Safe Harbor : les CNIL européennes doivent choisir entre force ou faiblesse

C’est dans une position délicate que la Cour de justice de l’Union européenne (CJUE) a plongé la CNIL et ses homologues du G29, lorsqu’elle a décidé le 6 octobre dernier d’invalider le Safe Harbor, qui permettait aux entreprises américaines comme Facebook d’importer chez elles les données des internautes européens. La plus haute juridiction de l’Union a de fait obligé les autorités de protection des données à choisir entre leur mission officielle de protection de la vie privée des citoyens, et leur contrainte officieuse de ne pas bloquer l’activité économique liée à l’exploitation des données personnelles.
Dans un arrêt protecteur des droits de l’homme tel que la CJUE les multiplie ces dernières années concernant Internet, la Cour a en effet jugé que les conditions n’étaient plus réunies pour être certain que les États-Unis respectent en droit et en fait la bonne protection des données personnelles des internautes européens traitées sur le sol américain. Elle a donc invalidé avec effet immédiat le Safe Habor qu’utilisaient des milliers d’entreprises américaines, dont Facebook, Google, ou Microsoft, ce qui aurait dû conduire à bloquer immédiatement tous les transferts de données vers les États-Unis, au moins le temps que les dossiers fondés sur d’autres mécanismes juridiques soient vérifiés et validés.

Or la CNIL et ses homologues ont décidé, sans aucune logique juridique mais par choix politique et pragmatique, d’octroyer aux États-Unis et à la Commission européenne un ultimatum fixé au 31 janvier 2016 pour négocier un nouveau Safe Harbor 2.0 assorti de nouvelles législations protectrices aux USA. « Quand nous avons appelé à une période de transition jusqu’en janvier, c’était un risque que nous avons pris ensemble. (…) Nous avons décidé de cette phase de transition afin de permettre à tous les acteurs du secteur de prendre leurs responsabilités », reconnaît aujourd’hui la présidente de la CNIL Isabelle Falque-Pierrotin, dans une interview à Euroactiv.

« Les transferts de données ne continueront pas à n’importe quel prix »

Mais les négociations traînent, et les États-Unis n’ont toujours pas proposé de législation qui permettrait notamment aux Européens de faire valoir leurs droits contre la NSA, lorsque celle-ci accède à leur données sans contrôle judiciaire. En principe, le Safe Harbor 2.0 (s’il aboutit) ne devrait donc pas être plus sécurisant que l’ancien, et n’aura aucune validité pour légaliser les transferts des données.

Interdire les transferts ? L’arme atomique

La menace de l’arme atomique de la suspension des transferts de données, brandie notamment en Allemagne, est donc théoriquement existante. Mais la CNIL peine à (se) convaincre d’une intention de l’utiliser, tant les enjeux économiques sont forts. « Nous souhaitons tous que les transferts de données continuent, parce qu’ils sont associés à des intérêts économiques et politiques très importants. Mais ils ne continueront pas à n’importe quel prix », prévient ainsi Mme Falque-Pierrotin.

Alors que le G29 avait demandé que des solutions juridiques soient trouvées avant la fin janvier 2016, le groupe se contente désormais d’exiger « un geste politique ».
« Je ne sais pas s’il sera possible de finaliser tout cela avant fin janvier, mais nous devons au moins recevoir un signe qu’ils ont compris le message des juges. Il ne s’agit pas de produire un Safe Harbor numéro deux. Il faut réellement tenir compte des arguments du juge, qui s’inquiète de la protection des données des citoyens européens aux États-Unis, quand les services de renseignement y ont accès », prévient la présidente du groupe des CNIL européennes.

Rendez-vous fin janvier pour voir quelles mesures seront effectivement prises.

Réagissez à cet article

Source : http://www.numerama.com/politique/134571-cnil-europeennes-safe-harbor-diplomatie-faiblesse.html

Directive sur la cybersécurité : Amazon, eBay, Google devront notifier leurs incidents majeurs

Cette future directive sur la cybersécurité visera en effet à imposer des règles harmonisées à tout un ensemble d’opérateurs critiques. Le mouvement sera épaulé par le réseau des Computer Security Incident Response Team (CSIRT) pour discuter des incidents et identifier de possibles réponses coordonnées.

Plusieurs niveaux de reporting selon les acteurs concernés

Ce texte visera avant tout à définir des critères pour savoir qui relève de ces obligations. En tête de liste, on trouvera nécessairement les acteurs de l’énergie, du transport et de la santé. Selon l’eurodéputé Andreas Schwab (EPP), ces entreprises devront répondre à plusieurs mesures de sécurité, mais également notifier aux autorités les incidents de cybersécurité qualifiés « d’importants. »

Si les micro entreprises et les PME seront épargnées, les principaux acteurs du Net seront également concernés, mais avec des obligations finalement plus en retrait. Sont cités les marketplaces comme Amazon ou eBay, les moteurs de recherche mais aussi les services de cloud qui devront mettre en place de mesures de sécurité tout en rapportant aux autorités les seuls « incidents majeurs » qui viendraient les impacter.

Le flou règne par contre sur les autres plateformes en ligne comme les réseaux sociaux. Selon l’eurodéputé, toutefois, « cette directive marque le début de la régulation des plateformes. Alors que la consultation de la Commission européenne sur ces acteurs est toujours en cours, les nouvelles règles prévoient déjà des définitions concrètes – une demande du Parlement européen exprimée depuis le début des négociations –, afin de faire connaître son consentement à l’inclusion des services numériques. »

En aout dernier, l’obligation de reporter aux autorités les incidents de sécurité avait soulevé les inquiétudes des représentants du secteur. Selon l’Afdel, l’association française des éditeurs de logiciels et de solutions Internet, une obligation indifférenciée de reporting « pourrait porter atteinte à la compétitivité des entreprises du numérique, en particulier des entreprises françaises et européennes du numérique – dont de nombreuses PME, qui n’ont pas toute la capacité d’adaptation des grands groupes internationaux –, sans atteindre les objectifs poursuivis en termes de sécurité ». L’ASIC, l’association des services Internet communautaires, avait craint pour sa part de voir chaque État membre devenir « le Directeur des services informatiques de l’ensemble des acteurs du numérique », du moins si des critères trop larges étaient inscrits en dur dans le texte final.

Le projet de directive doit maintenant être approuvé formellement par la Commission au marché intérieur du Parlement européen et par le Comité des représentants permanents.

Des obligations de reporting préexistent dans certains secteurs et en France

Suite à l’adoption du Paquet Télécom en Europe, rappelons que les opérateurs télécom doivent déjà notifier les fuites de données personnelles aux autorités de contrôle des données personnelles (la CNIL, ici). En France, l’Agence nationale de la sécurité des systèmes d’information chapeaute pour le compte du premier ministre, les règles de sécurité que doivent suivre les OIV, ces opérateurs d’importance vitale dont l’atteinte à la sécurité ou au fonctionnement risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation.

Depuis la loi de programmation militaire de 2013, centrales nucléaires, hôpitaux, sociétés de transports, acteurs des télécoms, etc. ont l’obligation de fournir « les informations nécessaires pour évaluer la sécurité de ses systèmes d’information, notamment la documentation technique des équipements et des logiciels utilisés dans ses systèmes ainsi que les codes sources de ces logiciels. »

Réagissez à cet article

Source : http://www.nextinpact.com/news/97630-directive-sur-cybersecurite-amazon-ebay-google-devront-notifier-leurs-incidents-majeurs.htm

