L'économie numérique, sujet de préoccupation

Que vous soyez citoyen.ne ou expert.e en gouvernance des données, vous savez me dire quelles sont les entreprises les plus riches du Monde actuellement, leurs noms et leurs activités. L’économie numérique est un gros gâteau dont certains se sont assurés depuis longtemps les plus belles parts et mettent tout en oeuvre pour les conserver.

Voilà pourquoi la question de la gestion des données est au coeur des préoccupations stratégiques des entreprises mais également au coeur des préoccupations politiques de l’Europe. C’est également un sujet de préoccupation pour les individus que nous sommes, accessoirement conssomateur-trices.

L’injonction contradictoire en psychologie, c’est le choc entre deux injonctions qui plonge les individus en total désarroi et les rende totalement incapable d’agir.

Il y plusieurs moyens de sortir d’une injonction contradictoire. La première consiste à faire le déni d’une des injonctions.

Sur le sujet qui nous préoccupe, c’est clairement la protection de l’individu et de ses droits qui a été occultée.

Pourquoi ?

Simple, l’attrait de l’injonction à developper les opportunités de l’économie économique ont largement dépassé celui de respecter le droit à la vie privé.

Souvent par manque de connaissances et de compétences, quelquefois par pur choix du profit.

Cependant, la conscience de l’impact sur nos vies, nos sociétés que peut avoir le fichage à grande échelle inquiète de plus en plus les personnes.

On se demande ce que pourraient bien faire des gouvernements malveillants avec toutes ces informations.

En 2018, le RGPD répond à ces inquiétudes citoyennes. L’Europe s’implique car, elle aussi s’inquiète du pouvoir grandissant de ces grandes entreprises qui possèdent les informations sur les citoyen-nes qu’elle se doit de protéger.

En effet, le RGPD va être contraignant mais ce n’est pas une réglementation opportuniste, il s’inscrit dans la constitution des droits de l’homme et du citoyen et dans l’ article 9 du code civil.

C’est un rempart contre un risque qui dépasse largement la vision économique du numérique, c’est une réponse démocratique juridique au risque d’un régime tout simplement totalitaire que le fichage de chacun d’entre nous permet et autorise déjà et qu’il faut sérieusement encadrer et sanctionner les tentatives de s’y dérober.


Le registre des traitements en détails

Le registre des traitements en détails

 

L’article 30 du RGPD définit ce que doit contenir le registre de l’organisation. Ce registre identifie des points à déclarer pour chaque traitement. Ce registre contient l’ensemble de ces points pour l’ensemble des traitements.

La plupart des acteurs de la conformité qui accompagnent les entreprises depuis longtemps ont déjà modélisé le process qui permet de produire un registre. En effet, cette obligation existe depuis 1978 dans le cadre de la loi Informatique et Libertés.

C’est, pour la plupart du temps, ce qui compose essentiellement les outils qui ont été créés et mis à disposition sous forme de fichiers Excel puis de plateforme pour aider les organisations à prouver de leur conformité.

Des questionnaires sous la forme d’auto-audit ont été créés. Les réponses aux questions posées permettent de répondre à ce qui était demandé dans le registre de la loi Informatique et Libertés. Ces questionnaires ont été mis à jour pour répondre au RGPD qui, lui aussi demande un registre mais avec des éléments supplémentaires. Ce sont les déclarations de traitements.

Déclarer ses traitements via le questionnaire d’audit permet donc de viser l’ensemble des informations qui doivent être transparentes pour un tiers autorisé (y compris la CNIL).

Chez Data Transition, l’outil d’audit sera proposé en freemium et permettra de produire les fiches traitements qui regrouperont de façon claire et lisible toutes ces informations pour les enregistrées dans le registre. Elles représentent le registre et sont la preuve de l’initiation de la démarche de mise en conformité et la preuve de bonne intention que la CNIL mentionne et qui protégera les organisations pour le 25 mai 2018.

Cependant, si depuis 40 ans, il n’était pas utile de faire la preuve d’une gestion responsable des données personnelles en continu, c’est maintenant le cas. A cela il faut ajouter que de nombreux principes à respecter doivent être inclus dans les audits et démontrer par l’apport de preuves documentaires. Il en ressort que beaucoup de périmètres qui doivent être auditeur ne peuvent l’être si on se limite aux audits de traitements permettant la production du registre.

