consommateurs ne lisent pas les formulaires de consentement dans leur entièreté. De plus, près de la moitié des consommateurs (52 % à l’échelle mondiale) ont répondu que, même lorsqu’ils lisent les formulaires de consentement et les politiques de confidentialité, ils ne comprennent toujours pas comment leurs données sont utilisées. Contre toute attente, ce taux est encore plus élevé dans les pays où le RGPD est mis en œuvre depuis un an, puisque 58 % des sondés européens ne comprennent pas mieux comment les entreprises utilisent leurs données en lisant les informations de collecte du consentement.

Les consommateurs veulent préserver un internet gratuit

 

D’après l’enquête, quand on leur propose un choix explicite, 71 % des répondants dans le monde préfèrent partager les données issues de leur navigation sur sites et applications mobiles et leurs coordonnées plutôt que de payer pour accéder à un contenu en ligne.

 

 

Raphael Rodier, Chief Revenue Officer d’Ogury, précise : « Le fait que 71 % des mobinautes dans le monde se déclarent prêts à partager leurs données – à condition de savoir exactement quelles données sont collectées et comment elles seront utilisées – prouve que les consommateurs veulent préserver un Internet gratuit, tant que l’échange est équitable et respecté. ». À l’heure du premier anniversaire du RGPD, les organisations doivent comprendre qu’il est désormais impératif d’éclairer les utilisateurs dans leur choix face à la collecte de leurs données.

 

GDPR : comment se mettre en marche ?

 

Comprendre les exigences du règlement, sensibiliser ses collaborateurs, mesurer le niveau de maturité de son organisation et donc allouer les bons budgets, un vrai casse-tête pour les entreprises. De ce constat est né GDPR Rating, un outil d’auto-évaluation à destination des PME-ETI. Grâce à cette plateforme de notation, les entreprises obtiennent en ligne et en toute autonomie un état des lieux ainsi que les mesures de remédiation associées. À la clé, une note de conformité que chaque organisation peut communiquer auprès de ses clients, ses prestataires et ses utilisateurs. Mais la possibilité d’aller plus loin et de bénéficier d’un accompagnement personnalisé selon les besoins de son organisation (sécurité, DPO, e-learning).

 

Source : Ogury a mené son enquête du 12 au 18 février 2019 aux États-Unis, en Allemagne, en Espagne, en Italie, en France et au Royaume-Uni, rassemblant les réponses de 287 571 utilisateurs mobiles dans le monde. En France, 22 631 personnes ont répondu à cette enquête.

Retour

GDPR: La CNIL dresse le premier bilan

GDPR: La CNIL dresse le premier bilan

 

L’autorité de régulation a annoncé la publication d’une ordonnance d’ici la fin de l’année visant à améliorer le cadre juridique du GDPR. Dans le même temps, la CNIL dresse un premier bilan d’étape, six mois après l’entrée en vigueur du règlement européen, le 25 mai dernier.

Les Français face au GDPR

 

66% c’est le pourcentage de personnes qui se disent plus sensibles qu’auparavant à la protection de leurs données personnelles selon un sondage IFOP réalisé en octobre pour la CNIL.

Principales sources d’inquiétudes :

Et quand on leur parle de GDPR, 2 Français sur 3 (65%) dispose d’une bonne connaissance globale sur la question. Mais seule, une courte majorité (54%) estime comprendre à ce stade ce que le règlement a vraiment changé sur les droits des personnes et donc sur les obligations des professionnels.

Toutefois, une fois mieux informés, les Français portent un regard plutôt positif sur le règlement. Près de 73% d’entre eux le considèrent comme efficace pour mieux protéger les données.

Sans commenter ses résultats, la CNIL estime que les efforts des professionnels pour s’approprier du GDPR se poursuivent

 

32 000 organismes ont désigné un délégué à la protection des données (personnes physiques ou morales).
15 000 DPO ont été nommés contre 5 000 CIL auparavant.
1000 notifications de violations de données ont été notifiées soit 7 par jour depuis le 25 mai 2018.

 

Les contacts entre la CNIL et les professionnels se sont multipliés…

 

178 000 appels depuis janvier 2018.
246 000 consultations des FAQ en ligne contre 178000 en 2017.
7 millions de visites sur le site de la CNIL contre 4,4 millions en 2017.
130 000 téléchargements de l’outil PIA pour réaliser une analyse d’impact.

 

… Mais également avec les particuliers

 

9 700 plaintes reçues soit 34% de plus qu’en 2017 sur la même période.
6 000 plaintes ont été reçues depuis le 25 mai.

 

Dans le cadre de l’instruction de ces plaintes, la CNIL a plutôt une attitude positive vis à vis des organismes concernés estimant que ces plaintes sont une bonne occasion pour « repenser leur organisation, notamment au regard de l’information des personnes et des modalités d’exercice des droits comme le droit d’accès. ». Selon la CNIL, les demandes de droit d’accès sont en forte augmentation « ce à quoi, ils n’étaient manifestement pas assez préparés. ».

 

Trois organismes ont saisi la CNIL de plaintes collectives

 

La Quadrature du Net : les plaintes concernent Google, Amazon, Facebook, Linkedin et Apple pour un total de 45 000 personnes concernées.
L’association NOYB les plaintes concernent Google.
L’ONG anglaise Privacy International : les plaintes concernent 7 entreprises procédant à de la collecte à grande échelle de données en ligne.

 

Par ailleurs, les autorités de protection européennes sont en train de traiter 345 plaintes transfrontalières. La CNIL est concernée par 187 cas et autorité chef de file pour 15 cas. Dans la majorité des cas, ces plaintes soulèvent des questions sur le consentement.

 

Les autorités de protection coopèrent de manière soutenue

 

Le Comité européen à la protection des données (CEDP) a validé 20 listes nationales de traitements devant faire l’objet d’une analyse d’impact sur les données personnelles (AIPD).

19 lignes directrices ont été adoptées et 6 sont en cours d’élaboration (la certification, les codes de conduite, les transferts de données ou encore la vidéosurveillance).

La publication de ces listes et directives doivent permettre aux responsables de traitement concernés de savoir plus précisément s’ils sont ou non soumis à l’obligation de l’analyse d’impact.

Près de 10 codes de conduite sont en cours de préparation, portant notamment sur la recherche médicale et les infrastructures cloud.

 

GDPR : comment se mettre en marche ?

 

Comprendre les exigences du règlement, sensibiliser ses collaborateurs, mesurer le niveau de maturité de son organisation et donc allouer les bons budgets, un vrai casse-tête pour les entreprises.

De ce constat est né GDPR Rating, un outil d’auto-évaluation à destination des PME-ETI. Grâce à cette plateforme de notation, les entreprises obtiennent en ligne et en toute autonomie un état des lieux ainsi que les mesures de remédiation associées.

À la clé, une note de conformité que chaque organisation peut communiquer auprès de ses clients, ses prestataires et ses utilisateurs. Mais la possibilité d’aller plus loin et de bénéficier d’un accompagnement personnalisé selon les besoins de son organisation (sécurité, DPO, e-learning).

Retour

Vers un Schengen de la donnée ?

Vers un Schengen de la donnée ?

 

Le Parlement européen a approuvé la libre-circulation des données non personnelles au sein de l’Union européenne. Avec cette mesure, les eurodéputés entendent encourager l’innovation. Carburants de l’intelligence artificielle et de l’Internet des objets (IoT), ces données pourraient permettre aux startups et PME de créer de nouveaux services. Une mesure qui pourrait changer la donne pour l’économie numérique. En effet, selon un rapport de l’IDC, ce règlement pourrait permettre au PIB de l’UE de croître de 4% soit 739 milliards d’euros d’ici 2020.

