CNIL et RGPD

Décryptage du RGPD Description et mise en œuvre

Laisser un commentaire / Blog / Par

Décryptage du RGPD – Description et mise en œuvre

Dîner/débat Lundi 14 mai 2018

Le 14 mai 2018, le CLUB MOA a donné la parole à Gwendal Le GRAND, Directeur des technologies et de l’innovation à la CNIL. Ingénieur télécom, docteur en informatique, Gwendal Le Grand a mis en place l’expertise technologique à la CNIL.

Toutes les recommandations techniques qui sont faites par la CNIL sont réalisées par son équipe. Au fil du temps cette équipe est devenue une direction avec plusieurs entités : Le service de l’expertise technologique, le pôle innovation, études et prospective (cahiers IP), un laboratoire qui teste les produits et la DSI en charge du bon fonctionnement de l’ensemble de l’informatique de la CNIL (site web, serveurs, télé-services, etc…)

1 Rappels

1.1 La donnée personnelle

La donnée personnelle ce n’est pas seulement le nom et le prénom, mais c’est pratiquement tout ce que l’on a dans un système d’information qui peut être directement ou indirectement relié à l’identité de la personne.

NOTE : l’acronyme G29 est le groupe des CNIL européennes qui interprète les textes européens.

A partir du 25 mai, ce G29 va devenir une entité : le EDPB (European Data Protection Board – https://www.i-scoop.eu/gdpr/european-data-protection-board-edpb/) traduit par CEPD (Comité Européen de la Protection des Données : https://europa.eu/european-union/about-eu/institutions-bodies/european-data-protection-supervisor_en)

La CNIL met à disposition des programmes utilitaires. Exemple CARDPEEK qui permet de lire le contenu de certaines cartes à puce. Gwendal Le GRAND donne l’exemple de la carte Navigo. A partir de cette lecture la CNIL peut vérifier que les données sur la carte (qui peuvent être enregistrées par l’émetteur de la carte) sont en rapport avec le service rendu et l’utilisation de la carte.

1.2 La loi informatique et liberté (Résumé de l’essentiel)

Sous-tendus par la loi informatique et liberté, il y a beaucoup de principes de bon sens : Principe de finalité : A quoi servent les données collectées ?

Principe de proportionnalité : Collecter uniquement les données nécessaires à la finalité, et les traiter uniquement durant le temps qui est nécessaire à la finalité. Les données doivent ensuite être effacées ou anonymisées

Garantir le droit des personnes : accès, rectification, suppression, consentir aux traitements. Principe de sécurité des données : mise en place de mesures pour protéger la personne.

2 Activité et quelques chiffres sur la CNIL

https://www.cnil.fr/sites/default/files/atoms/files/cnil-38e_rapport_annuel_2017.pdf

2.1 Missions de la CNIL

Informer les personnes sur leurs droits et l’application de la loi

Conseiller les entreprises et les responsables de traitement (Privé et publique) Contrôler sur place et, éventuellement, sanctionner

2.2 Montant des sanctions

Pendant très longtemps la pénalité maximum a été de 150 000 euros. Avec le RGPD la pénalité peut monter à 20 millions d’euros ou 4% du chiffre d’affaire mondial consolidé des entreprises. C’est le chiffre le plus élevé qui est retenu. (Ex pour le GAFA c’est 4% du CA)

2.3 Chiffres

La CNIL emploie 200 personnes, sont budget annuel est de 17 millions d’euros Activité

  • 4100 avis et autorisations par an
  • 8360 plaintes
  • 4000 demandes de droit d’accès indirect
  • 8300 vérifications effectuées
  • 155000 appels
  • 14700 requêtes sur la plateforme « Besoin d’aide »
  • 4,4 millions de visites sur le site Web CNIL.fr
  • 93500 followers sur Twitter
  • 340 contrôles dont 14 ont donné lieu à sanction

2.4 Nouveaux pouvoirs

Au fil du temps la CNIL a acquis de nouveaux pouvoirs

  • Contrôles en ligne depuis 2014
  • Contrôle du blocage administratif des sites dans le cadre de la lutte contre pédopornographie et l’apologie du terrorisme depuis 2015.
  • Contrôle du déréférencement(1) – Une personne demande à ne plus apparaître dans les résultats des moteurs de recherche lors d’une requête sur son nom (https://www.cnil.fr/fr/le-droit-au-dereferencement-en-questions)

(1) Arrêt de la Cour de Justice Européenne (CJUE) de mai 2014 – C131/12

3 RGPD

Le texte : https://www.cjoint.com/doc/17_12/GLnmzFxp4tM_rgpd.pdf

RGPD : Règlement Général sur la Protection des Données ou GDPR : General Data Protection Regulation

Ce texte a été initié en 2012.

