#DPO_NEWS #cyberisques Université AFCDP: DPO un CIL 2.0 ?

reportage: @DPO_NEWS   Université AFCDP 


DPO, un CIL 2.0 ?

 

AFCDP-1-UNIVERSITE-2017

 


Jamais les données a caractère personnel n'ont autant préoccupées les responsables des risques cyber. La mise en place en 2016 avant son application en mai 2018 de la GDPR (Règlement européen de protection des données à caractère personnel) n'y est pas étrangère. l'Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP) fait le point à l'occasion de sa 11eme université des CIL à Paris.

 


Les préoccupations des citoyens-clients-utilisateurs européens sur l'usage de leurs données collectées sur le Net sont bien réelles; (http://www.cyberisques.com/mots-cles-7/635-cyberisques-dpo-news-64-de-francais-pensent-que-leurs-informations-sont-utilisees-dans-d-autres-buts-que-ceux-qu-ils-ont-approuve)

Dans ce contexte, les idées fédérées par l'Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP) qui réunit les CIL et pour bon nombre d'entre eux les futurs DPO prennent un sens particulier en 2017. Comment les CIL dont le métier existe depuis 2004 doivent se préparer et mettre en ordre de marche leurs organisations via leur futur rôle de DPO en 2018 ? Quels budgets avec quelles sensibilisations et quels « sponsors » auprès des dirigeants pour quels objectifs avec le cas échéant quelles sanctions de la part de la CNIL?

L'AFCDP a réuni a Paris le 25 janvier ses membres et bon nombre de personnalités : la CNIL bien sûr avec Édouard Geffray Secrétaire Général et Albine Vincent chef du service CIL ( http://www.cyberisques.com/fr/component/content/article/93-categorie-3/sous-categorie-3-1/621-interview-dpo-news-cyberisques-albine-vincent-chef-service-des-cils-au-sein-de-la-cnil ) mais aussi des parlementaires et sénateurs, de nombreux acteurs IT et dirigeants en plus des... premiers DPO.

Si le GDPR comme convenu a constitué l’essentiel des thèmes des débats et ateliers, l’évolution du cadre réglementaire et sa mise en application ont beaucoup été abordé. Le renforcement de la CNIL avec la loi République Numérique est un exemple. La mise en œuvre de ce texte aura des conséquences sur la notion très actuelle de mort numérique ou de portabilité des données... Les attentes sur le Privacy Schield et les positions nouvelles des Etats-Unis en matière de protection des données privées, le GDPR, la loi pour une République numérique … que devient le CIL en 2017 ? Qui sera t-il en 2018 ?


« DPO as a service »

Face à l' inflation de lois nouvelles nationales, internationales et européennes, Paul-Olivier Gibert, Président de l'AFCDP a carrément posé la question : doit on attendre pour agir sachant que bon nombre de CIL se trouvent « entre deux textes » ? Lequel choisir aujourd'hui ? Idem pour la future fonction de DPO (lire nos liens en section BONUS). Quel profil pour quelles missions ? Exemple : dans quel environnement doit-on nommer un DPO ? Réponse : ce ne sera pas nécessairement et uniquement au sein de grandes organisations. Le Big data et les usages des services sur Internet génèrent des flux de données qui n'ont aucun rapport avec la taille d'une entreprise. Certaines start-up gèrent des flux considérables. Elles réalisent des « croisements » de données à l'origine de la génération de nouvelles données personnelles plus importantes que certaines organisations telles que les banques. « Or un DPO dans une start up de 8 personnes çà n'a pas de sens » rappellent certains intervenants. Pour la CNIL c'est clair ; là ou on traite de la donnée personnelle il faut un DPO. Les petites et moyennes organisations en ont-elles les moyens ? C'est un réel débat à la veille de la mise en application de la GDPR (et des sanctions qui l'accompagnent).

Va t-on alors s'acheminer vers la notion de « DPO as a service » ? ou un DPO pour plusieurs entités comme le préconise dans certains cas le GDPR ?
Paul-Olivier Gibert le souligne : « certaines pratiques doivent être inventées et réinventées en permanence ».  

( Lire pour les abonnés notre enquête DPO et GDPR : les 15 premières mesures indispensables à mettre en œuvre pour toutes les organisations )

Sur certains points, les dossiers avancent. C'est le cas avec un sujet sensible : le stockage des données sur le territoire européen. Cette thématique ne soulève plus les mêmes interrogations. « Après l'élection de Donald Trump bon nombre d'acteurs IT ont appelé leurs clients européens pour leur signaler que le stockage de leurs données en Europe était tout à fait possible » rappelle un participant au débat. Dans l’autre cas (données EUR au US) le député européen Jean Philipp Albrecht, Vice-Président de la Commission des libertés civiles, de la Justice et des affaires intérieures a d'ailleurs précisé lors d'une vidéo avec Bruxelles « que peu de recours juridiques existent avec le Privacy Schield pour les données d'origine européennes destinées aux US. En cas de soucis, les recours juridiques avec avocats aux US sont complexes mieux vaut sécuriser les données avant de les transférer ». En clair, CIL et DPO, faites appel à la cryptographie par exemple.

