Le 27 janvier 2014 l’AFCDP a organisé la 8e Université des CIL, l’évènement incontournable des professionnels de la conformité à la loi Informatique et Libertés - dont les Correspondants Informatique et Libertés..

Elle s’est déroulé au Palais des Congrès d’Issy les Moulineaux.

Merci aux Sponsors qui nous ont soutenu dans le cadre de cette manifestation :

ISEP Formation Continue : La Grande Ecole qui forme les CIL depuis 2007 en Mastère, formation courte, intra-entreprise et sur mesure

Devoteam : société de Conseil et d’Ingénierie en Informatique et un des leaders reconnus en Europe dans le domaine des Technologies de l’Information et de la Communication

IBM Security : Un modèle de sécurité unique, 1,8 milliards de dollars d’investissement, plus de 6.000 spécialistes en sécurité, laboratoire de recherche X-Force®

BRM Avocats : Classé parmi les meilleurs cabinets d’avocats 2013 en Informatique, Internet, Données personnelles et Marques par le magazine « Décideurs »

Cabinet Cilex : Au service des CIL depuis 2006 - Formation, Conseil, externalisation et logiciel de gestion de la Conformité et du Registre

SoLocal Group : N°1 de la communication locale, SoLocal Group crée et met à disposition des services qui donnent accès à une mine d’informations utiles et fiables

Carac : Mutuelle d’épargne, la Carac propose des solutions financières qui s’adressent à toutes les personnes soucieuses de performance et d’intégrité dans la gestion de leur patrimoine

Rever : Les CIL actifs protègent leurs données critiques avec Seal. Seal le logiciel qui sécurise les extractions et/ou copies des données de production.

Actecil : Actecil présente ses outils logiciels (CIL, Audit,..), ses services labellisés (deux audits et la formation de CIL) dédiés à la conformité des traitements de données à caractère personnel.

PROGRAMME DE LA CONFERENCE

MATINEE – PLENIERE

Ouverture de la conférence par le Président de l’AFCDP, Paul-Olivier GIBERT

Enfin…Voici le Règlement européen ?
Dr. Sachiko SCHEUING (European Privacy Officer, Axciom), Cecilia ÁLVAREZ RIGAUDIAS (Cabinet Uría Menéndez) et Christoph KLUG (GDD)
Des représentants d’associations « sœurs » de l’AFCDP (NGFG, APEP et GDD), partenaires au sein de CEDPO (Confederation of European Data Protection Organisations) décryptent la dernière version du projet de Règlement européen, dévoilent les coulisses des négociations, identifient les forces en présence et font œuvre de prospective. La synthèse des actions prises par CEDPO pour donner une place centrale au DPO et les impacts probables pour les entreprises seront également couverts.

Sécurité des données personnelles de santé : Un an après l’enquête d’Actusoins, les choses ont-elles changées ?
Eric GROSPEILLER, FSSI du Ministère de la Santé
Un an après l’enquête qui avait révélé que de nombreuses données personnelles de santé étaient référencées par le moteur de recherche Google, son auteur revient sur la méthode, ses surprises, les échanges qu’il a eu avec les établissements de soins concernés et la CNIL. Que peut-on en apprendre ? Quelles mesures opérationnelles un CIL ou un RSSI peuvent-il mettre en œuvre dans leur propre établissement de soins pour éviter pareille mésaventure ? Quelles mesures ont-elles été prises au sein du secteur concerné ? Et si d’autres professions étaient concernées…

Quel avenir pour les Autorités de contrôle ?
Une fois le Règlement européen promulgué, que vont devenir les autorités de contrôle nationales ? Comment seront-elles financées ? Seront-elles toutes dotées des pouvoirs de contrôle et de sanction ? Qu’apportera le « Comité européen de la protection des données » par rapport au Groupe Article 29 ? Comment, très concrètement, fonctionnera le futur mécanisme de cohérence ? Quel sera leur rôle auprès des DPO ?

Table ronde animée par Christiane FÉRAL-SCHUHL, ancien Bâtonnier du Barreau de Paris
avec
Isabelle FALQUE-PIERROTIN, Présidente de la CNIL
Stefan VERSCHUERE, Vice-président de la CPVP belge
Artemi RALLO LOMBARTE, ancien Directeur de l’AEPD espagnole

On n’a pas de pétrole mais on a …des données personnelles ?
Il ne se passe plus une semaine sans qu’un dossier spécial titre sur « les données, pétrole du XXIe Siècle » : pauvre métaphore qui débouche sur une pauvre pensée ? Concept validé qui permet d’imaginer une nouvelle recette fiscale ou la rémunération des personnes concernées qui acceptent de recevoir de la publicité ciblée ? Et qui profite de cette « manne » ?

Table ronde animée par Fabrice ROCHELANDET, Professeur à l’Université Paris 3, auteur du livre "Economie des données personnelles et de la vie privée"
avec
Gaétan GORCE, Sénateur de la Nièvre (PS), Maire de La Charité-sur-Loire Commissaire de la CNIL
Christian REIMSBACH-KOUNATZE, OCDE, Coordinateur du projet « Data and Analytics »
Charles HUOT, DG Délégué et co-fondateur de Temis, Président du comité éditorial de l’Alliance Big data

L’AFCDP FETE SES DIX ANS… et les DIX ANS DU CIL et de la Loi « Informatique et Libertés » : une surprise ?

COCKTAIL « DEJEUNATOIRE »

APRES-MIDI : ATELIERS/FORUMS – De 14h10 à 17h45 (fin de la conférence)

Les données personnelles et la Mort – Luce-Hélène CAPSIE, Avocate
Comment sont gérées les données personnelles en cas de décès ? Peut-on parler de « Mort numérique » ? La loi Informatique et Libertés s’applique-t-elle aux personnes décédées ? Existe-t-il un fichier « repoussoir » permettant d’éviter d’adresser de la publicité à ces personnes ? Peut-on « léguer » ses données déposées dans le Cloud ? Quelles précautions un CIL doit-il envisager à ce propos ?

Rumeurs et théorie du complot : Que peut faire le CIL ? - Philippe VERDIER, CIL de la RATP
Régulièrement la presse se fait le véhicule d’une rumeur qui veut que la Régie Autonome des Transports Parisiens n’a d’autres finalités que de "pister" ses clients... Ainsi, en mai 2013, lors de l’agression d’un jeune militaire à la Défense, une chaine de télévision annonçait à tort que le suspect avait été repéré grâce à son pass Navigo. Quelques semaines après, un grand journal publiait un article sur "la vie en liberté surveillée" qui comprenait le passage suivant : "8 heures...dans le métro... Lorsqu’il présente son pass Navigo, la RATP enregistre son passage et peut partager ces informations avec des partenaires commerciaux." Que peut faire un CIL face à de telle situation ? Comment mettre fin à une rumeur ? Quelles sont les précautions qui sont prises (notamment en termes d’anonymisation) afin de protéger la vie privée des 4,1 millions de passagers qui transitent dans le métro parisien chaque jour.

Où en est la norme ISO 29100 (Privacy Framework) ? – Matthieu GRALL, Expert technique, CNIL
Un groupe de l’ISO travaille à formaliser plusieurs normes qui concerneront directement les CIL et les DPO : le Privacy Framework ISO 29100, le Privacy Architecture Framework ISO 29101 et le Privacy Capability Assessment Model ISO 29190. Où en sont les travaux et à quoi ressemblent les projets ? Quels impacts pourraient avoir ces normes sur le Privacy by Design, les PIA, voire les démarches de certification ?

Décortiquons « Facebook Login » d’un point de vue Informatique et Libertés – Armand HESLOT, Ingénieur expert données personnelles , SoLocal Group, Nicolas BOURGEOIS, Juriste, AUCHAN
Facebook Login (anciennement Facebook Connect) est une application mise gratuitement à disposition des sites Web pour qu’ils puissent donner la possibilité à leurs visiteurs de s’identifier grâce à leur compte Facebook. Sans surprise, cette gratuité à une contrepartie qui concerne les données personnelles des visiteurs… Le groupe AFCDP « Données Prospects et Clients » a analysé d’un point de vue Informatique et Libertés ce « social plugin » : Quelle démarche doit suivre un e-commerçant qui souhaite l’implémenter sur son site Web ? Quelles précautions prendre ? Quel formalisme vis-à-vis de la CNIL ? Norme simplifiée 48 ? Déclaration normale ?

