Le nouveau rglement sur la protection

des donnes personnelles :

Quel impact pour la scurit ?

Jean-Marc Suchier
Samuel Vinson
23 janvier 2013
Ce document et les informations quil contient sont la proprit de Morpho. Ils ne doivent pas tre copis ni communiqus un tiers sans lautorisation pralable et crite de Morpho.

AGENDA
Principales

Retour

nouveauts du Rglement et de la Directive

dexprience dune approche Privacy-by-Design

Autorisation pluriannuelle pour la constitution de bases de donnes biomtriques

Finger VP

1/
Ce document et les informations quil contient sont la proprit de Morpho. Ils ne doivent pas tre copis ni communiqus un tiers sans lautorisation pralable et crite de Morpho.

/01/
Principales nouveauts du Rglement et
de la Directive
Jean-Marc Suchier

2 / CONFIDENTIEL / 10-01-2012 / DIRECTION

Ce document et les informations quil contient sont la proprit de Morpho. Ils ne doivent pas tre copis ni communiqus un tiers sans lautorisation pralable et crite de Morpho.

HISTORIQUE
Rgime

actuel : la Directive 95/46

Protection des donnes personnelles (DP)

Garantie libre circulation des DP au sein de lUnion Europenne (UE)
Problmes

Manque dharmonisation au niveau europen (transpositions)

Bouleversements technologiques depuis 1995
Internet
Rseaux sociaux
Explosion des transferts de donnes

Trait de Lisbonne
La protection des donnes personnelles est un droit
Cette protection doit tre homogne au sein de lUE
le Conseil mandate la Commission Europenne de revoir la Directive 95/46

3 / CONFIDENTIEL / 10-01-2012 / DIRECTION

Ce document et les informations quil contient sont la proprit de Morpho. Ils ne doivent pas tre copis ni communiqus un tiers sans lautorisation pralable et crite de Morpho.

LES NOUVEAUX TEXTES

1/2012

Publication dune proposition (DG Justice)

Un Rglement pour le cas gnral

Une Directive pour
Les investigations / enqutes criminelles
Lapplication des dcisions de justice
Ces

textes ne concernent pas

Les institutions europennes

La scurit nationale
Principale

cible: les applications sur internet

mais les textes sappliquent tous les secteurs industriels

Remarques

le Rglement sapplique au traitement des donnes des employs

Non couvert dans la prsentation

4 / CONFIDENTIEL / 10-01-2012 / DIRECTION

Ce document et les informations quil contient sont la proprit de Morpho. Ils ne doivent pas tre copis ni communiqus un tiers sans lautorisation pralable et crite de Morpho.

ETAT DAVANCEMENT
1/2013

Rapports du PE (Commission LIBE) sur les 2 textes

Renforcement de la protection des individus

Renforcement des pouvoirs des autorits de contrle (AC), les CNILs
Demande la CE de prparer des textes similaires couvrant les activits des
institutions europennes

Vote

du PE attendu en 4/2013

Approbation

finale du texte

Normalement courant 2013

5 / CONFIDENTIEL / 10-01-2012 / DIRECTION

Ce document et les informations quil contient sont la proprit de Morpho. Ils ne doivent pas tre copis ni communiqus un tiers sans lautorisation pralable et crite de Morpho.

QUELQUES DFINITIONS
Personne

concerne

Une personne physique identifie ou une personne physique qui peut tre
identifie, directement ou indirectement, par des moyens raisonnablement
susceptibles d'tre utiliss par le responsable du traitement ou par toute autre
personne physique ou morale, notamment par rfrence un numro
didentification, des donnes de localisation, un identifiant en ligne ou un
ou plusieurs lments spcifiques, propres son identit physique,
physiologique, gntique, psychique, conomique, culturelle ou sociale;

Donnes

caractre personnel

Toute information se rapportant une personne concerne

6 / CONFIDENTIEL / 10-01-2012 / DIRECTION

Ce document et les informations quil contient sont la proprit de Morpho. Ils ne doivent pas tre copis ni communiqus un tiers sans lautorisation pralable et crite de Morpho.

QUI EST CONCERN PAR LE RGLEMENT? 1/2

Le

responsable du traitement (RT)

Celui qui dtermine les finalits, les conditions et les moyens du traitement des
donnes caractre personnel
Le

sous-traitant

Celui qui traite les donnes caractre personnel pour le compte du responsable
du traitement
Quid

du dveloppeur dapplication?

A priori, pas concern directement (maintenance ?)

Opinion juridique: le RT et les personnes peuvent se retourner contre le dveloppeur
Rapport PE: introduit formellement a notion d diteur
Responsable du respect des grands principes de protection des donnes personnelles
Doit respecter les rgles de Privacy-by-Design (PbD) et Privacy-by-Default (PbDf)

7 / CONFIDENTIEL / 10-01-2012 / DIRECTION

Ce document et les informations quil contient sont la proprit de Morpho. Ils ne doivent pas tre copis ni communiqus un tiers sans lautorisation pralable et crite de Morpho.