Les questions auxquelles doivent répondre les personnes qui vont déclarer ces traitements via les questionnaires d’audit sont identifiés dans l’article 30 du RGPD :

a) le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données;

b) les finalités du traitement ;

c) une description des catégories de personnes concernées et des catégories de données à caractère personnel ;

d) les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales ;

e) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées ;

f) dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données ;

g) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1.

Article 32, paragraphe 1. Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :

a) la pseudonymisation et le chiffrement des données à caractère personnel ;

b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;

c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;

d) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

Chaque sous-traitant et, le cas échéant, le représentant du sous-traitant tiennent un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable du traitement, comprenant :

a) le nom et les coordonnées du ou des sous-traitants et de chaque responsable du traitement pour le compte duquel le sous-traitant agit ainsi que, le cas échéant, les noms et les coordonnées du représentant du responsable du traitement ou du sous-traitant et celles du délégué à la protection des données ;

b) les catégories de traitements effectués pour le compte de chaque responsable du traitement ;

c) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées ;

d) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1.

Les registres visés aux paragraphes 1 et 2 se présentent sous une forme écrite y compris la forme électronique.

Le responsable du traitement ou le sous-traitant et, le cas échéant, leur représentant mettent le registre à la disposition de l’autorité de contrôle sur demande.

Les obligations visées aux paragraphes 1 et 2 ne s’appliquent pas à une entreprise ou à une organisation comptant moins de 250 employés, sauf si le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur les catégories particulières de données visées à l’article 9, paragraphe 1, ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.

L’audit de déclaration permet de produire un registre qui identifiera des projets transverses de mises en conformité. Si vous êtes en difficulté pour identifier les types de personnes concernées dans vos traitements ou tout autre chapitre relevant de l’article 30, cela indiquera certainement de mettre en œuvre des projets comme une politique de cartographie des données ou des supports.

Cependant, certains projets comme la violation des DCP n’apparaitront pas suite aux déclarations.

Data Transition a conçu un questionnaire qui inclut des audits permettant d’identifier le niveau de maturité des projets transverses nécessaires à la gestion des données personnelles de façon continue et d’améliorer la conformité de l’organisation dans ce que demande le RGPD par étape en mode gestion de projet.

Nos outils sont mis à la disposition de nos clients lors de nos missions et seront disponibles via une plate-forme dès qu’ils auront obtenu une validation opérationnelle de l’ensemble de nos utilisateurs.

Notre engagement d’expert-es, que ce soit en mission d’accompagnement ou uniquement via les outils que nous proposerons prochainement est l’autonomisation de nos clients sur la gestion des données personnelles et l’acquisition d’une méthode organisationnelle pour protéger l’organisation des sanctions qu’elles pourraient subir et profiter des opportunités qu’une gouvernance des données peut apporter aux organisations.


Startups : comment gérer sa conformité ?

Startups : comment gérer sa conformité au RGPD ?

Une startup a la particularité de démarrer sur les chapeaux de roues et souvent avec beaucoup d’idées, d’outils de communication et collaboration. Elle se doit de communiquer vite et bien et de se rendre rapidement visible.

Une autre de ses particularités est de se servir du numérique pour développer ses produits et services. Si la Startup a pour modèle économique un socle de collecte de données important, il y a fort à parier que les données et informations personnelles en sont le cœur.

Comme toutes les organisations, ces entreprises devront produire un registre et gérer l’intégralité des projets de mise en conformité, en continu. Data Transition propose une approche de protection des startups sur les terrains qui l’occupent en priorité :

>  De quoi sont-elles responsables exactement ?

>  Que doivent-elles mettre en œuvre en termes de protection des données?

>  Leurs collectes de données sont-elles licites ?

>  Doivent-elles réfléchir rapidement à une politique de recueil du consentement ?

Il existe un outil qui répond aux obligations de la Privacy by Design. Cet outil doit être déclenché en fonction de certains critères pour des traitements mais il peut aussi couvrir une activité.

C’est dans ce cadre que Data Transition propose une analyse d’impacts aux Startups après avoir identifié leurs traitements. Cela permet d’encadrer l’activité et d’en maîtriser les risques majeurs, ceux qui pourraient entrainer un arrêt immédiat en cas de contrôle et mettre en péril l’avenir et le développement de l’organisation.


Un cruel manque de responsabilité

Un cruel manque de responsabilité

Explosion des Data Breaches en 2017

Le RGPD/GDPR impose la notification des failles de sécurité aux autorités de contrôles et aux personnes concernées.

