Bonjour, veuillez faire une sélection:

(*format pdf)

(** à défaut d'un CP en format pdf, vous pouvez nous envoyer les infos ici)

Vos infos

*

Suivez-nous

(Mais pas de trop près quand même...)

Avis d'Experts

Le phénomène Shadow IT : Attention Danger !

Yvon Defour (DSI)

Publié

le

Dans beaucoup d’entreprises, les administrateurs informatiques font de plus en plus face à une nouvelle source de contraintes : le Shadow IT. Beaucoup de directions et d’employés se procurent et utilisent des applications sans que la diection informatique ne soit mis au courant ou n’ait donné son accord.

Une enquête réalisée par PricewaterhouseCoopers (PwC) indique que 15 à 30 % des dépenses informatiques des entreprises sondées se font hors budget officiel.

Le commentaire d’Yvon Defour (DSI)

Le SHADOW IT est le cancer des systèmes d’information des entreprises et de la sécurité de ceux-ci. Il accompagne ou précède inévitablement la déconsidération du rôle de la DSI et du DSI et accélère le processus qui conduit une Direction Générale à se retrouver, à terme,  avec un SI complètement éclaté, extrêmement coûteux à maintenir, inadapté à l’évolution du business et à  la stratégie de l’Entreprise  et…..sans plus aucun DSI pour le gérer.

Pourtant,  force est de constater que le SHADOW IT procède au départ des meilleures intentions et répond à des besoins métiers souvent non couverts par le catalogue de service de la DSI.

 

Shadow_IT

Exemple fréquent :  je veux travailler sur des données à plusieurs et depuis n’importe où

On assiste alors à la souscription en direct par les métiers sans passer ni par la DSI ni par les services achat (utilisation des notes de frais) de services IT externes  en tout genre :

  • Stockage de fichiers en ligne sur des services type Dropbox, GOOGLE DRIVE, ONEDRIVE,
  • Téléchargement d’applications ou -dans le cas d’impossibilité d’installation sur le poste- location de celles-ci sur le Cloud,
  • Accès à des messageries hébergées personnelles non sécurisées, accès maintenant directement à son Cloud personnel sur son disque de 5To à la maison et à tous les films piratés
  • Utilisation de matériel personnel qui soit fait la navette entre le bureau et la maison, soit se substitue carrément à l’ordinateur du bureau sans bien évidemment en parler à quiconque,  le web mail permettant de continuer à travailler avec la messagerie de l’entreprise.
  • Développement d’applications avec locations de serveurs sur AMAZON pour “faire des tests” avec le stagiaire pris lui aussi sur un budget hors IT métier
  • Enfin le cas le plus célèbre:  “THE” CRM de type  “Sales Force” en ASP que tout bon responsable marketing qui s’est fait démarcher en direct de la part d’un de ses copains d’école est censé avoir sous peine de passer pour un idiot à l’apéro. (ensuite quand il va s’agir de lier tout cela au SI de l’entreprise…… ce sera un autre débat et la faute du DSI comme d’habitude).
  • etc, etc….

Les dangers :

  • Autant de portes ouvertes sans aucune protection sur le SI de l’entreprise
  • Fin de l’intégrité des données d’une entreprise,
  • Coûts cachés donc non comptabilisés et générant des coûts supplémentaires pour une intégration éventuelle (mais la plupart du temps c’est de l’argent perdu, l’expérience ne vivant que le temps du stagiaire ou de la mode de l’application vite remplacée par un bon vieux excel)
  • Risque de dépenses totalement incontrôlées et découvertes trop tard,
  • Risque très important de fuite d’information car les données de l’entreprise se voient exposées
  • Continuité : ont la plupart du temps des SLA qui ne correspondent pas aux besoins de l’entreprise
  • Désengagement : les contrats souscrits par des non-initiés sont suffisamment verrouillés pour que l’engagement de l’entreprise aille jusqu’au bout sans aucune possibilité de sortie anticipée
  • etc…etc.