QUI EST CONCERN PAR LE RGLEMENT? 2/2

Quid

des PME ?

Elles sont soumises au Rglement

Texte prvoit quelques allgements spcifiques
Dlgu la protection des donnes
Documentation

Rapport PE supprime ces allgements

Ce qui importe cest lactivit principale du RT
Rgle du traitement des donnes personnelles de plus de 500 personnes par an
Quid

des laboratoires de recherche ?

Ils sont galement soumis au Rglement

Protection des donnes personnelles

Constitution des fichiers
Rgle des 500 personnes par an ?
Cas de collaboration avec industrie en vue de dveloppement produits ?
Respect de lensemble des rgles de protection
Respect des rgles de PbD

8 / CONFIDENTIEL / 10-01-2012 / DIRECTION

Ce document et les informations quil contient sont la proprit de Morpho. Ils ne doivent pas tre copis ni communiqus un tiers sans lautorisation pralable et crite de Morpho.

LES PNALITS, LES PLAINTES

Principe

Tout non respect dune clause du Rglement peut donner lieu des sanctions
dtermines par les autorits de contrle
Dans chaque cas, la sanction administrative doit tre effective, proportionne et
dissuasive .

Sanctions gradues et progressives pouvant aller, pour les entreprises, jusqu 2%

du chiffre daffaire mondial
Les

plaintes

Plaintes auprs des autorits de contrle

Toute personne concerne
Toute association ou organisation qui vise protger les droits des individus

Plaintes en justice
Toute personne concerne
Toute association ou organisation qui vise protger les droits des individus
Les autorits de contrle

9 / CONFIDENTIEL / 10-01-2012 / DIRECTION

Ce document et les informations quil contient sont la proprit de Morpho. Ils ne doivent pas tre copis ni communiqus un tiers sans lautorisation pralable et crite de Morpho.

LES PRINCIPALES RGLES SUIVRE

Principe:

le traitement des donnes personnelles est interdit, sauf

Consentement explicite de la personne concerne

Quelques exceptions spcifiques (obligation lgale, intrts vitaux de la personne,..)
Recherche historique, statistique, scientifique (avec certaines restrictions)
Rgles

Transparence
Protection spcifique de donne sensibles (croyances, opinions, origine,
gntiques,..) ou des enfants (moins de 18 ans)
Droit de rectification, droit loubli
Profilage interdit, sauf loi spcifique
Notification, en cas de violation des donnes, sous 24H
Analyse

dimpact relative la protection des donnes personnelles

Obligatoire lorsque les traitements prsentent des risques particuliers au regard

des droits et liberts des personnes concernes du fait de leur nature, de leur porte
ou de leurs finalits
10 / CONFIDENTIEL / 10-01-2012 / DIRECTION
Ce document et les informations quil contient sont la proprit de Morpho. Ils ne doivent pas tre copis ni communiqus un tiers sans lautorisation pralable et crite de Morpho.

LES AUTORITS DE CONTRLE

Renforcement

de leurs responsabilits et de leur pouvoir

Elles vrifient que le rglement est appliqu correctement

Le

Droit dinvestigation, daudit, de sanctions

Reoivent et traitent les complaintes
Coordination avec les autres AC
Participation au Comit Europen de la Protection des Donnes (CEPD)

CEPD (Remplace le Groupe de lArticle 29)

Participants
Responsables de chaque autorit de contrle
Le superviseur des donnes europen

Rle
Vrifie lharmonisation de lapplication du Rglement au sein de lUE
Le

PE suggre daugmenter les prrogatives des ACs et du CEPD

11 / CONFIDENTIEL / 10-01-2012 / DIRECTION

Ce document et les informations quil contient sont la proprit de Morpho. Ils ne doivent pas tre copis ni communiqus un tiers sans lautorisation pralable et crite de Morpho.

QUEL IMPACT POUR LES ENTREPRISES?

Mettre

en place un dlgu la protection des donnes

Rattach au management (peut tre un sous-traitant)

Responsable de lapplication du rglement
Rle fondamental pour organiser formation et mise en place de procdures
Point de contact avec les autorits de contrle

Mettre

en place lorganisation et les procdures ncessaires

Documentation
Formation du personnel charg de la R&D
Audit interne
Impact

juridique

Assurances
Ajustement des clauses dans les contrats commerciaux

12 / CONFIDENTIEL / 10-01-2012 / DIRECTION

Ce document et les informations quil contient sont la proprit de Morpho. Ils ne doivent pas tre copis ni communiqus un tiers sans lautorisation pralable et crite de Morpho.

