Les drones civils aussi devront répondre au concept de « Privacy by Design »

Les drones sont par essence des appareils permettant des prises de vue ou la captation de données, discrètement. La grande majorité de ces aéronefs est de petite taille. Ils peuvent voler près du sol, longer des édifices ou encore suivre une personne de jour comme de nuit. Comme souligné par Edouard Geffray, Secrétaire général de la CNIL, la problématique du drone pour la vie privée et la protection des données réside d’ailleurs, non pas tant dans l’emport de capteurs, mais bien dans la mobilité et la discrétion du drone.

A cet égard, le concept de « Privacy by Design » pourrait constituer un moyen de limiter, voire de supprimer tant les atteintes à la vie privée que la captation de données personnelles par drone (ces dernières pouvant être grossièrement définies, comme des «données non anonymes »). Insistons sur le fait qu’à l’ère du numérique, ces deux domaines sont poreux entre eux..[lire la suite]

A Lire aussi :

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016

DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016

Le RGPD, règlement européen de protection des données. Comment devenir DPO ?

Comprendre le Règlement Européen sur les données personnelles en 6 dessins

Notre sélection d’articles sur le RGPD (Règlement Européen sur la Protection des données Personnelles) et les DPO (Délégués à la Protection des Données)

Notre métier : Vous accompagner dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Les PME , dépassées par l’arrivée du RGPD ?

Au moins c’est la conclusion principale du dernier rapport mené par IDC selon lequel Sur les 700 entreprises interrogées, 77% des décideurs informatiques ne sont pas conscients de l’impact du RGPD sur l’activité de leur entreprise ou n’ont même pas connaissance de ce règlement. Parmi celles qui connaissent le RGPD, 20% affirment y être déjà conformes, 59% travaillent à l’être et 21% avouent ne pas du tout être préparés.

« La protection des données à caractère personnel des clients et partenaires est primordiale pour les entreprises. Elles doivent prendre conscience de la valeur que représentent ces informations et mettre en place des mesures adaptées pour répondre aux obligations du RGPD. », explique Mark CHILD, Research Manager chez IDC. Dans ce sens, les petites et moyennes entreprises reconnaissent que leur logiciel anti-malware est insuffisant dans l’environnement de menace actuel, et la moitié des répondants ont avoué que ce point était le plus important à améliorer…[lire la suite]

A Lire aussi :

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016

DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016

Le RGPD, règlement européen de protection des données. Comment devenir DPO ?

Comprendre le Règlement Européen sur les données personnelles en 6 dessins

Notre sélection d’articles sur le RGPD (Règlement Européen sur la Protection des données Personnelles) et les DPO (Délégués à la Protection des Données)

Notre métier : Vous accompagner dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Comment se préparer au règlement européen sur la Protection des Données Personnelles en 6 étapes ?

…[lire la suite]

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions d’expertises, d’audits, de formations et de sensibilisation dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Protection des données personnelles : Ce qui change en 2018 avec le règlement RGPD

En 2016, la Cnil a enregistré 7.703 plaintes (un peu moins que le record de 2015, 7.900 cas). Elles ont concerné principalement les secteurs Internet/télécom et le commerce

«La complexité du règlement avec ses 99 articles et ses 200 considérants ne doit pas masquer pour autant l’essence du texte qui consiste à renforcer la place centrale de l’individu dans l’univers des données», dit-elle. Pour le cas de la France, un projet de loi devra être déposé au Parlement au plus tard en juin 2017 pour garantir une meilleure application du règlement.

■ Nouveau cadre juridique: Le règlement européen constitue une évolution du cadre juridique de la protection des données et permet de construire une régulation commune sur l’ensemble du territoire de l’Union. Globalement, le texte renforce l’obligation des organismes publics et privés de protéger les données personnelles de leurs utilisateurs et clients. En pratique, le droit européen s’appliquera chaque fois qu’un résident européen sera directement visé par un traitement de données, y compris par Internet. La territorialité du droit européen se construit donc désormais autour de la personne. Cela se traduit par l’apparition de nouveaux droits (portabilité des données, limitation du traitement, réparation d’un dommage matériel ou moral…).  Les obligations en matière d’information sont également renforcées notamment en cas de faille de sécurité.

■ L’expression du consentement renforcée: Les utilisateurs doivent être informés de l’usage de leurs données et doivent en principe donner leur accord pour le traitement de leurs données, ou pouvoir s’y opposer. La charge de la preuve du consentement incombe au responsable de traitement. La matérialisation de ce consentement doit être non ambiguë. Le but de cette évolution est d’améliorer l’information qui doit être claire et accessible aux personnes concernées par les traitements de données.

■ Portabilité des données: Ce nouveau droit permet à une personne de récupérer les données qu’elle a fournies sous une forme facilement réutilisable, et, le cas échéant, de les transférer ensuite à un tiers. Il s’agit de redonner aux personnes la maîtrise de leurs données et de compenser en partie l’asymétrie entre le responsable de traitement et la personne concernée.

■ Protection des enfants: L’information sur les traitements de données les concernant doit être rédigée en des termes clairs et simples, que l’enfant peut aisément comprendre. Le consentement doit être recueilli auprès du titulaire de l’autorité parentale. Les Etats membres peuvent abaisser cet âge par la loi, sans toutefois qu’il puisse être inférieur à 13 ans. Devenu adulte, le consentement donné sur un traitement doit pouvoir être retiré et les données effacées.

■ Biométrie: Les données biométriques doivent faire l’objet d’une vigilance particulière. Le règlement européen a consacré le caractère particulier de ces données en les qualifiant de données «sensibles», au même titre que les données concernant la santé, les opinions politiques ou les convictions religieuses, dont le traitement est par principe interdit sauf dans certains cas limitativement énumérés.

■ Open data: Si elle ne concerne pas initialement la protection des données à caractère personnel, le nouveau contexte numérique implique de mieux la prendre en compte. Et ce notamment au niveau de la mise à disposition des données comme de leur réutilisation, la protection de la vie privée. Le nouveau cadre juridique permet cette conciliation.

Les sanctions s’alourdissent

Les autorités de protection pourront imposer des amendes administratives (jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial d’une entreprise). Ces sanctions pécuniaires pourront être prises en complément ou à la place de nombreuses mesures correctrices (ordonner de communiquer à la personne concernée une violation de données, la rectification ou encore la suspension de flux de données vers un pays tiers). Effacer des données ou limiter le traitement ou encore retirer une certification sont sur la liste des dispositions… Ces mesures et sanctions ne seront plus limitées au responsable de traitement mais pourront également être prises à l’égard d’un sous-traitant. Dans l’hypothèse de traitements transfrontaliers, la Cnil travaillera avec d’autres autorités de protection afin qu’une seule décision de sanction soit adoptée par l’autorité chef de file.

[Article original de Fatim-Zahra TOHRY]

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions d’expertises, d’audits, de formations et de sensibilisation dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

RGPD Règlement Européen sur la Protection des Données : Voici comment être en règle pour 2018

2017 s’annonce chargé pour toutes les entreprises qui collectent et manipulent, de près ou de loin, de la data en provenance de leurs consommateurs. Pour cause, le nouveau règlement européen sur la protection des données personnelles (GDPR) entrera en application le 25 mai 2018. Son objectif est de renforcer les droits des personnes en la matière… et les obligations des entreprises. Voici comment éviter une amende qui sera salée pour les mauvais élèves : 2 à 4% du chiffre d’affaires ou 20 millions d’euros, le montant le plus élevé étant choisi.

Protéger les données personnelles en amont

Commençons par la bonne nouvelle. L’entreprise qui procède à un traitement de données personnelles n’aura plus à remplir de déclaration auprès de la Cnil pour l’en informer, comme elle y est pour l’instant tenue. Ce pilier de la loi « Informatique et liberté » saute.

« Les entreprises doivent ‘en échange’ se conformer au concept de « privacy by design » érigé par l’article 25 du règlement », explique Matthieu Berguig, avocat spécialisé en droit des nouvelles technologies. Ce concept leur impose de réfléchir à la protection des données personnelles en amont de la conception  d’un produit ou d’un service. « Un fabricant d’objets connectés doit donc se poser des questions de base avant de mettre son produit sur le marché : où son stocké les données, par quel protocole de cryptage seront-elles protégées, sont-elles anonymisées… », illustre Matthieu Berguig. Délestée de ce travail de vérification, la Cnil s’évite beaucoup de paperasse… et gagne du temps pour auditer le marché. « On peut être sûrs que les contrôles seront plus nombreux », prévoit Matthieu Berguig.

Nommer un déléguer à la protection des données

La Cnil pourra travailler dans cette perspective main dans la main avec un collaborateur d’un nouveau genre, le délégué à la protection des données (DPD). L’article 37 impose sa nomination dans plusieurs cas de figure : lorsque « le traitement est effectué par une autorité publique ou un organisme public », lorsque le traitement impose « un suivi régulier et systématique à grande échelle des personnes concernées » ou lorsque le traitement à grande échelle concerne « les catégories particulières de données visées à l’article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10« . Beaucoup d’entreprises sont donc concernées par l’obligation et toutes sont encouragées à en nommer un.

Chargé de faire respecter le règlement européen sur la protection des données au sein de l’organisme qui l’a désigné, le DPD tient un peu du mouton à cinq pattes. Chez les entreprises déjà bien structurées, le « compliance officer », le collaborateur qui s’assure de la conformité de toute décision business à la législation, sera un candidat naturel à ce rôle de DPD. « Pour toutes les autres, il faut trouver la perle rare, un profil juridique capable également de comprendre les problématiques métiers », note Alan Walter, avocat associé chez Walter Billet Avocats.

Tenir un registre de traitement des données

« En 2017, beaucoup d’entreprises vont s’embarquer dans une totale remise à plat de leurs systèmes de traitement des données à caractère personnel », note Alan Walter. Pour cause, l‘article 30 impose aux entreprises de plus de 250 salariés de tenir un registre des traitements effectués. Un registre qui comporte, entre autres, le nom et les coordonnées du responsable du traitement, les finalités du traitement, la catégorie de destinataires auxquels les données à caractère personnel ont été ou seront communiqués. « C’est ce registre qui sera consulté par la Cnil lorsqu’elle voudra entrer en action », précise Matthieu Berguig.

L’article 33 impose d’ailleurs à une entreprise qui a subi une violation de données à caractère personnel d’en notifier l’autorité de contrôle. « Seuls les opérateurs télécoms y étaient jusque-là tenus », note Matthieu Berguig.

Créer une base interopérable pour le droit à la portabilité

L’article 20 du règlement aboutit à la création d’un droit à la portabilité des données personnelles. Si un de vos clients vous quitte pour la concurrence, il a le droit de réclamer le transfert de l’intégralité des données le concernant. « Lorsque cela est techniquement possible », précise l’article. « En d’autres termes, lorsque vous passerez d’une boîte mail à une autre, vous aurez théoriquement le droit d’importer tout votre historique de mails », illustre Matthieu Berguig. Une obligation dont la mise en place pourrait être techniquement compliquée dans de nombreux cas.

Alan Walter souligne un autre écueil, juridique celui-ci, en prenant l’exemple de l’un de ses clients, courtier en assurance pour expatriés. « Les données qu’il recueille sont très sensibles car elles concernent le domaine médical. Elles ne peuvent être transmises à n’importe qui, du fait du secret médical. Donc comment doit-il faire ? », s’interroge-t-il. Dans ce cas, il faudrait s’assurer que le destinataire des données offre les garanties nécessaires pour qu’il ne soit pas porté atteinte aux droits des personnes concernées. Problématique d’autant plus épineuse avec des transferts de données qui sont susceptibles d’intervenir vers des opérateurs situés hors de l’Union européenne et donc soumis à des droits différents. Premiers éléments de réponse début mai 2018.

Original de l’article mis en page : Protection des données : voici comment être en règle pour 2018

A Lire aussi :

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016

DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016

Le RGPD, règlement européen de protection des données. Comment devenir DPO ?

Comprendre le Règlement Européen sur les données personnelles en 6 dessins

Notre sélection d’articles sur le RGPD (Règlement Européen sur la Protection des données Personnelles) et les DPO (Délégués à la Protection des Données)

Notre métier : Vous accompagner dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Contrôles biométriques en entreprise : vos obligations changent !

Ces autorisations uniques fixent un nouveau cadre légal afin d’encadrer le recours aux dispositifs biométriques et protéger au mieux les libertés individuelles des personnes concernées par de tels systèmes d’identification.

Ainsi, les entreprises ayant recours à la mise en place de dispositifs biométriques ne seront plus soumises à une autorisation préalable de la Cnil. Elles devront simplement réaliser une demande d’autorisation unique et se conformer aux obligations prévues par l’autorisation.

