">

PROGRAMME DE LA CONFERENCE

(disponible en bas de page en format pdf)

MATINEE – PLENIERE

Accueil par le Président d’IBM France, Alain BENICHOU, Ouverture de la conférence par le Président de l’AFCDP, Paul-Olivier GIBERT

Cloud Computing : « Vous n’avez encore rien vu ! »

Louis NAUGES, Cofondateur et Chief Cloud Evangelist de Revevol
Les mutations majeures du Cloud Computing et de la R2I (Révolution Industrielle Informatique) mettent en tension les concepts clés de la protection des données personnelles. Cette intervention permet de comprendre les évolutions inéluctables à court et moyen terme dans le grand public et dans les organisations, publiques et privées, pour les accompagner, et les faire évoluer dans la bonne direction. « Nous allons vers une nouvelle génération d’outils et d’usages. Le voyage sera passionnant, avec beaucoup de bénéfices mais aussi de nombreux challenges, organisationnels, humains, juridiques et culturels à surmonter. Ce sont les modes de travail de mille millions de personnes qu’il faudra changer ! », telles sont quelques-unes des prévisions formulées par cet expert, créateur du mot « bureautique », en 1976.

Données ouvertes/Open data : la Directive transposée en 2015

La directive européenne sur la réutilisation des informations du secteur public devrait être transposée en droit français par ordonnance du gouvernement avant le 18 juillet 2015. La directive mise à jour instaure un droit à la réutilisation des données publiques et une obligation de transparence sur le calcul des redevances. Quels impacts pour la France, qui a légiféré dès 1978 pour faciliter l’accès des citoyens aux documents administratifs et se doter d’une commission dédiée (CADA) ?
Table ronde animée par Sandrine MATHON, Responsable du service Administration de la DSI de la Ville de Toulouse
avec
Gaëtan GORCE, sénateur et Commissaire de la CNIL
Anne JOSSO, Secrétaire générale de la CADA
Henri VERDIER, Président Etalab et administrateur général des données
Bertrand SERP, Président d’Open Data France, Vice-Président de Toulouse Métropole en charge du Numérique

Idemix – Une bonne illustration du principe de Data Minimization

Gregory NEVEN, centre de recherche d’IBM de Zurich (intervention en français)
Jan Camenisch, un scientifique du centre de recherche d’IBM de Zurich, a conçu Identity Mixer (Idemix), qui permet - entre autre - de faire du shopping sur la Toile en faisant apparaitre les seules informations indispensables. Son collaborateur Gregory Neven dévoile l’étendue des applications de cette approche « Privacy friendly » et les résultats des premiers tests.

Intérêt légitime du responsable de traitement : comment trouver l’équilibre ?

L’intérêt légitime est l’un des critères permettant de légitimer un traitement de données personnelles autrement que par le consentement des personnes concernées. Il ne peut être utilisé que pour autant que l’intérêt ou les droits et libertés fondamentaux des personnes concernées ne doivent pas prévaloir. Cette restriction semble rendre son application difficile. Pourtant, en pratique, ce critère est fréquemment mis en œuvre. Comment trouver l’équilibre ? Quelle démarche suivre pour fonder un traitement sur l’intérêt légitime et pour déterminer s’il peut être mis en œuvre ou non, le cas échéant accompagné de mesures de protection supplémentaires ?
Table ronde animée par Stéphanie FABER, Avocat, Squire Patton Boggs
avec
Sophie NERBONNE, Directrice de la Direction de la Conformité, CNIL
Bertrand LAPRAYE, CIL d’Alcatel Lucent, membre AFCDP

Intervention d’Isabelle FALQUE-PIERROTIN, Présidente de la CNIL

Cocktail « déjeunatoire »

Cette manifestation bénéficie du soutien des sociétés IBM France, ISEP Formation Continue, Cabinet Cilex, Carac, Squire Patton Boggs, Ageris Group, CIL Consulting, Actecil.

APRES-MIDI : ATELIERS/FORUMS
Plan conformité – Cintya MARNEAU, Responsable Juridique et Conformité, CIL, Sébastien BEAULIEU, Responsable Risques-Qualité Carac (mutuelle d’épargne et de retraite)
Plan de conformité Informatique et Libertés et approche par les risques : Exemple de mise en œuvre d’une méthode simple et sans coûts excessifs pour la mise en conformité des traitements d’une entreprise de taille moyenne, traitant essentiellement des données patrimoniales pour le compte de ses clients.

