Vous êtes sur la page 1sur 48

Privacy Vs Technology

Caf Numrique Lige S03 #7


Lige, 23/01/2013

Fanny Coton & Alexandre Cassart (@acassart) @philippelaw http://ip-it.philippelaw.eu


Fine art in legal practice
Brussels Lige Namur Luxembourg Paris

Rappel du cadre lgal :


Loi du 8 dcembre 1992 relative la protection de la vie prive lgard des traitements de donnes caractre personnel ( Loi Vie prive ) et arrt royal dexcution du 13 fvrier 2001 Origine :
o o Convention du Conseil de lEurope du 28 janvier 1981 pour la protection des personnes lgard du traitement automatis des donnes caractre personnel Directive europenne 95/96/CE du Parlement et du Conseil du 24 octobre 1995 relative la protection des personnes physiques lgard du traitement des donnes caractre personnel et la libre circulation de ces donnes Directive 2002/58/CE du Parlement europen et du Conseil du 12 juillet 2002 concernant le traitement des donnes caractre personnel et la protection de la vie prive dans le secteur des communications lectroniques (directive vie prive et communications lectroniques)
Brussels Lige Namur Luxembourg Paris

Fine art in legal practice

Champ dapplication de la loi


Donnes caractre personnel : toute information concernant une personne physique identifie ou identifiable pas forcment des donnes caractre intime Ex : adresses IP

3
Brussels Lige Namur Luxembourg Paris

Fine art in legal practice

Champ dapplication de la loi


Donnes sensibles origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, donnes relatives la vie sexuelle
Interdit, sauf consentement crit de la personne concerne, pour autant que ce consentement puisse tre retir tout moment

Donnes relatives la sant Donnes judiciaires


4
Brussels Lige Namur Luxembourg Paris

Fine art in legal practice

Champ dapplication de la loi


Traitement : Toute opration ou ensemble d'oprations, telles que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction de donnes caractre personnel Traitement automatis ou non
5
Brussels Lige Namur Luxembourg Paris

Fine art in legal practice

Champ dapplication de la loi


Fichier : ensemble de donnes ordonnes et accessibles en fonction de critres dtermins
Pas un dossier = rassemblement de donnes non structures et sur papier

6
Brussels Lige Namur Luxembourg Paris

Fine art in legal practice

Le traitement ne peut avoir lieu que :


si la personne concerne a indubitablement donn son consentement, sur des traitements prcisment dfinis Toute modification de la finalit incompatible avec la finalit dclare requiert donc un nouveau consentement de la personne concerne si ncessaire l'excution d'un contrat obligation lgale sauvegarde de l'intrt vital de la personne concerne ralisation de l'intrt lgitime poursuivi par le responsable du traitement
Fine art in legal practice

Brussels Lige Namur Luxembourg Paris

Informations fournir la personne concerne


au plus tard au moment o les donnes sont obtenues

le nom et l'adresse du responsable du traitement, les finalits du traitement, l'existence d'un droit de s'opposer, sur demande et gratuitement, au traitement de donnes caractre personnel la concernant envisag des fins de direct marketing, l'existence d'un droit d'accs et de rectification les destinataires ou les catgories de destinataires des donnes, le caractre obligatoire ou non de la rponse ainsi que les consquences ventuelles d'un dfaut de rponse,
Fine art in legal practice
Brussels Lige Namur Luxembourg Paris

Informations fournies par la SNCB


Dclaration relative la protection de la vie prive disponible sur le site web de la SNCB :

Finalits :

fins informatives, tudes de march , dveloppement de produits fourniture offre personnalise transmission des tiers lis contractuellement la SNCB
Brussels Lige Namur Luxembourg Paris

Fine art in legal practice

Principe de proportionnalit
Donnes adquates, pertinentes et non excessives au regard des finalits Donnes exactes et mises jour
Dure de conservation n'excde pas la dure ncessaire la ralisation des finalits
SNCB : conservation illimite
10
Brussels Lige Namur Luxembourg Paris

Fine art in legal practice

Dclaration de traitement
Chaque finalit doit faire l'objet d'une dclaration auprs de la Commission de protection de la vie prive (CPVP) versement dune contribution financire de 25 euros si la dclaration est introduite par voie lectronique www.privacycommission.be Aucun systme de contrle a priori La CPVP se contente denregistrer la dclaration

11
Brussels Lige Namur Luxembourg Paris

Fine art in legal practice

Registre public
Contrle par la consultation du registre public
Dclaration de traitement de la SNCB pour son fichier client:

12
Brussels Lige Namur Luxembourg Paris

Fine art in legal practice

Droits de la personne concerne


Droit daccs : confirmation que des donnes la concernant sont ou ne sont pas traites, communication, sous une forme intelligible, des donnes faisant l'objet des traitements Toute information disponible sur l'origine de ces donnes. finalits du traitement et catgories de donnes, catgories de destinataires auxquels les donnes sont communiques Droit de rectification
13
Brussels Lige Namur Luxembourg Paris