La Cnil distingue désormais 2 types de dispositifs :

1/ l’autorisation unique 052 (3) pour les dispositifs garantissant la maîtrise par la personne concernée sur son gabarit biométrique. Ce peut être soit :
– un système recourant au stockage des données biométriques sur un support individuel détenu par les personnes concernées ;
– si la détention d’un support dédié au seul stockage du gabarit n’est pas adaptée à l’architecture et au contexte d’exploitation du dispositif, le responsable du traitement peut, de manière alternative, assurer le verrouillage des données biométriques stockées en base, par un secret détenu uniquement par la personne concernée ;

Dans ces deux hypothèses, l’utilisation du gabarit biométrique est conditionnée à une action de la personne concernée en tant que détentrice du gabarit ou du secret permettant de le déverrouiller.

2/ l’autorisation unique 053 (4) pour les dispositifs reposant sur une conservation des gabarits en base par le responsable du traitement.
Un « gabarit » biométrique désigne les mesures qui sont mémorisées lors de l’enregistrement des caractéristiques morphologiques, biologiques ou comportementales de la personne concernée.

Ainsi, à chaque demande d’autorisation unique visant à mettre en place un dispositif biométrique dans leur entreprise, les dirigeants doivent se conformer à certaines exigences :

• justifier de la nécessité et de la pertinence d’avoir recours à un dispositif biométrique. Le recours à ce dernier ne doit pas avoir pour effet de se substituer à des dispositifs non biométriques ;
  privilégier les dispositifs biométriques qui garantissent aux personnes concernées la maîtrise de leur gabarit ;
  justifier et garantir la protection et la conservation des gabarits en base ;
• prendre toute mesure permettant de limiter les risques d’atteinte à la vie privée.
  Si vous avez mis en place un dispositif biométrique sous couvert de l’ancien cadre légal, vous devez vérifier s’il répond à ces nouvelles exigences :

si c’est le cas : un engagement de conformité à l’une de ces nouvelles autorisations peut être réalisé ;
si ce n’est pas le cas : vous avez 2 ans pour vous mettre en conformité.

2ans pour être en conformité

Si vous ne vous êtes pas mis en conformité d’ici la fin de ce délai, sachez néanmoins que la Cnil pourra à tout moment contrôler que le dispositif de biométrie mis en place dans votre entreprise répond aux obligations imposées par les nouvelles autorisations uniques.

Références :
(1) Article 25 de la Loi n°78-17 du 6 janvier 1978 modifiée, modifié par la Loi n°2016-1321 du 7 octobre 2016 pour une République numérique
(2) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (Texte présentant de l’intérêt pour l’EEE)
(3) Délibération n°2016-186 du 30 juin 2016 portant autorisation unique de mise en œuvre de dispositifs ayant pour finalité le contrôle d’accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail et garantissant la maîtrise par la personne concernée sur son gabarit biométrique (AU-052)
(4) Délibération n°2016-187 du 30 juin 2016 portant autorisation unique de mise en œuvre de dispositifs ayant pour finalité le contrôle d’accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail, reposant sur une conservation des gabarits en base par le responsable du traitement (AU-053)…[Article source et complet]

Notre métier : Sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la Protection des Données Personnelles (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Denis JACOPINI anime dans toute le France et à l’étranger des conférences, des tables rondes et des formations pour sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la protection de leurs données personnelles (Mise en Place d’un Correspondant Informatique et Libertés (CIL) dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Denis JACOPINI intervient au Conseil de l’Europe lors de la conférence Octopus 2016

Au programme :

• La Convention de Budapest: 15e anniversaire
• Criminalité et compétence dans le cyberespace : la voie à suivre

Ateliers

• Coopération entre les fournisseurs de service et les services répressifs en matière de cybercriminalité et de preuve électronique
• L’accès de la justice pénale aux preuves dans le Cloud: les résultats du groupe sur les preuves dans le Cloud (Cloud Evidence Group)
• Renforcement des capacités en cybercriminalité: les enseignements tirés
• L’état de la législation en matière de cybercriminalité en Afrique, en Asie/Pacifique et en Amérique latine/aux Caraïbes
• Le terrorisme et les technologies de l’information : la perspective de la justice pénale
• Coopération internationale: amélioration du rôle des points de contact 24/7
• A la recherche des synergies: politiques et initiatives en cybercriminalité des organisations internationales et du secteur privé

Participation

La conférence sera l’occasion, pour les experts en cybercriminalité des secteurs public et privé ainsi que les organisations internationales et non gouvernementales du monde entier, d’échanger.

La conférence Octopus fait partie du projet Cybercrime@Octopus financé par les contributions volontaires de l’Estonie, du Japon, de Monaco, de la Roumanie, du Royaume-Uni, des Etats-Unis d’Amérique et de Microsoft ainsi que du budget du Conseil de l’Europe.
Agenda Octopus 2016

Notre métier : Sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la Protection des Données Personnelles (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Denis JACOPINI anime dans toute le France et à l’étranger des conférences, des tables rondes et des formations pour sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la protection de leurs données personnelles (Mise en Place d’un Correspondant Informatique et Libertés (CIL) dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

L’accord sur la transmission des données validé par la Commission Européenne – Filière 3e

A l’origine l’accord sur la transmission des données était appelé « Safe Harbour ». La Cour de Justice de l’Union européenne (CJUE) avait invalidé le texte en octobre 2015 en raison de sa faible sécurité pour les données personnelles. Après des mois de débats, l’accord sur la « protection de la vie privée » (Privacy Shield) a été approuvé par les Etats membres et est entré en vigueur le 11 juillet 2016. Il a pour but de faciliter le transfert des données entre les Etats-Unis et l’Union européenne dans le cadre de la signature du Traité Transatlantique (TAFTA ou TIPP). Ce texte a pour but de faciliter les échanges économiques entre l’UE et les Etats-Unis, en harmonisant les normes européennes à celles américaines. Ces échanges serviraient à encadrer le progrès dans la croissance économique, en favorisant les flux correspondant au secteur du numérique. Dans un communiqué de presse, Andrus Ansip, membre désigné de la Commission Juncker comme vice-président chargé du marché numérique, et la commissaire à la Justice, Vera Jourva, ont déclaré communément : « le texte est fondamentalement différent de l‘ancien Safe Harbour: il impose des obligations claires et fortes aux entreprises traitant les données et s‘assure que ces règles sont suivies et mises en pratique ».

L’Open Data utile à la transition énergétique ?

Largement décriée, la récupération des données servira pourtant à construire le monde de demain en s’inscrivant dans une logique de transition énergétique. Ainsi les villes, les maisons et les énergies fonctionneront dans un même système connecté et durable. Nombreuses sont les start-up a créer des applications facilitant la mobilité, la sécurité et l’habitat dans le cadre de projets « verts ». Les données deviennent un facteur important du marché économique et énergétique. Pour Christian Buchel, Directeur général adjoint, Chef digital et international pour le groupe ENEDIS : « l’Open Data est utilisé dans le monde entier. Humaniser la DATA c’est mieux comprendre la consommation générale d’énergie ». Des informations qui pourraient être utilisées à grande échelle afin d’accroître la capacité de gestion des énergies. L’anonymat des données serait préservé puisque seul le consommateur aurait accès à ses informations. Pour Sampo Hietanen, de MAAS Finlande, une entreprise spécialisée dans l’Open DATA, il faut « générer de l’information pour construire la ville de demain afin que les services proposés communiquent ensemble ».

Les Etats Unis ont déjà commencé à déployer ce système numérique avec la mise en place de compteurs intelligents, récupérant les données des citoyens pour adapter la consommation énergétique à la demande. La France et ERDF commencent à commercialiser Linky, le compteur intelligent français. En ce sens, la signature du Traité Transatlantique devrait favorisait les partenariats énergétiques et numériques entre l’Union Européenne et les Etats-Unis.

Article original de Mailys Kerhoas

Réagissez à cet article

#Privacy Shield : un « bouclier » troué à refuser !

Le 6 octobre 2015 la Cour de justice de l’Union européenne avait annulé l’accord du « Safe Harbor » couvrant les transferts de données depuis 2000, estimant que celui-ci permettait une collecte massive des données et une surveillance généralisée sans offrir de voies de recours effectives aux États-Unis pour les individus concernés en Europe. Aujourd’hui, force est de constater que le Privacy Shield ne répond pas non plus aux exigences de la Cour de justice.

Sur les principes de respect de la vie privée qui incombent aux entreprises couvertes par le Privacy Shield, on peut se demander l’utilité même d’une telle décision dans la mesure où celle-ci ne se substituera pas aux clauses contractuelles types ni aux règles internes d’entreprises, moins contraignantes et actuellement en vigueur, mais qu’elle s’y ajoutera. Cela signifie que si une entreprise couverte par le Privacy Shield s’en fait exclure pour non-respect des obligations qui lui incombent en matière de vie privée, elle pourra continuer à traiter des données avec les deux mécanismes internes cités plus hauts.

Mais le cœur de la décision se retrouve plutôt dans le chapitre sur l’accès aux données par les autorités publiques des États-Unis. Dans le texte, il n’est pas question de « surveillance de masse » mais plutôt de « collecte massive ». Or, si les États-Unis ne considèrent pas la collecte de masse comme de la surveillance, l’Union européenne, elle, par l’intermédiaire de sa Cour de justice, a tranché sur cette question en considérant, dans l’affaire C-362/14 Schrems c. Data Protection Commissioner, que la collecte massive effectuée par l’administration des États-Unis était de la surveillance de masse, contraire à la Charte des droits fondamentaux de l’Union européenne. Cette décision avait mené à l’invalidation du « Safe Harbor », et tout porte à croire que les voeux pieux et les faibles garanties d’amélioration exprimées par le gouvernement américain ne suffiront pas à rendre la décision du Privacy Shield adéquate avec la jurisprudence européenne.

Il en va de même sur la question des possibilités de recours. L’une des exigences de la CJUE, des CNIL européennes, du contrôleur des données personnelles et de la société civile était que toute personne concernée par un traitement de données avec cet État tiers puisse avoir la possibilité de déposer une plainte et de contester un traitement ou une surveillance illégale. Pour pallier cette sérieuse lacune du Safe Harbor, un mécanisme de médiateur (« #Ombudsperson ») a été instauré. L’initiative aurait été bonne si ce médiateur était réellement indépendant. Mais d’une part il est nommé par le Secrétaire d’État, d’autre part les requérants ne peuvent s’adresser directement à lui et devront passer par deux strates d’autorités, nationale puis européenne. L’Ombudsperson pourra simplement répondre à la personne plaignante qu’il a procédé aux vérifications, et pourra veiller à ce qu’une surveillance injustifiée cesse, mais le plaignant n’aura pas de regard sur la réalité de la surveillance. Cette procédure ressemble à celle mise en place en France par la loi Renseignement avec la #CNCTR et, pour les mêmes raisons, ne présente pas suffisamment de garanties de recours pour les citoyens.

Le projet de Privacy Shield, préparé et imposé dans la précipitation par la Commission européenne et le département du Commerce américain, ne présente pas les garanties suffisantes pour la protection de la vie privée des Européens. Il passe sciemment à côté du cœur de l’arrêt de la CJUE invalidant le Safe Harbor : la surveillance massive exercée via les collectes de données des utilisateurs. Les gouvernements européens et les autorités de protection des données doivent donc absolument refuser cet accord, et travailler à une réglementation qui protège réellement les droits fondamentaux. Les nécessités d’accord juridique pour les entreprises ayant fait de l’exploitation des données personnelles leur modèle économique ne peuvent servir de justification à une braderie sordide de la vie privée de dizaines de millions d’internautes européens.

Article original de La Quadrature du Net

Réagissez à cet article

Le gouvernement pourrait partager vos données personnelles avec le secteur pharmaceutique

Philippe De Backer présente sa note politique « Privacy » au Parlement. Dans celle-ci, il envisage un échange plus large des données personnelles des patients. Selon le secrétaire d’Etat, l’accès aux données et le traitement des données personnelles offrent d’importantes opportunités sociales et économiques. Les données publiques dans le domaine des soins de santé peuvent aboutir à des innovations intéressantes dans le secteur pharmaceutique, notamment en termes de prévention et vice-versa.

Compensation financière et contrôle du partage des données

En échange de ces informations privées, les patients pourraient recevoir une compensation financière. « Nous pourrions demander de l’argent pour cela, à partir du moment où il existe un juste retour pour le patient », a expliqué Philippe De Backer. Ce dernier évoque entre autres des prix moins élevés pour les médicaments des patients.

Par ailleurs, le secrétaire d’Etat souhaite également étendre la marge de manœuvre de la Commission de la vie privée. Celle-ci devrait déterminer quelles entreprises privées pourraient avoir accès aux données personnelles aux mains des pouvoirs publics. La Commission de la vie privée devrait également être en mesure d’infliger des amendes pouvant aller jusqu’à 4% du chiffre d’affaires pour les entreprises qui utilisent de façon inadéquate ces informations personnelles.

Philippe De Backer veut enfin que le patient ait davantage de contrôle sur la manière dont sont utilisées ses données. Dans ce sens, il évoque la création d’un passeport de confidentialité qui permettrait aux patients de savoir qui utilise leurs données personnelles.
Article original de Arnaud Lefebvre

Réagissez à cet article