MISE EN UVRE DU PbD ET DU PbDf

Concepts

simples

Des grands principes dfinis dans les annes 1990s (Ann Cavoukian)
Mais

aucune description claire de ce qui est faire

Quelques grandes entreprises ont dfini leur approche maison

La CE souhaite que les associations dindustriels dfinissent des codes de
conduite
Communication

sur la politique de scurit industrielles (07/2012)

Action 8: mandater les organismes de certification pour prparer un standard pour

les mise en uvre du Privacy-by-Design

13 / CONFIDENTIEL / 10-01-2012 / DIRECTION

Ce document et les informations quil contient sont la proprit de Morpho. Ils ne doivent pas tre copis ni communiqus un tiers sans lautorisation pralable et crite de Morpho.

/02/
Retour dexprience dune approche
privacy by design
Samuel Vinson

14 / CONFIDENTIEL / 10-01-2012 / DIRECTION

Ce document et les informations quil contient sont la proprit de Morpho. Ils ne doivent pas tre copis ni communiqus un tiers sans lautorisation pralable et crite de Morpho.

AUTORISATION PLURI-ANNUELLE (1/2)

de Morpho : Mise en place dune procdure pour la constitution
de bases de donnes biomtrique des fins de recherche scientifique

Objectifs

Des garanties en termes de protection des donnes biomtriques pour la socit, ses
employs et pour les volontaires
Des garanties en termes de protection des donnes biomtriques pour les projets de recherche
collaboratifs

le cadre dune approche rsolument Privacy by Design ,

collaboration avec lautorit de protection des donnes

Dans

Dbut collaboration : Mars 2009

Runions rgulires de travail, de nombreux changes par email et tlphone
Fourniture de documents au service de lexpertise de la CNIL
Ralisation Morpho
Analyse de risque EBIOS version 2 (dbut 2010)
Dfinition et mise en place dune organisation interne de gouvernance
Dfinition et mise en place de lenvironnement et des processus de gestion des bases

15 / CONFIDENTIEL / 10-01-2012 / DIRECTION

Ce document et les informations quil contient sont la proprit de Morpho. Ils ne doivent pas tre copis ni communiqus un tiers sans lautorisation pralable et crite de Morpho.

AUTORISATION PLURI-ANNUELLE (2/2)

Rsultats

Obtention de lautorisation pluri-annuelle en Juillet 2010

Certification ISO 27001 du processus de gestion des bases de donnes (Mai 2011)

Remarques

conomiques

18 mois de dfinition dun cadre conforme ISO 27001

12 mois de travail avec la CNIL

Processus scurisant mais contraignant pour les utilisateurs et les responsables de

campagnes dacquisition
Difficilement transposable tous nos produits et toute l'industrie

16 / CONFIDENTIEL / 10-01-2012 / DIRECTION

Ce document et les informations quil contient sont la proprit de Morpho. Ils ne doivent pas tre copis ni communiqus un tiers sans lautorisation pralable et crite de Morpho.

CAPTEUR FINGER VP (1/2)

Objectifs

de Morpho : concevoir un produit innovant, haut de gamme,

prsentant :
Les meilleures performances biomtriques du march
Des garanties reprsentant ltat de lart en termes de protection des donnes
biomtriques
Des garanties reprsentant ltat de lart en termes de protection contre lusurpation
didentit

Dans

le cadre dune approche rsolument Privacy by Design ,

collaboration avec lautorit de protection des donnes
Dbut collaboration : Janvier 2010
6 runions de travail, de nombreux changes par email et tlphone
Fourniture de 6 documents au service de lexpertise de la CNIL, dont certains ont
ncessit lautorisation de nos donneurs dordre
Prt de matriel

17 / CONFIDENTIEL / 10-01-2012 / DIRECTION

Ce document et les informations quil contient sont la proprit de Morpho. Ils ne doivent pas tre copis ni communiqus un tiers sans lautorisation pralable et crite de Morpho.

CAPTEUR FINGER VP (2/2)

Rsultat

un capteur conforme au respect de la privacy

Capteur biomtrique reposant sur une technologie SANS TRACE

Capteur biomtrique dont les donnes biomtriques ne peuvent tre extraites
Niveau de risque identique celui dun support individuel

Remarques

conomiques

Ds dlais supplmentaires et un surcout

Dont une partie consquente lie aux lments de scurit

Un dveloppement de 24 mois au lieu des 18 mois habituels

Un surcout de 25 %

18 / CONFIDENTIEL / 10-01-2012 / DIRECTION

Ce document et les informations quil contient sont la proprit de Morpho. Ils ne doivent pas tre copis ni communiqus un tiers sans lautorisation pralable et crite de Morpho.

CONCLUSION ET PROJECTION
Conclusion

Deux exemples de dveloppement Privacy-by-Design positifs

Dmarches non transposables l'ensemble des produits et de l'industrie

Projection

Le nouveau rglement impose le Privacy-by-Design

Ncessit de dfinir une dmarche de PbD clair sans dlai et surcout excessif

19 / CONFIDENTIEL / 10-01-2012 / DIRECTION

Ce document et les informations quil contient sont la proprit de Morpho. Ils ne doivent pas tre copis ni communiqus un tiers sans lautorisation pralable et crite de Morpho.