Privacy by Design

Les drones civils aussi devront répondre au concept de « Privacy by Design »

Les drones civils aussi devront répondre au concept de « Privacy by Design » D’ici un an, les opérateurs de drones comme les fabricants, auront l’obligation de mettre en œuvre des « mesures techniques et opérationnelles appropriés » afin protéger les droits des personnes et des données. Laurent Archambault, avocat à la Cour, explique ici comment les acteurs de la filière drone, en Europe à partir du 25 mai 2018, devront non seulement acheter ou concevoir des drones qui prennent en compte cette question, planifier leurs missions dans cet état d’esprit, mais aussi adopter une organisation qui permette une protection maximisée des tiers et de leurs données.   Les drones sont par essence des appareils permettant des prises de vue ou la captation de données, discrètement. La grande majorité de ces aéronefs est de petite taille. Ils peuvent voler près du sol, longer des édifices ou encore suivre une personne de jour comme de nuit. Comme souligné par Edouard Geffray, Secrétaire général de la CNIL, la problématique du drone pour la vie privée et la protection des données réside d’ailleurs, non pas tant dans l’emport de capteurs, mais bien dans la mobilité et la discrétion du drone. A cet égard, le concept de « Privacy by Design » pourrait constituer un moyen de limiter, voire de supprimer tant les atteintes à la vie privée que la captation de données personnelles par drone (ces dernières pouvant être grossièrement définies, comme des «données non anonymes »). Insistons sur le fait qu’à l’ère du numérique, ces deux domaines sont poreux entre eux..[lire la suite]     A Lire aussi : Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 Le RGPD, règlement européen de protection des données. Comment devenir DPO ? Comprendre le Règlement Européen sur les données personnelles en 6 dessins Notre sélection d’articles sur le RGPD (Règlement Européen sur la Protection des données Personnelles) et les DPO (Délégués à la Protection des Données)   Notre métier : Vous accompagner dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel. Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84) Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles   Réagissez à cet article Source : Le concept de « Privacy by Design » à la rescousse des drones civils européens – Aerobuzz

Les PME , dépassées par l’arrivée du RGPD ?

Les PME , dépassées par l’arrivée du RGPD ? Le Règlement Général sur la Protection des Données (GDPR) dont sa application est déjà prévue pour le 25 mai 2018, laisse aux entreprises un peu plus d’une année pour se conformer. Cependant, elles semblent toutefois avoir du mal à lancer les projets adaptés pour assurer leur conformité à ce nouveau Règlement.   Au moins c’est la conclusion principale du dernier rapport mené par IDC selon lequel Sur les 700 entreprises interrogées, 77% des décideurs informatiques ne sont pas conscients de l’impact du RGPD sur l’activité de leur entreprise ou n’ont même pas connaissance de ce règlement. Parmi celles qui connaissent le RGPD, 20% affirment y être déjà conformes, 59% travaillent à l’être et 21% avouent ne pas du tout être préparés. « La protection des données à caractère personnel des clients et partenaires est primordiale pour les entreprises. Elles doivent prendre conscience de la valeur que représentent ces informations et mettre en place des mesures adaptées pour répondre aux obligations du RGPD. », explique Mark CHILD, Research Manager chez IDC. Dans ce sens, les petites et moyennes entreprises reconnaissent que leur logiciel anti-malware est insuffisant dans l’environnement de menace actuel, et la moitié des répondants ont avoué que ce point était le plus important à améliorer…[lire la suite]     A Lire aussi : Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 Le RGPD, règlement européen de protection des données. Comment devenir DPO ? Comprendre le Règlement Européen sur les données personnelles en 6 dessins Notre sélection d’articles sur le RGPD (Règlement Européen sur la Protection des données Personnelles) et les DPO (Délégués à la Protection des Données)   Notre métier : Vous accompagner dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel. Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84) Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles   Réagissez à cet article Source : Les PME , dépassées par l’arrivée du RGPD ? – Globb Security FR

Comment se préparer au règlement européen sur la Protection des Données Personnelles en 6 étapes ?

Comment se préparer au règlement européen sur la Protection des Données Personnelles en 6 étapes ? Le 25 mai 2018, le règlement européen sera applicable. De nombreuses formalités auprès de la CNIL vont disparaître. En contrepartie, la responsabilité des organismes sera renforcée. Ils devront en effet assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité. ETAPE 1 DÉSIGNER UN PILOTE Pour piloter la gouvernance des données personnelles de votre structure, vous aurez besoin d’un véritable chef d’orchestre qui exercera une mission d’information, de conseil et de contrôle en interne : le délégué à la protection des données. En attendant 2018, vous pouvez d’ores et déjà désigner un « correspondant informatique et libertés », qui vous donnera un temps d’avance et vous permettra d’organiser les actions à mener. > En savoir plus ETAPE 2 CARTOGRAPHIER VOS TRAITEMENTS DE DONNÉES PERSONNELLES Pour mesurer concrètement l’impact du règlement européen sur la protection des données que vous traitez, commencez par recenser de façon précise vos traitements de données personnelles. L’élaboration d’un registre des traitements vous permet de faire le point. > En savoir plus ETAPE 3 PRIORISER LES ACTIONS À MENER Sur la base de votre registre, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées. > En savoir plus ETAPE 4 GÉRER LES RISQUES Si vous avez identifié des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une analyse d’impact sur la protection des données (PIA). > En savoir plus ETAPE 5 ORGANISER LES PROCESSUS INTERNES Pour assurer un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demande de rectification ou d’accès, modification des données collectées, changement de prestataire). > En savoir plus ETAPE 6 DOCUMENTER LA CONFORMITÉ Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu. > En savoir plus …[lire la suite] Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel. Par des actions d’expertises, d’audits, de formations et de sensibilisation dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi […]

Protection des données personnelles : Ce qui change en 2018 avec le règlement RGPD

Protection des données personnelles : Ce qui change en 2018 avec le règlement RGPD Le nouveau règlement européen sur la protection des données personnelles entrera en vigueur le 25 mai 2018. «Ce texte rénove la régulation européenne des données et offre à l’Europe la possibilité de récupérer sa souveraineté numérique…», indique Isabelle Falque-Pierrotin, présidente de la Commission nationale de l’informatique et des libertés (Cnil).   Le règlement renforce les droits des personnes à l’ère numérique Les entreprises doivent se préparer au nouveau cadre juridique Entrée en vigueur en mai 2018 En 2016, la Cnil a enregistré 7.703 plaintes (un peu moins que le record de 2015, 7.900 cas). Elles ont concerné principalement les secteurs Internet/télécom et le commerce «La complexité du règlement avec ses 99 articles et ses 200 considérants ne doit pas masquer pour autant l’essence du texte qui consiste à renforcer la place centrale de l’individu dans l’univers des données», dit-elle. Pour le cas de la France, un projet de loi devra être déposé au Parlement au plus tard en juin 2017 pour garantir une meilleure application du règlement. ■ Nouveau cadre juridique: Le règlement européen constitue une évolution du cadre juridique de la protection des données et permet de construire une régulation commune sur l’ensemble du territoire de l’Union. Globalement, le texte renforce l’obligation des organismes publics et privés de protéger les données personnelles de leurs utilisateurs et clients. En pratique, le droit européen s’appliquera chaque fois qu’un résident européen sera directement visé par un traitement de données, y compris par Internet. La territorialité du droit européen se construit donc désormais autour de la personne. Cela se traduit par l’apparition de nouveaux droits (portabilité des données, limitation du traitement, réparation d’un dommage matériel ou moral…).  Les obligations en matière d’information sont également renforcées notamment en cas de faille de sécurité. ■ L’expression du consentement renforcée: Les utilisateurs doivent être informés de l’usage de leurs données et doivent en principe donner leur accord pour le traitement de leurs données, ou pouvoir s’y opposer. La charge de la preuve du consentement incombe au responsable de traitement. La matérialisation de ce consentement doit être non ambiguë. Le but de cette évolution est d’améliorer l’information qui doit être claire et accessible aux personnes concernées par les traitements de données. ■ Portabilité des données: Ce nouveau droit permet à une personne de récupérer les données qu’elle a fournies sous une forme facilement réutilisable, et, le cas échéant, de les transférer ensuite à un tiers. Il s’agit de redonner aux personnes la maîtrise de leurs données et de compenser en partie l’asymétrie entre le responsable de traitement et la personne concernée. ■ Protection des enfants: L’information sur les traitements de données les concernant doit être rédigée en des termes clairs et simples, que l’enfant peut aisément comprendre. Le consentement doit être recueilli auprès du titulaire de l’autorité parentale. Les Etats membres peuvent abaisser cet âge par la loi, sans toutefois qu’il puisse être inférieur à 13 ans. Devenu adulte, le consentement donné sur un traitement doit pouvoir être retiré et les données effacées. ■ Biométrie: Les données biométriques doivent faire l’objet d’une vigilance […]

RGPD Règlement Européen sur la Protection des Données : Voici comment être en règle pour 2018

RGPD Règlement Européen sur la Protection des Données : Voici comment être en règle pour 2018 Le GDPR, règlement européen qui renforce le droit des utilisateurs en matière de données personnelles, entrera en vigueur en mai de l’an prochain. D’ici là, 4 actions doivent être menées.       2017 s’annonce chargé pour toutes les entreprises qui collectent et manipulent, de près ou de loin, de la data en provenance de leurs consommateurs. Pour cause, le nouveau règlement européen sur la protection des données personnelles (GDPR) entrera en application le 25 mai 2018. Son objectif est de renforcer les droits des personnes en la matière… et les obligations des entreprises. Voici comment éviter une amende qui sera salée pour les mauvais élèves : 2 à 4% du chiffre d’affaires ou 20 millions d’euros, le montant le plus élevé étant choisi. Protéger les données personnelles en amont Commençons par la bonne nouvelle. L’entreprise qui procède à un traitement de données personnelles n’aura plus à remplir de déclaration auprès de la Cnil pour l’en informer, comme elle y est pour l’instant tenue. Ce pilier de la loi “Informatique et liberté” saute. “Les entreprises doivent ‘en échange’ se conformer au concept de “privacy by design” érigé par l’article 25 du règlement”, explique Matthieu Berguig, avocat spécialisé en droit des nouvelles technologies. Ce concept leur impose de réfléchir à la protection des données personnelles en amont de la conception  d’un produit ou d’un service. “Un fabricant d’objets connectés doit donc se poser des questions de base avant de mettre son produit sur le marché : où son stocké les données, par quel protocole de cryptage seront-elles protégées, sont-elles anonymisées…”, illustre Matthieu Berguig. Délestée de ce travail de vérification, la Cnil s’évite beaucoup de paperasse… et gagne du temps pour auditer le marché. “On peut être sûrs que les contrôles seront plus nombreux”, prévoit Matthieu Berguig. Nommer un déléguer à la protection des données La Cnil pourra travailler dans cette perspective main dans la main avec un collaborateur d’un nouveau genre, le délégué à la protection des données (DPD). L’article 37 impose sa nomination dans plusieurs cas de figure : lorsque “le traitement est effectué par une autorité publique ou un organisme public”, lorsque le traitement impose “un suivi régulier et systématique à grande échelle des personnes concernées” ou lorsque le traitement à grande échelle concerne “les catégories particulières de données visées à l’article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10“. Beaucoup d’entreprises sont donc concernées par l’obligation et toutes sont encouragées à en nommer un. Chargé de faire respecter le règlement européen sur la protection des données au sein de l’organisme qui l’a désigné, le DPD tient un peu du mouton à cinq pattes. Chez les entreprises déjà bien structurées, le “compliance officer”, le collaborateur qui s’assure de la conformité de toute décision business à la législation, sera un candidat naturel à ce rôle de DPD. “Pour toutes les autres, il faut trouver la perle rare, un profil juridique capable également de comprendre les problématiques métiers”, note Alan Walter, avocat associé chez Walter Billet Avocats. Tenir un registre de traitement des données […]

Contrôles biométriques en entreprise : vos obligations changent !

Contrôles biométriques en entreprise : vos obligations changent ! Le cadre légal régissant la mise en place de dispositifs biométriques en entreprise évolue. En effet, la Cnil a adopté le 30 juin 2016, suite aux exigences fixées par le règlement européen sur la protection des données personnelles (2), 2 autorisations uniques, publiées au journal officiel le 27 septembre 2016.     Ces autorisations uniques fixent un nouveau cadre légal afin d’encadrer le recours aux dispositifs biométriques et protéger au mieux les libertés individuelles des personnes concernées par de tels systèmes d’identification. Ainsi, les entreprises ayant recours à la mise en place de dispositifs biométriques ne seront plus soumises à une autorisation préalable de la Cnil. Elles devront simplement réaliser une demande d’autorisation unique et se conformer aux obligations prévues par l’autorisation.     La Cnil distingue désormais 2 types de dispositifs : 1/ l’autorisation unique 052 (3) pour les dispositifs garantissant la maîtrise par la personne concernée sur son gabarit biométrique. Ce peut être soit : – un système recourant au stockage des données biométriques sur un support individuel détenu par les personnes concernées ; – si la détention d’un support dédié au seul stockage du gabarit n’est pas adaptée à l’architecture et au contexte d’exploitation du dispositif, le responsable du traitement peut, de manière alternative, assurer le verrouillage des données biométriques stockées en base, par un secret détenu uniquement par la personne concernée ; Dans ces deux hypothèses, l’utilisation du gabarit biométrique est conditionnée à une action de la personne concernée en tant que détentrice du gabarit ou du secret permettant de le déverrouiller.   2/ l’autorisation unique 053 (4) pour les dispositifs reposant sur une conservation des gabarits en base par le responsable du traitement. Un “gabarit” biométrique désigne les mesures qui sont mémorisées lors de l’enregistrement des caractéristiques morphologiques, biologiques ou comportementales de la personne concernée.   Ainsi, à chaque demande d’autorisation unique visant à mettre en place un dispositif biométrique dans leur entreprise, les dirigeants doivent se conformer à certaines exigences : justifier de la nécessité et de la pertinence d’avoir recours à un dispositif biométrique. Le recours à ce dernier ne doit pas avoir pour effet de se substituer à des dispositifs non biométriques ; privilégier les dispositifs biométriques qui garantissent aux personnes concernées la maîtrise de leur gabarit ; justifier et garantir la protection et la conservation des gabarits en base ; prendre toute mesure permettant de limiter les risques d’atteinte à la vie privée. Si vous avez mis en place un dispositif biométrique sous couvert de l’ancien cadre légal, vous devez vérifier s’il répond à ces nouvelles exigences : si c’est le cas : un engagement de conformité à l’une de ces nouvelles autorisations peut être réalisé ; si ce n’est pas le cas : vous avez 2 ans pour vous mettre en conformité.     2ans pour être en conformité Si vous ne vous êtes pas mis en conformité d’ici la fin de ce délai, sachez néanmoins que la Cnil pourra à tout moment contrôler que le dispositif de biométrie mis en place dans votre entreprise répond aux obligations imposées par les nouvelles […]

Denis JACOPINI intervient au Conseil de l’Europe lors de la conférence Octopus 2016

Denis JACOPINI intervient au Conseil de l’Europe lors de la conférence Octopus 2016 A l’occasion de sa conférence annuelle consacrée à la lutte de la Cybercriminalité à travers le monde du 16 au 18 Novembre prochain au Conseil de l’Europe, Denis JACOPINI intervient au Workshop n°7     Au programme : La Convention de Budapest: 15e anniversaire Criminalité et compétence dans le cyberespace : la voie à suivre Ateliers Coopération entre les fournisseurs de service et les services répressifs en matière de cybercriminalité et de preuve électronique L’accès de la justice pénale aux preuves dans le Cloud: les résultats du groupe sur les preuves dans le Cloud (Cloud Evidence Group) Renforcement des capacités en cybercriminalité: les enseignements tirés L’état de la législation en matière de cybercriminalité en Afrique, en Asie/Pacifique et en Amérique latine/aux Caraïbes Le terrorisme et les technologies de l’information : la perspective de la justice pénale Coopération internationale: amélioration du rôle des points de contact 24/7 A la recherche des synergies: politiques et initiatives en cybercriminalité des organisations internationales et du secteur privé Participation La conférence sera l’occasion, pour les experts en cybercriminalité des secteurs public et privé ainsi que les organisations internationales et non gouvernementales du monde entier, d’échanger.   La conférence Octopus fait partie du projet Cybercrime@Octopus financé par les contributions volontaires de l’Estonie, du Japon, de Monaco, de la Roumanie, du Royaume-Uni, des Etats-Unis d’Amérique et de Microsoft ainsi que du budget du Conseil de l’Europe. Agenda Octopus 2016   Notre métier : Sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la Protection des Données Personnelles (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84). Denis JACOPINI anime dans toute le France et à l’étranger des conférences, des tables rondes et des formations pour sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la protection de leurs données personnelles (Mise en Place d’un Correspondant Informatique et Libertés (CIL) dans votre établissement. Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles   Réagissez à cet article Original de l’article mis en page : Octopus 2016

L’accord sur la transmission des données validé par la Commission Européenne

L’accord sur la transmission des données validé par la Commission Européenne – Filière 3e Le 8 juillet, la Commission européenne a validé le projet des représentants des Etats-membres de l’UE et des Etats Unis sur le transfert des données en ligne. Une législation qui pourrait favoriser l’Open Data, les objets connectés ainsi que la mise en place de projets de transition énergétique.     A l’origine l’accord sur la transmission des données était appelé « Safe Harbour ». La Cour de Justice de l’Union européenne (CJUE) avait invalidé le texte en octobre 2015 en raison de sa faible sécurité pour les données personnelles. Après des mois de débats, l’accord sur la « protection de la vie privée » (Privacy Shield) a été approuvé par les Etats membres et est entré en vigueur le 11 juillet 2016. Il a pour but de faciliter le transfert des données entre les Etats-Unis et l’Union européenne dans le cadre de la signature du Traité Transatlantique (TAFTA ou TIPP). Ce texte a pour but de faciliter les échanges économiques entre l’UE et les Etats-Unis, en harmonisant les normes européennes à celles américaines. Ces échanges serviraient à encadrer le progrès dans la croissance économique, en favorisant les flux correspondant au secteur du numérique. Dans un communiqué de presse, Andrus Ansip, membre désigné de la Commission Juncker comme vice-président chargé du marché numérique, et la commissaire à la Justice, Vera Jourva, ont déclaré communément : « le texte est fondamentalement différent de l‘ancien Safe Harbour: il impose des obligations claires et fortes aux entreprises traitant les données et s‘assure que ces règles sont suivies et mises en pratique ».     L’Open Data utile à la transition énergétique ? Largement décriée, la récupération des données servira pourtant à construire le monde de demain en s’inscrivant dans une logique de transition énergétique. Ainsi les villes, les maisons et les énergies fonctionneront dans un même système connecté et durable. Nombreuses sont les start-up a créer des applications facilitant la mobilité, la sécurité et l’habitat dans le cadre de projets « verts ». Les données deviennent un facteur important du marché économique et énergétique. Pour Christian Buchel, Directeur général adjoint, Chef digital et international pour le groupe ENEDIS : « l’Open Data est utilisé dans le monde entier. Humaniser la DATA c’est mieux comprendre la consommation générale d’énergie ». Des informations qui pourraient être utilisées à grande échelle afin d’accroître la capacité de gestion des énergies. L’anonymat des données serait préservé puisque seul le consommateur aurait accès à ses informations. Pour Sampo Hietanen, de MAAS Finlande, une entreprise spécialisée dans l’Open DATA, il faut « générer de l’information pour construire la ville de demain afin que les services proposés communiquent ensemble ». Les Etats Unis ont déjà commencé à déployer ce système numérique avec la mise en place de compteurs intelligents, récupérant les données des citoyens pour adapter la consommation énergétique à la demande. La France et ERDF commencent à commercialiser Linky, le compteur intelligent français. En ce sens, la signature du Traité Transatlantique devrait favorisait les partenariats énergétiques et numériques entre l’Union Européenne et les Etats-Unis. Article original de Mailys […]

Privacy Shield : un « bouclier » troué à refuser !

#Privacy Shield : un « bouclier » troué à refuser ! Le 8 juillet 2016, les États membres de l’Union européenne, réunis dans ce qu’on appelle le « comité de l’article 31 », se sont prononcé sur l’adoption de la décision d’adéquation qui encadrera les échanges de données personnelles entre les États-Unis et l’Union européenne : le Privacy Shield. Cette décision, adoptée dans la plus grande précipitation, ne répond pas aux inquiétudes exprimées ces dernières semaines à tour de rôle par le groupe des CNILs européennes, le Parlement européen et différents gouvernements européens, ainsi que par les associations de défense des droits.   Le 6 octobre 2015 la Cour de justice de l’Union européenne avait annulé l’accord du « Safe Harbor » couvrant les transferts de données depuis 2000, estimant que celui-ci permettait une collecte massive des données et une surveillance généralisée sans offrir de voies de recours effectives aux États-Unis pour les individus concernés en Europe. Aujourd’hui, force est de constater que le Privacy Shield ne répond pas non plus aux exigences de la Cour de justice. Sur les principes de respect de la vie privée qui incombent aux entreprises couvertes par le Privacy Shield, on peut se demander l’utilité même d’une telle décision dans la mesure où celle-ci ne se substituera pas aux clauses contractuelles types ni aux règles internes d’entreprises, moins contraignantes et actuellement en vigueur, mais qu’elle s’y ajoutera. Cela signifie que si une entreprise couverte par le Privacy Shield s’en fait exclure pour non-respect des obligations qui lui incombent en matière de vie privée, elle pourra continuer à traiter des données avec les deux mécanismes internes cités plus hauts. Mais le cœur de la décision se retrouve plutôt dans le chapitre sur l’accès aux données par les autorités publiques des États-Unis. Dans le texte, il n’est pas question de « surveillance de masse » mais plutôt de « collecte massive ». Or, si les États-Unis ne considèrent pas la collecte de masse comme de la surveillance, l’Union européenne, elle, par l’intermédiaire de sa Cour de justice, a tranché sur cette question en considérant, dans l’affaire C-362/14 Schrems c. Data Protection Commissioner, que la collecte massive effectuée par l’administration des États-Unis était de la surveillance de masse, contraire à la Charte des droits fondamentaux de l’Union européenne. Cette décision avait mené à l’invalidation du « Safe Harbor », et tout porte à croire que les voeux pieux et les faibles garanties d’amélioration exprimées par le gouvernement américain ne suffiront pas à rendre la décision du Privacy Shield adéquate avec la jurisprudence européenne. Il en va de même sur la question des possibilités de recours. L’une des exigences de la CJUE, des CNIL européennes, du contrôleur des données personnelles et de la société civile était que toute personne concernée par un traitement de données avec cet État tiers puisse avoir la possibilité de déposer une plainte et de contester un traitement ou une surveillance illégale. Pour pallier cette sérieuse lacune du Safe Harbor, un mécanisme de médiateur (« #Ombudsperson ») a été instauré. L’initiative aurait été bonne si ce médiateur était réellement indépendant. Mais d’une part il est nommé par le Secrétaire d’État, d’autre part les requérants ne peuvent s’adresser directement […]

Le gouvernement pourrait partager vos données personnelles avec le secteur pharmaceutique

Le gouvernement pourrait partager vos données personnelles avec le secteur pharmaceutique Selon une information du quotidien De Morgen, le secrétaire d’Etat à la vie privée Philippe De Backer (Open Vld), estime que le gouvernement devrait être en mesure de transmettre des données relatives à la santé des citoyens belges au secteur pharmaceutique. « Nous pourrions demander de l’argent pour cela, à partir du moment où il y a un retour vers le patient », a expliqué De Backer.       Philippe De Backer présente sa note politique « Privacy » au Parlement. Dans celle-ci, il envisage un échange plus large des données personnelles des patients. Selon le secrétaire d’Etat, l’accès aux données et le traitement des données personnelles offrent d’importantes opportunités sociales et économiques. Les données publiques dans le domaine des soins de santé peuvent aboutir à des innovations intéressantes dans le secteur pharmaceutique, notamment en termes de prévention et vice-versa. Compensation financière et contrôle du partage des données En échange de ces informations privées, les patients pourraient recevoir une compensation financière. « Nous pourrions demander de l’argent pour cela, à partir du moment où il existe un juste retour pour le patient », a expliqué Philippe De Backer. Ce dernier évoque entre autres des prix moins élevés pour les médicaments des patients. Par ailleurs, le secrétaire d’Etat souhaite également étendre la marge de manœuvre de la Commission de la vie privée. Celle-ci devrait déterminer quelles entreprises privées pourraient avoir accès aux données personnelles aux mains des pouvoirs publics. La Commission de la vie privée devrait également être en mesure d’infliger des amendes pouvant aller jusqu’à 4% du chiffre d’affaires pour les entreprises qui utilisent de façon inadéquate ces informations personnelles. Philippe De Backer veut enfin que le patient ait davantage de contrôle sur la manière dont sont utilisées ses données. Dans ce sens, il évoque la création d’un passeport de confidentialité qui permettrait aux patients de savoir qui utilise leurs données personnelles. Article original de Arnaud Lefebvre   Réagissez à cet article Original de l’article mis en page : Le gouvernement pourrait partager vos données personnelles avec le secteur pharmaceutique – Express [FR]

image_pdfimage_print

Accès direct aux Thèmes

Derniers articles


Le Net Expert - 1, les Magnolias - 84300 Cavaillon
Contactez-nous - Newsletter - Mentions légales
Connexion à distance