 

Après la libre-circulation des personnes, des biens, services et capitaux, les eurodéputés ont adopté le 4 octobre dernier, une « cinquième liberté » : celle de la libre-circulation des données non personnelles. Cette mesure élimine donc les restrictions géographiques au stockage et au traitement de ces données au sein du marché unique. Concrètement, un État ne pourra plus imposer le stockage et le traitement des données non personnelles sur son territoire ou un territoire membre de l’UE.

À la différence des données personnelles (nom, prénom, adresse, mail…) qui permettent d’identifier une personne physique, les données non personnelles sont anonymisées. Elles peuvent donc servir aux entreprises cherchant à développer de nouveaux services ou encore à la recherche scientifique.
Dans une déclaration commune, le vice-président et commissaire pour le marché unique numérique, Andrus Ansip, et la commissaire pour l’économie et la société numériques, Mariya Gabriel, ont salué cette adoption :

« la libre circulation des données est une condition indispensable pour que l’Europe puisse exploiter au mieux le potentiel des technologies numériques et des avancées dans ce domaine, telles que l’intelligence artificielle et les supercalculateurs. ».

 

En réduisant le protectionnisme en matière de données, les eurodéputés espèrent faire tomber les frontières et donner un coup de pouce à l’Europe numérique. En effet, jusqu’à présent, les restrictions en matière de localisation des données étaient considérées comme un frein au développement d’une économie de la donnée. Andrus Ansip et Mariya Gabriel estiment que :

« la nouvelle réglementation donnera une forte impulsion à l’économie européenne des données car les start-up et PME européennes auront la possibilité de créer de nouveaux services grâce à l’innovation transfrontière dans le domaine des données. Le PIB de l’UE pourrait croître de 4 % – c’est-à-dire de 739 milliards d’euros – d’ici à 2020. ».

 

Un complément au GDPR

 

Anna Maria Corazza Bildt, rapporteuse suédoise a toutefois rassuré sur l’impact de la libre-circulation. « La nouvelle loi n’affectera pas la vie privé des citoyens. Le règlement général sur la protection des données ne sera pas modifié (…). Dans le cas où les données personnelles et non personnelles sont inextricablement liées, la libre circulation des données n’entravera pas le GDPR ».

Les deux règlements fonctionneront ensemble pour permettre la libre circulation de toutes les données – à caractère personnel et non personnel – et créer ainsi un espace européen unique des données.

En cas de jeu de données composite, la disposition du GDPR garantissant la libre circulation des données à caractère personnel s’appliquera à la partie personnelle du jeu, et le principe de la libre circulation des données à caractère non personnel s’appliquera à la partie non personnelle. Les États membres devront notifier à la Commission toute restriction résiduelle ou prévue concernant des cas précis et limités de traitement des données du secteur public. Par ailleurs, l’accès aux données ne peut être refusé aux autorités judiciaires ou fiscales d’un pays sous prétexte qu’elles sont traitées dans un autre État membre.

La nouvelle législation, adoptée en plénière par 520 voix pour, 81 contre et 6 abstentions, devrait être approuvée par le Conseil des ministres de l’UE le 6 novembre. Les États membres de l’UE disposeront ensuite de six mois pour appliquer ces nouvelles règles.

 

Contexte

 

En septembre 2017, à l’occasion du discours sur l’état de l’Union du président Jean-Claude Juncker, la Commission a proposé un cadre pour la libre circulation des données à caractère non personnel afin de libérer tout le potentiel d’une économie européenne fondée sur les données. Il a été annoncé comme l’une des actions clés lors de l’examen à mi-parcours de la stratégie pour un marché unique numérique.

Retour

Les entreprises n’ont aucun intérêt à contourner le réglement!

Les entreprises n’ont aucun intérêt à contourner le réglement!

 

Selon une étude publiée par Marketo, fournisseur de logiciels et solutions marketing, 83% des consommateurs européens sont sceptiques quant à l’application du règlement sur la protection de la donnée personnelle, entrée en vigueur le 25 mai dernier. Ce sont donc 4 européens sur 5 qui pensent que les entreprises vont tout faire pour contourner le GDPR. Parallèlement, les organisations qui sont au fait du règlement remportent un franc succès auprès des utilisateurs !

Des données en fuite

 

Près de 2,5 milliards de dossiers volés ou corrompus en 2017, Twitter mis à mal par une faille de sécurité dans ses mots de passe utilisateur et plus récemment le scandale Cambridge Analytica… Depuis un an, les consommateurs européens se disent prêts à faire valoir leur droit pour connaître les données personnelles que les entreprises détiennent sur eux, y accéder et savoir à quel(s) moment(s) elles servent à la prise de décision automatisée.

Selon une étude réalisée l’an dernier, par Pegasystems, auprès de 7 000 consommateurs européens issus de 7 pays différents, 82% ont, en effet, la ferme intention de faire valoir leurs nouveaux droits, de limiter, voire de supprimer leurs informations stockées et utilisées par les entreprises.

Les Français sur le podium

 

Toujours selon l’étude de Pegasystems, près de 96 % des utilisateurs français souhaitent savoir ce que les entreprises détiennent comme informations sur eux. Par ailleurs, 93% d’entre eux veulent pouvoir décider directement de la façon dont ces informations sont utilisées.

Un an après, selon l’étude menée par Marketo, cette inquiétude reste majoritaire. Près de 76% des personnes interrogées sont préoccupées par l’utilisation et le stockage de leurs données personnelles. Or, aujourd’hui, même après l’entrée en vigueur du règlement, seules 1/3 des entreprises sont totalement en conformité avec le GDPR.

Cependant, et c’est la note très positive de l’étude Marketo, l’avenir appartient aux entreprises qui se sont mises en conformité puisqu’on peut lire dans le compte rendu, que celles qui ont abouti leur mise en conformité « sont non seulement nettement plus optimistes quant au dépassement de leurs objectifs de revenus, mais plus de la moitié des consommateurs sont aussi heureux de partager et d’échanger leurs informations s’ils pensent que cela aboutira à des offres pertinentes et personnalisées ».

Retour

Près de 2,6 milliards de dossiers de données volés ou corrompus en 2017

Près de 2,6 milliards de dossiers de données volés ou corrompus en 2017

 

Le Breach Level Index* a parlé ! Selon son dernier rapport, le vol d’identité reste la première cause de violation de données tandis que l’erreur humaine est un problème majeur dans la gestion des risques et sécurité. C’est pourquoi, le règlement européen sur la protection des données qui entrera en vigueur le 25 mai prochain est une formidable opportunité pour les entreprises de sécuriser les données de leur organisation mais surtout de leurs clients.

À quelques heures de la date butoir, un grand nombre d’entreprises ne sont pas encore prêtes. Et les chiffres publiés par le Breach Level Index ne rassurent pas ! Ces quinze dernières années, près de 10 milliards de dossiers ont été volés, perdus ou exposés. En moyenne c’est 5 millions de dossiers qui ont été corrompus par jour.

Sur les 1765 incidents de brèches de données en 2017, le vol d’identité arrive en tête avec 69% de toutes les incidents de violations de données. Les tiers malveillants représentaient en 2017 la première menace de cybersécurité (72%). Mais c’est l’erreur humaine qui connait la plus forte progression avec une augmentation de 580% du nombre de dossiers corrompus depuis 2016. À l’origine, des suppressions inappropriées des dossiers, des bases de données mal configurées ou encore des problèmes de sécurité involontaire.

L’an dernier, les secteurs les plus touchés étaient la santé (27%), les services financiers (12%), l’éducation (11%), et les gouvernements (11%).

Au regard du nouveau règlement, l’essentiel de la démarche de mise en conformité passe par un audit général des traitements. Cet audit permet d’identifier des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées.

Retour

GDPR: Que peuvent faire les entreprises en moins d’un mois ?

GDPR: Que peuvent faire les entreprises en moins d’un mois ?

 

Alors que le règlement est entré en vigueur, c’est officiel les entreprises ne sont pas prêtes !

Pour autant, comme le souligne la présidente de la CNIL, Isabelle Falque-Pierrotin, « le 25 mai n’est pas une date couperet annonciatrice d’une pluie de sanctions ». Pour le régulateur, qui a décidé de faire « preuve de souplesse et de pragmatisme » l’essentiel pour les entreprises est d’avoir entamé le travail de mise en conformité. Et comme il n’est jamais trop tard pour se mettre en ordre de marche, les entreprises ont la possibilité de mener des actions rapides et efficaces en vue de la date butoir. Prêts pour un check up ? C’est parti !

Comme le souligne Isabelle Falque-Pierrotin, le GDPR est une « démarche lourde et exigeante, en particulier pour les petites entreprises (…) elles doivent remplacer le processus de déclaration préalable à la mise en œuvre d’un traitement de données personnelles. » C’est pourquoi, la CNIL a décidé de les accompagner plutôt que de les sanctionner.

Toutefois, la présidente précise que pour un « certain nombre de principes du RGPD qui ne sont pas nouveaux. Par exemple, l’obligation de devoir préciser à quelles fins des données personnelles sont collectées, ou bien les limites relatives à la durée de conservation d’une donnée (…) nous avons contrôlé le 26 mai, comme on le faisait le 12 avril. En revanche, sur les principes ou outils nouveaux, comme le droit à la portabilité des données d’un service à un autre, les délégués à la protection des données ou le registre de traitement, nous adopterons une posture d’accompagnement. ».

Au 25 mai, les entreprises qui n’étaient pas en conformité avec le GDPR devaient au moins l’être avec la Loi Informatiques et Libertés de 1978.

L’essentiel de la démarche de mise en conformité passe par un audit général des traitements afin d’identifier des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées. Elle doit mener, pour chacun de ces traitements, une étude d’impact sur la protection des données (en anglais, Privacy Impact Assessment ou PIA).

 

Retour

Et les sous-traitants dans tout ça?

Et les sous-traitants dans tout ça?

 

Pour les sous-traitants, les hébergeurs ou les plateformes de gestion de données, être « GDPR compliant » au 25 mai prochain, c’est l’obligation de revoir tous les contrats de service. C’est un des corollaires de la directive européenne : elle supprime la plupart des obligations déclaratives auprès du régulateur mais elle crée, en parallèle, un principe de responsabilité plutôt étendu. Responsables de traitements et sous-traitants vont donc devoir réexaminer leurs contrats.

Quelles sont les obligations des sous-traitants ?

 

La sécurité des données personnelles devra être assurée par le responsable de traitement mais aussi par le sous-traitant. Leur objectif commun est ainsi d’assurer la confidentialité, l’intégrité, la disponibilité et surtout la notion nouvelle de « résilience des systèmes et des services de traitement des données. »

Les exigences du nouveau règlement a une influence directe sur les futurs contrats conclus avec les prestataires. Le contenu du contrat est en effet enrichi et doit préciser notamment la finalité du traitement, la durée de conservation des données et les obligations du sous-traitant.

Jusqu’ici les sous-traitants avaient une responsabilité contractuelle vis-à-vis du responsable du traitement sous réserve d’un contrat écrit entre les deux parties.

À partir du 25 mai 2018, même en l’absence d’un contrat signé, les sous traitants seront désormais partiellement responsables des traitements de données qu’ils mettent en œuvre pour le compte d’une entreprise tierce. Ils pourront donc être audités voire sanctionnés en cas de non-respect du GDPR.

Quelles sont leurs nouvelles obligations ?

 

  • Tenir un registre des traitements
  • En cas de violation de sécurité, mettre en œuvre les procédures et mesures de sécurité
  • Transmettre au plus tard dans les 72 heures l’ensemble des éléments que le responsable de traitement est tenu de transmettre à la CNIL
  • Contester les instructions du responsable de traitement si elles sont contraires à la loi
  • Assister le responsable de traitement en cas de demande d’accès, d’effacement, de portabilité, etc…

Comment les entreprises peuvent se mettre en ordre de marche ?

 

Il est nécessaire, dans un premier temps de faire un état des lieux afin de classifier les données selon leur typologie. Ensuite, un audit et une étude de risque seront envisagés.

NOVENCIA peut vous accompagner dans cette démarche !

Retour

L’Europe demande de passer à la vitesse supérieure !

L’Europe demande de passer à la vitesse supérieure !

 

À un peu plus de 100 jours de l’entrée en vigueur du règlement européen sur la protection des données, les États membres font figure de mauvais élèves. À ce jour, l’Allemagne et l’Autriche sont les deux seuls États à avoir finalisé le travail législatif. La Commission européenne, inquiète, demande aux États et aux entreprises de redoubler d’efforts et publie de nouvelles orientations pour les aider dans la mise en conformité.

 

« Dans le monde d’aujourd’hui, la manière dont nous traitons les données déterminera dans une large mesure notre avenir économique et notre sécurité personnelle. Nous avons besoin de règles modernes pour faire face à des risques nouveaux ; c’est pourquoi nous appelons les gouvernements des États membres, les autorités et les entreprises de l’UE à tirer au mieux parti du temps qu’il reste et à s’acquitter de leurs missions dans la perspective du grand jour. » Věra Jourová, commissaire européenne chargée de la justice, des consommateurs et de l’égalité des genres.

Et comme le temps est désormais compté, la commission a publié le 24 janvier dernier, des orientations visant à faciliter l’application des nouvelles règles en matière de protection des données.

Les orientations soulignent les mesures que la Commission européenne, les autorités nationales de protection des données et les administrations nationales devraient encore prendre pour mener à bien les préparatifs. Car si le nouveau règlement fournit un ensemble unique de règles directement applicables dans tous les États membres, d’importants ajustements n’en resteront pas moins nécessaires.

Notamment, pour certains aspects comme la modification des législations existantes par les gouvernements des États membres de l’UE ou la mise en place du comité européen de la protection des données par les autorités de protection des données.

Les orientations rappellent les principales innovations et perspectives découlant des nouvelles règles, prennent acte des préparatifs déjà engagés et mettent en exergue ce qui doit encore être accompli par la Commission européenne, les autorités nationales de protection des données et les administrations nationales.

 

Marché unique numérique

 

Les orientations rappellent les principaux éléments des nouvelles règles en matière de protection des données :

  • Un ensemble unique de règles pour tout le continent, garantissant la sécurité juridique pour les entreprises et un même niveau de protection des données pour tous les citoyens de l’UE.
  • Des règles identiques applicables à l’ensemble des entreprises offrant leurs services dans l’UE, même lorsque ces entreprises sont basées hors du territoire de l’UE.
  • Des droits nouveaux et plus forts pour les citoyens : le droit à l’information, le droit d’accès et le droit à l’oubli sont renforcés. Un nouveau droit à la portabilité des données permet aux citoyens de transférer leurs données d’une entreprise à l’autre. De nouveaux débouchés commerciaux s’ouvriront ainsi aux entreprises.
  • Une protection accrue contre les violations de données : une entreprise victime d’une violation de données, qui fait courir un risque aux personnes concernées, doit en informer l’autorité de protection des données dans les 72 heures.
  • Des règles contraignantes et des amendes dissuasives : toutes les autorités de protection des données pourront infliger des amendes pouvant aller jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial.

 

Depuis l’adoption du règlement général sur la protection des données, en mai 2016, la Commission a collaboré activement avec tous les acteurs concernés (gouvernements, autorités nationales, entreprises, société civile) en vue de préparer l’application des nouvelles règles.

