Edouard Geffray: "le futur texte EU prévoit comme sanction 5% du CA en cas de non respect de la réglementation EU"

Edouard Geffray*CNIL: "le futur texte EU prévoit, dans sa version issue du Parlement, un montant de sanction de 5% du chiffre d'affaires en cas de non respect de la réglementation européenne"

 

* Secrétaire Général de la CNIL


Quel regard portez-vous sur les travaux en cours concernant le texte européen définissant les futures règles en matière de protection des données personnelles  ?

Rappelons le contexte  : le Conseil européen fonctionne avec deux autres institutions, la Commission européenne et le Parlement européen. Le projet de règlement a donné lieu à l’adoption d’une «  version de compromis  » par le Parlement européen, et est actuellement en cours de discussion au Conseil. Il faudra ensuite qu’il passe en «  trilogue  ». Sur de nombreux points, le texte issu du Parlement converge avec les propositions de la CNIL et les orientations du G29, le groupe des CNIL européennes.

Que va retenir le futur texte lors de sa promulgation courant 2015  début 2016 ?

Plutôt courant 2015. Le texte devrait consacrer la disparition des «  déclarations préalables  », et mettre l’accent sur la mise en conformité dynamique – la «  compliance  » - des entreprises en matière de protection des données personnelles. Il s'agit notamment, pour les entreprises, d'étudier l'impact des usages des données sur la vie privée lorsqu’elles mettront en œuvre des traitements de données sensibles. Le tout en passant d'une logique de formalité à une logique de conformité, et en favorisant les approches sectorielles. La conformité interviendra à la fois au niveau des entreprises et des secteurs, via leurs fédérations respectives. C'est ce que nous souhaitons en développant notre rôle de conseil et d’accompagnement, parallèlement à nos missions de contrôle. Et c’est d’ores et déjà ce que nous faisons, notamment avec la création d’une direction de la conformité en avril 2014 et de nouveaux outils.


C'est l'idée des «  packs de conformité  » lancée par la CNIL pour décliner les principes applicables aux différents secteurs de l'économie  ?

Oui, notamment pour le secteur de l’assurance, pour lequel la protection des données personnelle constitue un enjeu majeur. Il s'agit de regrouper, pour les secteurs concernés, l’ensemble des outils de simplification (dispenses de déclarations, etc.) et des bonnes pratiques qui en sont le corollaire. Nous avons déjà conclu deux packs après une concertation avec les acteurs (la maison intelligente, avec la FIEEC, et le logement social), et sommes en cours de finalisation pour les assurances. D’autres packs suivront.

La CNIL délivre également des labels, une trentaine en deux ans, quelle est la finalité de cette procédure  ?

Il s’agit d’un nouvel outil, qui permet à la CNIL de labelliser des produits ou des procédures qui respectent un référentiel exigeant en matière de protection des données. Pour les entreprises, l’obtention du label constitue un argument qualitatif, donc de compétitivité, important. A ce stade, trois référentiels ont déjà été élaborés (formations, audits de traitement et coffres-forts numériques). 30 labels ont d’ores et déjà été délivrés.

En termes de souveraineté numérique, face à des textes réglementaires de type «  Patriot Act  » par exemple, comment envisagez-vous la protection des données au sein des entreprises françaises pour les prochaines années ? On a vu récemment un juge américain demander à Microsoft l'accès à des données hébergées sur l'ensemble de ses serveurs dans le monde entier. N'existe t il pas deux visions en matière de Droit numérique  ?

La souveraineté numérique passe d’abord par la capacité à faire appliquer le droit européen lorsqu’une personne résidant en Europe est concernée. Le projet de règlement, dans sa version issue du Parlement, comporte ainsi des clauses liées aux conditions de transfert des données entre pays de l'Union et d'autres pays notamment les US. L'article 43, dans sa version issue du Parlement européen, soumet l'autorisation de transfert de données personnelles à des autorités publiques étrangères au(x) CNIL(s) nationale(s).

Dans les faits, pensez-vous que ce type de mesure sera réellement efficace quand on constate le trouble qui s'est emparé de nombre de responsables sécurité voire de politiques après les révélations dues à «  l'affaire Snowden  »  ?

C’est un des éléments de réponse, fondamental, qui a été proposé par la CNIL dès les révélations que vous mentionnez. Par ailleurs, des études montrent que les entreprises européennes ont modifié leurs projets en matière de cloud, par exemple, comme suite à ces révélations. Les industriels ne peuvent rester insensibles aux réactions européennes. On comprend ainsi que la protection des données personnelles est aussi un gage de confiance pour le consommateur, et constitue donc un enjeu de compétitivité. Enfin, le futur texte prévoit, dans sa version issue du Parlement, un montant de sanction de 5% du chiffre d'affaires en cas de non respect de la réglementation européenne.

La délocalisation des données auprès de tiers non européens par des entreprises européennes présente un aspect risqué à vos yeux ou pas  ?

Il faut penser à la fois en termes de risques juridiques et de risques techniques (logiques et physiques). Sur le plan juridique, il est important que le droit européen s’applique dès lors que les résidents européens sont concernés. C’est le sens du projet de règlement. Sur le plan technique, nous donnons des conseils aux entreprises pour qu’elles soient en mesure de s’assurer que les conditions de sécurité sont satisfaisantes.

Récemment pendant que Google était condamné à 150 000 euros d'amendes par l'Europe, BNP Paribas devait s'acquitter de 6 milliards d'Euros aux US. N'existe t-il pas deux poids et deux mesures et ...une certaine efficacité des entreprises de lobbying à Bruxelles  ?

Les deux cas que vous mentionnez ne sont pas du même ordre. Sur la protection des données, la situation évolue, notamment avec la perspective des sanctions maximales de 5% du chiffre d'affaires mondial que nous évoquions. Au-delà de ces questions, ce qui est marquant aujourd’hui, c’est que le futur règlement va doter les pays de l'UE d'un texte unique qui rendra homogène le droit «  numérique  » partout en Europe. Les CNIL auront une approche à la fois intégrée – pour agir ensemble – et décentralisée – pour répondre aussi bien aux besoins des groupes qu’à ceux des PME.

 

 

Propos recueillis par Jean Philippe Bichard  @cyberisques

 

 

CYBERISQUES NEWS premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX / CODIR

Abonnement individuel par eMail personnalisé

Renseignements Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

BONUS: 

http://www.cyberisques.com/images/Bulletin-abonnement.png

http://europa.eu/rapid/press-release_SPEECH-14-431_en.htm

http://www.cyberisques.com/mots-cles-17/334-data-breach-juillet-2014

 

Qestion à la CNIL: 

D'un point de vue strictement légal, les entreprises ont-elles une obligation de garantir leur sécurité informatique?

Oui, puisque l'article 34 de la loi Informatique et Libertés dispose que les entreprises, en tant que responsable des informations qu'elles recueillent, doivent en garantir la sécurité et notamment qu'un tiers non autorisé ne puisse y avoir accès. Il s'agit aussi pour l'entreprise d'un devoir vis-à-vis de ses clients et de ses employés afin de maintenir une relation de confiance.

 

 

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires