Jean-Marc Van Gyseghem Directeur de l’Unité de recherche “Libertés et société de l’information” – Avocat au Barreau de Bruxelles, Les innovations technologiques et la protection des données personnelles
FA/PDP – DAKAR Plan Le cloud Les coulisses du Cloud Divers types de cloud Caractéristiques du cloud Qui est qui? Causes à effets Précautions contractuelles Mesures à prendre L’open data Introduction Transparence de l’administration Réutilisation des données Les enjeux juridiques de L’externalisation et des données de masse
FA/PDP – DAKAR 2015 LE CLOUD
FA/PDP – DAKAR Plan Le cloud Les coulisses du Cloud Divers types de cloud Caractéristiques du cloud Qui est qui? Causes à effets Précautions contractuelles Mesures à prendre L’open data Introduction Transparence de l’administration Réutilisation des données Les enjeux juridiques de L’externalisation et des données de masse
FA/PDP – DAKAR Les coulisses du Cloud Utilisateur Cloud provider Utilisateur server ????? Utilisateur server Les enjeux juridiques de L’externalisation et des données de masse
FA/PDP – DAKAR Aspects techniquesAspects juridiques Simple base de donnéesRègles d’accès Habillage HTMLAdministrateur fixe les règles générales d’accès modifications unilatérales Si modifications des règles d’accès contenu accessible peut changer Violation du secret professionnel Les coulisses du Cloud Les enjeux juridiques de L’externalisation et des données de masse
FA/PDP – DAKAR Les coulisses du Cloud Utilisateur Cloud provider Utilisateur server ????? Utilisateur server Sécurité Les enjeux juridiques de L’externalisation et des données de masse
FA/PDP – DAKAR Aspects techniquesAspects juridiques RecouvrabilitéQui est responsable des règles d’accès? L’utilisateur? L’administrateur? PérennitéQui garantit les règles d’accès? L’utilisateur? L’Administrateur? DisponibilitéQui a le contrôle sur les données? L’utilisateur? L’administrateur? Quid du secret professionnel des personnes encadrant les jeunes? Interconnexion entre base de données Croisement d’information Qui a le contrôle des données? L’utilisateur? L’administrateur? Nécessité d’une connexion Internet Continuité du service public si rupture Internet? Les coulisses du cloud Les enjeux juridiques de L’externalisation et des données de masse
FA/PDP – DAKAR Les enjeux juridiques de L’externalisation et des données de masse
FA/PDP – DAKAR Les enjeux juridiques de L’externalisation et des données de masse
FA/PDP – DAKAR Plan Le cloud Les coulisses du Cloud Divers types de cloud Caractéristiques du cloud Qui est qui? Causes à effets Précautions contractuelles Mesures à prendre L’open data Introduction Transparence de l’administration Réutilisation des données Les enjeux juridiques de L’externalisation et des données de masse
FA/PDP – DAKAR Divers types de cloud SaaS = Vous pouvez accéder à une application sur Internet. PaaS = un OS sur lequel vous pouvez installer vos propres applications. Les données sont stockées à l’endroit « décidé » par votre application. IaaS = un infrastructure. Vous devez installer vos propres OS, applications. Les enjeux juridiques de L’externalisation et des données de masse
FA/PDP – DAKAR Divers types de cloud Public, privé, hybride. Il y a cloud et cloud. Certaines compagnies vendent une structure classique comme du cloud car c’est plus « sexy ». Les différenciations sont importantes en matière de protection des données à caractère personnel: Loi « vie privée » applicable? Responsable de traitement? Sous-traitant? Destinataire? Les enjeux juridiques de L’externalisation et des données de masse
FA/PDP – DAKAR Plan Le cloud Les coulisses du Cloud Divers types de cloud Caractéristiques du cloud Qui est qui? Causes à effets Précautions contractuelles Mesures à prendre L’open data Introduction Transparence de l’administration Réutilisation des données Les enjeux juridiques de L’externalisation et des données de masse
