Fine art in legal practice Brussels Lige Namur Luxembourg Paris
Rappel du cadre lgal :
Loi du 8 dcembre 1992 relative la protection de la vie prive lgard des traitements de donnes caractre personnel ( Loi Vie prive ) et arrt royal dexcution du 13 fvrier 2001 Origine : o o Convention du Conseil de lEurope du 28 janvier 1981 pour la protection des personnes lgard du traitement automatis des donnes caractre personnel Directive europenne 95/96/CE du Parlement et du Conseil du 24 octobre 1995 relative la protection des personnes physiques lgard du traitement des donnes caractre personnel et la libre circulation de ces donnes Directive 2002/58/CE du Parlement europen et du Conseil du 12 juillet 2002 concernant le traitement des donnes caractre personnel et la protection de la vie prive dans le secteur des communications lectroniques (directive vie prive et communications lectroniques) Brussels Lige Namur Luxembourg Paris
Fine art in legal practice
Champ dapplication de la loi
Donnes caractre personnel : toute information concernant une personne physique identifie ou identifiable pas forcment des donnes caractre intime Ex : adresses IP
3 Brussels Lige Namur Luxembourg Paris
Fine art in legal practice
Champ dapplication de la loi
Donnes sensibles origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, donnes relatives la vie sexuelle Interdit, sauf consentement crit de la personne concerne, pour autant que ce consentement puisse tre retir tout moment
Donnes relatives la sant Donnes judiciaires
4 Brussels Lige Namur Luxembourg Paris
Fine art in legal practice
Champ dapplication de la loi
Traitement : Toute opration ou ensemble d'oprations, telles que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction de donnes caractre personnel Traitement automatis ou non 5 Brussels Lige Namur Luxembourg Paris
Fine art in legal practice
Champ dapplication de la loi
Fichier : ensemble de donnes ordonnes et accessibles en fonction de critres dtermins Pas un dossier = rassemblement de donnes non structures et sur papier
6 Brussels Lige Namur Luxembourg Paris
Fine art in legal practice
Le traitement ne peut avoir lieu que :
si la personne concerne a indubitablement donn son consentement, sur des traitements prcisment dfinis Toute modification de la finalit incompatible avec la finalit dclare requiert donc un nouveau consentement de la personne concerne si ncessaire l'excution d'un contrat obligation lgale sauvegarde de l'intrt vital de la personne concerne ralisation de l'intrt lgitime poursuivi par le responsable du traitement Fine art in legal practice
Brussels Lige Namur Luxembourg Paris
Informations fournir la personne concerne
au plus tard au moment o les donnes sont obtenues
le nom et l'adresse du responsable du traitement, les finalits du traitement, l'existence d'un droit de s'opposer, sur demande et gratuitement, au traitement de donnes caractre personnel la concernant envisag des fins de direct marketing, l'existence d'un droit d'accs et de rectification les destinataires ou les catgories de destinataires des donnes, le caractre obligatoire ou non de la rponse ainsi que les consquences ventuelles d'un dfaut de rponse, Fine art in legal practice Brussels Lige Namur Luxembourg Paris
Informations fournies par la SNCB
Dclaration relative la protection de la vie prive disponible sur le site web de la SNCB :
Finalits :
fins informatives, tudes de march , dveloppement de produits fourniture offre personnalise transmission des tiers lis contractuellement la SNCB Brussels Lige Namur Luxembourg Paris
Fine art in legal practice
Principe de proportionnalit Donnes adquates, pertinentes et non excessives au regard des finalits Donnes exactes et mises jour Dure de conservation n'excde pas la dure ncessaire la ralisation des finalits SNCB : conservation illimite 10 Brussels Lige Namur Luxembourg Paris
Fine art in legal practice
Dclaration de traitement Chaque finalit doit faire l'objet d'une dclaration auprs de la Commission de protection de la vie prive (CPVP) versement dune contribution financire de 25 euros si la dclaration est introduite par voie lectronique www.privacycommission.be Aucun systme de contrle a priori La CPVP se contente denregistrer la dclaration
11 Brussels Lige Namur Luxembourg Paris
Fine art in legal practice
Registre public Contrle par la consultation du registre public Dclaration de traitement de la SNCB pour son fichier client:
12 Brussels Lige Namur Luxembourg Paris
Fine art in legal practice
Droits de la personne concerne
Droit daccs : confirmation que des donnes la concernant sont ou ne sont pas traites, communication, sous une forme intelligible, des donnes faisant l'objet des traitements Toute information disponible sur l'origine de ces donnes. finalits du traitement et catgories de donnes, catgories de destinataires auxquels les donnes sont communiques Droit de rectification 13 Brussels Lige Namur Luxembourg Paris
Fine art in legal practice
Droits de la personne concerne
Droit de sopposer au traitement: Direct marketing : sans aucune justification Autres finalits : pour des raisons srieuses et lgitimes tenant une situation particulire Droit dobtenir la suppression des donnes : Incomplte ou non pertinente au regard de la finalit du traitement Dont l'enregistrement, la communication ou la conservation sont interdits Conserve au-del de la priode autorise 14 Brussels Lige Namur Luxembourg Paris
Fine art in legal practice
Comment exercer ces droits ?
