Vers un Schengen de la donnée ?

Visuel pour l'article : "Vers un Schengen de la donnée ?"

Le Parlement européen a approuvé la libre-circulation des données non personnelles au sein de l’Union européenne. Avec cette mesure, les eurodéputés entendent encourager l’innovation. Carburants de l’intelligence artificielle et de l’Internet des objets (IoT), ces données pourraient permettre aux startups et PME de créer de nouveaux services. Une mesure qui pourrait changer la donne pour l’économie numérique. En effet, selon un rapport de l’IDC, ce règlement pourrait permettre au PIB de l’UE de croître de 4% soit 739 milliards d’euros d’ici 2020.

 

Après la libre-circulation des personnes, des biens, services et capitaux, les eurodéputés ont adopté le 4 octobre dernier, une « cinquième liberté » : celle de la libre-circulation des données non personnelles. Cette mesure élimine donc les restrictions géographiques au stockage et au traitement de ces données au sein du marché unique. Concrètement, un État ne pourra plus imposer le stockage et le traitement des données non personnelles sur son territoire ou un territoire membre de l’UE.

À la différence des données personnelles (nom, prénom, adresse, mail…) qui permettent d’identifier une personne physique, les données non personnelles sont anonymisées. Elles peuvent donc servir aux entreprises cherchant à développer de nouveaux services ou encore à la recherche scientifique.
Dans une déclaration commune, le vice-président et commissaire pour le marché unique numérique, Andrus Ansip, et la commissaire pour l’économie et la société numériques, Mariya Gabriel, ont salué cette adoption :

« la libre circulation des données est une condition indispensable pour que l’Europe puisse exploiter au mieux le potentiel des technologies numériques et des avancées dans ce domaine, telles que l’intelligence artificielle et les supercalculateurs. ».

 

En réduisant le protectionnisme en matière de données, les eurodéputés espèrent faire tomber les frontières et donner un coup de pouce à l’Europe numérique. En effet, jusqu’à présent, les restrictions en matière de localisation des données étaient considérées comme un frein au développement d’une économie de la donnée. Andrus Ansip et Mariya Gabriel estiment que :

« la nouvelle réglementation donnera une forte impulsion à l’économie européenne des données car les start-up et PME européennes auront la possibilité de créer de nouveaux services grâce à l’innovation transfrontière dans le domaine des données. Le PIB de l’UE pourrait croître de 4 % – c’est-à-dire de 739 milliards d’euros – d’ici à 2020. ».

 

Un complément au GDPR

Anna Maria Corazza Bildt, rapporteuse suédoise a toutefois rassuré sur l’impact de la libre-circulation. « La nouvelle loi n’affectera pas la vie privé des citoyens. Le règlement général sur la protection des données ne sera pas modifié (…). Dans le cas où les données personnelles et non personnelles sont inextricablement liées, la libre circulation des données n’entravera pas le GDPR ».

Les deux règlements fonctionneront ensemble pour permettre la libre circulation de toutes les données – à caractère personnel et non personnel – et créer ainsi un espace européen unique des données.

En cas de jeu de données composite, la disposition du GDPR garantissant la libre circulation des données à caractère personnel s’appliquera à la partie personnelle du jeu, et le principe de la libre circulation des données à caractère non personnel s’appliquera à la partie non personnelle. Les États membres devront notifier à la Commission toute restriction résiduelle ou prévue concernant des cas précis et limités de traitement des données du secteur public. Par ailleurs, l’accès aux données ne peut être refusé aux autorités judiciaires ou fiscales d’un pays sous prétexte qu’elles sont traitées dans un autre État membre.

La nouvelle législation, adoptée en plénière par 520 voix pour, 81 contre et 6 abstentions, devrait être approuvée par le Conseil des ministres de l’UE le 6 novembre. Les États membres de l’UE disposeront ensuite de six mois pour appliquer ces nouvelles règles.

 

Contexte

En septembre 2017, à l’occasion du discours sur l’état de l’Union du président Jean-Claude Juncker, la Commission a proposé un cadre pour la libre circulation des données à caractère non personnel afin de libérer tout le potentiel d’une économie européenne fondée sur les données. Il a été annoncé comme l’une des actions clés lors de l’examen à mi-parcours de la stratégie pour un marché unique numérique.

Dominique Cozzi – Journaliste

 

En savoir plus sur nos offres de conseil: https://www.gdpr-rating.eu/fr/services/

Les entreprises n’ont aucun intérêt à contourner le réglement!

Visuel pour l'article "Les entreprises n'ont aucun intérêt à contourner le réglement!"

Selon une étude publiée par Marketo, fournisseur de logiciels et solutions marketing, 83% des consommateurs européens sont sceptiques quant à l’application du règlement sur la protection de la donnée personnelle, entrée en vigueur le 25 mai dernier. Ce sont donc 4 européens sur 5 qui pensent que les entreprises vont tout faire pour contourner le GDPR. Parallèlement, les organisations qui sont au fait du règlement remportent un franc succès auprès des utilisateurs !

Des données en fuite

Près de 2,5 milliards de dossiers volés ou corrompus en 2017, Twitter mis à mal par une faille de sécurité dans ses mots de passe utilisateur et plus récemment le scandale Cambridge Analytica… Depuis un an, les consommateurs européens se disent prêts à faire valoir leur droit pour connaître les données personnelles que les entreprises détiennent sur eux, y accéder et savoir à quel(s) moment(s) elles servent à la prise de décision automatisée.

Selon une étude réalisée l’an dernier, par Pegasystems, auprès de 7 000 consommateurs européens issus de 7 pays différents, 82% ont, en effet, la ferme intention de faire valoir leurs nouveaux droits, de limiter, voire de supprimer leurs informations stockées et utilisées par les entreprises.

Les Français sur le podium

Toujours selon l’étude de Pegasystems, près de 96 % des utilisateurs français souhaitent savoir ce que les entreprises détiennent comme informations sur eux. Par ailleurs, 93% d’entre eux veulent pouvoir décider directement de la façon dont ces informations sont utilisées.

Un an après, selon l’étude menée par Marketo, cette inquiétude reste majoritaire. Près de 76% des personnes interrogées sont préoccupées par l’utilisation et le stockage de leurs données personnelles. Or, aujourd’hui, même après l’entrée en vigueur du règlement, seules 1/3 des entreprises sont totalement en conformité avec le GDPR.

Cependant, et c’est la note très positive de l’étude Marketo, l’avenir appartient aux entreprises qui se sont mises en conformité puisqu’on peut lire dans le compte rendu, que celles qui ont abouti leur mise en conformité « sont non seulement nettement plus optimistes quant au dépassement de leurs objectifs de revenus, mais plus de la moitié des consommateurs sont aussi heureux de partager et d’échanger leurs informations s’ils pensent que cela aboutira à des offres pertinentes et personnalisées ».

Dominique Cozzi – Journaliste

 

En savoir plus sur nos offres de conseil: https://www.gdpr-rating.eu/fr/services/

Près de 2,6 milliards de dossiers de données volés ou corrompus en 2017

Visuel pour l'article "Près de 2,6 milliards de dossiers de données volés ou corrompus en 2017"

Le Breach Level Index* a parlé ! Selon son dernier rapport, le vol d’identité reste la première cause de violation de données tandis que l’erreur humaine est un problème majeur dans la gestion des risques et sécurité. C’est pourquoi, le règlement européen sur la protection des données qui entrera en vigueur le 25 mai prochain est une formidable opportunité pour les entreprises de sécuriser les données de leur organisation mais surtout de leurs clients.

À quelques heures de la date butoir, un grand nombre d’entreprises ne sont pas encore prêtes. Et les chiffres publiés par le Breach Level Index ne rassurent pas ! Ces quinze dernières années, près de 10 milliards de dossiers ont été volés, perdus ou exposés. En moyenne c’est 5 millions de dossiers qui ont été corrompus par jour.

Sur les 1765 incidents de brèches de données en 2017, le vol d’identité arrive en tête avec 69% de toutes les incidents de violations de données. Les tiers malveillants représentaient en 2017 la première menace de cybersécurité (72%). Mais c’est l’erreur humaine qui connait la plus forte progression avec une augmentation de 580% du nombre de dossiers corrompus depuis 2016. À l’origine, des suppressions inappropriées des dossiers, des bases de données mal configurées ou encore des problèmes de sécurité involontaire.