FA/PDP – DAKAR Carastéristiques du cloud Points positifs: Réduction des coûts: Pas d’achat de serveur, Maintenance, Pas de nécessité de service IT interne ou externe. Etc; Points négatifs: Explosion des coûts: Augmentation de la taille de la mémoire nécessaire sans réaliser son coût. Nécessité d’avoir une connexion Internet 24/24 et 7/7. L’endroit de stockage est inconnu (plusieurs serveurs physiques ou virtuels). Méconnaissance de ce qui est fait avec les données (valeur ajoutée). Les enjeux juridiques de L’externalisation et des données de masse
FA/PDP – DAKAR Caractéristiques du cloud dépendance vis-à-vis du fournisseur (vendor lock in) contrats d’adhésion restrictifs >< contrats négociés atténuant les « avantages cloud » coût de migration (intégration des anciens systèmes? Interopérabilité?) Les enjeux juridiques de L’externalisation et des données de masse
FA/PDP – DAKAR Plan Le cloud Les coulisses du Cloud Divers types de cloud Caractéristiques du cloud Qui est qui? Causes à effets Précautions contractuelles Mesures à prendre L’open data Introduction Transparence de l’administration Réutilisation des données Les enjeux juridiques de L’externalisation et des données de masse
FA/PDP – DAKAR 2015 Qui est qui? Fournisseur de cloud Sous-traitant Cloud computing souscripteur/utilisateur Flux de données à caractère personnel
FA/PDP – DAKAR Le preneur est: Personne concernée? Utilisateur? Responsable de traitement? Le fournisseur de service cloud est: Responsable de traitement? Sous-traitant? Groupe de travail de l’article 29: Avis 05/2012 sur l’informatique en nuage du Qui est qui? Les enjeux juridiques de L’externalisation et des données de masse
FA/PDP – DAKAR 2015 Fournisseur de cloud Sous-traitant Cloud computing Souscripteur/utilisateur Flux de données à caractère personnel Data controller Responsable de traitement Sous-traitant Les enjeux juridiques de L’externalisation et des données de masse
FA/PDP – DAKAR Plan Le cloud Les coulisses du Cloud Divers types de cloud Caractéristiques du cloud Qui est qui? Causes à effets Précautions contractuelles Mesures à prendre L’open data Introduction Transparence de l’administration Réutilisation des données Les enjeux juridiques de L’externalisation et des données de masse
FA/PDP – DAKAR CauseEffet Violation des règles d’accèsPerte de confiance de l’utilisateur Causes à effets Les enjeux juridiques de L’externalisation et des données de masse
FA/PDP – DAKAR CauseEffet Violation des règles d’accèsPerte de confiance de l’utilisateur Application de lois étrangères (Patriot Act, etc) Violation de la confidentialité Causes à effets Les enjeux juridiques de L’externalisation et des données de masse
FA/PDP – DAKAR CauseEffet Violation des règles d’accèsPerte de confiance de l’utilisateur Application de lois étrangères (Patriot Act, etc) Violation de la confidentialité Arbre de fonctionChoix des documents à mettre dans le cloud Causes à effets Les enjeux juridiques de L’externalisation et des données de masse
FA/PDP – DAKAR CauseEffet Violation des règles d’accèsPerte de confiance de l’utilisateur Application de lois étrangères (Patriot Act, etc) Violation de la confidentialité Arbre de fonctionChoix des documents à mettre dans le cloud Citoyen/entreprise refuse l’utilisation du cloud Quid de l’efficacité du service? Quid de la confiance du citoyen/entreprise dans le service fourni? Causes à effets Les enjeux juridiques de L’externalisation et des données de masse
FA/PDP – DAKAR CauseEffet Violation des règles d’accèsPerte de confiance de l’utilisateur Application de lois étrangères (Patriot Act, etc) Violation de la confidentialité Arbre de fonctionChoix des documents à mettre dans le cloud Citoyen/entreprise refuse l’utilisation du cloud Quid de l’efficacité du service? Quid de la confiance du citoyen/entreprise dans le service public? Sauvegarde par le cloud providerRécupération des données (incendie,etc) Causes à effets Les enjeux juridiques de L’externalisation et des données de masse
FA/PDP – DAKAR CauseEffet Violation des règles d’accèsPerte de confiance de l’utilisateur Application de lois étrangères (Patriot Act, etc) Violation de la confidentialité Arbre de fonctionChoix des documents à mettre dans le cloud Citoyen/entreprise refuse l’utilisation du cloud Quid de l’efficacité du service? Quid de la confiance du citoyen/entreprise dans le service public? Sauvegarde par le cloud providerRécupération des données (incendie,etc) NégociationNégociation en « groupe » plus forte que par une « unité » Causes à effets Les enjeux juridiques de L’externalisation et des données de masse
FA/PDP – DAKAR CauseEffet Violation des règles d’accèsPerte de confiance de l’utilisateur Application de lois étrangères (Patriot Act, etc) Violation de la confidentialité Arbre de fonctionChoix des documents à mettre dans le cloud Citoyen/entreprise refuse l’utilisation du cloud Quid de l’efficacité du service? Quid de la confiance du citoyen/entreprise dans le service public? Sauvegarde par le cloud providerRécupération des données (incendie,etc) NégociationNégociation au niveau de plusieurs hôpitaux plus forte qu’un hôpital isolé Utilisation de cloud privéContrôle maintenu au niveau de l’utilisateur. Causes à effets Les enjeux juridiques de L’externalisation et des données de masse
FA/PDP – DAKAR Plan Le cloud Les coulisses du Cloud Divers types de cloud Caractéristiques du cloud Qui est qui? Causes à effets Précautions contractuelles Mesures à prendre L’open data Introduction Transparence de l’administration Réutilisation des données Les enjeux juridiques de L’externalisation et des données de masse
FA/PDP – DAKAR Précautions contractuelles (non exhaustif) Objet du contrat. Type de cloud. Localisation des données, en ce compris les miroirs. Sécurité/confidentialité (ISO/CEI 27002, par exemple). Recours à de la sous-traitance. Réutilisation des données. Les enjeux juridiques de L’externalisation et des données de masse
FA/PDP – DAKAR Précautions contractuelles (non exhaustif) SLA. Interopérabilité. Coûts, Résiliation du contrat et ses conséquences Les enjeux juridiques de L’externalisation et des données de masse
FA/PDP – DAKAR Plan Le cloud Les coulisses du Cloud Divers types de cloud Caractéristiques du cloud Qui est qui? Causes à effets Précautions contractuelles Mesures à prendre L’open data Introduction Transparence de l’administration Réutilisation des données Les enjeux juridiques de L’externalisation et des données de masse
FA/PDP – DAKAR Mesures à prendre Analyse des risques à moyen et long termes: Prise de mesures de sécurité adéquates (ISO/CEI 27002, par exemple): Sécurité physique: Accès aux données; Accès au serveur; Sécurité technique: Gestion des accès; Réseau; Communication; Notification des failles de sécurité? Les enjeux juridiques de L’externalisation et des données de masse
FA/PDP – DAKAR Plan Le cloud Les coulisses du Cloud Divers types de cloud Caractéristiques du cloud Qui est qui? Causes à effets Précautions contractuelles Mesures à prendre L’open data Introduction Transparence de l’administration Réutilisation des données Les enjeux juridiques de L’externalisation et des données de masse
FA/PDP – DAKAR 2015 L’OPEN DATA Transparence et réutilisation de l’information du secteur public
FA/PDP – DAKAR Plan Le cloud Les coulisses du Cloud Divers types de cloud Caractéristiques du cloud Qui est qui? Causes à effets Précautions contractuelles Mesures à prendre L’open data Introduction Transparence de l’administration Réutilisation des données Les enjeux juridiques de L’externalisation et des données de masse
FA/PDP – DAKAR Introduction Transparence de l’administration Support papier support digital Transparence passive transparence active Réutilisation des données publiques Les enjeux juridiques de L’externalisation et des données de masse
FA/PDP – DAKAR Plan Le cloud Les coulisses du Cloud Divers types de cloud Caractéristiques du cloud Qui est qui? Causes à effets Précautions contractuelles Mesures à prendre L’open data Introduction Transparence de l’administration Réutilisation des données Les enjeux juridiques de L’externalisation et des données de masse
FA/PDP – DAKAR 2015 Transparence de l’administration Les enjeux juridiques de L’externalisation et des données de masse