Invité a la plénière d'ouverture en matinée, le députe du Maine-et-Loire Luc Belot avec beaucoup de conviction a déclaré : « Politiques et législateurs ne comprennent pas le numérique dans la mesure ou chaque loi qu'ils proposent veut interdire » en prenant exemple sur les prix limités des livres sur les plate-formes e-commerce (pour protéger les libraires indépendants) et la façon dont Amazon qui était indirectement visée par cette loi est passée a travers. Pour bon nombre d'intervenants, « il faut que les citoyens disposent d'un droit a agir en conservant leurs données. C'est le sens de la portabilité avec la libre disposition des données ».

En clôture de la plénière du matin, Édouard Geffray secrétaire général de la CNIL a annoncé avant mai 2018 (échéance pour la mise en application de la GDPR) le dépôt d'un projet de loi pour préciser les interprétations du règlement européen par les autorités françaises : « Il s'agit de compléter au plan national le GDPR en offrant également des bonnes pratiques pour simplifier certaines formalités ». Très attendu sur les modalités de mise en place des premières sanctions en cas de non conformité des organisations avec le GDPR, la CNIL - Autorité de contrôle voire de sanctions - partage l'idée d'une « transition douce » entre les textes actuels et ceux du GDPR plus exigeants. « Sur 550 contrôles réalisés depuis l’existence de la CNIL, il y a eu 100 mises en demeure et 15 sanctions » a rappelé Edouard Geffray. Bref la bienveillance doit l'emporter.

 

 

Président-2017-AFCDP

 

GDPR : DPO, un CIL 2.0 ?

L'éditeur Symantec a publié en décembre 2016 le « Rapport Européen sur la Confidentialité des Données » (cf Cyberisques News et DPO_NEWS), qui révèle que 96 % des entreprises françaises, allemandes et britanniques n’ont qu’une compréhension partielle du Règlement général sur la Protection des Données personnelles (RGPD).
Seules 25 % d’entre elles considèrent cette conformité comme l’une des toutes premières priorités dans les deux années à venir, mais elles se montrent cependant plus confiantes que leurs homologues européens, puisque 32 % pensent être déjà prêtes, contre 26% dans les deux autres pays. Une méconnaissance de la réglementation 22 % des personnes interrogées en France (23 % dans les autres pays) pensent que leur entreprise ne sera soit pas du tout soit seulement partiellement en conformité avec le RGPD d’ici 2018. (lire notre encadré : GDPR moins de 350 jours...ouvrés).

Dans ce contexte, le futur DPO, sorte de CIL 2.0 doit s'interroger face aux évolutions du traitement des données et de leur source. Pour Laurent Tollié, directeur général de la GMF – 3,5 millions de sociétaires, 5000 collaborateurs, filiale de COVEA, 16,5 milliards d'euro - « avec le Big Data, les assureurs traitent plus de données personnelles que la plupart des autres acteurs économiques d'où la nécessité d'une plus grande rigueur. » C'est le cas avec la légitimité et les origines des données à caractère personnel. Dans le cas de données issues de voitures connectées, les compagnies d'assurance doivent pouvoir répondre aux questions suivantes : qui maîtrise les données entre constructeur, acheteur, assureurs ? Qui peut revendiquer un traitement spécifique ? Laurent Tollié estime que la fonction de CIL (futur DPO) est à la croisée de trois dimensions : technologique, mesure du risque et réglementaire.

@jpbichard

 

Lire pour les abonnés notre enquête

1 - DPO et GDPR : les 15 premières mesures indispensables à mettre en œuvre pour toutes les organisations ( collecte d'informations, label, recherche de sponsors de DPO, évolution juridique et veille, planification budgétaire, nouveaux outils, diffusion et partage des informations, procédures de notifications, cyberassurance, scénarios, conformité pour les sites WEB... )

2 – GDPR : au delà des aspects réglementaires et organisationnels, quels outils ?

3 – le DPO Book de DPO_NEWS : la boite a outils du DPO (@DPO_NEWS)

 


GDPR moins de 350 jours...ouvrés

Menées auprès des décideurs informatiques et des dirigeants de 900 entreprises en France, en Allemagne et au Royaume-Uni, l’étude montre notamment que 92 % des sociétés françaises sont inquiètes quant à leur capacité à être en conformité avec le RGPD.

Parmi elles, seulement 22 % également estiment que cela est encore réalisable et 53 % que certains départements seulement seront prêts (contre 49 % en moyenne européenne). Ce manque d’assurance de respecter la date butoir de mai 2018 implique pour les entreprises un risque de s’exposer à de lourdes pénalités qui pourraient entraver leur activité et prospérité. Déconnectées de leurs clients Alors que les entreprises doivent se conformer aux obligations du RGPD, elles s’avèrent ne pas être en phase avec les attentes de leurs clients, lorsqu’il s’agit de sécurité et de confidentialité des données.


BONUS :

http://www.cyberisques.com/fr/mots-cles-5/625-dpo-news-cyberisques-gdpr-gdpr-faits-et-chiffres-infographies

http://www.cyberisques.com/mots-cles-7/137-mots-cles-30-reglementation/633-dpo-news-cyberisques-symantec-nous-voyons-bien-arrive-le-dpo-as-service-surtout-dans-le-monde-de-la-pme-et-cette-reglementation-va-tirer-tout-le-monde-vers-le-haut

 

Abonnemnt-2017 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires