">
" Entre la CNIL et l’AFCDP, je vois une relation de confiance, des interactions nourries et constructives… Nous allons travailler en réseau pour que le CIL aujourd’hui – et le DPO demain – soit l’acteur nodal de la conformité "

Le vendredi 25 janvier 2013 l’AFCDP (Association Française des Correspondants à la protection des Données à caractère Personnel) a organisé la 7éme Université des CIL, l’évènement incontournable des professionnels de la conformité à la loi Informatique et Libertés, au Campus Microsoft France.

Programme Université AFCDP des CIL - Paris - 25 janvier 2013

Cette manifestation a bénéficié du soutien des sociétés Microsoft France, Baker & Mc.Kenzie, Provadys, Rever et Ernst & Young Avocats.

380 CIL ont pu bénéficier d’intervention de qualité et de la présence du Secrétaire général de la CNIL Monsieur Edouard Geffray.

Les supports de présentation, la transcription de la Plénière et des différentes interventions, la transcription des Ateliers thématiques sont à disposition des Membres de l’AFCDP au sein du réseau social privé qui leur est réservé.

Avez-vous vu la vidéo tournée à l’occasion de l’Université précédente ?

PROGRAMME DE LA CONFERENCE

MATINEE – PLENIERE

Ouverture de l’Université 2013 – Paul-Olivier GIBERT, Président de l’AFCDP

Allocution d’accueil – Marc MOSSÉ, Directeur des affaires juridiques et publiques, Microsoft France

Où en est le projet de Règlement européen ? – Nicolas DUBOIS, de l’unité « Protection des données » au sein de DG « Justice » de la Commission européenne

Album photo 7ème Université AFCDP des CIL

Comment s’emparent-ils de nos données ? – Jacques HENNO, journaliste et auteur de « Facebook et vos enfants » et de « Silicon Valley / Prédateurs Vallée ? »

Redonner aux personnes concernées la maîtrise de leurs données personnelles – Le Projet MesInfos, Daniel KAPLAN, cofondateur et Délégué général de la Fondation pour l’Internet Nouvelle Génération (FING)

Table ronde - Privacy by Design/Prise en compte de la protection de la vie privée par conception

Table ronde animée par Philippe SALAÜN, CIL de CNP Assurances, Administrateur AFCDP
avec
- Denise LEBEAU-MARIANNA, Senior Counsel, Baker & McKenzie Paris
- Guillaume DERAEDT – CIL et RSSI du CHU de Lille
- Bernard OURGHANLIAN, Directeur Technique et Sécurité, Microsoft France

Le Privacy by Design c’est l’intégration des principes de la protection de la vie privée dès la conception d’un traitement de données à caractère personnel, d’un nouvel outil, d’une procédure ou d’un nouveau service. Le projet de Règlement européen, actuellement en discussion à Bruxelles, en prévoit l’obligation dans son article 23.

Mais comment cette nouvelle obligation va-t-elle être objectivée ? Existe-t-il un référentiel à suivre ou faudra-t-il attendre un acte délégué de la Commission européenne ? S’agit-il d’un "art" ou d’une démarche codifiée ? Comment "prouver" ses efforts dépensés sur ce sujet ? Privacy by Design et Privay by Default sont-ils deux stricts synonymes ? Quels seraient les risques juridiques en cas de prise en compte insuffisante des principes du Privacy by Design ? Et quelles actions peut prendre un CIL dès aujourd’hui ?

Table ronde - Comment le métier de CIL va-t-il évoluer ? Les CIL d’aujourd’hui seront-ils les DPO de demain ?

Table ronde animée par Bruno RASLE, Délégué général de l’AFCDP
avec
- Nicolas DUBOIS, de l’unité « Protection des données », DG « Justice » de la Commission européenne
- Albine VINCENT, Chef du service des Correspondants Informatique et Libertés, CNIL
- Paul-Olivier GIBERT, Président de l’AFCDP

Le projet de Règlement européen introduit l’obligation de désigner un délégué à la protection des données pour le secteur public et sous certaines conditions dans le secteur privé. Le Délégué à la Protection des Données - évolution du CIL actuel - est au centre du dispositif décrit par le projet de Règlement.

Mais le DPO est également l’homme par lequel le futur texte a une réelle chance d’être appliqué de façon effective et de garantir une protection efficace des données personnelles et, au-delà, de la vie privée des personnes concernées. En effet le DPO sera à même non seulement de veiller à l’application des nouvelles règles, mais d’interprétation du texte au plus près du terrain et des réalités quotidienne, avec prise en compte du contexte, au cas par cas.

Intervention de M. le Secrétaire général de la CNIL, Edouard GEFFRAY

Un an s’est écoulé depuis la publication par Bruxelles du projet de Règlement européen qui viendra modifier la Directive européenne 95/46/CE. Le Secrétaire général de la CNIL a fait part de ses commentaires et a positionné le rôle du CIL dans ce contexte.

COCKTAIL « DEJEUNATOIRE »

APRES-MIDI : ATELIERS/FORUMS

- Conformité de la prospection téléphonique – Michel RIME, CIL Groupe 3SI (3 Suisses)

Quelles précautions prendre – notamment concernant l’écoute/enregistrement des conversations téléphoniques pour amélioration de la qualité –, comment informer les personnes aussi bien en appels entrants que sortants, comment sensibiliser les opérateurs d’un Call Center, qu’insérer dans le contrat établi avec ces acteurs, comment préparer une demande d’autorisation auprès de la CNIL si le Call Center est situé en dehors de l’UE ? Le CIL des 3 Suisses apportera l’expérience d’un groupe qui dispose même d’une société « centre d’appels ».

- Sensibilisation et diffusion de la culture Informatique et Libertés – Isabelle DUBOIS, Préposée à la Protection des données et à la Transparence, Canton de Genève

Comment créer au sein d’une entreprise une véritable culture de la conformité ? Comment faire évoluer les mentalités, briser certaines habitudes ? Comment inciter chacun à se sentir un acteur de la protection des données personnelles et à agir pour faire en sorte que les choses changent ? Quelles sont les erreurs à ne pas commettre par un CIL dans ses actions de sensibilisation ? A l’inverse, quelles sont les bonnes pratiques dont il peut s’inspirer, et à quels signes reconnait-on une sensibilisation réussie ? Madame Dubois présentera l’outil de sensibilisation à la protection des données à la transparence Thinkdata.

- Usurpation d’identité : quel impact pour les personnes concernées ? – Guy DE FELCOURT, Auteur de « L’usurpation d’identité ou l’art de la fraude sur les données personnelles » (CNRS Editions), Directeur de la filiale française du groupe d’assistance/ assurance CPP

Le CIL doit avoir pour premier réflexe de veiller à la protection de la vie privée des personnes concernées, et notamment de s’inquiéter des éventuels impacts d’une violation aux données personnelles. Mais comment imaginer et estimer les risques encourus par les personnes ? Comment comprendre les conséquences de la vie numérique ? Quelles sont, par exemple, les conséquences d’une usurpation d’identité pour la personne concernée, aussi bien d’un point de vue psychologiques, émotionnelles, financières que sur la réputation ? Que de temps et de tracas pour résoudre le problème… Découvrez quelques exemples de cas réels, édifiants.

- NFC (Near Field Communication), et paiement sans contact – Anthony COQUER, CIL de Keolis Rennes et Serge APPRIOU, responsable e-commerce et innovations, groupe Arkea

Le NFC (Near Field Communication, ou communication en champ proche) est une technologie de communication sans-fil et sans contact permettant l’échange d’information jusqu’à une dizaine de centimètres. Le déploiement des techniques de paiement sans contact commence à se mettre en place à Rennes, Marseille, Nantes, Nice, Caen et Strasbourg. A terme la technologie sans contact permettra de fluidifier les services d’intérêt collectif dans les domaines du commerce mais aussi de la mobilité, de l’information citoyenne, du tourisme, de la culture, de la santé et du monde universitaire. Dans le cadre des investissements d’avenir (appel à projets Ville intelligente / NFC), le projet Korrigo Services, proposé par Rennes Métropole, permettra l’accès à de nombreux services (transports, commerces, tourisme, vie étudiante, parking, etc.) et le paiement sans contact. Découvrez les réflexions qui ont été menées pour assurer la conformité Informatique et Libertés de ce projet.

- Témoignage d’un Délégué à la protection des données Suisse – Ursula UTTINGER, Présidente de Datenschutz-Forum Schweiz.

Les lois de protection des données personnelles Suisses sont similaires au cadre européen. Découvre l’expérience d’une praticienne, président d’un forum qui regroupe les conseillers à la protection des données suisses. Madame Uttinger dressera un panorama de la protection des données personnelles dans son pays, commentera l’actualité et traitera également des programmes de certification.

- Retour d’expérience sur les BCR en pratique : quel intérêt pour les CIL et la gestion de la conformité – Fabrice NAFTALSKI, Avocat Associé, Guillaume DESGENS-PASANAU, Avocat Associé, Ernst & Young Avocats

Près de 50 groupes ont vu leur BCR approuvées à ce jour en Europe dans un contexte où le projet de règlement sur la protection des données consacre la reconnaissance de cet outil en l’assortissant de nouveaux attraits et où des BCRs "sous-traitants" pourront prochainement être également validées par les régulateurs. L’adoption de BCR est aujourd’hui incontournable pour les groupes de sociétés qui ont compris l’importance attachée au respect de la vie privée de leurs clients et salariés. Outre les simplifications administratives dont elles permettent de bénéficier (pour les transferts hors UE), les BCR vont devenir l’un des outils majeurs d"accountability" permettant de construire un programme global de gestion de la conformité et d’en justifier auprès du régulateur. Les BCR sont également de plus en plus perçues comme un outil de distinction sur le plan éthique et de l’image. L’objet de cet atelier est de permettre de partager le retour d’expérience des intervenants dans la rédaction et le déploiement de BCRs, sur la base de l’accompagnement de groupes français et étrangers (dont quatre ont déjà vu leurs BCRs approuvées dans le cadre de la procédure de reconnaissance mutuelle). L’atelier mettra notamment en exergue l’intérêt que présente cet outil pour le CIL dans le cadre de ses obligations de gestion de la conformité aujourd’hui et demain avec le futur règlement.

- Comment utiliser les données de santé pour la Recherche ? – Anne BAHR, CIL de Sanofi Recherche

Les démarches à suivre pour un CIL lorsqu’il y a traitement de données personnelles de santé pour des finalités de recherche scientifique relève en France du casse-tête chinois. Elles varient selon de nombreux paramètres tels que la finalité du traitement (recherche ou évaluation des pratiques de soins), selon que l’étude soit interventielle ou non-interventionnelle, selon que les données soient collectées dans le cadre du suivi habituel du patient ou non, ou encore, selon le pays dans lequel se situe le promoteur de l’étude. Cette présentation permettra au CIL de mieux comprendre s’il doit faire une demande d’autorisation "chapitre IX", "chapitre X" (de la Loi Informatique et Libertés) ou si un "engagement de conformité à la Méthodologie de Référence MR-001" suffit. La loi Jardet récemment publiée va chambouler ces procédures d’autorisation, et plus particulièrement la Méthodologie de Référence MR-001 puisqu’elle supprime la définition de recherche biomédicale sur laquelle cette méthodologie est basée. De plus, le projet de règlement européen risque de remettre tout ce système en cause puisqu’il permettrait de réutiliser des données collectées pour la recherche scientifique dès lors qu’elles sont pseudonymisées, et ce, sans avoir à recueillir le consentement de la personne pour cette utilisation secondaire.

- Durée de conservation : Comment la déterminer ? – Patrick VILLARD, CIL et RSSI de Swisslife

Déterminer la « juste » durée de conservation est tout un art. Quelle démarche adopter ? Peut-on se fier à des référentiels ? Existe-t-il une méthode infaillible ? Et quel rôle doit jouer le rôle dans la formalisation des durées de conservation ? Est-ce au CIL de fixer les durées de conservation ?

- Big Data ? Big responsabilités – Paul-Olivier GIBERT, Digital & Ethics

Le Big Data, cette capacité d’analyse qui permet de dégager des schémas et des tendances à partir d’énormes volumes de données, a déjà montré des avancées notables dans les domaines de la génomique ou de l’épidémiologie. Pour certains il constituerait la prochaine « révolution » apportée par le numérique, pour d’autres le phénomène serait le chant du cygne d’une informatique centralisatrice. Mais surtout, dans un monde où les données personnelles se démultiplient, l’analyse de ces énormes masses de données et leurs croisements permettent de dire beaucoup de choses sur les personnes concernées. Quelle approche un CIL doit-il avoir au regard d’un tel sujet ? Quelles sont les enjeux, les risques éventuels et les précautions qui doivent être prises ?

- La journée ordinaire d’un auditeur en sécurité… - Christophe KICIAK, responsable de l’activité Audit SSI, Provadys

L’audit est un mal nécessaire… et les dernières actualités sur les fuites d’informations (par erreur ou malveillance) nous le prouvent tous les jours. L’auditeur en est le « bras armé » : souvent, il ne passe que quelques jours au sein de l’organisme qu’il audite et pourtant il se doit de fournir un résultat exemplaire, conforme à la vérité et en toute indépendance ! Venez vivre le retour d’expériences d’un auditeur en sécurité qui dévoile la démarche développée, les méthodes employées (avec quelques trucs et astuces…), les productions réalisées, le rôle et le niveau d’implication des acteurs concernés, ainsi que les moyens utilisés pour revenir sur le chemin de la conformité.

- Comment extraire des données de production en protégeant les données personnelles ? - Orban DE XIVRY, Directeur, Rever

La croissance des besoins d’échange de données informatisées entre les différents intervenants de l’organisation (soit internes : extraction de jeux de données pour les tests, pour les formations,… soit externes : développements off-shore, partages de données avec les fournisseurs, les administrations, …) renforce l’urgence d’avoir des solutions répondant aux exigences de la protection des données personnelles. Mais trop souvent les développeurs ont accès aux données réelles, par l’intermédiaire d’extraction des données de production. Quelquefois ces mêmes extractions sont transférées à l’étranger afin de permettre des recettes techniques opérées par les prestataires, sans qu’une autorisation de la CNIL n’ait été obtenue. L’atelier examinera avec les participants comment l’anonymisation des jeux de données peut permettre – sous certaines précautions – de réduire les risques liés à ces pratiques.

- Réutilisation des données publiques (Open Data) et données personnelles – Ruth MARTINEZ, Délégué générale du GFII

L’ouverture des données est un mouvement visant à rendre certaines données accessibles à tous et s’affranchir des restrictions ou autres formes de contrôle qui en limitent notamment l’accès, la diffusion et la réutilisation. La libération des données publiques connaît un regain d’intérêt dans le secteur public qui multiplie les mesures en faveur de davantage de transparence vis-à-vis des citoyens et vise à satisfaire leur volonté de participer à la vie de la Communauté et d’exercer leur droit d’être informé. La possibilité de réutiliser des contenus produits par les administrations est aussi un moteur d’innovation technologique, favorisant l’apparition de nouveaux acteurs économiques et le développement de l’économie de la connaissance en France. Ces initiatives entrent dans le cadre de l’exercice du droit d’accès des personnes aux documents administratifs prévu en France par la loi du 17 juillet 1978 (loi CADA) puis par la directive 2003/98/CE du 17 novembre 2003 sur la réutilisation des données publiques. Une révision de cette Directive est actuellement à l’étude, intégrant notamment des réflexions concernant les données personnelles.

- Télétravail et Informatique et Libertés, AFCDP Lyon+ avec trois représentants : Charlotte LOSAY, Avocate, Ernst & Young, Jean Marie PINO, Responsable Conformité Groupe Casino, Julien JARLES, CIL de Domeo

Même si, en France, les télétravailleurs sont moitié moins nombreux que la moyenne européenne, le télétravail prend de l’ampleur et ne s’applique plus uniquement aux personnes handicapées à mobilité réduite et aux indépendants. Et le phénomène a été récemment introduit dans le Code du travail. Ainsi l’article L1222-10 indique que l’employeur doit « informer le salarié de toute restriction à l’usage d’équipements ou outils informatiques ou de services de communication électronique et des sanctions en cas de non-respect de telles restrictions ».
Mais quelles précautions prendre pour sécuriser juridiquement le télétravail ? Faut-il une charte dédiée ? Comment clarifier l’utilisation de l’équipement par le télétravailleur (par exemple à titre personnel) et son contrôle par l’employeur ? Comment doser entre contrôle à distance et évaluation des résultats par déclaratif ? Et en cas de cybersurveillance, comment informer les personnes ?

- Mener un projet de Gestion des identités et des droits d’accès, pas si simple... – Jean-François LOUAPRE, RSSI d’AG2R LA MONDIALE, Vice-président du CESIN

La sécurité des systèmes d’information passe notamment par le respect de bonnes pratiques en matière de droits des utilisateurs. Mais lister les habilitations et en assurer une bonne gestion peut virer au casse-tête, en particulier dans les environnements hétérogènes et en présence de populations hétérogènes. Pourtant, pour assurer la traçabilité et pouvoir répondre à des questions telles que « Qui a accédé à cette donnée personnelles ces quinze derniers jours ? », la gestion des identités et des accès est une fondation indispensable.

- Mise en conformité des Zone de Libre Commentaire – Bruno RASLE, Délégué général AFCDP, Chargé de cours Mastère "Informatique et Libertés" de l’ISEP

Plusieurs affaires récentes ont montré l’intérêt qu’il y avait à auditer les zones commentaires, qui peuvent parfois – à l’insu du Responsable de traitement – contenir des propos choquants ou illégaux. Mais comment vérifier des milliers voire des millions de ZLC ? L’approche par comparaison avec un dictionnaire de termes interdits ayant montré ses limites, l’analyse automatisée à l’aide d’outils de Text Mining semble prometteuse. Nous évoquerons également les termes que ne semble pas apprécier la CNIL… Attention : Dans la première version du programme il était annoncé un retour d’expérience qui, finalement, ne sera pas dispensé. Cet Atelier s’adresse donc aux CIL qui souhaitent échanger sur leur pratique et prendre connaissance des projets de l’AFCDP en ce domaine (expérimentation d’une analyse de ZLC à l’aide d’analyse sémantique et comparaison avec la méthode par dictionnaire).

- Comment un CIL peut-il organiser sa veille ? - Flore BONHOMME, Correspondante Informatique et Libertés et Chef de projet Open Data du Conseil Régional de Haute-Normandie, Membre du Mastère ISEP Informatique et Libertés

Un Correspondant Informatique et Libertés doit être constamment à l’écoute et en veille : annonces de la CNIL, publications du groupe Article 29, décisions de jurisprudence, actualités de l’AFCDP, articles de presse... Où donner de la tête ? Quelles sources écouter et exploiter ? Quelle réactivité viser ? Comment agréger et conserver les informations ? Une spécialiste de la veille documentaire, Correspondante Informatique et Libertés, répond à ces questions, nous révèle les secrets d’une bonne organisation pour réaliser cette veille de façon efficace et efficiente, et dévoile bonnes pratiques et outils incontournables.

- Cloud Computing : Quel rôle pour le CIL ? – Raphaël DANA, Associé, Sarrut Avocats et Olivier CALEFF, Expert sécurité (CSA, Clusif, Devoteam)

Le phénomène de l’Infonuagique « met en tension » les principes de la Directive de 1995, conçue à l’époque bénie où une donnée était localisée et localisable…Quels sont les points qu’un CIL doit prendre en compte en amont d’un projet de Cloud Computing ? Quelles sont les questions qui restent encore en suspens ?

- Inspection Approfondie des Paquets (Deep Packet Inspection) : Comment la mettre en œuvre dans le respect du Droit ? – Gilles GARNIER, Ancien CIL d’EuroClear

L’Inspection Approfondie des Paquets est une technologie neutre qui permet d’analyser les flux qui transitent sur un réseau informatique et d’appliquer des actions telles que l’élimination de pourriels ou de menaces informatiques ou la détection de téléchargements illégaux. Ainsi, dès 2008, un FAI canadien a commencé à utiliser cette approche pour identifier et limiter tous les trafics BitTorrent sur son réseau aux heures de pointe. Devant la levée de boucliers générée par cette mesure, elle a été abandonnée en février 2012. Mais plusieurs pays s’en servent pour filtrer les contenus sur Internet, jugés politiquement, socialement ou stratégiquement menaçants. Pour preuve la révélation récente de la vente par la France d’un système de surveillance des communications à la Lybie de Kadhafi. Aujourd’hui ces dispositifs arrivent en entreprise, soit par le biais de solutions dédiées soit par le biais de modules dans les équipements réseaux (firewall, sondes de détection ou de prévention d’intrusion, etc.). Quel doit être le rôle du CIL vis à vis de la mise en œuvre de telles solutions ?

- Droit à l’oubli : Utopie ou réalité prochaine ? – David DECHENAUD, Professeur de droit privé et Doyen de la Faculté de Droit de Grenoble
Le Centre de recherches juridiques de la Faculté de droit de Grenoble travaille sur un projet de Recherche sur le droit à l’oubli (dont le droit à l’oubli numérique) et devra présenter les résultats de ses travaux au Ministère de la Justice en janvier 2014. Une équipe pluridisciplinaire a récemment auditionné l’AFCDP sur ce sujet, en présence de l’ancien Directeur de l’autorité de contrôle espagnole. Le professeur Dechenaud se propose d’établir un « point d’étape » sur le projet et souhaite échanger avec des CIL intéressés et concernés par l’application du futur éventuel droit à l’oubli, dont une forme figure dans le projet de Règlement européen.

Cette manifestation bénéficie du soutien des sociétés Microsoft France, Baker & Mc.Kenzie, Provadys, Rever et Ernst & Young Avocats.





Agenda

21 novembre 2017
Repas mensuel parisien

1er décembre 2017
Réunion AFCDP à Toulouse

24 janvier 2018
12è Université des DPO