Surtout ne voyez pas dans ces description la vision d’un DSI aigri qui verrait son “pouvoir” mis en doute. Pas du tout,  car une DSI aussi performante soit elle ne peut raisonnablement pas répondre à tous les besoins de tous les métiers tout le temps et une DSI n’est pas non plus là pour bloquer toutes les initiatives !!

Par contre une DSI est là pour assurer la sécurité et la pérennité du SI de l’Entreprise alors pourquoi ne pas l’impliquer et la questionner avant ?

La DSI, si elle est pilotée par un vrai DSI de métier et non un technicien ou pire un ancien financier “qui-a-fait-du-thomson-MO5-à-la-maison-quand-il-était-petit” ,  et si elle veut continuer à exister, doit augmenter son implication auprès des métierscomprendre le business de l’entreprise et proposer de manière proactive des évolutions du catalogue de services de la DSI. Les améliorations en termes de gouvernance et de Pilotage induit par la Transformation IT feront de la DSI le partenaire des métiers et un véritable apporteur de valeur ajoutée pour l’entreprise

Dans tous les cas,  c’est la crédibilité du DSI et l’écoute qu’il a auprès de ses collègues et auprès de la DG qui feront la différence.

Si le DSI est perçu comme une personne à qui il est bon de demander conseil avant d’agir, comme une personne à l’écoute et qui a, comme tout le monde, ses soucis de ressources de budget de priorité,  alors les choses se feront dans les règles et sans problème.

Certes, le DSI de métier a des connaissances transversales assez poussées du fait de la variété des expériences vécues mais, dans ce cas, il doit être perçu comme une opportunité et non comme un gêne. C’est au DG de passer le message.

Malheureusement peu de DG considère le DSI autrement que comme un pur technicien et peu de DSI ont cette capacité à sortir de ce rôle qui quelque part -et c’est un paradoxe- les protègent (du moins ils le croient)

Bref, entre une DG qui ne comprend pas comment bien l’utiliser, des prestataires qui rêvent de le remplacer, des équipes qui n’ont d’équipiers que le nom car se jugeant souvent mal formés et mal payés, des collègues pour qui il est plus gênant qu’utile et des utilisateurs dont il est, avec son équipe, le soufre douleur, être DSI est un vrai bonheur !! 😉

Mais quand on aime son métier………

Facebook Comments
Lire la suite
Commenter

Répondre

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Avis d'Experts

[Avis d’experts] Protection des données personnelles et sécurité numérique : quoi de neuf ?

Publié

le

Nombreux sont ceux qui ont entendu parler de la loi informatique et liberté qui, transposant notamment une directive communautaire d’octobre 1995, régissait la protection des données personnelles, à savoir les droits et obligations des entreprises et les droits des personnes concernées par la collecte et le traitement de ces données.

Soucieuse de renforcer la protection des personnes afin notamment de renforcer la confiance des internautes, et de faciliter le développement du numérique, l’Union européenne a adopté le 14 avril 2016 un texte qui vient remplacer le texte de la directive, « le règlement général sur la protection des données », n° 2016/679.

Ce règlement intervient après deux arrêts importants de la Cour de Justice de l’Union européenne[1] qui ont souligné la nécessité de prévoir des garanties effectives et concrètes pour la protection des données. Il manifeste également la volonté claire de l’Union européenne de garantir les droits des personnes sur leurs données personnelles comme des droits fondamentaux conformément à l’article 16 du Traité FUE[2].

Ce règlement a également pour effet d’instaurer un droit totalement unifié dans l’ensemble des pays membres de l’Union Européenne.

Que contient ce texte ?