Le Consentement : le pouvoir de dire vraiment « oui » ? Martine RICOUART-MAILLET, Cabinet BRM Avocats
Entre consentement exprès et consentement « informé », quelle marge de manœuvre ? Comment s’assurer de la sécurité juridique d’un consentement ? Quels seront les impacts du projet de Règlement à ce propos ? Faut-il conserver trace du consentement ? Un consentement oral est-il valide ? Dans quels cas le recueil du consentement d’un salarié peut-il être envisagé ?

Maîtrise des données : quels sont les apports des solutions de sécurité ? Nicolas ATGER, responsable marché sécurité, IBM Software France
Pour mieux comprendre les possibilités qu’apportent les solutions de gestion et de protection des actifs immatériels et faciliter les échanges entre Correspondant Informatique et Libertés et Directions du Système d’Information, présentation d’une approche globale de la sécurité et par thèmes principaux : personnes, applications, infrastructure, données, fraude, conformité et pilotage.

Comment gérer le traumatisme d’une mise en demeure publique ? Frédéric THU, Dirigeant du Cabinet Cilex, et un représentant de l’OPH HLM de Paris
Lors de la dernière révision de la Loi Informatique et Libertés, la CNIL a gagné le pouvoir de rendre publiques ses lettres de mise en demeure, pouvoir dont elle a usé, notamment suite à une mission de contrôle effectuée auprès d’un bailleur social. Celui-ci s’est appuyé sur des conseils externes, dont le Cabinet Cilex qui a réalisé un audit. La CNIL ayant prononcé (publiquement également) la clôture du dossier après avoir constaté les efforts accomplis dans un esprit très constructif, les acteurs impliqués témoignent et analysent a posteriori cette période et en tirent des enseignements.

Un CIL a-t-il besoin de se former ? – Mireille DESHAYES, Adjointe au CIL de Groupama, Valérie MULLER, CIL du Groupe Orpea-Clinea, Vincent REGNAULT, CIL et Responsable du Système d’Information du Centre Hospitalier Intercommunal du Pays des Hautes Falaises (Fécamp)
Peut-on être CIL sans faire un effort de formation ? Des professionnels qui ont consenti un effort soutenu en ce domaine témoignent. Qu’en retirent-ils, concernant aussi bien leur efficacité, leur expertise, leur crédibilité, leur employabilité ? Peut-on réellement conseiller un responsable de traitement, défendre un dossier devant un CODIR ou un COMEX, porter une demande d’autorisation auprès de la CNIL, conseiller un client sans disposer d’un réel niveau d’expertise ? Un autodidacte peut-il réellement se préparer à endosser les habits du futur DPO ? La professionnalisation engagée ne passe-t-elle pas par une exigence de formation ?

Je veux chiffrer mon mail, Aie ! Les ennuis commencent ! – Bernard FORAY - Ancien CIL et RSSI de grands groupes internationaux, Auteur de l’ouvrage "La fonction RSSI" chez Dunod
Disons STOP au stockage à la transmission des données en clair et au détriment de la confidentialité sur les réseaux ! Alors que des solutions simples et opérationnelles existent, pourquoi sont-elles encore trop peu utilisées ? Comment vulgariser les procédés de chiffrement pour les rendre compréhensibles par les responsables de traitement ? Quels sont les logiciels dont on peut disposer ? Quels sont leurs avantages, leurs inconvénients ? Venez trouver des réponses grâce à des études de cas pratiques : je veux envoyer un mail chiffré, je veux crypter un document, je veux protéger mes fichiers dans le nuage. Alors, si vous voulez vous ouvrir de nouvelles perspectives, appréhender votre environnement technologique et gagner en autonomie, venez nous rejoindre dans cet atelier sans oublier de méditer la citation de Bruce Schneier : "Le sécurité est un processus, pas un produit" !

Quelle organisation « Informatique et Libertés » mettre en place au sein des groupes français d’envergure internationale  ? – Armande BRU consultante-juriste Devoteam, Catherine ENGLERT, Consultante et CIL Devoteam
Comment les grandes entreprises internationales abordent-elles la conformité Informatique et Libertés au regard des différentes législations locales ? Comment s’organisent-elles ? Quels impacts pourraient avoir le futur règlement sur cette organisation, et notamment sur le rôle du CIL/DPO ? Certains groupes anticipent-ils les nouvelles obligations qui leurs incomberont ? Ont-ils participé aux amendements ? Le CIL français risque-t-il de perdre son leadership au profit de son collègue allemand, britannique ou belge ?

Quantified self, Réseaux sociaux de santé et Télémédecine : Quelle conformité Informatique et Libertés ? – Benoit LOUVET, Avocat au Barreau de Paris et Eric CHARIKANE, Consultant indépendant, représentants du Groupe AFCDP « Données de santé »
Qu’est-ce que le Quantified self ? Qu’est-ce que les Réseaux sociaux de santé ? Quelle est la limite entre les données de bien ou de performances sportives et les données de santé ? Quelles précautions prendre pour éviter les détournements de finalités ? Quels risques face à l’agrégation de données issues du Quantified self ?

Ils savent des choses sur nous-mêmes que nous ignorons encore : Prédictibilité et Big Data – Dr Rand HINDI, PhD, SNIPS
Selon certains, grâce à l’analyse des données, une banque américaine prévoit les divorces deux ans à l’avance… une chaine de magasins adresse des offres concernant des produits pour femmes enceintes à un père de famille ...jusqu’à ce que celui-ci apprenne la grossesse de sa fille... les moteurs de recherche anticipent les questions que nous allons leur poser... les acteurs de la géolocalisation se disent capable de prévoir notre position du lendemain… la police concentre ses patrouilles sur les lieux d’un probable crime… On se partage entre enthousiasme et inquiétude : Quid des décisions automatiques ? Quid des biais et des erreurs ? Jusqu’où cela ira-t-il ? Que se passera-t-il quand les données seront capables d’identifier des individus dangereux avant même qu’ils n’aient commis de crimes ? Comment utiliserons-nous les prédictions issues des algorithmes ? Le développement des Big Data fait-il peser une menace non seulement sur notre vie privée, mais également sur notre liberté et notre dignité ?

Organiser la sécurité par la systémique et exemple de mise en pratique dans un grand organisme public belge, la STIB (transports publics de Bruxelles) - Eric GHEUR, Membre de la Commission belge de protection de la vie privée, Administrateur-gérant de Galaxia
Les nombreuses publications sur la sécurité découlent de principes organisationnels essentiellement analytiques. Pourtant les paradigmes actuels de l’organisation reposent sur des principes systémiques. L’exposé vise à montrer comment la systémique modifie la conception de l’organisation de la sécurité et en améliore significativement l’efficacité, notamment en ce qui concerne le respect des libertés fondamentales des usagers. Les quelques éléments théoriques exposés seront traduits dans la pratique et ensuite illustrés par un exemple vécu à la STIB, la Société des Transports Intercommunaux de Bruxelles.

RSSI et CIL : Amis ou ennemis ? - Philippe SALAÜN, CIL et responsable de la Gestion de crise - CNP Assurances
Amis bien sûr... mais il convient d’aller plus loin. Quelles sont les différences et les similitudes entre les deux métiers ? Sur quels sujets ces deux professionnels doivent-ils coopérer ? Comment arbitrer une éventuelle divergence de vue concernant la sécurisation des données personnelles ? Est-il réellement possible d’être CIL et RSSI en même temps ?

Délégation de service public, une gouvernance renouvelée – Gurvan QUENET, CIL et RSSI de la CUB, Communauté Urbaine de Bordeaux
La délégation de service public est un contrat par lesquels une personne morale de droit public confie la gestion d’un service public dont elle a la responsabilité à un délégataire public ou privé dont la rémunération est substantiellement liée au résultat d’exploitation du service. En matière de conformité Informatique et Libertés, quels sont les devoirs et les responsabilités du délégant et du délégataire ? Que convient-il d’intégrer dans la convention ? Qui est responsable de traitement et qui porte le "risque" Informatique et Libertés ? Le délégant peut-il avoir accès aux données personnelles ?

Le CIL et les syndicats 2.0 : garant d’un droit personnel face à des revendications collectives – Bertrand LAPRAYE, CIL d’Alcatel Lucent
Les données personnelles, leur protection, sont devenues l’objet d’un vaste débat de société qui concerne les activités des salariés dans toutes leurs facettes. Pour répondre à cette évolution et aux frontières du droit social, les organisations syndicales ont parfois la tentation « d’instrumentaliser » les normes de protection des données personnelles. Comment le CIL doit-il s’adapter pour remplir ses missions de garant d’une liberté individuelle et tracer les frontières avec des droits collectifs revendiqués mais pas toujours légitimes ? Cette question est à l’ordre du jour avec la RH dans le Cloud, les réseaux sociaux publics et d’entreprise et les équipes virtualisées globales.