Auprs du responsable du traitement En apportant la preuve de son identit Gratuitement (ou cot raisonnable pour transmission) Rponse dans les 45 jours de la rception de la demande. En cas de refus ou dabsence de rponse dans le dlai de 45 jours : recours auprs du prsident du tribunal de premire instance sigeant comme en rfr Fine art in legal practice Brussels Lige Namur Luxembourg Paris
15
Rle de la CPVP Aucun droit dentamer des poursuites Tout particulier a la possibilit dadresser une plainte Si une plainte lui est adresse, elle peut dnoncer les faits au Parquet, qui peut alors engager des poursuites fuite SNCB : faire un exemple Ne peut allouer aucun ddommagement aux victimes NB : Proposition de rglement europen : Prvoit que lautorit de contrle a le pouvoir dinfliger des sanctions financires 16 Fine art in legal practice Brussels Lige Namur Luxembourg Paris
Cas rcents : Fichier client de la SNCB : 700.000 clients et prospects du trafic international, utilisateurs de son site Internet et du call center JOBAT : donnes de 4 000 personnes ayant rempli une enqute relative aux salaires et comparatifs de salaire Donnes de 20.000 clients de Proximus Security Annuaire tlphonique de la Direction gnrale des ressources humaines de larme (DG-HR), Raction: Erreur humaine ou malveillance invoques Consquences minimises 17 Brussels Lige Namur Luxembourg Paris
Fine art in legal practice
Obligation de reporter la faille ?
Actuellement : aucune disposition lgale en ce sens Proposition de rglement europen, prsent le 25 janvier 2012 : Article 31: Notification l'autorit de contrle d'une violation de donnes caractre personnel : Dans les 24 heures dcrire la nature de la violation de donnes caractre personnel, y compris les catgories et le nombre de personnes concernes dcrire les consquences de la violation de donnes caractre personnel; recommander des mesures prendre pour attnuer les consquences ngatives de la violation
18
Article 32: Notification la personne concerne
Brussels Lige Namur Luxembourg Paris
Fine art in legal practice
Personne responsable Le responsable de traitement = responsable du dommage caus par un acte contraire aux dispositions de la loi article 16 de la Loi Vie prive Pour dgager sa responsabilit, il doit prouver que le fait qui a provoqu le dommage ne lui est pas imputable (renversement de la charge de la preuve)
Le niveau de protection atteindre est proportionnel aux besoins rels de lorganisme, en fonction : dune part : tat de la technique et des frais entrans
dautre part: nature des donnes protger et risques potentiels
20 Brussels Lige Namur Luxembourg Paris
Fine art in legal practice
Buts atteindre confidentialit : seules les personnes y habilites ont accs aux informations, intgrit : les informations ne peuvent pas tre modifies intentionnellement ou non intentionnellement, disponibilit: les informations sont accessibles et utilisables chaque fois qu'une personne y habilite le demande, imputabilit : on dispose toujours d'une trace de l'auteur et du traitement non-rpudiation : prouver qu'un traitement ou un vnement a rellement eu lieu et d'empcher qu'ils ne soient nis ultrieurement, authenticit : la personne qui accde aux donnes est bien celle qu'elle prtend tre 21
fiabilit : atteindre le rsultat escompt
Fine art in legal practice Brussels Lige Namur Luxembourg Paris
Mesures de scurit dclares par la SNCB :
Aucune mesure dclare Uniquement dans le cas de transmission de donnes des tiers
22 Brussels Lige Namur Luxembourg Paris
Fine art in legal practice
Normes et lignes directrices :
Lignes directrices de lOCDE rgissant la scurit des systmes et rseaux dinformation : vers une culture de la scurit: Recommendation du 25 juillet 2002 http://www.oecd.org/internet/interneteconomy/15582260.pdf
9 principes : Sensibilisation Responsabilit Raction thique Dmocratie valuation des risques Conception et mise en oeuvre de la scurit Gestion de la scurit rvaluation
23 Brussels Lige Namur Luxembourg Paris
Fine art in legal practice
Normes et lignes directrices :