L’an dernier, les secteurs les plus touchés étaient la santé (27%), les services financiers (12%), l’éducation (11%), et les gouvernements (11%).

Au regard du nouveau règlement, l’essentiel de la démarche de mise en conformité passe par un audit général des traitements. Cet audit permet d’identifier des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées.

Dominique Cozzi – Journaliste

 

En savoir plus sur nos offres de conseil: https://www.gdpr-rating.eu/fr/services/

GDPR: Que peuvent faire les entreprises en moins d’un mois ?

Visuel pour l'article "GDPR: Que peuvent faire les entreprises en moins d’un mois ?"

Alors que le règlement est entré en vigueur, c’est officiel les entreprises ne sont pas prêtes !

Pour autant, comme le souligne la présidente de la CNIL, Isabelle Falque-Pierrotin, « le 25 mai n’est pas une date couperet annonciatrice d’une pluie de sanctions ». Pour le régulateur, qui a décidé de faire « preuve de souplesse et de pragmatisme » l’essentiel pour les entreprises est d’avoir entamé le travail de mise en conformité. Et comme il n’est jamais trop tard pour se mettre en ordre de marche, les entreprises ont la possibilité de mener des actions rapides et efficaces en vue de la date butoir. Prêts pour un check up ? C’est parti !

Comme le souligne Isabelle Falque-Pierrotin, le GDPR est une « démarche lourde et exigeante, en particulier pour les petites entreprises (…) elles doivent remplacer le processus de déclaration préalable à la mise en œuvre d’un traitement de données personnelles. » C’est pourquoi, la CNIL a décidé de les accompagner plutôt que de les sanctionner.

Toutefois, la présidente précise que pour un « certain nombre de principes du RGPD qui ne sont pas nouveaux. Par exemple, l’obligation de devoir préciser à quelles fins des données personnelles sont collectées, ou bien les limites relatives à la durée de conservation d’une donnée (…) nous avons contrôlé le 26 mai, comme on le faisait le 12 avril. En revanche, sur les principes ou outils nouveaux, comme le droit à la portabilité des données d’un service à un autre, les délégués à la protection des données ou le registre de traitement, nous adopterons une posture d’accompagnement. ».

Au 25 mai, les entreprises qui n’étaient pas en conformité avec le GDPR devaient au moins l’être avec la Loi Informatiques et Libertés de 1978.

L’essentiel de la démarche de mise en conformité passe par un audit général des traitements afin d’identifier des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées. Elle doit mener, pour chacun de ces traitements, une étude d’impact sur la protection des données (en anglais, Privacy Impact Assessment ou PIA).

Dominique Cozzi – Journaliste

 

En savoir plus sur nos offres de conseil: https://www.gdpr-rating.eu/fr/services/

 

Et les sous-traitants dans tout ça?

Visuel pour l'article "GDPR : et les sous-traitants dans tout ça ?"

Pour les sous-traitants, les hébergeurs ou les plateformes de gestion de données, être « GDPR compliant » au 25 mai prochain, c’est l’obligation de revoir tous les contrats de service. C’est un des corollaires de la directive européenne : elle supprime la plupart des obligations déclaratives auprès du régulateur mais elle crée, en parallèle, un principe de responsabilité plutôt étendu. Responsables de traitements et sous-traitants vont donc devoir réexaminer leurs contrats.

Quelles sont les obligations des sous-traitants ?

La sécurité des données personnelles devra être assurée par le responsable de traitement mais aussi par le sous-traitant. Leur objectif commun est ainsi d’assurer la confidentialité, l’intégrité, la disponibilité et surtout la notion nouvelle de « résilience des systèmes et des services de traitement des données. »

Les exigences du nouveau règlement a une influence directe sur les futurs contrats conclus avec les prestataires. Le contenu du contrat est en effet enrichi et doit préciser notamment la finalité du traitement, la durée de conservation des données et les obligations du sous-traitant.

Jusqu’ici les sous-traitants avaient une responsabilité contractuelle vis-à-vis du responsable du traitement sous réserve d’un contrat écrit entre les deux parties.

À partir du 25 mai 2018, même en l’absence d’un contrat signé, les sous traitants seront désormais partiellement responsables des traitements de données qu’ils mettent en œuvre pour le compte d’une entreprise tierce. Ils pourront donc être audités voire sanctionnés en cas de non-respect du GDPR.