Qu’est-ce que cela veut dire ?

Les informations personnelles, qui sont collectées au travers de tous types de supports et qui circulent par tous types de médias, doivent être protégées partout et tout le temps.

Pourquoi ?

On peut toujours arguer que les internautes délivrent nombre d’informations personnelles et qu’ils sont donc responsables de ce qui circule en ligne concernant leurs vies privées.

Oui et non !

D’une part, il existe de plus en plus d’espaces de collecte d’informations permettant d’identifier une personne où il est obligatoire de délivrer ces informations pour obtenir un service. Ceci concerne tout autant les entreprises privées, ayant une activité commerciale, que des organisations publiques (administrations). Pensons aux sites des Mairies, des impôts, de la délivrance de CI ou de Passeport et référons-nous simplement à l’injonction de dématérialisation qui règne depuis de nombreuses années dans les organisations, quelles que soient leurs activités.

D’autre part, et certains en parlent beaucoup mieux que moi, je pense par exemple à Louise MERZEAU (RIP) qui a expliqué comment les « oligarques du web » ont créé une illusion totalement intéressée en nous laissant croire qu’il existerait sur le WEB des zones de confiance (tous les espaces communautaires de valeurs, de pratiques, d’intérêts peuvent se reconnaitre).

Le RGPD/GDPR souhaite rééquilibrer ce rapport entre ceux qui donnent et ceux qui traitent.

Pourquoi ?

La fuite des données peut être impactante pour les personnes et pour les entreprises. Les scandales visibles viennent souvent des Etats-Unis où le niveau de confiance des citoyens dans leurs institutions et entreprises est beaucoup plus important qu’en Europe mais où, du même coup, le sentiment de trahison se manifeste beaucoup plus fortement.

Les plaintes collectives (ou Class actions) illustrent la colère des personnes dont les données n’ont pas été protégées et les montants financiers en jeu sont colossaux.

Une des dernières fuites concernant la société de crédit EQUIFAX a entrainé plus de 50 class actions et on estime à 70 milliards de $ le montant des dommages et intérêts. Fondée au XIXème siècle, cette société a vu son cours de bourse chuter de plus d’un tiers de sa valeur et elle pourrait cesser son activité.

Et nous ?

Nous avons moins confiance dans nos institutions et dans nos entreprises que les Américains : nous sommes donc moins déçus.
En revanche, nous avons plus confiance dans nos lois et la capacité de nos magistrats à les faire respecter.

C’est ici que le bas commence à blesser !

En effet, le courant va vers une « anglo-saxonisation » de nos référentiels et il s’impose doucement. La responsabilisation (ou Accountability) en est l’expression la plus forte.

Face à cette dynamique, celle de la plainte collective est un corollaire indispensable.

Il s’agit d’un devoir d’équilibre que doit imposer l’Europe via le règlement sur la e-Privacy, afin de contribuer à la confiance dans l’économie numérique.

Cela ne doit pas être une option négociable !


Comment démarrer sa mise en conformité ?

Comment démarrer sa mise en conformité ?

Le coûteux risque oublié du RGPD
Alors que le  » Règlement Général sur la Protection des Données  » ( RGPD) entrera en vigueur en Europe dans moins d’un…cestpasmonidee.blogspot.fr

Cet article présente les étapes importantes, voire prioritaires, d’une démarche Privacy

La réglementation RGPD ou GDPR qui sera applicable le 25 mai 2018 renforce nombres de contraintes qui étaient déjà mises en oeuvre depuis la loi Informatique et Libertés de 1978, en créant de nouvelles contraintes.

La Privacy, c’est la protection de la vie privée dans les systèmes d’information, numérisés ou pas.

D’abord vécu comme une contrainte, les entreprises privées et publiques ont également perçu que protéger la vie privée était un frein à la collecte des données personnelles alors qu’elles représentent un capital fortement valorisé depuis quelques années.

Ne pas protéger les données a des conséquences autrement plus graves : une perte progressive et inéluctable de la confiance des usagers et consommateurs dans l’économie numérique.

Bien avant la réglementation RGPD, la CNIL avait posé cette philosophie basée sur la prévention, la pédagogie, l’écoute, dans l’évolution de la loi Informatique et Libertés, lors de sa révision en 2004, sur la sensibilisation à la protection de la vie privée.