ISO/IEC 13335 - Information technology Guidelines for the management of IT Security (GMITS): Choix des moyens de scurit envisager selon les caractristiques du systme dinformation en cause ISO/CEI 27002 : Code de bonnes pratiques pour la gestion de la scurit de l'information Ensemble de 133 mesures dites best practices
24 Brussels Lige Namur Luxembourg Paris
Fine art in legal practice
Lignes directrices de la CPVP
1. Politique de scurit de l'information document crit, largement diffus au sein de lorganisme, prcisant : les stratgies et mesures retenues pour scuriser ces donnes. le planning de mise en uvre ; la description des diffrentes responsabilits et des rgles organisationnelles mises en place ; la description du processus de gestion des incidents de scurit ; la description du processus de sensibilisation de lorganisme cette politique ; les dispositions retenues afin de maintenir jour le systme 25 de scurisation une fois install. Fine art in legal practice
Brussels Lige Namur Luxembourg Paris
Lignes directrices de la CPVP
2. Organisation de la scurit de l'information
un conseiller en scurit de linformation doit tre dsign en tant que responsable de lexcution de la politique de scurit de l'information
26 Brussels Lige Namur Luxembourg Paris
Fine art in legal practice
Lignes directrices de la CPVP
3. Organisation et aspects humains de la scurit de l'information inventorier et localiser toutes les donnes caractre personnel traites moyens organisationnels, techniques et financiers, suffisants et adapts dfinir clairement les responsabilits et processus de gestion et les intgrer adquatement dans son organisation gnrale et son fonctionnement 27 Brussels Lige Namur Luxembourg Paris
Fine art in legal practice
Lignes directrices de la CPVP
4. Scurit physique et de lenvironnement protection physique des donnes caractre personnel supports des donnes caractre personnel et les systmes informatiques les traitant placs dans des locaux identifis et protgs et dont laccs est limit aux seules personnes autorises et aux seules heures justifies par leur fonction back up afin de contrer la perte ou laltration accidentelle de donnes caractre personnel 28 Brussels Lige Namur Luxembourg Paris
Fine art in legal practice
Lignes directrices de la CPVP
5. Scurisation des rseaux sassurer que les rseaux auxquels sont connects les quipements impliqus dans le traitement des donnes caractre personnel garantissent la confidentialit et lintgrit de celles-ci mesures ncessaires afin de protger les rseaux contre tout accs non autoris (intrusions, codes malveillants, etc.) 29 Brussels Lige Namur Luxembourg Paris
Fine art in legal practice
Lignes directrices de la CPVP
6. Scurisation logique des accs Accessibles quaux personnes autorises Liste actualise des diffrentes personnes habilites accder et de leurs pouvoirs respectifs (cration, consultation, modification, destruction) 30 Brussels Lige Namur Luxembourg Paris
Fine art in legal practice
Lignes directrices de la CPVP
7. Journalisation, traage et analyse des accs mettre en uvre des mcanismes de journalisation et de traage. retrouver, en cas de ncessit, lidentit de lauteur de tout accs (physique ou logique) aux donnes caractre personnel ou de toute manipulation NB : Les donnes de traage tant elles-mmes des donnes caractre personnel, tout traitement de celles-ci doit tre effectu conformment la Loi Vie prive 31 Fine art in legal practice Brussels Lige Namur Luxembourg Paris
Lignes directrices de la CPVP
8. Surveillance, rvision et maintenance des mesures de scurit techniques ou organisationnelles Systmes dinformation et risques en constante volution Vrifier que les objectifs initialement poursuivis et les mesures de scurit mises en place conscutivement restent dactualit Au moins une fois par an Lors de chaque modification de linfrastructure ou de lorganisation 32 , Fine art in legal practice
Brussels Lige Namur Luxembourg Paris
Lignes directrices de la CPVP
9. Plan de gestion des incidents de scurit rapidit dintervention primordiale dterminer les procdures et personnes responsables en cas de dtection dincident de scurit relatifs aux donnes caractre personnel NB : veiller particulirement ce que la confidentialit et lintgrit des donnes personnelles soient toujours assures lors de lexcution de ces divers plans.
