Companies’ Accountability for Data Protection

Slides:



Advertisements
Présentations similaires
La bonne gouvernance financière en Afrique Conférence des parties prenantes Tunisie 3 novembre 2010.
Advertisements

« Qualité en office de tourisme ou syndicat d’initiative et commercialisation des territoires… »
S ÉMINAIRE DE FORMATION DES FORMATEURS POUR LA GOUVERNANCE DE L’INTERNET LES INNOVATIONS NUMÉRIQUES ET LES QUESTIONS ÉMERGENTES: « LE CADRE JURIDIQUE DE.
SGCB Questionnaire sur la mise en place de Bâle II Réunion des Superviseurs bancaires francophones Paris – 7 Mars 2006 Nicolas Péligry Secrétariat Général.
Maison de la Mutualité Démarche qualité en éducation pour la santé Vers une amélioration des pratiques professionnelles dans les comités d’éducation pour.
« Le bilan accessible à tous » L’orientation au cœur des dispositifs de sécurisation des parcours Présentation CEP.
L’impact du RGPD sur l’organisation et l’activité des entreprises
Arnaud David Juriste Senior - Microsoft
Ch. 4 La formation professionnelle
LOGICIELS DE GESTION COMPTABLES
La pénibilité au travail : Au moins 3 grands enjeux
L’activité légale de commissariat aux comptes
Le suivi évaluation : de quoi s'agit-il et à quoi cela sert-il ?
Sites Internet et Protection des données à caractère personnel
ORGANISATION ET PLANIFICATION INSTITUTIONNELLES
Des questions pour poursuivre la réflexion
L’Autorité de régulation des marchés de capitaux CMA
Gestion responsable en matière de biotechnologie
Maîtrise du contenu ( suite )
HARMONISATION DU PLAN NATIONAL D’ACTIONS AVEC LES STRATEGIES NATIONALES DE DEVELOPPEMENT Prof Sylvain H. Boko Coordonnateur de l’Equipe de la Planification.
Vers une nouvelle gouvernance de la donnée personnelle
Evolutions réglementaires en cours
La Sécurité au CERN Etre TSO au CERN Etre TSO au CERN
Evaluer les politiques publiques
La gouvernance de la sécurité sociale
PRIVACY.
Green IT & Cloud L’empreinte écologique de vos actions numériques & règles juridiques. Désiré BRUCKMANN.
Fonds « Asile, migration et intégration (AMIF) »
Le Règlement européen sur la protection des données personnelles
Code de Conduite de l'Association ITIE
Marguerite OUEDRAOGO BONANE
Agence française anticorruption
QUELS SONT LES REPRÉSENTANTS DU PERSONNEL DANS UNE ENTREPRISE ? QU'EST-CE QUE L’INSTANCE REPRESENTATIVE DU PERSONNEL OU TROUVE-T-ON L’INSTANCE REPRESENTATIVE.
LES I.R.P REUNION D’INFORMATIONS INSTANCE REPRÉSENTATIVE DU PERSONNEL HÔTELLERIE RESTAURATION.
Ministère de l’Enseignement Supérieur et de la Recherche Scientifique Université de Tunis Ecole Supérieure des Sciences Economiques et Commerciales de.
Université sultan Moulay Slimane Faculté Polydisciplinaire Béni Mellal MASTER SPÉCIALISÉ MANAGEMENT DES RESSOURCES HUMAINES MODULE :La Gestion Prévisionnelle.
Bienvenue à l’école Primaire Privée MERE TERESA
Présentation au COTER Jeudi 7 décembre 2017
MARQUAGE CE.
LA RGPD 2018 Mise en conformité de votre OF
22 septembre 2014 NF EN ISO novembre 2011 Systèmes de management de l’énergie : Exigences et recommandations de mise en œuvre.
SYSTEME DE MANAGEMENT DE LA QUALITE : LA NOUVELLE NORME ISO 9001 version 2015.
Normalisation & Certification M2PQSE Nedra Raouefi 2018/
CONSEILS DEPARTEMENTAUX
Règlement général sur la protection des données
Directrice de la Conformité
LE RÉFÉRENTIEL LES 4 BLOCS DE COMPÉTENCES
Accompagner les nouvelles façons de travailler.
Confidentiel – Reproduction interdite
Le GDPR en 20 minutes - Quelques questions choisies
Le Règlement européen général sur la protection des données (RGPD)
La gestion des habilitations par le partenaire
Avant d’élaborer la législation
SCM Supply Chain Management.
LES MESURES DE PROTECTION JURIDIQUES Action de type 2
Le Règlement Général sur la Protection des Données personnelles (RGPD)
Règlement général sur la protection des données
Intervenant : Patrick DUGUÉ Consultant - Formateur
Depuis le 5 mai 2018, ce Règlement …
Le nouveau règlement sur la vie privée
Loi Sapin 2 : anticorruption
« Professionnalisation et plongée » de la FFESSM
QUELQUES ELEMENTS DE CONTEXTE
LES MISSIONS DE L’ARCEP, ex OTRT Présentation de M. Houzibé TCHOLNA Chef de Service Contentieux Octobre 2015.
Module 1 : principes généraux I&L
« il ne faut pas vivre la protection des données personnelles comme une contrainte, mais en tant qu’élément culturel qui contribue à la culture des droits.
Gouvernance de la technologie de l’information (IT)
Contrôle interne : Les chantiers de la Direction Juridique
CR-GR-HSE-412 Gestion des parties prenantes et impacts locaux
GROUPE DA-TA FLAQ’S TECHNOLOGIES INC. - 1 La gestion du Changement & Accompagnement dans les projets IT K. Khelil _Projet IT.
Transcription de la présentation:

Companies’ Accountability for Data Protection L’exigence de conformité dynamique du nouveau règlement européen by Gérard LOMMEL Vice-President of WP Art. 29; President of CNPD SEMINAR LUXEMBOURG European Court of Justice - 19th – 20th September 2014 -

Plan d’intervention 1. Pourquoi une réforme des directives existantes (95/46/CE et 2002/58/CE) 2. Défis et objectifs majeurs : Un meilleur contrôle de l’individu sur ses données à l’ère numérique, de la vie connectée / Une protection, y compris transfrontière, plus efficace 3. Principaux changements, adaptation des principes existants au monde numérique 4. Une révolution copernicienne? : De la déclaration des traitements et de l’autorisation administrative à la « protection des données par défaut et dès la conception » 5.Du contrôle bureaucratique à la co-régulation: « Accountability » des acteurs Mesures à mettre en place en places : Transparence et accessibilité Etude d’impact sur la vie privée des traitements comportant des risques particuliers, consultation préalable de l’autorité sur la licéité et les garanties prévues Sécurité des systèmes et données/ notification des violations constatées Désignation d’un délégué et collaboration loyale avec l’autorité de supervision

Ambitions du règlement européen proposé Un cadre juridique adapté aux défis actuels de l’ère numérique et de notre vie connectée assurant la confiance et la protection des individus Renforcement des droits individuels, du contrôle de chacun sur ses propres données Mettre fin à la fragmentation par une harmonisation poussée en Europe Amélioration de la sécurité juridique et réduction des contraintes administratives pour les entreprises, approche tenant compte du risque Les démarches des multinationales et leur supervision par les APDs facilitées Introduction d’incitatifs nouveaux pour assurer la conformité des acteurs tenus responsables pour le traitement des données à caractère personnel tout au long de leur cycle de vie/des processus Davantage de moyens pour faire appliquer et respecter les règles légales Une protection effective: Passer de la théorie à l’efficacité pratique Un marché unique favorisant l’innovation et la croissance économique

Changements majeurs (I) L’instrument juridique (règlement européen) / Un seul texte directement applicable partout: harmonisation maximale Un champ d’application territorial élargi aux responsables du traitement non établis dans un pays de l’Union (Art.3 § 2), lorsque celui-ci est lié: a) à l’offre de biens ou de services aux résidents européens ou b) à l’observation de leur comportement Renforcement des droits individuels :”empowerment of data subjects” Prise en compte du contexte technologique nouveau (vie connectée) Protection des enfants (<13 ans) et des mineurs (13-18) sur Internet Droit à l’oubli numérique spécifié dans le contexte du droit à l’effacement Art.18: Droit à la portabilité des données susceptible de permettre au client le changement de fournisseur de services “cloud” (d’informatique en nuage) Obligation de transparence accrue et droit d’opposition en cas de profilage, de traitements automatisés susceptibles d’avoir des effets discriminatoires