FA/PDP – DAKAR Principe de transparence Droit d’accès pour tous Sur de demande Sans justification Restrictions pour la protection d’intérêts publics ou privés Motivation des refus Voies de recours Les enjeux juridiques de L’externalisation et des données de masse
FA/PDP – DAKAR Titulaire du droit d’accès Personnes physiques ou morales Nationales ou étrangères Les enjeux juridiques de L’externalisation et des données de masse
FA/PDP – DAKAR Autorités soumises Autorités administratives Les enjeux juridiques de L’externalisation et des données de masse
FA/PDP – DAKAR Exception Documents à caractère personnel: Définition: Appréciation ou jugement de valeur relatif à une personne physique nommément désignée Description d’un comportement dont la divulgation peut manifestement causer un préjudice à cette personne Conditions: Intérêt requis pour obtenir le document: Légitime Direct Actuel Certain Personnel Supérieur à l’atteinte (droit à la vie privée) Les enjeux juridiques de L’externalisation et des données de masse
FA/PDP – DAKAR Exception Exceptions obligatoires relatives (avec mise en balance): sécurité de la population ordre public, sûreté, défense nationale recherche ou poursuite de faits punissables relations internationales de la Belgique intérêt économique ou financier fédéral libertés et droits fondamentaux des administrés anonymat des dénonciateurs secrets d’entreprise ou de fabrication Les enjeux juridiques de L’externalisation et des données de masse
FA/PDP – DAKAR Exception Exceptions obligatoires absolues: obligation de secret instaurée par la loi secret des délibérations du gouvernement et du pouvoir exécutif vie privée, sauf si consentement écrit Exceptions facultatives: document inachevé ou incomplet, pouvant être source de méprise demande formulée de façon manifestement trop vague demande manifestement abusive Les enjeux juridiques de L’externalisation et des données de masse
FA/PDP – DAKAR Contexte électronique Classiquement: Droit d’accès = Droit de consulter Droit de recevoir une copie Aujourd’hui: Droit de recevoir une copie électronique Droit d’accès devoir de diffusion Transparence passive à la transparence active: Web: sites officiels du gouvernement statistiques, données économiques registres publics ,,, Les enjeux juridiques de L’externalisation et des données de masse
FA/PDP – DAKAR Contexte électronique Risques pour la protection des données à caractère personnel; Bavarian Lager Company (TPICE, T-194/04 et CJUE, C-28/08) Volker und Markus Schecke (CJUE, C-92/09 et C- 93/09) Les enjeux juridiques de L’externalisation et des données de masse
FA/PDP – DAKAR Plan Le cloud Les coulisses du Cloud Divers types de cloud Caractéristiques du cloud Qui est qui? Causes à effets Précautions contractuelles Mesures à prendre L’open data Introduction Transparence de l’administration Réutilisation des données Les enjeux juridiques de L’externalisation et des données de masse
FA/PDP – DAKAR 2015 Réutilisation des données publiques Les enjeux juridiques de L’externalisation et des données de masse
FA/PDP – DAKAR Valeur démocratique de l’information du secteur public Valeur économique et sociale de l’information Les enjeux juridiques de L’externalisation et des données de masse Marché de l’information Société de l’information se nourrissent mutuellement
FA/PDP – DAKAR Situation chaotique; Conflit entre commercialisation et transparence de l’administration Velléité de vendre ce que l’on doit donner Interdiction de réutiliser à des fins commerciales les informations obtenues au nom de la transparence Principe de licences d’utilisation Les enjeux juridiques de L’externalisation et des données de masse
FA/PDP – DAKAR Risques d’atteinte à la vie: Anonymisation des données Conditions: Identification de la source; Date de la dernière mise à jour; l’intégrité des données. Les enjeux juridiques de L’externalisation et des données de masse
FA/PDP – DAKAR Les enjeux juridiques de L’externalisation et des données de masse Big data Bases de données diverses Cloud Open Data
Merci de votre attention