Les objets connectés – Anne PILLIAS, Directrice Juridique et CIL de Teleperformance France, Fabienne VILLARS, CIL de Renault
Google Glass, plantes qui twittent pour demander de l’eau, réfrigérateurs intelligents, boitier fixé sur la serrure et qui peut être actionné à distance via une application mobile, balance Withings, pilulier intelligent, boîte aux lettres qui vous prévient du passage du facteur, etc. Les « objets intelligents » connectés à Internet s’imposent à nous. Quels risques pour la vie privée et quelles précautions prendre ?

Identité électronique, authentification, signature : facteurs de confiance ? – Amandine JAMBERT, Expert technique, CNIL
L’Europe est sur le point d’adopter un Règlement… qui vise à instaurer un cadre qui permettrait l’apparition de systèmes d’identification électronique – dont certains pourraient être dédiés à des secteurs d’activité– voire d’authentification et de signature électronique. Le projet ne prévoit pas la création d’une identité électronique européenne mais la reconnaissance mutuelle des dispositifs agréés par les autres états membres. Quelle sera l’autorité de contrôle chargée de la régulation de ce périmètre ? Les solutions apparaitront-elles assez rapidement avant que ne s’imposent d’autres modes d’identification « molles », comme ceux proposées par les réseaux sociaux ? L’intervenante, qui prend part aux travaux du groupe Article 29 au nom de la CNIL, nous dévoilera les points d’achoppement et de débats, mais aussi les espoirs que suscite ce texte.

Qu’implique le RGS (Référentiel Général de Sécurité) en termes de mise en œuvre au sein d’une collectivité ? – Olivier KOEGLER, Responsable Ingénierie informatique et Sécurité de la Communauté urbaine de Strasbourg
Le Référentiel Général de Sécurité (RGS) définit un ensemble de règles de sécurité qui s’imposent aux autorités administratives dans la sécurisation de leurs systèmes d’information et en particulier dans le cadre des téléservices de l’administration électronique. Il propose également des bonnes pratiques en matière de sécurité des systèmes d’information que les autorités administratives sont libres d’appliquer. Comment implémenter les recommandations du RGS ? Les prestataires doivent-ils le respecter ? Que comprendra la prochaine version du RGS ? Que peuvent retirer les organismes du secteur privé du RGS pour la sécurisation de leur propre SI ?

Le Safe Harbor, un instrument chahuté, et autres actualités sur les flux transfrontières – Pascale GELLY, Avocate, Cabinet Gelly
L’actualité des transferts Internationaux de données personnelles est particulièrement riche ces derniers mois, avec la remise en cause du Safe Harbor : que nous concoctent les institutions européennes ? Cet atelier sera également l’occasion de faire un point d’étape sur les BCR et les nouvelles modalités de déclaration des transferts de données auprès de la CNIL (nouvelle annexe transferts).

Fin des Ateliers vers 17h30.

Le programme est susceptible de subir quelques modifications dont seraient informées au préalable les personnes inscrites.

Les participants sont informés qu’ils sont susceptibles de figurer sur des photographies (plan général de la salle) qui seraient prises à l’occasion de cette manifestation pour en illustrer le compte-rendu (publié sur le site de l’AFCDP ou par voie de Presse) et en acceptent le principe.

INSCRIPTION

Cette manifestation est ouverte aux Membres AFCDP, sans condition d’ancienneté (voir ici pour adhérer), avec une contribution de 80 € nets et à un petit nombre de non-adhérents, avec une contribution de 550 € nets.

Si vous êtes intéressé, merci de prendre contact dès aujourd’hui avec Mme Nathalie Brunet, responsable Administrative de l’AFCDP, afin qu’elle vous communique les modalités à suivre pour participer à cette conférence.

Merci aux Sponsors qui nous ont soutenu dans le cadre de cette manifestation :
ISEP Formation Continue, Devoteam, IBM Security, BRM Avocats, Cabinet Cilex, SoLocal Group, Carac, Rever, Actecil.

PDF - 773.6 ko
Programme de la Conférence
PDF - 804.7 ko
Informations pratiques
PDF - 392.8 ko
Intervenants




Agenda

18 avril 2014
Réunion régionale PACA

6 mai 2014
Réunion Groupe "Données de Santé"

15 mai 2014
Rencontre mensuelle Parisienne

3 juin 2014
Réunion Big Data AFCDP Nord