33
Analyse des conditions de lincident afin den dduire les mesures prventives ou correctrices destines viter la reproduction de ce type dincident Brussels Fine art in legal practice
Lige Namur Luxembourg Paris
Lignes directrices de la CPVP
10. Respect de la lgislation relative aux donnes caractre personnel 11. Documentation identit du conseiller en scurit de l'information ; politique de scurit de l'information ; plan de mise en uvre des mesures de scurit ; inventaire des donnes caractre personnel traites, de leurs localisations et des traitements effectus ; liste nominative des organes ou prposs ayant accs ces donnes ; configuration des systmes et des rseaux ; documentation technique des mesures de scurit mises en place ; calendrier des oprations planifies politique de traage retenue ; plans de tests des mesures de scurit ; rapports dincidents ; Brussels ventuels rapports d'audit. Fine art in legal practice
34
Lige Namur Luxembourg Paris
Projet de rglement europen
Obligation de documentation (qui se traduira par la conservation de traces de tous les traitements de donnes caractre personnel et par des tudes dimpact) ; Obligation de notification dans les 24h et au titulaire des donnes La Commission europenne se rserve la possibilit dimposer des mesures de scurit ; Toute personne peut obtenir la suppression de donnes le concernant si aucun motif lgitime ne justifie leur conservation Le texte reconnat la notion de co-responsables de traitement importance de dfinir au pralable, dans un contrat, les obligations mutuelles des parties
35 Brussels Lige Namur Luxembourg Paris
Fine art in legal practice
Privacy Vs Technology
Quelques prospectives
36 Brussels Lige Namur Luxembourg Paris
Fine art in legal practice
Cloud computing
37 Brussels Lige Namur Luxembourg Paris
Fine art in legal practice
Cloud Computing Avis 05/2012 sur linformatique en nuage du Groupe 29 du 1er juillet 2012 Rsolution sur linformatique dans les nuages du 26 octobre 2012 (Uruguay)
38 Brussels Lige Namur Luxembourg Paris
Fine art in legal practice
Cloud Computing Problme vident des flux transfrontires Dans lUE = libert de circulation (sauf) Dans les pays tiers = ! Niveau de protection adquat, safe harbor, clauses contractuelles types, rgles contraignantes dentreprise 39 Brussels Lige Namur Luxembourg Paris
Fine art in legal practice
Un niveau de protection adquat
Fourni par lEtat de destination Vrifi par la Commission Europenne Liste : la Suisse, le Canada (), Andorre,
lArgentine, les Etats-Unis (), Guernesey, lle de Man, les les Fro, Jersey, l'Australie (), l'Islande, Liechtenstein, et Isral Brussels Lige Namur Luxembourg Paris
40
Fine art in legal practice
Safe Harbor Accord UE - USA sur un ensemble de rgles lmentaires Transfert autoris vers les entreprises US qui sengagent Certification annuelle par le Department of Commerce 41 Brussels Lige Namur Luxembourg Paris
Fine art in legal practice
Clauses contractuelles et rgles contraignantes
Commission a tabli plusieurs clauses contractuelles types (entre responsables ou entre responsable et sous-traitant) Les groupes dentreprises peuvent se doter de rgles contraignantes faire avaliser par lautorit 42 Brussels Lige Namur Luxembourg Paris
Fine art in legal practice
Internet des objets
Objets qui rcoltent des informations changent ces informations
Ex : RFID, domotique, voitures connectes, Google Now,
43 Brussels Lige Namur Luxembourg Paris
Fine art in legal practice
Internet des objets
A priori, application de la loi vie prive Nombreuses ? cependant vu les implications et les possibilits (quantit, consentement, donnes de tiers, utilisation,) Laspect personnel des donnes a de moins en moins dimportance 44 Brussels Lige Namur Luxembourg Paris