1./ Il énumère les droits de la personne concernée, c’est-à-dire de la personne dont les données à caractère personnel font l’objet d’un traitement en leur permettant d’exercer un contrôle renforcé sur les données à caractère personnel les concernant. Il prévoir notamment :

  • la nécessité d’obtenir de la personne qu’elle indique clairement qu’elle consent au traitement des données à caractère personnel article 7), notamment le consentement parental pour les mineurs
  • un accès plus facile de la personne concernée aux données à caractère personnel qui la concernent
  • les droits à la rectification, à l’effacement des données et à l’oubli (article 17)
  • l’encadrement des activités de profilage et notamment la possibilité de s’opposer à l’utilisation de ses données personnelles à des fins de profilage (article 20)
  • La mise en place d’un mécanisme élargi de notification des failles de sécurité (articles 31 et suivants).
  • le droit à la portabilité des données d’un prestataire de services à un autre.

Le règlement précise les obligations générales des responsables du traitement et des personnes qui effectuent le traitement de données à caractère personnel pour leur compte (sous-traitants). Parmi ces obligations figure celle, essentielle, consistant à mettre en œuvre les mesures de sécurité appropriées et adaptées aux risques liés aux opérations de traitement de données réalisées Cette approche basée sur le risque suppose d’analyser chaque traitement et d’être en mesure de mesurer le risque que le traitement peut faire courir, notamment au regard de la confidentialité des données.

Les responsables du traitement ont l’obligation de notifier les violations de données à caractère personnel dans certaines hypothèses. Quant aux pouvoirs publics et aux entreprises qui effectuent des traitements de données présentant des risques, ils sont astreints à désigner un délégué à la protection des données.

Par ailleurs plusieurs dispositions de ce règlement constituent des nouveautés :

Ainsi, le chapitre V, qui traite des transferts de données personnelles vers des Etats tiers ou des organisations internationales (articles 40 et suivants) constitue un point majeur de ce règlement. Il institue notamment un recours quasi systématique au binding corporate rules, ce qui doit inciter les entreprises à se doter d’outils de compliance.

De plus, le règlement instaure un « mécanisme de cohérence » (article 57), ainsi que des dispositions relatives aux  autorités de contrôle (chapitre VI et VII) destinées à renforcer la coopération entre ces dernières et à développer un véritable marché intérieur des données.

Les articles 78 et suivants traitent des sanctions, qui se voient renforcées (jusque 4% du chiffre d’affaires annuel total mondial) afin d’assurer une meilleure efficacité.

Mais surtout, le règlement invite les entreprises à mettre en place étude d’impact sur la vie privée, avant tout lancement d’un nouveau produit ou service, faisant ainsi la promotion de la Privacy by design. Le respect de la vie privée et des données personnelles doit être pris en compte dès la conception du produit ou du service.

Si les obligations des entreprises en matière de sécurité et notamment de sécurisation de leur environnement numérique et d’adoption de règles de compliance sont renforcées, le règlement prévoit également un allègement de nombreuses obligations administratives.

La gestion du risque constitue donc un des aspects majeurs de ce règlement et incombe aux entreprises et aux  autorités qui gèrent des données personnelles. Cela ne sera pas sans conséquence sur la responsabilité civile des entreprises qui doivent a minima suivre quelques recommandations :

Faire auditer les traitements de données de l’entreprise sous l’angle technique, juridique et managerial et mettre en place les études d’impact (Privacy Impact Assesment).

Faire auditer leur système d’information afin de s’assurer de la sécurisation effective des données (il ne s’agit pas seulement de s’assurer de l’existence d’un firewall).

Adopter des règles de compliance.

S’assurer qu’elles sont bien couvertes par leurs assurances responsabilité civile pour les risques concernés.

jp-gasnier-2

Par Jean-Pierre Gasnier

Avocat associé

Cabinet AKHEOS

Spécialiste en droit de la propriété intellectuelle et droit du numérique

 

[1] Arrêt de la CJUE du 8 avril 2014. Cette décision invalide la directive 2006/24/CE sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications dans les affaires jointes C-293/12 et C-594/12 Digital Rights Ireland et Seitlinger e.a ; arrêt de la CJUE du 6 octobre 2015, qui invalide la décision de la Commission constatant que les Etats-Unis assurent un niveau de protection adéquat aux données à caractère personnel transférées (Safe Harbor) dans l’affaire C-362/14 Maximillian Schrems / Data Protection Commissioner.

[2] Article 16 TFUE : 1. Toute personne a droit à la protection des données à caractère personnel la concernant. 2. Le Parlement européen et le Conseil statuant conformément à la procédure législative ordinaire, fixent les règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union, ainsi que par les Etats-membres dans l’exercice d’activités qui relèvent du champ d’application du droit de l’Union, et à la libre circulation de ces données. Le respect de ces règles est soumis au contrôle d’autorités indépendantes. Les règles adoptées sur la base du présent article sont sans préjudice des règles spécifiques prévues à l’article 39 du traité sur l’Union européenne

 

Facebook Comments
Lire la suite

Avis d'Experts

[Avis d’Experts] Panorama de droit du numérique

Publié

le

L’adoption de la nouvelle réglementation sur les données personnelles

Soucieuse de renforcer la protection des personnes afin notamment de renforcer la confiance des internautes, et de faciliter le développement du numérique, l’Union européenne a adopté le 14 avril 2016 un texte qui vient remplacer le texte de la directive, « le règlement général sur la protection des données », n° 2016/679.

Ce texte énumère les droits de la personne concernée, c’est-à-dire de la personne dont les données à caractère personnel font l’objet d’un traitement en leur permettant d’exercer un contrôle renforcé sur les données à caractère personnel les concernant. Il prévoir notamment :

  • l’obligation d’obtenir le consentement préalable de toute personne dont les données sont collectées, cette personne devant être clairement informée du ou des traitements que subiront ses données. Le consentement parental est obligatoire pour les mineurs
  • un accès plus facile de la personne concernée aux données à caractère personnel qui la concernent
  • un droit renforcé afin d’obtenir la rectification, au besoin l’effacement des données et un droit à l’oubli.
  • la possibilité de s’opposer à l’utilisation de ses données personnelles à des fins de profilage et un contrôle renforcé en cas de profilage consenti
  • La mise en place d’un mécanisme élargi de notification des failles de sécurité à charge des personnes traitant des données personnelles. Les responsables du traitement ont l’obligation de notifier les violations de données à caractère personnel dans certaines hypothèses. Quant aux pouvoirs publics et aux entreprises qui effectuent des traitements de données présentant des risques, ils sont astreints à désigner un délégué à la protection des données.
  • le droit à la portabilité des données personnelles traitées, d’un prestataire de services à un autre.

Le règlement précise les obligations générales des responsables du traitement et des personnes qui effectuent le traitement de données à caractère personnel pour leur compte (sous-traitants), notamment l’obligation de mettre en œuvre les mesures de sécurité appropriées et adaptées aux risques liés aux opérations de traitement de données réalisées.

Cette approche basée sur le risque suppose d’analyser chaque traitement et d’être en mesure de mesurer le risque que le traitement peut faire courir, notamment au regard de la confidentialité des données.

Par ailleurs, le chapitre V du règlement, qui traite des transferts de données personnelles vers des Etats tiers ou des organisations internationales institue notamment un recours quasi systématique aux binding corporate rules, (contrats destinés à encadrer le traitement et la sécurisation des données), ce qui doit inciter les entreprises à se doter d’outils de compliance.

Projet de loi pour une république numérique

Même si certains le déplorent, le data mining ou « fouille de données » n’échappe pas, en l’état actuel du droit, au règles qui régissent le droit d’auteur et le droit des producteurs de bases de données. Il est donc nécessaire pour effectuer des opérations de big data, d’obtenir les autorisations nécessaires des auteurs lorsque les données traitées sont soumises au droit d’auteur et du producteur de la base de données lorsque ces données sont récupérées dans une base, ce qui est le cas quasi systématiquement.

Il est toutefois apparu nécessaire au législateur de créer une exception afin de permettre le développement du traitement de données en masse. Ainsi, le texte du projet de loi voté par l’Assemblée nationale le 20 juillet dernier dispose que l’auteur ne pourra interdire les « copies ou reproductions numériques réalisées à partir d’une source licite, en vue de l’exploitation de textes et de données incluses ou associées aux écrits scientifiques pour les besoins de la recherche publique, à l’exclusion de toute finalité commerciale ».

Clairement, cette exception, qui n’est pas un texte encore en vigueur, ne concerne que les chercheurs, mais ne saurait s’appliquer aux entreprises traitant du data mining à titre commercial. Dans la mesure où le texte vise les traitements en dehors de toute visée commerciale, il ne devrait pas être possible de contourner la règlementation en confiant à des chercheurs publics certains traitements à visée commerciale, sous couvert de recherche.

Bref, les entreprises devront toujours veiller au respect du droit d’auteur, sans se bercer d’illusions.

Contrefaçon de logiciel commise par un coauteur

Dans un arrêt rendu par la première chambre civile le 15 juin 2016, la Cour de cassation a considéré que « l’exploitation d’un logiciel par un de ses co-auteurs sans l’accord de l’autre porte nécessairement atteinte aux droits de celui-ci et constitue une contrefaçon ». En l’espèce, deux personnes avaient développé un logiciel. L’un des développeurs, qui estimait être seul auteur a assigné en contrefaçon la société qui exploitait le logiciel et le second créateur qui revendiquait, lui aussi, la qualité d’auteur à titre exclusif.

La société faisait valoir que le logiciel lui appartenait car les auteurs étaient ses salariés. Or, le Code de la propriété intellectuelle prévoit que les logiciels créés par les salariés dans l’exercice de leur fonctions ou sur instruction de l’employeur, appartiennent à l’(employeur.  La Cour de cassation a approuvé le raisonnement de la cour d’appel qui a rejeté les arguments de la société au motif que la divulgation du logiciel était intervenue avant la création de la société et qui avait constaté qu’aucun apport des droits sur le logiciel à la société n’avait été fait. Dès lors, le logiciel développé par deux co-auteurs ne pouvait être qu’une œuvre de collaboration. Il en résulte que l’exploitation par un des co-auteurs suppose l’accord de l’autre. A défaut, il s’agit d’une contrefaçon.

On en saurait assez rappeler la nécessité de s’assurer de la titularité des droits d’auteur sur les logiciels, surtout dans les startups qui emploient souvent des stagiaires ou qui exploitent des logiciels créés avant que le société ne soit elle-même créée. La consultation d’un juriste spécialisé peut s’avérer plus qu’utile et éviter bien des déboires.

Protection du secret des affaires

L’Union européenne vient d’adopter une directive (Directive UE n° 2016/943 du 8 juin 2016) consacrant la protection du secret des affaires. Il ne s’agit pas ici de faire une présentation exhaustive de ce texte qui devra être intégré dans le droit des états membres avant le 9 juin 2018.

Il faut toutefois retenir que le secret des affaires, comme son nom l’indique, doit être couvert par le secret. En quoi cela concerne-t-il les activités numériques ? Tout simplement parce qu’il appartient à celui qui se prévaut du secret sur quelque information sensible, de prouver qu’il a mis en œuvre les moyens destinés à préserver ce secret, notamment les moyens physiques destinés à protéger l’accès à ses réseaux, en tenant compte de l’état actuel de la technique.

Soulignons également que des moyens juridiques devront être mis en place (accords de confidentialité rédigés le plus clairement possible, clauses dans les contrats de travail, les pactes d’actionnaires etc.)

Enfin, le secret des affaires ne crée pas un droit de propriété intellectuelle sur les informations. Sa communication doit donc être entourée de précautions. Les « NDA » (accords de confidentialité) que l’on peut trouver sur le net sont largement insuffisants..

« Les informations courantes et l’expérience et les compétences obtenues par les travailleurs dans l’exercice normal de leurs fonctions » sont exclus du champ du secret des affaires. Reste à définir la notion d’exercice normal des fonctions, ce qui suppose que les entreprises prennent soin d’établir des fiches de poste claires. Sont également exclues de la protection « les informations qui sont généralement connues des personnes appartenant aux milieux qui s’occupent normalement du genre d’informations en question, ou qui leur sont aisément accessibles ».

Nul doute, au vu de ce texte, que la rédaction des accords de confidentialité, qui sont trop souvent  et à tort, perçus comme de simple formulaires à remplir, va s’en trouver profondément bouleversée.

jp-gasnier-2Par Jean-Pierre Gasnier

Avocat associé

Cabinet AKHEOS

Spécialiste en droit de la propriété intellectuelle et droit du numérique

Facebook Comments
Lire la suite

Avis d'Experts

[Avis d’Experts] Nouveautés en droit des données personnelles

Publié

le

  • 1/  Nouvel accord « UE/US Privacy Shield »

Depuis 2000, l’accord « Safe Harbor » encadrait la façon dont les entreprises étaient autorisées à transférer vers les Etats-Unis les données des citoyens européens qui utilisent leurs services.

A la suite des révélations de l’affaire Edward Snowden, Mark Schrems, jeune Autrichien, avait déposé plainte contre Facebook en accusant la multinationale de conserver des données effacées par les utilisateurs, mais aussi de créer des « profils fantômes » qui rassemblent des informations sur des personnes n’ayant pas de compte Facebook. Cela a abouti à l’invalidation par la CJUE de l’accord Safe Harbor le 6 octobre 2015 car ce dernier n’offrait pas de garanties suffisantes pour la protection des données européennes stockées et exploitées aux Etats-Unis.

Après des mois de négociations intenses, la Commission Européenne a annoncé dans un communiqué du 2 février 2016 qu’elle était parvenue à un accord appelé « UE/US Privacy Shield » avec les Etats Unis définissant le régime destiné à remplacer le Safe Harbor pour encadrer les transferts de données. La Commission européenne a obtenu un engagement des Etats Unis d’abandonner la surveillance massive et indifférenciée des données et de définir les conditions et les limites de la surveillance par les autorités américaines.

L’accord prévoit en outre que les citoyens aussi bien Européens qu’Américains s’estimant bafoués auront la possibilité de recourir un mécanisme de résolution des différends. Est également prévue une clause de révision annuelle du dispositif par la FTC (Federal Trade Commission) et la Commission européenne.

Des sanctions pourront être prononcées à l’encontre des entreprises importatrices de données qui ne respecteraient pas les obligations posées par ce nouveau dispositif, notamment leur exclusion.

Il reste à savoir quelle sera la position du groupe de l’article 29 sur cet accord, notamment si celui-ci met en place des garanties suffisantes pour que les entreprises mettant en œuvre ce nouveau programme soient considérées par les autorités européennes de protection comme offrant un niveau de protection adéquat. La publication par la Commission européenne d’une « déclaration d’adéquation » permettant l’entrée en vigueur du Privacy Shield prendra sans doute plusieurs semaines.

http://europa.eu/rapid/press-release_IP-16-216_en.htm

  • 2/ Paquet Européen « protection des données personnelles »

Le Parlement européen, le Conseil européen et la Commission européenne se sont enfin entendus pour adapter, à l’ère de l’Internet grand public et des géants du Web, la directive qui régissait la protection des données personnelles depuis 1995. Ce projet a été adopté le 17 décembre 2015 par la Commission des libertés civiles, de la justice et des affaires intérieures du Parlement Européen.

La discussion portait sur deux textes :

  • D’une part, un règlement sur la protection des données (applicable automatiquement, il s’impose aux Etats)
  • D’autre part, une directive spécifique concernant les données utilisées par la police et les autorités judiciaires qui devra être transposée dans le droit national de chaque Etat membre.

Ce règlement a pour fonction de renforcer la capacité des citoyens à contrôler leur données personnelles présentent sur les services internet et les plates-formes.

Ainsi, les personnes concernées bénéficieront :

  • d’un droit à la portabilité, c’est à dire que leurs fichiers et autres informations les concernant et stockées dans un service pourront être exportés vers une autre plate-forme s’ils le veulent ;
  • du droit à l’oubli qui était jusqu’alors appliqué de manière partielle dans l’Union Européenne depuis 2014 en vertu d’une décision judiciaire ;
  • d’une meilleure transparence: Le citoyen pourra mieux comprendre ce qui est fait de ses données et exercer ses droits plus simplement et pourra notamment contester la publicité ciblée, permise par le recueil massif et le traitement de ses données ;
  • d’une protection des mineurs qui sera renforcée notamment sur les services en ligne (âge minimum, etc.) ;

Du côté des entreprises, de nouvelles contraintes mais également simplifications sont prévues :

  • l’obligation de nommer un responsable de la protection des données dans chaque multinationale;
  • en cas de litige, la mise en place un guichet unique : ce sera l’autorité de régulation du pays où l’entreprise à son siège qui sera compétente. (exemple : si l’entreprise a son siège social en France alors la CNIL est compétente)
  • renforcement des sanctions en cas de non respect de la volonté des utilisateurs. Ces sanctions pourront désormais atteindre 4% de leur chiffre d’affaire.

Ce règlement tant attendu a pourtant fait des déçus. En effet, plusieurs associations (Privacy International, European Digital Rights, des associations de défense des libertés en ligne aux Pays-Bas ou en Allemagne, etc.) jugent que « l’essentiel a été sauvé », mais voient dans les dispositifs d’harmonisation « une parodie de l’intention originale. Le texte final prévoit plus d’exceptions que la législation précédente n’avait d’articles ».

Reste que ces nouvelles règles s’appliqueront à toutes les entreprises qui comptent des utilisateurs dans l’Union européenne, y compris si elles sont basées ailleurs. A charge pour elles d’assurer aux données personnelles, si elles les transfèrent vers des infrastructures situées hors du territoire européen, un niveau de protection au moins équivalent à celui garanti par le règlement.

Le règlement devrait entrer en vigueur deux ans après sa promulgation, soit début 2018.

http://europa.eu/rapid/press-release_IP-15-6321_fr.htm

  • 3/  Publication de l’avis de la CNIL sur le Projet de Loi République Numérique

Dans sa Délibération n°2015-414 du 19 novembre 2015, la CNIL s’est prononcée sur l’avant projet de loi pour une République numérique, dans sa version alors envisagée par le Gouvernement.

Dans les grandes lignes, la CNIL rappelle que ce projet de loi doit nécessairement s’inscrire en cohérence avec le Paquet Européen « Protection des Données Personnelles » (cf. ci-dessus 2), notamment en ce que qui concerne la portabilité des données qui est déjà envisagée car ce texte. La CNIL salue bien évidemment le renforcement des droits des personnes concernées ainsi que le renforcement de ses pouvoirs même si elle regrette toutefois que le montant des sanctions reste inchangé.

S’agissant du développement de l’Open Data envisagé par l’avant projet de loi, elle rappelle que cette ouverture doit intervenir dans le respect de la vie privée. Plusieurs préconisations (anonymisation des données, certification de certifier de la loi de méthodologie d’anonymisation, etc.) sont rappelées par la Commission.

Enfin, la CNIL se montre favorable à la simplification des formalités préalables aux recherches publiques utilisant le NIR dès lors, d’une part, que le NIR fait l’objet d’un cryptage robuste et, d’autre part, qu’elle sera compétente pour autoriser les recherches publiques à des fins scientifiques conduites sur ce fondement.

https://www.cnil.fr/sites/default/files/typo/document/D2015-414-PJLNumerique.pdf

Charlotte BALDASSARI, Avocat, Membre de Medinsoft

Facebook Comments
Lire la suite

Facebook

Trending

X
X