Fine art in legal practice

Droits de la personne concerne


Droit de sopposer au traitement: Direct marketing : sans aucune justification Autres finalits : pour des raisons srieuses et lgitimes tenant une situation particulire Droit dobtenir la suppression des donnes : Incomplte ou non pertinente au regard de la finalit du traitement Dont l'enregistrement, la communication ou la conservation sont interdits Conserve au-del de la priode autorise
14
Brussels Lige Namur Luxembourg Paris

Fine art in legal practice

Comment exercer ces droits ?


Auprs du responsable du traitement En apportant la preuve de son identit Gratuitement (ou cot raisonnable pour transmission) Rponse dans les 45 jours de la rception de la demande. En cas de refus ou dabsence de rponse dans le dlai de 45 jours : recours auprs du prsident du tribunal de premire instance sigeant comme en rfr
Fine art in legal practice
Brussels Lige Namur Luxembourg Paris

15

Rle de la CPVP
Aucun droit dentamer des poursuites Tout particulier a la possibilit dadresser une plainte Si une plainte lui est adresse, elle peut dnoncer les faits au Parquet, qui peut alors engager des poursuites fuite SNCB : faire un exemple Ne peut allouer aucun ddommagement aux victimes
NB : Proposition de rglement europen : Prvoit que lautorit de contrle a le pouvoir dinfliger des sanctions financires 16
Fine art in legal practice
Brussels Lige Namur Luxembourg Paris

Cas rcents :
Fichier client de la SNCB : 700.000 clients et prospects du trafic international, utilisateurs de son site Internet et du call center JOBAT : donnes de 4 000 personnes ayant rempli une enqute relative aux salaires et comparatifs de salaire Donnes de 20.000 clients de Proximus Security Annuaire tlphonique de la Direction gnrale des ressources humaines de larme (DG-HR), Raction: Erreur humaine ou malveillance invoques Consquences minimises
17
Brussels Lige Namur Luxembourg Paris

Fine art in legal practice

Obligation de reporter la faille ?


Actuellement : aucune disposition lgale en ce sens Proposition de rglement europen, prsent le 25 janvier 2012 : Article 31: Notification l'autorit de contrle d'une violation de donnes caractre personnel :
Dans les 24 heures dcrire la nature de la violation de donnes caractre personnel, y compris les catgories et le nombre de personnes concernes dcrire les consquences de la violation de donnes caractre personnel; recommander des mesures prendre pour attnuer les consquences ngatives de la violation

18

Article 32: Notification la personne concerne


Brussels Lige Namur Luxembourg Paris

Fine art in legal practice

Personne responsable
Le responsable de traitement = responsable du dommage caus par un acte contraire aux dispositions de la loi
article 16 de la Loi Vie prive Pour dgager sa responsabilit, il doit prouver que le fait qui a provoqu le dommage ne lui est pas imputable (renversement de la charge de la preuve)

Egalement passible dune amende pnale de 550 euros 550.000 euros 19

Fine art in legal practice

Brussels Lige Namur Luxembourg Paris

Comment garantir la scurit des donnes?


Le niveau de protection atteindre est proportionnel aux besoins rels de lorganisme, en fonction : dune part : tat de la technique et des frais entrans

dautre part: nature des donnes protger et risques potentiels


20
Brussels Lige Namur Luxembourg Paris

Fine art in legal practice

Buts atteindre
confidentialit : seules les personnes y habilites ont accs aux informations, intgrit : les informations ne peuvent pas tre modifies intentionnellement ou non intentionnellement, disponibilit: les informations sont accessibles et utilisables chaque fois qu'une personne y habilite le demande, imputabilit : on dispose toujours d'une trace de l'auteur et du traitement non-rpudiation : prouver qu'un traitement ou un vnement a rellement eu lieu et d'empcher qu'ils ne soient nis ultrieurement, authenticit : la personne qui accde aux donnes est bien celle qu'elle prtend tre
21

fiabilit : atteindre le rsultat escompt


Fine art in legal practice
Brussels Lige Namur Luxembourg Paris

Mesures de scurit dclares par la SNCB :


Aucune mesure dclare
Uniquement dans le cas de transmission de donnes des tiers

22
Brussels Lige Namur Luxembourg Paris

Fine art in legal practice

Normes et lignes directrices :


Lignes directrices de lOCDE rgissant la scurit des systmes et rseaux dinformation : vers une culture de la scurit:
Recommendation du 25 juillet 2002
http://www.oecd.org/internet/interneteconomy/15582260.pdf

9 principes :
Sensibilisation Responsabilit Raction thique Dmocratie valuation des risques Conception et mise en oeuvre de la scurit Gestion de la scurit rvaluation

23
Brussels Lige Namur Luxembourg Paris

Fine art in legal practice

Normes et lignes directrices :


ISO/IEC 13335 - Information technology Guidelines for the management of IT Security (GMITS): Choix des moyens de scurit envisager selon les caractristiques du systme dinformation en cause
ISO/CEI 27002 : Code de bonnes pratiques pour la gestion de la scurit de l'information Ensemble de 133 mesures dites best practices

24
Brussels Lige Namur Luxembourg Paris

Fine art in legal practice

Lignes directrices de la CPVP


1. Politique de scurit de l'information
document crit, largement diffus au sein de lorganisme, prcisant : les stratgies et mesures retenues pour scuriser ces donnes. le planning de mise en uvre ; la description des diffrentes responsabilits et des rgles organisationnelles mises en place ; la description du processus de gestion des incidents de scurit ; la description du processus de sensibilisation de lorganisme cette politique ; les dispositions retenues afin de maintenir jour le systme 25 de scurisation une fois install.
Fine art in legal practice

Brussels Lige Namur Luxembourg Paris

Lignes directrices de la CPVP

2. Organisation de la scurit de l'information


un conseiller en scurit de linformation doit tre dsign en tant que responsable de lexcution de la politique de scurit de l'information

26
Brussels Lige Namur Luxembourg Paris

Fine art in legal practice

Lignes directrices de la CPVP


3. Organisation et aspects humains de la scurit de l'information
inventorier et localiser toutes les donnes caractre personnel traites moyens organisationnels, techniques et financiers, suffisants et adapts dfinir clairement les responsabilits et processus de gestion et les intgrer adquatement dans son organisation gnrale et son fonctionnement
27
Brussels Lige Namur Luxembourg Paris

Fine art in legal practice

Lignes directrices de la CPVP


4. Scurit physique et de lenvironnement
protection physique des donnes caractre personnel supports des donnes caractre personnel et les systmes informatiques les traitant placs dans des locaux identifis et protgs et dont laccs est limit aux seules personnes autorises et aux seules heures justifies par leur fonction back up afin de contrer la perte ou laltration accidentelle de donnes caractre personnel
28
Brussels Lige Namur Luxembourg Paris

Fine art in legal practice

Lignes directrices de la CPVP


5. Scurisation des rseaux
sassurer que les rseaux auxquels sont connects les quipements impliqus dans le traitement des donnes caractre personnel garantissent la confidentialit et lintgrit de celles-ci mesures ncessaires afin de protger les rseaux contre tout accs non autoris (intrusions, codes malveillants, etc.)
29
Brussels Lige Namur Luxembourg Paris

Fine art in legal practice

Lignes directrices de la CPVP


6. Scurisation logique des accs
Accessibles quaux personnes autorises Liste actualise des diffrentes personnes habilites accder et de leurs pouvoirs respectifs (cration, consultation, modification, destruction)
30
Brussels Lige Namur Luxembourg Paris

Fine art in legal practice

Lignes directrices de la CPVP


7. Journalisation, traage et analyse des accs
mettre en uvre des mcanismes de journalisation et de traage. retrouver, en cas de ncessit, lidentit de lauteur de tout accs (physique ou logique) aux donnes caractre personnel ou de toute manipulation
NB : Les donnes de traage tant elles-mmes des donnes caractre personnel, tout traitement de celles-ci doit tre effectu conformment la Loi Vie prive 31
Fine art in legal practice
Brussels Lige Namur Luxembourg Paris

Lignes directrices de la CPVP


8. Surveillance, rvision et maintenance des mesures de scurit techniques ou organisationnelles
Systmes dinformation et risques en constante volution Vrifier que les objectifs initialement poursuivis et les mesures de scurit mises en place conscutivement restent dactualit Au moins une fois par an Lors de chaque modification de linfrastructure ou de lorganisation 32 ,
Fine art in legal practice

Brussels Lige Namur Luxembourg Paris

Lignes directrices de la CPVP


9. Plan de gestion des incidents de scurit
rapidit dintervention primordiale dterminer les procdures et personnes responsables en cas de dtection dincident de scurit relatifs aux donnes caractre personnel
NB : veiller particulirement ce que la confidentialit et lintgrit des donnes personnelles soient toujours assures lors de lexcution de ces divers plans.

33

Analyse des conditions de lincident afin den dduire les mesures prventives ou correctrices destines viter la reproduction de ce type dincident Brussels
Fine art in legal practice

Lige Namur Luxembourg Paris

Lignes directrices de la CPVP


10. Respect de la lgislation relative aux donnes caractre personnel 11. Documentation
identit du conseiller en scurit de l'information ; politique de scurit de l'information ; plan de mise en uvre des mesures de scurit ; inventaire des donnes caractre personnel traites, de leurs localisations et des traitements effectus ; liste nominative des organes ou prposs ayant accs ces donnes ; configuration des systmes et des rseaux ; documentation technique des mesures de scurit mises en place ; calendrier des oprations planifies politique de traage retenue ; plans de tests des mesures de scurit ; rapports dincidents ; Brussels ventuels rapports d'audit.
Fine art in legal practice

34

Lige Namur Luxembourg Paris

Projet de rglement europen


Obligation de documentation (qui se traduira par la conservation de traces de tous les traitements de donnes caractre personnel et par des tudes dimpact) ; Obligation de notification dans les 24h et au titulaire des donnes La Commission europenne se rserve la possibilit dimposer des mesures de scurit ; Toute personne peut obtenir la suppression de donnes le concernant si aucun motif lgitime ne justifie leur conservation Le texte reconnat la notion de co-responsables de traitement importance de dfinir au pralable, dans un contrat, les obligations mutuelles des parties

35
Brussels Lige Namur Luxembourg Paris

Fine art in legal practice

Privacy Vs Technology

Quelques prospectives

36
Brussels Lige Namur Luxembourg Paris

Fine art in legal practice

Cloud computing

37
Brussels Lige Namur Luxembourg Paris

Fine art in legal practice

Cloud Computing
Avis 05/2012 sur linformatique en nuage du Groupe 29 du 1er juillet 2012 Rsolution sur linformatique dans les nuages du 26 octobre 2012 (Uruguay)

38
Brussels Lige Namur Luxembourg Paris

Fine art in legal practice

Cloud Computing
Problme vident des flux transfrontires Dans lUE = libert de circulation (sauf) Dans les pays tiers = ! Niveau de protection adquat, safe harbor, clauses contractuelles types, rgles contraignantes dentreprise
39
Brussels Lige Namur Luxembourg Paris

Fine art in legal practice

Un niveau de protection adquat


Fourni par lEtat de destination Vrifi par la Commission Europenne Liste : la Suisse, le Canada (), Andorre,

lArgentine, les Etats-Unis (), Guernesey, lle de Man, les les Fro, Jersey, l'Australie (), l'Islande, Liechtenstein, et Isral
Brussels Lige Namur Luxembourg Paris

40

Fine art in legal practice

Safe Harbor
Accord UE - USA sur un ensemble de rgles lmentaires Transfert autoris vers les entreprises US qui sengagent Certification annuelle par le Department of Commerce
41
Brussels Lige Namur Luxembourg Paris

Fine art in legal practice

Clauses contractuelles et rgles contraignantes


Commission a tabli plusieurs clauses contractuelles types (entre responsables ou entre responsable et sous-traitant) Les groupes dentreprises peuvent se doter de rgles contraignantes faire avaliser par lautorit
42
Brussels Lige Namur Luxembourg Paris

Fine art in legal practice

Internet des objets


Objets qui rcoltent des informations changent ces informations

Ex : RFID, domotique, voitures connectes, Google Now,


43
Brussels Lige Namur Luxembourg Paris

Fine art in legal practice

Internet des objets


A priori, application de la loi vie prive Nombreuses ? cependant vu les implications et les possibilits (quantit, consentement, donnes de tiers, utilisation,) Laspect personnel des donnes a de moins en moins dimportance
44
Brussels Lige Namur Luxembourg Paris

Fine art in legal practice

Vers un double changement de paradigme ?


1. La perte de vitesse de lidentit identifiante

2. La protection de la vie prive, has been ?

45
Brussels Lige Namur Luxembourg Paris

Fine art in legal practice

prsentation tlchargeable sur: linkedin.com/company/philippe-&-partners

Merci pour votre attention

http://ip-it.philippelaw.eu
Fine art in legal practice
Brussels Lige Namur Luxembourg Paris

Brussel/Bruxelles
Avenue Louise 240 Louizalaan B - 1050 Brussel / Bruxelles T: + 32 2 250 39 80 F: + 32 2 250 39 81

Namur
Route de Hannut 47/3 B-5004 Namur T: + 32 81 21 22 23 F: + 32 78 15 56 56

Lige
Boulevard dAvroy 280 B - 4000 Lige T: + 32 4 229 20 10 F: + 32 78 15 56 56

Paris
Boulevard Haussmann 171 F-75008 Paris T: +33 1 53 53 38 86 F: +33 1 53 53 30 53

Luxembourg
Avenue de la Libert 41 (L-1931) B.P. 2715 L - 1027 Luxembourg T: + 352 266 886 F: + 352 266 887 00

www.philippelaw.eu
Fine art in legal practice

Brussels Lige Namur Luxembourg Paris

Fine art in legal practice

Brussels Lige Namur Luxembourg Paris

Vous aimerez peut-être aussi