La commission souligne que « les préparatifs progressent à des vitesses variant d’un État membre à l’autre. À ce stade, seuls deux d’entre eux ont déjà adopté la législation nationale pertinente. Les États membres devraient accélérer l’adoption de la législation nationale et faire en sorte que les mesures prises soient conformes au règlement. Ils devraient aussi veiller à doter leurs autorités nationales des ressources financières et humaines nécessaires pour garantir leur indépendance et leur efficacité. »

En outre, parallèlement à l’adoption de la présente communication, la Commission lance une boîte à outils en ligne pour aider les parties prenantes à se préparer en vue de l’application du règlement, ainsi qu’une campagne d’information dans tous les États membres, avec le soutien des bureaux de représentation.

Les orientations se présentent donc sous la forme d’un outil pratique en ligne disponible dans toutes les langues de l’UE. Cet outil sera régulièrement mis à jour et cible essentiellement trois publics : les citoyens, les entreprises (en particulier les PME) et d’autres organisations, et les administrations publiques. Il comprend des questions et des réponses sélectionnées sur la base du retour d’informations des parties prenantes, avec des exemples pratiques et des liens vers diverses sources d’information (par exemple, des articles du règlement, les lignes directrices adoptées par le groupe de travail «article 29»/ le comité européen de la protection des données, ainsi que le matériel élaboré à l’échelle nationale).

 

Prochaines étapes

 

D’ici au 25 mai, la Commission ajoute qu’elle « continuera d’aider activement les États membres, les autorités de protection des données et les entreprises afin de faire en sorte que la réforme soit prête à être mise en œuvre ». À compter de mai 2018, « elle surveillera la manière dont ils appliquent les nouvelles règles et prendra les mesures appropriées, le cas échéant. »

Un an après l’entrée en vigueur du règlement (2019), la Commission organisera un événement pour dresser le bilan de l’expérience des différentes parties prenantes en ce qui concerne sa mise en œuvre.

Retour

La CNIL alerte les entreprises sur l’urgence de se préparer à un « changement culturel »

La CNIL alerte les entreprises sur l’urgence de se préparer à un « changement culturel »

 

Le 25 mai 2018, les entreprises devront être en conformité avec le nouveau règlement européen sur le traitement des données personnelles. La CNIL estime que « les entreprises doivent prendre la mesure de la marche à franchir » car elles doivent se préparer à un « changement culturel ».

A partir du 25 mai 2018, toutes les entreprises ou organisations localisées au sein d’un pays membre de l’UE, mais également situées hors UE sont concernées par la mise en conformité dès lors qu’elles collectent, traitent ou stockent des données à caractère personnel (DCP). Et si une entreprise fait appel à un sous-traitant, elle doit s’assurer que ce dernier sera en mesure de respecter le GDPR.

 

Le principe d’accountability

 

Jusqu’à présent, les responsables de traitement étaient soumis à un système déclaratif ou d’autorisation préalable à la mise en place de traitements de données auprès des autorités de contrôle (la CNIL en France). Avec la mise en place du nouveau règlement, on passe d’un régime déclaratif hérité de la directive de 1995 à une démarche responsable.

En pratique, ce « principe de responsabilisation » (accountability) implique que le responsable d’un traitement de données personnelles adopte des mesures techniques et organisationnelles permettant de garantir une protection optimale des données et une minimisation de la collecte.

Concrètement, cela implique que chaque organisme devra édicter une politique de protection des données personnelles sur-mesure selon le traitement auquel il procède. En effet, le G29 (Groupe de travail réunissant les 29 autorités indépendantes européennes de protection des données) précise que la mise en pratique du principe d’ « Accountabilit » suppose une analyse au « cas par cas ».

Comment les entreprises peuvent d’ores et déjà mettre en place ce « principe d’accountability » ?

Il est nécessaire, dans un premier temps de faire un état des lieux afin de classifier les données selon leur typologie. Ensuite, un audit et une étude de risque seront envisagés.

 

NOVENCIA peut vous accompagner dans cette démarche.

Rencontrons-nous !