La CNIL demande à Facebook de ne pas tracer les non-membres

Dans son bras de fer contre Facebook, qui est accusé de suivre tous les internautes à la trace, y compris ceux qui ne sont pas inscrits sur le réseau social, la commission de la protection de la vie privée belge n’est pas seule. L’institution peut en effet compter sur le soutien de quatre autres autorités européennes.
Celles-ci ont en effet publié une déclaration commune qui réclame la fin de l’ingérence du site américain dans la vie privée des internautes. Ce texte fait suite au jugement rendu en première instance par le tribunal civil de Bruxelles, qui condamne Facebook à cesser de tracer l’activité des internautes en Belgique lorsqu’ils visitent des sites web sur lesquels sont installés des boutons de partage, comme le célèbre « J’aime ».
Les autorités de France, de Belgique, d’Espagne, des Pays-Bas et de Hambourg sur la même ligne.
« Tout en reconnaissant le droit de Facebook à faire appel de ce jugement, le Groupe de contact attend de la société qu’elle se conforme à ce jugement sur tout le territoire de l’Union européenne », écrivent-elles. Elles ajoutent, dans un communiqué, que cette immixtion « n’est pas acceptable » et que Facebook doit « prendre les mesures nécessaires pour se mettre en conformité » avec les règles communautaires.
Mais en la matière, les mesures que Facebook a déjà déployées pour respecter le jugement de la justice belge ont eu pour effet d’irriter la commission de la protection de la vie privée belge. En effet, au lieu de neutraliser le cookie litigieux (intitulé « datr » et que Facebook justifie au nom de la sécurité de ses membres), le réseau social a préféré bloquer l’accès aux internautes belges qui ne sont pas connectés au service.

Réagissez à cet article

Source : http://www.numerama.com/politique/133980-la-cnil-demande-a-facebook-de-ne-pas-tracer-les-non-membres.html

Safe Harbor et localisation des données

Un jeune Autrichien en 28 ans va-t-il faire plus pour la régulation du Cloud sur le Vieux Continent que la Commission Européenne depuis dix ans ?

L’activiste Maximilian Schrems, (en photo) déjà à l’origine de l’invalidation de l’accord dit Safe Harbor par la Cour de justice européenne (CJUE), ouvre un nouveau front, touchant cette fois à la localisation des données personnelles des citoyens européens.

Sa cible, une fois encore : Facebook.

Schrems demande cette fois à plusieurs CNIL en Europe d’ordonner au réseau social de conserver ses données sur le sol européen, arguant du fait qu’il n’existe plus (et pour cause) de cadre légal assurant le transfert de ses données sur le sol américain en toute sécurité. Pour ce faire, l’activiste a déposé deux nouvelles plaintes contre Facebook. La première auprès de l’autorité belge de protection des données, la seconde auprès de l’équivalent de la CNIL en Allemagne. Max Schrems a également mis à jour sa plainte auprès de l’autorité irlandaise, celle qui avait abouti à l’invalidation du Safe Harbor. Rappelons que Facebook opère ses activités hors des Etats-Unis depuis l’Irlande, raison pour laquelle Schrems avait choisi ce pays pour s’attaquer au réseau social. L’autorité irlandaise s’étant déclaré incompétente, la plainte avait été transmise à la CJUE qui avait fini par invalider le Safe Harbor, accord de 2001 autorisant les entreprises établies aux États-Unis, notamment les GAFA (Google, Apple, Facebook, Amazon), à recevoir des données en provenance de l’Union européenne dans un cadre légal. La CJUE a décidé de tirer un trait sur cet accord à la lumière des révélations d’Edward Snowden sur les programmes de surveillance de la NSA et sur la complicité des grands noms du Web – dont Facebook – à ces programmes.

Forcer la main des CNIL européennes

Cet accord n’existant plus, Max Schrems estime que les transferts de données vers les Etats-Unis violent la loi européenne, qui réclame que ces exports ne peuvent être effectués vers un pays offrant un niveau de protection inférieur à celui de la loi en place sur le Vieux Continent. Le jeune Autrichien se demande donc sur quelles bases légales sont assurés les transferts de ces données vers les États-Unis. Interpelé sur ce point le 12 octobre (quelques jours après la décision de la CJUE), Facebook a produit tardivement un accord contractuel, daté du 20 novembre 2015, passé entre sa filiale irlandaise et sa maison mère et encadrant les transferts d’informations entre les deux entités. « En plus de cet accord, Facebook Ireland se base sur un certain nombre d’autres moyens légaux pour transférer les données de ses utilisateurs aux Etats-Unis », assurent les avocats du réseau social, dans une lettre. Sans plus de précisions toutefois. Max Schrems conteste la légalité de ces accords, censés suppléer la disparition du Safe Harbor, au regard des révélations d’Edward Snowden sur des programmes de surveillance comme Prism.

Pour forcer les CNIL européennes à prendre ce qu’il estime être tirer les conséquences logiques de la décision de la CJUE, le jeune Autrichien pourra s’appuyer sur les fractures qui apparaissent entre ces différentes autorités de contrôle. Fin octobre, l’administration allemande a mis en doute la voie préconisée par la Commission européenne après la fin du Safe Harbor, soit la mise en place rapide d’alternatives basées sur des accords contractuels. Indiquant qu’elle bloquerait tout nouveau transfert de données exploitant ces mécanismes.

Conséquence, selon Johannes Caspar, le responsable allemand de la protection des données : « Quiconque souhaite échapper aux conséquences légales et politiques du jugement de la CJUE devrait dans le futur étudier le stockage des données personnelles uniquement sur des serveurs situés au sein de l’UE ».

Max Schrems explique que les plaintes déposés en Irlande, en Belgique et en Allemagne font partie d’un « premier round » ; d’autres devraient suivre dans d’autres juridictions européennes.

Dans un communiqué, l’activiste précise : « je n’ai aucune doute qu’une large majorité des autorités européennes de protection des données enquêteront correctement sur les plaintes et prendront les actions qui s’imposent. Néanmoins, dans un cas particulier, j’ai senti le besoin de clarifier le fait qu’une résistance délibérée à faire le travail pourrait avoir des conséquences personnelles pour les responsables concernés ».

Safe Harbor 2 dans l’urgence

Rappelons que, suite à l’invalidation du Safe Harbor, la Commission européenne a relancé dans l’urgence des négociations pour aboutir rapidement à un nouvel accord cadre. Ce Safe Harbor 2 devra répondre pleinement aux exigences de la CJUE, pour que le cadre résiste aux défis juridiques posés par les régulateurs en charge de la protection des données.

Réunis au sein du groupe des CNIL européennes (G29), ces derniers attendent des autorités européennes et américaines une solution « satisfaisante » avant le 31 janvier 2016. Nul doute que Max Schrems n’est de toute façon pas disposé à leur laisser davantage de temps.

Réagissez à cet article

Source : http://www.silicon.fr/max-schrems-le-tombeur-du-safe-harbor-sattaque-a-la-localisation-des-donnees-133129.html

Des amendes plus lourdes de la part de la Cnil ?

En France, la commission en charge de la protection des données personnelles ne dispose que d’un pouvoir limité en termes de sanction financière. Elle ne peut infliger, en bout de course d’une procédure pouvant durer plusieurs mois, qu’une amende maximale de 150 000 euros.

Si ce type de sanction est important pour de petites structures, il n’en est rien pour des multinationales. C’est le cas par exemple de Google qui en 2014 avait été condamné à payer cette amende pour ne pas avoir suffisamment informé les utilisateurs lors de la refonte de ses services et de ses conditions d’utilisation. Google avait également été sommé de faire afficher cette condamnation une note pendant 48h sur la page d’accueil de google.fr faisant état de sa sanction. L’amende avait été relayée par les médias mais n’a pas non plus ébranlé Google. C’est pourquoi Axelle Lemaire souhaite doter la Cnil de pouvoirs plus étendus.

Interrogée par France Inter, la secrétaire d’Etat au numérique estime que ces prérogatives sont « insuffisamment élevées » ajoutant que ce type d’amende « c’est cacahuète par rapport à la réalité économique » d’un groupe comme Google, Apple ou bien encore Microsoft. C’est pourquoi elle souhaite que l’Europe dote ces autorités de compétences plus importantes.

Des négociations sur un projet de règlement européen sur les données personnelles se terminent actuellement à Bruxelles. Ce qui pourrait faire progresser la situation. A terme, une telle autorité pourrait infliger des amendes allant jusqu’à 100 millions d’euros ou 5% du chiffre d’affaires mondial d’une entreprise.

A l’image des règles européennes en faveur de la concurrence, ce type de texte pourrait pousser les groupes américains à faire preuve de davantage de vigilance.

Contactez-nous

Denis JACOPINI
formateur n°93 84 03041 84

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://pro.clubic.com/legislation-loi-internet/cnil/actualite-785040-axelle-lemaire-cnil-amende.html

Les pires et meilleurs endroits pour stocker ses données

Forrester a disséqué le paysage complexe de la protection des données personnelles dans un nouveau rapport, assorti d’un plan interactif, qui présente son analyse de 54 entreprises et leur place dans l’écosystème de la sécurité. Parmi les résultats clés de l’étude :

• Depuis le “Heat Map” publié par Forrester en 2012, les pays européens sont clairement des leaders en termes protection des données. Une tendance actuelle veut que les pays non-européens soient actuellement en train d’adopter des dispositions similaires, les plus récents étant le Chili, l’Afrique du Sud et la Thaïlande.

• L’appui par les constitutions nationales et la surveillance gouvernementale sont les éléments de différenciation clés dans la protection des données, dans la mesure où les pays qui ont intégré des dispositions dans leur constitution pour protéger les droits personnels sont ceux qui appliquent les lois sur la protection des données personnelles. D’un autre côté, les gouvernements dont la surveillance de la population est de notoriété publique, comme les activités largement médiatisées des agences américaines, sont des exemples de pays positionnés plus bas dans le classement.

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.globalsecuritymag.fr/Forrester-Les-pires-et-meilleurs,20151104,57261.html

Nouvelle réglementation Européenne sur la protection des données personnelles

Les apports du projet de règlement UE sur la protection des données personnelles en matière de gestion de crise sont nombreux et les entreprises peuvent d’ores et déjà se préparer à plusieurs niveaux.

Vous êtes le dirigeant d’une entreprise de la grande distribution, vôtre RSSI vous informe que malgré les mesures de sécurité mises en œuvre, l’entreprise est victime d’un vol massif de données clients. Vous avez conscience que c’est impactant pour votre entreprise mais heureusement les législations européennes et françaises, en matière de violation des données à caractère personnel, ne visent que les fournisseurs de communication électronique. Vous êtes épargnés d’un point de vue réglementaire… Certes, mais plus pour longtemps.

Le projet de règlement sur la protection des données destiné à remplacer la Directive 95/46/CE doit actuellement repasser devant la Commission et son adoption ne saurait tarder. Le règlement vise désormais toutes les organisations traitant des données à caractère personnel et en lien avec l’UE (territorial, résidents UE…).

Celui-ci impose notamment, que si les conséquences de la compromission de données, constituent un risque élevé pour les droits et libertés des personnes physiques concernées, l’organisation doit les informer au plus vite. Elle doit aussi en informer les autorités compétentes en matière de protection des données à caractère personnel. Pour ce faire plusieurs actions doivent être réalisées en étroite collaboration avec le soutien du Data Privacy Officer (DPO) de l’organisation.

La qualification de l’incident

L’objectif est de déterminer si le risque est élevé pour les personnes concernées. Pour ce faire il convient en premier lieu de répondre à deux questions :

• Les données volées rendent-elles les personnes concernées identifiables ?

• Les personnes concernées peuvent-elles connaître des conséquences significatives voire irrémédiables (discrimination, vol/usurpation d’identité, perte financière, atteinte à la réputation) ?

A l’issue de cette première phase, si le risque est élevé pour les personnes concernées (données identifiables et conséquences majeures), il faudra procéder à la notification de l’autorité compétente et des personnes concernées.

L’organisation ne sera toutefois pas tenue de notifier les personnes concernées par la violation si :

• Le responsable du traitement a mis en œuvre des mesures de protection technologiques appropriées rendant les données incompréhensibles à toutes personnes non autorisées à y avoir accès (ex : chiffrement) ;

• Ou si la notification risque d’entrainer des mesures disproportionnées eu égard notamment au nombre de cas concernés ;

•    Ou si la notification risque de porter atteinte à un intérêt public important.

La notification de l’incident

Pour la notification à l’autorité en charge de la protection des données, la CNIL en France,  l’organisation victime de l’attaque dispose d’un délai de 72 heures. Cette notification devra notamment comporter les éléments suivants :

•    La nature de la violation

•    Le nombre approximatif de personnes et des enregistrements concernés

•    La description des conséquences probables de la violation

•    La description des mesures prises

Pour la notification aux personnes concernées, celles-ci doivent aussi être averties sans retard injustifié. Trois éléments principaux doivent être communiqués :

•    La nature de la violation des données à caractère personnel

•    Les mesures prises ou proposées pour remédier à la violation

•    Les recommandations afin d’atténuer les effets négatifs de la violation

Durant toute la gestion de la crise ainsi que durant la sortie de crise, le responsable du traitement doit alimenter puis conserver une trace documentaire de la violation des données à caractère personnel en indiquant son contexte, ses effets et les mesures prises pour y remédier. Ce document aura valeur juridique et pourra être opposable.

En parallèle à ces actions, la gestion de la crise comporte également une gestion technique de l’attaque, une campagne de communication de crise afin de sauvegarder la réputation, ainsi qu’une démarche judiciaire et assurantielle notamment si l’organisation a adopté une cyber-assurance.

Le rôle du DPO

En temps de crise, le Data Privacy Officer (DPO) pourra veiller à ce que les mesures adaptées et la notification à l’autorité de contrôle et aux personnes concernées soient réalisées. Il pourra par ailleurs effectuer toutes les procédures requises auprès de la CNIL ainsi que suivre le dossier. En outre, les relations entre le CIL et la CNIL déjà établies en amont de la crise permettent d’alléger les procédures.

L’existence du CIL dans les entreprises peut être ainsi un élément favorisant l’adoption de réponses adaptées en temps de crise et pouvant réduire le montant de la sanction administrative dans le cas où la responsabilité du responsable de traitement ou du sous-traitant est démontrée.

Comme tout professionnel de l’informatique et de l’Internet, il est de mon devoir de vous informer que vous devez mettre en conformité et déclarer à la CNIL tous vos traitement de données à caractère personnel (factures, contacts, emails…).
Même si remplir un formulaire de déclaration à la CNIL est simple et gratuit, il vous engage cependant, par la signature que vous apposez, à respecter point par point la loi Informatique et Libertés. Cette démarche doit commencer par une analyse précise et confidentielle de l’ensemble de vos systèmes de traitements de données. Nous pouvons vous accompagner pour vous mettre en conformité avec la CNIL, former ou accompagner un C.I.L. (correspondant CNIL) ou sensibiliser les agents et salariés à l’hygiène informatique.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.itpro.fr/a/nouvelle-reglementation-ue-sur-protection-donnees-personnelles/

Par Francesca Serio – Consultante spécialisée en Gestion de crise et Continuité d’Activité – Provadys

La CDP malienne venue s’inspi08rer de l’expérience sénégalaise

La délégation de l’Autorité malienne, avec à sa tête son Président, M. Oumarou A.G Mouhamed Ibrahim AIDARA, était composé de cinq personnes. Cette visite s’explique selon le Président de l’autorité malienne par la volonté de s’imprégner de l’expérience enregistrée par le Sénégal depuis quelques années en matière de protection des données personnelles. Elle se justifie également par les ressemblances constatées dans les deux pays.

M. Oumarou A.G Mouhamed Ibrahim AIDARA a remercié les autorités sénégalaises de leur accueil chaleureux et précisé qu’ils étaient venus pour apprendre du Sénégal.

De son côté, le Président de la CDP, le Dr Mouhamadou LO, a magnifié le début d’une fructueuse collaboration entre les deux institutions, tout en invitant ses responsables à œuvrer pour que le respect de la vie privée des personnes entre dans les habitudes quotidiennes des Maliens. Les deux autorités de protection ont émis le souhait de nouer une collaboration étroite et un appui mutuel dans le cadre de la lutte contre la violation de la vie privée au sein des deux pays.

Comme tout professionnel de l’informatique et de l’Internet, il est de mon devoir de vous informer que vous devez mettre en conformité et déclarer à la CNIL tous vos traitement de données à caractère personnel (factures, contacts, emails…).
Même si remplir un formulaire de déclaration à la CNIL est simple et gratuit, il vous engage cependant, par la signature que vous apposez, à respecter point par point la loi Informatique et Libertés. Cette démarche doit commencer par une analyse précise et confidentielle de l’ensemble de vos systèmes de traitements de données. Nous pouvons vous accompagner pour vous mettre en conformité avec la CNIL, former ou accompagner un C.I.L. (correspondant CNIL) ou sensibiliser les agents et salariés à l’hygiène informatique.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Source : http://www.dakaractu.com/Protection-des-Donnees-Personnelles-La-CDP-malienne-venue-s-inspirer-de-l-experience-senegalaise_a100379.html

Facebook continuera à transférer tranquillement vos données aux Etats-Unis

Publié il y a quelques jours, l’arrêt de la cour de justice de l’Union européenne (CJUE) à propos de l’affaire Max Schrems contre Facebook agite les entreprises du web américaines, car il pourrait remettre en cause l’un des piliers de leurs business : les transferts de données personnelles entre l’Europe et les Etats-Unis.

Jusqu’à présent, ces flux étaient principalement effectués dans le cadre dit de la « sphère de sécurité » (ou « Safe Harbor »), un accord juridique qui permet aux sociétés américaines de transférer vers leurs centres de données aux Etats-Unis les données personnelles de leurs utilisateurs européens, sans grande difficulté. Car on estimait que leurs informations y bénéficiaient d’une protection similaire (ou « adéquate »).

Les transferts se feront différemment

Mais la CJUE n’est pas de cet avis, estimant qu’aux Etats-Unis, « les exigences relatives à la sécurité nationale… l’emportent ». En d’autres termes, la sphère de sécurité n’offrirait aucune garantie de protection face à la surveillance de masse de la NSA révélée par Edward Snowden. Le CJUE invalide donc le Safe Harbor.

Facebook, en revanche, ne s’inquiète pas trop de cette nouvelle donne et prévoit de continuer tranquillement ses transferts de données transatlantiques, comme avant. « Cet arrêt ne nous impacte pas », explique Stephen Deadman, directeur adjoint de la confidentialité des données chez Facebook, de passage à Paris. « Il y a d’autres mécanismes que le Safe Harbor pour transférer les données personnelles. Ils sont plus compliqués à mettre en place, mais nous avons les ressources pour le faire », ajoute-t-il.

GK – Stephen Deadman, directeur adjoint de la confidentialité des données chez Facebook

Ces mécanismes alternatifs – qui sont d’ailleurs proposés par les autorités européennes de protection des données personnelles – portent des noms barbares tels que « Clauses contractuelles type » ou « Corporate Binding Rules ». Ils obligent les entreprises à créer des procédures internes spécifiques pour assurer la protection des données personnelles: audit, formation, gestion des plaintes, etc. Pour des acteurs tels que Facebook ou Google, cela signifie avant tout plus de paperasse à gérer, ce qui est supportable.

Incompatibilité fondamentale

Pour les utilisateurs, en revanche, toute cette situation est loin d’être satisfaisante. Il est peu probable que ces mécanismes alternatifs apportent une « protection adéquate » compte tenu du caractère très intrusif du Patriot Act, la loi américaine qui autorise la surveillance de masse aux Etats-Unis. Leur validité juridique devrait donc, là aussi, être plutôt incertaine. Mais l’arrêt de la CJUE, malheureusement, ne s’exprime pas sur ce sujet.

A ce stade, on imagine mal comment un hypothétique Safe Harbor 2, qui doit être négocié entre l’Union européenne et les Etats-Unis, pourrait régler la situation. Car le problème fondamental, c’est l’incompatibilité entre les programmes de surveillance de masse américains et les droits fondamentaux garantis par le droit européen.

Même si remplir un formulaire de déclaration à la CNIL est simple et gratuit, il vous engage cependant, par la signature que vous apposez, à respecter point par point la loi Informatique et Libertés. Cette démarche doit commencer par une analyse précise et confidentielle de l’ensemble de vos systèmes de traitements de données. Nous pouvons vous accompagner pour vous mettre en conformité avec la CNIL, former ou accompagner un C.I.L. (correspondant CNIL) ou sensibiliser les agents et salariés à l’hygiène informatique.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://hightech.bfmtv.com/internet/safe-harbor-facebook-continuera-a-transferer-tranquillement-vos-donnees-aux-etats-unis-920849.html

Droit au déréférencement : une fiche pratique de la Cnil

Poursuivant sa mission d’explication de la protection des données à caractère personnel à tous, la Cnil présente cette fiche synthétique et didactique pour bien faire comprendre à tout un chacun quels sont les droits que lui accordent les lois européennes et l’arrêt de la CJUE du 13 mai 2014.

On peut ainsi voir posées des question essentielles telles que :

• Qu’est-ce que le déréférencement ?
• Quelle est la portée du déréférencement ?
• Comment exercer ce droit ?

Mais aussi des questions plus gênantes, notamment pour Google :

• Quelle est la portée  du déréférencement ?
• Comment se fait-il que l’application de la loi Informatique et Libertés puisse avoir des répercussions en dehors du territoire français ?

On trouve aussi des questions qui relèvent du débat de société :

• Quelles garanties pour la liberté d’expression et le droit à l’information ?
• Le déréférencement ne risque-t-il pas de conduire à une « censure » d’internet en faisant disparaître des documents ou des événements particuliers ?

La Cnil en profite, comme souvent, pour renvoyer à d’autres documents publiés sur son site sur le même sujet.

Lire la fiche sur le site de la Cnil :

www.cnil.fr/documentation/fiches-pratiques/fiche/article/le-droit-au-dereferencement-en-questions/

Documents connexes proposés par la Cnil :

Le droit au déréférencement : www.cnil.fr/vos-droits/exercer-vos-droits/le-droit-au-dereferencement/

[Infographie] Le droit au déréférencement : www.cnil.fr/vos-droits/exercer-vos-droits/le-droit-au-dereferencement/infographie-le-droit-au-dereferencement/

Comme tout professionnel de l’informatique et de l’Internet, il est de mon devoir de vous informer que vous devez mettre en conformité et déclarer à la CNIL tous vos traitement de données à caractère personnel (factures, contacts, emails…).
Même si remplir un formulaire de déclaration à la CNIL est simple et gratuit, il vous engage cependant, par la signature que vous apposez, à respecter point par point la loi Informatique et Libertés. Cette démarche doit commencer par une analyse précise et confidentielle de l’ensemble de vos systèmes de traitements de données. Nous pouvons vous accompagner pour vous mettre en conformité avec la CNIL, former ou accompagner un C.I.L. (correspondant CNIL) ou sensibiliser les agents et salariés à l’hygiène informatique.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.les-infostrateges.com/actu/15102072/droit-au-dereferencement-une-fiche-pratique-de-la-cnil