Changements majeurs (II) Principe de minimisation des données inscrit de façon explicite Augmentation des devoirs/de la responsabilité solidaire des sous-traitants Renforcement de l’indépendance des autorités nationales, de leurs missions et pouvoirs (notamment de sanction pécuniaire) Instauration d’une coopération internationale des APDs, One-stop-shop: autorité du principal établissement = Chef de file paneuropéenne (interaction obligatoire avec les autres pays concernés) ; <CEPD Comité Européen de la PD et mécanisme de cohérence Facilitation de l’exercice des droits et recours des personnes concernées; introduction des actions collectives /one stop shop aussi pour les citoyens et utilisateurs de services en ligne = peuvent s’adresser à l’ADP / la juridiction du pays du siège de l’entreprise/l’organisation ou de leur pays de résidence

L’accent mis sur la transparence C’est l’obligation primaire des acteurs: Informer correctement les personnes concernées sur le traitement dont leurs données font l’objet Des politiques de confidentialité et des notices claires et compréhensibles, portées à la connaissance des utilisateurs (multi-layered privacy notices) Mise en place de tableaux de bord en ligne permettant le réglage facile des préférences individualisées, de comités consultatifs d’accompagnement, publication de rapports d’activités de protection des données/ utilisateurs

Une plus grande responsabilisation des acteurs Une plus grande responsabilisation des acteurs. Un changement de paradigme Du contrôle bureaucratique à la co régulation: « Accountability » : Une attitude proactive requise , un devoir d’auto vérification au jour le jour Mesures à mettre en place en place spontanément et obligatoirement: Transparence et accessibilité: pour les utilisateurs, consommateurs, administrés ou tiers concernés (Art.14 renseignements à fournir) Procédures internes facilitant l’accessibilité de l’information et l’exercice des droits des personnes concernées (Art. 11 et 12: délais) L’organisation nécessaire pour la prise en compte des exigences de protection des données dans toute l’entreprise et ses processus La sécurité des systèmes et données/ notification des violations constatées Désignation d’un délégué à la protection des données et collaboration loyale avec l’autorité de supervision (obligatoire pour les organismes publics, les entreprises de plus de 250 salariés, gérant des fichiers relatifs à plus de 5000 personnes et celles dont la nature spécifique de l’activité le requiert

Etre en mesure de prouver son attitude responsable via une gouvernance appropriée Avoir pris en compte la protection des données dans la conception et le choix de ses systèmes (hard- software) et dans ses procédures et pratiques usuelles Concevoir tous les projets dans une optique Data Protection by design /default Former et sensibiliser ses collaborateurs aux enjeux et règles à respecter Réaliser des « PIA » Evaluations d’impacts pour les traitements à risques: consulter l’autorité de prot. des D. au sujet des garanties prévues/appropriées Pratiquer des audits (int./externes) de protection de la vie privée et des données à caractère personnel et de l’adéquation des mesures de sécurité Disposer d’une structure de traitement des plaintes et requêtes individuelles D’ores et déjà il convient d’aider et éduquer les organisations à s’adapter à cette nouvelle approche qui implique une réorganisation interne et la mise en place d’une démarche de gestion de risque et de “gestion qualité” spécifiques

Bénéfices attendues de la responsabilisation accrue Moins de formulaires à remplir, mais un souci accru de la confiance du public Transparence et la loyauté de l’usage des données personnel La protection des données devient une valeur cultivée au sein même des entreprises et organisations dont la direction sera attentive aux risques Une compétence et des rouages internes dont disposeront les acteurs/ développement des formations, encadrement constructif par les APDs Les bonnes pratiques seront encouragées par des mécanismes incitatifs: Codes de conduite et labels, méthodologies de PIAs et audits, rôle des CILs L’image de l’organisation dépendra de la robustesse de sa politique afférente En cas de faille de sécurité / de violation de la confidentialité des données: Signalement aux ADPs, le cas échéant également aux individus concernés en cas de danger persistant Risque réputationnel et exposition aux mesures ordonnées par les APDs Sanctions financières encourues en cas de violation de la loi

Commission Nationale pour la Protection des Données Merci Companies’ Accountability for Data Protection : A dynamic approach to compliance in the new European DP Regulation by Gérard LOMMEL, Vice-President of WP Art.29, Président of CNPD

Commission nationale pour la protection des données www.cnpd.lu 1, Rue du Rock’N’Roll L-4361 Esch-Belval