Quelles sont leurs nouvelles obligations ?

  • Tenir un registre des traitements
  • En cas de violation de sécurité, mettre en œuvre les procédures et mesures de sécurité
  • Transmettre au plus tard dans les 72 heures l’ensemble des éléments que le responsable de traitement est tenu de transmettre à la CNIL
  • Contester les instructions du responsable de traitement si elles sont contraires à la loi
  • Assister le responsable de traitement en cas de demande d’accès, d’effacement, de portabilité, etc…

Comment les entreprises peuvent se mettre en ordre de marche ?

Il est nécessaire, dans un premier temps de faire un état des lieux afin de classifier les données selon leur typologie. Ensuite, un audit et une étude de risque seront envisagés.

Dominique Cozzi – Journaliste

 

En savoir plus sur nos offres de conseil: https://www.gdpr-rating.eu/fr/services/

L’Europe demande de passer à la vitesse supérieure !

Visuel pour l'article "L’Europe demande de passer à la vitesse supérieure !"

À un peu plus de 100 jours de l’entrée en vigueur du règlement européen sur la protection des données, les États membres font figure de mauvais élèves. À ce jour, l’Allemagne et l’Autriche sont les deux seuls États à avoir finalisé le travail législatif. La Commission européenne, inquiète, demande aux États et aux entreprises de redoubler d’efforts et publie de nouvelles orientations pour les aider dans la mise en conformité.

 

« Dans le monde d’aujourd’hui, la manière dont nous traitons les données déterminera dans une large mesure notre avenir économique et notre sécurité personnelle. Nous avons besoin de règles modernes pour faire face à des risques nouveaux ; c’est pourquoi nous appelons les gouvernements des États membres, les autorités et les entreprises de l’UE à tirer au mieux parti du temps qu’il reste et à s’acquitter de leurs missions dans la perspective du grand jour. » Věra Jourová, commissaire européenne chargée de la justice, des consommateurs et de l’égalité des genres.

Et comme le temps est désormais compté, la commission a publié le 24 janvier dernier, des orientations visant à faciliter l’application des nouvelles règles en matière de protection des données.

Les orientations soulignent les mesures que la Commission européenne, les autorités nationales de protection des données et les administrations nationales devraient encore prendre pour mener à bien les préparatifs. Car si le nouveau règlement fournit un ensemble unique de règles directement applicables dans tous les États membres, d’importants ajustements n’en resteront pas moins nécessaires.

Notamment, pour certains aspects comme la modification des législations existantes par les gouvernements des États membres de l’UE ou la mise en place du comité européen de la protection des données par les autorités de protection des données.

Les orientations rappellent les principales innovations et perspectives découlant des nouvelles règles, prennent acte des préparatifs déjà engagés et mettent en exergue ce qui doit encore être accompli par la Commission européenne, les autorités nationales de protection des données et les administrations nationales.

 

Marché unique numérique

Les orientations rappellent les principaux éléments des nouvelles règles en matière de protection des données :

  • Un ensemble unique de règles pour tout le continent, garantissant la sécurité juridique pour les entreprises et un même niveau de protection des données pour tous les citoyens de l’UE.
  • Des règles identiques applicables à l’ensemble des entreprises offrant leurs services dans l’UE, même lorsque ces entreprises sont basées hors du territoire de l’UE.
  • Des droits nouveaux et plus forts pour les citoyens : le droit à l’information, le droit d’accès et le droit à l’oubli sont renforcés. Un nouveau droit à la portabilité des données permet aux citoyens de transférer leurs données d’une entreprise à l’autre. De nouveaux débouchés commerciaux s’ouvriront ainsi aux entreprises.
  • Une protection accrue contre les violations de données : une entreprise victime d’une violation de données, qui fait courir un risque aux personnes concernées, doit en informer l’autorité de protection des données dans les 72 heures.
  • Des règles contraignantes et des amendes dissuasives : toutes les autorités de protection des données pourront infliger des amendes pouvant aller jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial.

 

Depuis l’adoption du règlement général sur la protection des données, en mai 2016, la Commission a collaboré activement avec tous les acteurs concernés (gouvernements, autorités nationales, entreprises, société civile) en vue de préparer l’application des nouvelles règles.