Le Data mining au service de la lutte contre la fraude -Anne FONTANILLE, Auditrice au Mastère spécialisé « Informatique et Libertés » de l’ISEP
Quelles sont les points de vigilance sur lesquels un CIL doit porter son attention en priorité lorsqu’il analyse la conformité d’un traitement de lutte contre la fraude qui met en œuvre du data mining ? Quelles formalités accomplir vis-à-vis de la CNIL ?

CIL interne vs CIL externe ? – Frédéric THU, Directeur du Cabinet Cilex
Quand un responsable de traitement a le choix, que doit-il privilégier ? La formule du CIL interne ou celle du CIL externe ? Quand préférer désigner un CIL mutualisé à un CIL différent pour chaque entité d’un même ensemble ? Quels sont les critères à prendre en compte ? Quelle répartition entre un CIL externe et les services opérationnels ? Quels sont les avantages et les inconvénients de chaque formule ? Le règlement européen, qui va donner un élan formidable au DPO externe, va-t-il modifier les analyses actuelles ?

Comment se préparer à un contrôle de la CNIL ? - Thierry RAMARD, Président d’Ageris Group
Tout organisme public ou privé doit ainsi se tenir prêt à un contrôle de la CNIL. Basée sur des exemples concrets, cette présentation permettra au CIL de préparer l’entreprise à un contrôle en évitant de le subir : Comprendre la méthodologie appliquée par la CNIL pour la réalisation des contrôles ; Mettre en place les procédures d’accueil et de suivi des inspecteurs de la CNIL ; Rappel des bonnes pratiques pour se mettre en conformité avec la législation ; Les principaux sujets abordés par la CNIL lors des contrôles ; Les bons réflexes à acquérir lors du contrôle ; Les actions à prévoir après le contrôle.

Analyse d’Impact sur la vie privée (PIA) : comment l’appréhender ? – Intervenant Mireille KALIMBADJAN et Xavier LECLERC, Administrateurs référents du Groupe AFCDP-Méditerranée
Dans le contexte d’évolution des lois et règlements et une hypermédiatisation des problématiques liées à la vie privée, le groupe de travail AFCDP-Méditerranée propose un panorama des nouvelles perspectives de l’activité du CIL, les compétences qu’il doit acquérir au travers de formations et les méthodes dont il doit se doter pour réaliser une analyse d’impact sur la vie privée. Le groupe a travaillé à la conception d’un outil méthodologique permettant, notamment, d’appliquer la méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) à la protection des données à caractère personnel, dans la perspective du règlement qui dispose qu’au titre de ses missions, le délégué à la protection des données est chargé de vérifier que le responsable de traitement et/ou le sous-traitant a réalisé une analyse d’impact.

Les BCR : une solution pour quelles entreprises ? - Emmanuel CAUVIN, CIL du groupe Arcelor Mittal, Myriam GUFFLET, Responsable du pôle BCR, Direction de la conformité, CNIL, Anne BARBIER GOLIRO, Chef de projet Conformité Informatique et Libertés, Pascale GELLY, Avocate et Vice-présidente de l’AFCDP.
Ce panel se livre à un point d’actualité sur le sujet et aborde les raisons qui conduisent une entreprise à adopter des BCR et les éléments à prendre en compte afin de décider si cette approche est pertinente. Quel degré de « maturité » Informatique et Libertés doit avoir atteint l’entreprise qui souhaite se lancer dans cet investissement ? Quel est l’importance de l’effort à consentir ? Combien de temps cela prend-t-il ?

Le CV anonyme obligatoire ? – Jérôme CONSIGNY, CIL d’Axa, Catherine HELAIEM, Responsable Diversité à la DRH, Axa
Le 9 juillet 2014, le Conseil d’Etat a donné six mois au Premier ministre pour le prendre le décret d’application nécessaire à la mise en œuvre du CV anonyme, l’une des mesures prévues dans la loi pour l’égalité des chances du 31 mars 2006. L’application opérationnelle du CV anomyme soulève de nombreuses questions : toutes les formes de CV sont-elles concernées ? Qui anonymise ? Jusqu’où va l’anonymisation ? Quel processus mettre en place ?

Les nouveaux pouvoirs de contrôle de la CNIL –Cédric BOURGEOIS, Chef du service des contrôles de la CNIL, Christophe VIVENT, adjoint au chef du service des contrôles de la CNIL
La loi relative à la consommation, modifiée début 2014, a doté la CNIL d’un nouveau pouvoir, de contrôle à distance depuis ses propres ordinateurs et locaux, afin de faciliter la constatation des manquements à la loi Informatique et Libertés. Mais quels sont les éléments qui peuvent être contrôlés de cette manière ? Comment est assuré le contradictoire ? Quelle est la force probante des constats établis à cette occasion ? Comment vont s’articuler les contrôles à distance avec les contrôles sur place ?

Conformité, Archivage, Protection de l’information : pourquoi ne pas mutualiser ? - Jérôme THUEZ, Total EP, Directeur de la gestion de l’information
Pour ne pas « peser » trop lourdement sur les services métiers, Total a choisi de regrouper les démarches relatives à la conformité Informatique et Libertés, à l’archivage des données et à la protection de l’information. Quels sont les avantages (et les limites) d’une telle approche ?

A quoi sert le G29 ? - Julien ROSSI, chargé de mission à l’université de Szeged (Hongrie)
Le groupe de travail de l’article 29 regroupe les autorités nationales de protection des données personnelles. Récemment, un contrôle conjoint de la politique de confidentialité de Google a attiré l’attention du public sur le rôle joué par ce groupe dans la protection des données en Europe. De plus, le G29 s’est montré capable à plusieurs reprises d’influencer des réformes législatives. Quelle veille doit effectuer un CIL vis-à-vis du G29 ? Que deviendra le G29 après l’adoption du projet de règlement, qui le transformera en « Comité européen de la protection des données » ?

Des prix « à la tête du client » : les dérives de l’IP Tracking ? – Jean-Jérôme JUNG, Directeur départemental, Service national des enquêtes, DGCCRF
La tarification algorithmique consiste à faire varier le prix d’un produit ou d’un service en fonction de nombreux critères allant de la demande en temps réel à la disponibilité, en passant par la prise en compte de la concurrence et bien sûr les données sur l’acheteur (situation sociale, âge, localisation, fidélité, informations sur sa connexion). Parmi les différentes techniques concourant à l’individualisation du prix, l’IP Tracking suscite le débat et inquiète : cette pratique consisterait pour un opérateur à augmenter le prix d’un produit ou d’une prestation proposée à un internaute et consultée par lui lors d’une première connexion, grâce à la mémorisation de son adresse IP. Pratique discriminatoire portant atteinte aux droits des consommateurs ? La DGCCRF et la CNIL ont réalisé une enquête en 2013 sur l’IP Tracking.

e-Santé : comment devrait s’adapter le cadre juridique pour répondre aux évolutions technologiques et aux besoins de santé ? – Florence EON, Directrice du service juridique de l’ASIP Santé
Comment permettre le développement des échanges de données de santé dématérialisés, nécessaires à l’amélioration du système de soins, sans toutefois renier les principes fondamentaux de la protection de la vie privée ? Au-delà de l’impulsion d’une politique publique volontariste, comment encadrer le développement spontané et très rapide des technologies dans le secteur des systèmes d’information de santé ?

Un CIL peut-il présenter un ROI (Retour sur Investissement) ? – Luc MENSAH, Clusif, Directeur technique, NSit
Il y a quelques années, l’association Clusif (qui regroupe les RSSI) avait formalisé un livrable sur la question du ROSI (Return On Security Investment) : Est-il possible, pour un RSSI, de faire valoir un ROI, et si oui, comment calculer celui-ci ? Comment préparer son dossier d’argumentation ? Quels sont les différents types de ROSI ? Quels éléments de sinistralité prendre en compte ? Les enseignements tirés de ces travaux peuvent-il inspirer les CIL, en transposant la réflexion au domaine de la conformité Informatique et Libertés ? L’intervention comprend des études de cas et des retours sur expériences.

L’oubli numérique, une amnésie collective ?- Joëlle JOURET, Swift, Corentin HELLENDORFF, chargé de mission AFCDP (Bruxelles)
« Oublier » est une caractéristique profondément ancrée dans toute vie humaine. En effet, seules les informations nécessaires sont mémorisées, les autres étant, au fil du temps, oubliées. Les évolutions technologiques nous permettent désormais de garder une trace d’une quantité innombrable de données. Le principe de pouvoir faire valoir un « droit à l’oubli » semble alléchant sur papier mais qu’en est-il de son application pratique ? Comment interpréter la décision de la Cour Européenne de Justice sur ce sujet ?