Cette philosophie est désormais inscrite dans la réglementation au travers de la Privacy by default : une prise en compte de la protection de la vie privée dont on collecte les informations par défaut, tout le temps et sur tous les sujets et dont doit s’emparer une organisation privée ou publique pour développer ses activités.

Cela se traduit par la mise en oeuvre de la Privacy by design (protection de la vie privée dès la conception) et PIA ou DPIA (Data Privacy Impact Assessment), pour l’analyse et la gestion des impacts de l’utilisation des données personnelles sur les personnes concernées. Ces nouveaux piliers ne concernent pas que les traitements, ils sont là pour accompagner les organisations à intégrer la protection de la vie privée dans leurs activités.

Ces nouvelles méthodes, comme l’obligation de documentation (Accountability) ou encore les nouveaux droits comme la portabilité, l’effacement des données ou l’oubli, ou encore les exigences plus strictes sur le consentement des personnes doivent être prises en compte rapidement.

Par quoi commencer ?

Effectuez un audit de vos traitements et de vos données numériques et papier (informations personnelles).

Effectuez un audit de vos systèmes d’informations

Croisez-les pour répondre aux premières obligations que sont l’identification de vos traitements (une cartographie) et la capacité à notifier vos failles de sécurité à votre autorité de contrôle.

Si vous avez des sites internet, effectuez un audit de vos cookies et assurez-vous du consentement de vos internautes à ce sujet.

Il vous faudra ensuite auditer chaque traitement et les déclarer dans un registre pour identifier les actions à mettre en oeuvre, pour les amener à une conformité qui protégera votre organisation de sanctions potentielles, ainsi que vos responsables légaux. Vous serez également dans l’obligation de documenter les actions que vous menez, afin d’apporter la preuve de votre engagement pour minimiser les risques que peut vous faire courir la réglementation.

Article original sur Medium.com


Les entreprises ne sont peut être pas suffisamment prêtes...

Les entreprises ne sont peut être pas suffisamment prêtes…

Une étude menée à l’échelle mondiale par Veritas Technologies révèle que les entreprises dans le monde pensent à tort être conformes au règlement général sur la protection des données (GDPR).

Cette étude se compose d’une infographie en Anglais et de sa traduction en Français.

Le périmètre n’est pas donné mais la méthode est assez claire, on demande aux entreprises si elles se sentent prêtent, puis on approfondit un peu les questions pour évaluer cette première réponse.

Pour les professionnels de la Privacy, rien de très surprenant, cette discipline a toujours été considérée comme une contrainte avant tout juridique à laquelle les avocats répondent principalement pour protéger les responsables légaux.

Très peu de responsables légaux considèrent la Privacy comme un levier de développement économique et une assurance de pérennité de ses activités. Quasiment aucun n’a inclus la Privacy comme un système de gestion des données, alors même que beaucoup investissent pour leur transformation digitale en faisant de la donnée le coeur de leur business model.

La discipline de la Privacy doit s’ouvrir à toutes les activités des entreprises, pour servir des stratégies innovantes souvent gourmandes en données, qui doivent respecter les règles pour être capitalisées, valorisées et rentables.


Qu'est-ce que la Privacy ?

Qu’est-ce que la Privacy ?

Le mot Privacy signifie “Vie privée”.

C’est une discipline qui régule le marché sur la collecte et la gestion éthique des données à caractère personnel :

  • Elle participe du respect des droits et libertés fondamentales ;
  • Elle interroge les impacts du profilage des individus par les organisations ;
  • Elle garantit une confiance indispensable des personnes dans l’économie numérique.

Cette discipline consiste à faire appliquer des règles strictes de protection des données et d’autre part à responsabiliser les acteurs sur les impacts de cette capacité exponentielle à “ficher “ les individus et l’intégralité de leur vie privée.

C’est cette balance entre le pire et le meilleur que la Loi Informatique et Libertés encadre depuis 1978 et que le RGPD (la nouvelle réglementation sur la protection des données personnelles) régule de façon stricte.

Cette réglementation vise à établir une confiance nécessaire entre des acteurs qui n’ont pas forcément les mêmes objectifs et qui ne partagent pas les mêmes visions de société mais qui doivent évoluer ensemble.

Le RGPD s’appliquera le 25 mai 2018 à toutes les organisations qui collectent des données personnelles de citoyen, nés Européens, directement ou indirectement partout dans le monde.

Pour certaines organisation, les contraintes seront plus importantes que pour d’autres. Pour toutes, les bénéfices seront rapidement plus importants que les investissements.