Companies’ Accountability for Data Protection L’exigence de conformité dynamique du nouveau règlement européen by Gérard LOMMEL Vice-President of WP Art. 29; President of CNPD SEMINAR LUXEMBOURG European Court of Justice - 19th – 20th September 2014 -
Plan d’intervention 1. Pourquoi une réforme des directives existantes (95/46/CE et 2002/58/CE) 2. Défis et objectifs majeurs : Un meilleur contrôle de l’individu sur ses données à l’ère numérique, de la vie connectée / Une protection, y compris transfrontière, plus efficace 3. Principaux changements, adaptation des principes existants au monde numérique 4. Une révolution copernicienne? : De la déclaration des traitements et de l’autorisation administrative à la « protection des données par défaut et dès la conception » 5.Du contrôle bureaucratique à la co-régulation: « Accountability » des acteurs Mesures à mettre en place en places : Transparence et accessibilité Etude d’impact sur la vie privée des traitements comportant des risques particuliers, consultation préalable de l’autorité sur la licéité et les garanties prévues Sécurité des systèmes et données/ notification des violations constatées Désignation d’un délégué et collaboration loyale avec l’autorité de supervision
Ambitions du règlement européen proposé Un cadre juridique adapté aux défis actuels de l’ère numérique et de notre vie connectée assurant la confiance et la protection des individus Renforcement des droits individuels, du contrôle de chacun sur ses propres données Mettre fin à la fragmentation par une harmonisation poussée en Europe Amélioration de la sécurité juridique et réduction des contraintes administratives pour les entreprises, approche tenant compte du risque Les démarches des multinationales et leur supervision par les APDs facilitées Introduction d’incitatifs nouveaux pour assurer la conformité des acteurs tenus responsables pour le traitement des données à caractère personnel tout au long de leur cycle de vie/des processus Davantage de moyens pour faire appliquer et respecter les règles légales Une protection effective: Passer de la théorie à l’efficacité pratique Un marché unique favorisant l’innovation et la croissance économique
Changements majeurs (I) L’instrument juridique (règlement européen) / Un seul texte directement applicable partout: harmonisation maximale Un champ d’application territorial élargi aux responsables du traitement non établis dans un pays de l’Union (Art.3 § 2), lorsque celui-ci est lié: a) à l’offre de biens ou de services aux résidents européens ou b) à l’observation de leur comportement Renforcement des droits individuels :”empowerment of data subjects” Prise en compte du contexte technologique nouveau (vie connectée) Protection des enfants (<13 ans) et des mineurs (13-18) sur Internet Droit à l’oubli numérique spécifié dans le contexte du droit à l’effacement Art.18: Droit à la portabilité des données susceptible de permettre au client le changement de fournisseur de services “cloud” (d’informatique en nuage) Obligation de transparence accrue et droit d’opposition en cas de profilage, de traitements automatisés susceptibles d’avoir des effets discriminatoires
Changements majeurs (II) Principe de minimisation des données inscrit de façon explicite Augmentation des devoirs/de la responsabilité solidaire des sous-traitants Renforcement de l’indépendance des autorités nationales, de leurs missions et pouvoirs (notamment de sanction pécuniaire) Instauration d’une coopération internationale des APDs, One-stop-shop: autorité du principal établissement = Chef de file paneuropéenne (interaction obligatoire avec les autres pays concernés) ; <CEPD Comité Européen de la PD et mécanisme de cohérence Facilitation de l’exercice des droits et recours des personnes concernées; introduction des actions collectives /one stop shop aussi pour les citoyens et utilisateurs de services en ligne = peuvent s’adresser à l’ADP / la juridiction du pays du siège de l’entreprise/l’organisation ou de leur pays de résidence
L’accent mis sur la transparence C’est l’obligation primaire des acteurs: Informer correctement les personnes concernées sur le traitement dont leurs données font l’objet Des politiques de confidentialité et des notices claires et compréhensibles, portées à la connaissance des utilisateurs (multi-layered privacy notices) Mise en place de tableaux de bord en ligne permettant le réglage facile des préférences individualisées, de comités consultatifs d’accompagnement, publication de rapports d’activités de protection des données/ utilisateurs
Une plus grande responsabilisation des acteurs Une plus grande responsabilisation des acteurs. Un changement de paradigme Du contrôle bureaucratique à la co régulation: « Accountability » : Une attitude proactive requise , un devoir d’auto vérification au jour le jour Mesures à mettre en place en place spontanément et obligatoirement: Transparence et accessibilité: pour les utilisateurs, consommateurs, administrés ou tiers concernés (Art.14 renseignements à fournir) Procédures internes facilitant l’accessibilité de l’information et l’exercice des droits des personnes concernées (Art. 11 et 12: délais) L’organisation nécessaire pour la prise en compte des exigences de protection des données dans toute l’entreprise et ses processus La sécurité des systèmes et données/ notification des violations constatées Désignation d’un délégué à la protection des données et collaboration loyale avec l’autorité de supervision (obligatoire pour les organismes publics, les entreprises de plus de 250 salariés, gérant des fichiers relatifs à plus de 5000 personnes et celles dont la nature spécifique de l’activité le requiert
Etre en mesure de prouver son attitude responsable via une gouvernance appropriée Avoir pris en compte la protection des données dans la conception et le choix de ses systèmes (hard- software) et dans ses procédures et pratiques usuelles Concevoir tous les projets dans une optique Data Protection by design /default Former et sensibiliser ses collaborateurs aux enjeux et règles à respecter Réaliser des « PIA » Evaluations d’impacts pour les traitements à risques: consulter l’autorité de prot. des D. au sujet des garanties prévues/appropriées Pratiquer des audits (int./externes) de protection de la vie privée et des données à caractère personnel et de l’adéquation des mesures de sécurité Disposer d’une structure de traitement des plaintes et requêtes individuelles D’ores et déjà il convient d’aider et éduquer les organisations à s’adapter à cette nouvelle approche qui implique une réorganisation interne et la mise en place d’une démarche de gestion de risque et de “gestion qualité” spécifiques
Bénéfices attendues de la responsabilisation accrue Moins de formulaires à remplir, mais un souci accru de la confiance du public Transparence et la loyauté de l’usage des données personnel La protection des données devient une valeur cultivée au sein même des entreprises et organisations dont la direction sera attentive aux risques Une compétence et des rouages internes dont disposeront les acteurs/ développement des formations, encadrement constructif par les APDs Les bonnes pratiques seront encouragées par des mécanismes incitatifs: Codes de conduite et labels, méthodologies de PIAs et audits, rôle des CILs L’image de l’organisation dépendra de la robustesse de sa politique afférente En cas de faille de sécurité / de violation de la confidentialité des données: Signalement aux ADPs, le cas échéant également aux individus concernés en cas de danger persistant Risque réputationnel et exposition aux mesures ordonnées par les APDs Sanctions financières encourues en cas de violation de la loi
Commission Nationale pour la Protection des Données Merci Companies’ Accountability for Data Protection : A dynamic approach to compliance in the new European DP Regulation by Gérard LOMMEL, Vice-President of WP Art.29, Président of CNPD
Commission nationale pour la protection des données www.cnpd.lu 1, Rue du Rock’N’Roll L-4361 Esch-Belval