La commission souligne que « les préparatifs progressent à des vitesses variant d’un État membre à l’autre. À ce stade, seuls deux d’entre eux ont déjà adopté la législation nationale pertinente. Les États membres devraient accélérer l’adoption de la législation nationale et faire en sorte que les mesures prises soient conformes au règlement. Ils devraient aussi veiller à doter leurs autorités nationales des ressources financières et humaines nécessaires pour garantir leur indépendance et leur efficacité. »

En outre, parallèlement à l’adoption de la présente communication, la Commission lance une boîte à outils en ligne pour aider les parties prenantes à se préparer en vue de l’application du règlement, ainsi qu’une campagne d’information dans tous les États membres, avec le soutien des bureaux de représentation.

Les orientations se présentent donc sous la forme d’un outil pratique en ligne disponible dans toutes les langues de l’UE. Cet outil sera régulièrement mis à jour et cible essentiellement trois publics : les citoyens, les entreprises (en particulier les PME) et d’autres organisations, et les administrations publiques. Il comprend des questions et des réponses sélectionnées sur la base du retour d’informations des parties prenantes, avec des exemples pratiques et des liens vers diverses sources d’information (par exemple, des articles du règlement, les lignes directrices adoptées par le groupe de travail «article 29»/ le comité européen de la protection des données, ainsi que le matériel élaboré à l’échelle nationale).

 

Prochaines étapes

D’ici au 25 mai, la Commission ajoute qu’elle « continuera d’aider activement les États membres, les autorités de protection des données et les entreprises afin de faire en sorte que la réforme soit prête à être mise en œuvre ». À compter de mai 2018, « elle surveillera la manière dont ils appliquent les nouvelles règles et prendra les mesures appropriées, le cas échéant. »

Un an après l’entrée en vigueur du règlement (2019), la Commission organisera un événement pour dresser le bilan de l’expérience des différentes parties prenantes en ce qui concerne sa mise en œuvre.

Dominique Cozzi – Journaliste

 

En savoir plus sur nos offres de conseil: https://www.gdpr-rating.eu/fr/services/

La CNIL alerte les entreprises sur l’urgence de se préparer à un « changement culturel »

Visuel pour l'article "La CNIL demande aux entreprises de se préparer à un changement culturel"

Le 25 mai 2018, les entreprises devront être en conformité avec le nouveau règlement européen sur le traitement des données personnelles. La CNIL estime que « les entreprises doivent prendre la mesure de la marche à franchir » car elles doivent se préparer à un « changement culturel ».

A partir du 25 mai 2018, toutes les entreprises ou organisations localisées au sein d’un pays membre de l’UE, mais également situées hors UE sont concernées par la mise en conformité dès lors qu’elles collectent, traitent ou stockent des données à caractère personnel (DCP). Et si une entreprise fait appel à un sous-traitant, elle doit s’assurer que ce dernier sera en mesure de respecter le GDPR.

 

Le principe d’accountability

Jusqu’à présent, les responsables de traitement étaient soumis à un système déclaratif ou d’autorisation préalable à la mise en place de traitements de données auprès des autorités de contrôle (la CNIL en France). Avec la mise en place du nouveau règlement, on passe d’un régime déclaratif hérité de la directive de 1995 à une démarche responsable.

En pratique, ce « principe de responsabilisation » (accountability) implique que le responsable d’un traitement de données personnelles adopte des mesures techniques et organisationnelles permettant de garantir une protection optimale des données et une minimisation de la collecte.

Concrètement, cela implique que chaque organisme devra édicter une politique de protection des données personnelles sur-mesure selon le traitement auquel il procède. En effet, le G29 (Groupe de travail réunissant les 29 autorités indépendantes européennes de protection des données) précise que la mise en pratique du principe d’ « Accountabilit » suppose une analyse au « cas par cas ».

Comment les entreprises peuvent d’ores et déjà mettre en place ce « principe d’accountability » ?

Il est nécessaire, dans un premier temps de faire un état des lieux afin de classifier les données selon leur typologie. Ensuite, un audit et une étude de risque seront envisagés.

Dominique Cozzi – Journaliste

 

NOVENCIA peut vous accompagner dans cette démarche.

Rencontrons-nous !