MesInfos – analyse de l’expérimentation – Marine ALBAREDE, FING
A l’occasion de notre conférence de janvier 2013, Daniel KAPLAN, cofondateur et Délégué général de la Fondation pour l’Internet Nouvelle Génération, nous a fait l’honneur de présenter en plénière le Projet MesInfos, qui vise à redonner aux personnes concernées la maîtrise de leurs données personnelles. Deux ans après, cet Atelier synthétise le déroulement de l’expérimentation, les résultats obtenus jusque-là, les enseignements tirés, la description de la suite du projet.

Armé pour faire face aux nouveaux enjeux de cybersécurité et protéger les données personnelles – Sophie TACCHI, Expert sécurité, IBM
Comment préparer son organisme pour faire face à une cybercriminalité toujours plus inventive et mettant en œuvre des attaques de plus en plus sophistiquées ? Découvrez les dernières menaces et les moyens de les déjouer, pour mieux vous y préparer, car la question n’est plus de savoir si vous allez être attaqué, mais quand.

Labels CNIL : comment les obtenir ? - Alix GUIGUES, Juriste NTIC, Actecil
La CNIL offre depuis 2012 la possibilité aux entreprises de se distinguer par la qualité de leurs produits et procédures au regard de la loi Informatique et Libertés. Dans un contexte où la protection de la vie privée est au cœur des débats, l’obtention d’un tel label permet d’améliorer considérablement la confiance des utilisateurs, clients et/ou abonnés. Quels sont les produits et procédures labellisables ? Comment sont délivrés les labels ? Comment préparer son dossier de demande de labellisation ? Quels sont les éléments de preuve à joindre Quelles sont les erreurs à éviter ?

Associations et des Fondations : comment gérer les données des donateurs et bénéficiaires ? - Amandine DELSUC, Responsable juridique et CIL, Action Contre la Faim, Garance MATHIAS, Avocat, Cabinet d’Avocats Mathias
A l’instar des entreprises, les associations et fondations doivent s’emparer des nouvelles possibilités d’action à l’ère du numérique. Eléments essentiels de la société civile, elles portent dans leur ADN le respect des droits fondamentaux. Le secteur associatif doit donc faire face à des défis importants pour se mettre en conformité avec l’ensemble des règles liées à la protection des données à caractère personnel. Quelles sont les spécificités afférentes au secteur non lucratif ? Quelles démarches pour la mise en oeuvre d’un traitement conforme à la réglementation en vigueur et aux intérêts des associations ? Comment protéger les données personnelles de ses donateurs et bénéficiaires ?

Données personnelles : Bientôt des actions de concert ? - Mélanie LECLERC, Avocat au barreau de Paris et auteur du livre « Les class actions, du droit américain au droit européen »
La dernière évolution de la loi sur la consommation introduit l’action de groupe, adaptation de la class action américaine. Est-elle applicable aux données personnelles ? Des personnes concernées mécontentes pourraient-elles se regrouper pour attaquer en justice un responsable de traitement suspecté de ne pas protéger suffisamment leurs données personnelles ou de ne pas assurer leurs droits au titre de la loi Informatique et Libertés ?

Le casse-tête des cookies : comment se mettre en conformité ? Armand HESLOT, Ingénieur expert données personnelles, SoLocal Group
La CNIL vient de mener une campagne de contrôles à distance afin de vérifier le respect de sa doctrine concernant la « conformité cookie ». Dans quels cas faut-il obtenir un consentement... et quel consentement ? Faut-il ajouter un bandeau sur son site Web, où le placer et quel est son impact sur les internautes ? La suppression du dernier octet de l’adresse IP de l’internaute suffit-elle pour répondre à l’un des points de la doctrine de la CNIL ? Jusqu’à quel niveau de détails faut-il décrire les marqueurs utilisés ? Comment respecter la doctrine de la CNIL et éviter de perdre une information précieuse : l’origine de la visite des internautes ? Les techniques de Fingerprinting sont-elles également concernées par les nouvelles règles ?

Cette manifestation a bénéficié du soutien des sociétés IBM France, ISEP Formation Continue, Cabinet Cilex, Carac, Squire Patton Boggs, Ageris Group, CIL Consulting, Actecil.

Programme de la conférence




Agenda

12 septembre 2017
Réunion dédiée aux Départements

6 octobre 2017
Réunion AFCDP à Toulouse

12 octobre 2017
Réunion du groupe "Données de Santé"

19 octobre 2017
Réunion du groupe "Normandie"

19 octobre 2017
Réunion du groupe "Poitou Charentes"