Le texte entre en application le 25 mai 2018

Ce texte est très important. Les principes directeurs, que l’on a en France depuis 1978, restent les mêmes. Nous les retrouvons dans le règlement. Un certain nombre de droits ont été ajoutés, les textes ont été modernisés les contraintes des responsables de traitement ont été renforcés, mais surtout, ce texte modifie les équilibres.

  • Suppression du régime de déclaration au profit de la responsabilisation du responsable de traitement. Ce dernier doit pouvoir prouver, à tout moment, à l’autorité de contrôle, que le traitement est en conformité avec la loi
  • Renforcement du pouvoir de sanction
  • Redonne de la souveraineté aux entreprises (article 3). Le règlement s’applique aux entreprises établies sur le territoire européen, et aux entreprises qui ciblent des populations de la communauté européenne. C’est notamment le cas des grandes entreprises américaines qui viennent «chasser» sur le territoire européen
  • Le règlement s’applique aux responsables de traitement et aux sous-traitants

NOTE : Le responsable de traitement est celui qui détermine la finalité et les moyens. Le sous-traitant est celui qui agit pour et sous les ordres du responsable de traitement, qui ne traite pas les données pour son propre compte.

3.1 Les outils développés par la CNIL

La CNIL a développé des outils pour aider les organismes à se mettre en conformité avec le règlement. Beaucoup de ressources se trouvent sur le site de la CNIL.

  • Une rubrique dédiée au règlement (Présentation, questions/réponses fréquentes, guidelines développés au niveau européen, un guide pour les sous-traitants
  • Une fiche : « Se préparer » en six étapes (avec cases à cocher). Il est indispensable d’avoir un pilote de l’opération, d’avoir cartographié les traitements et les données, prioriser les actions, gérer les risques, organiser les processus internes, documenter. Le règlement précise que la cartographie et la documentation doivent être mises à jour régulièrement.
  • Le règlement remplace le régime d’autorisation par une analyse d’impact sur la protection des données. C’est une réflexion que le responsable de traitement doit avoir pour gérer sa propre gestion de risques. La décision et la responsabilité sont déplacées de l’autorité vers le responsable de traitement. La CNIL met à disposition des guides pour mener cette réflexion inspirés de la méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité)

3.2 Le délégué à la protection des données

Le DPO (Data Protection Officer)

C’est le successeur du CIL (Correspondant Informatique et Liberté).

Le DPO devient obligatoire dans un certain nombre de cas et notamment dans le cas des organismes publics. On passe environ de 11 000 à 80 000 organismes qui doivent avoir un DPO, au moment où le règlement est applicable.

Le DPO peut être externalisé et mutualisé (petites structures n’ayant pas les moyens d’avoir un DPO en leur sein)

3.3 Principe de sécurité des traitements (Art. 32)

  • Le responsable de traitement doit mettre en place des mesures proportionnées aux risques, (mesures organisationnelles et techniques) en fonction du contexte, de la nature des données, des risques du traitement lui-même. C’est un travail de réflexion à conduire pour chaque traitement et non une « recette de cuisine » à appliquer systématiquement.
  • Le traitement doit assurer la confidentialité, l’intégrité et la disponibilité des données.
  • Le règlement contient un principe d’amélioration continue.
  • La conformité avec l’obligation de sécurité peut être prouvée par l’utilisation de certification ou l’adhésion à des codes de conduite.
  • DPIA (Data Protection Impact Assessment) https://www.cnil.fr/fr/ce-quil-faut-savoir-sur- lanalyse-dimpact-relative-la-protection-des-donnees-dpia – Article 35 du règlement Lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et les libertés des personnes concernées, une analyse d’impact sur la protection des données (DPIA) doit être menée. Pour aider les responsables de traitement la CNIL met à disposition (sur son site) des guides et un logiciel gratuit, open source.
  • Il y a obligation pour le responsable de traitement de documenter tous les incidents qui ont trait à la sécurité des données personnelles. Au-delà d’une certaine gravité de l’incident il y a obligation de le notifier à l’autorité (En France, la CNIL) dans un délai contraint (72H). Pour certains incidents très graves, les personnes doivent également être notifiées. Il faut donc avoir des procédures à jour et efficaces.

3.4 Droit à la portabilité (Art 20)

C’est la possibilité, pour une personne, de récupérer les données la concernant sous un format lisible, en machine ou naturellement (PDF par exemple) avec la possibilité de transmettre ces données à un nouveau responsable de traitement.

Ce droit favorise l’innovation et la liberté. Cependant ce droit à la portabilité comporte quelques limites.

La portabilité concerne les données fournies par la personne. Il y aura vraisemblablement des évolutions du règlement après le 25 mai.

3.5 Principe de mise en cohérence des décisions des autorités

Le règlement est une loi unique en Europe. Dans chaque pays européen il y a une CNIL, donc une autorité de protection des données qui agit sur son territoire. Il faut que les décisions prises soient cohérentes au niveau européen. Pour cela le règlement à mis en place un principe de mise en cohérence des décisions des autorités. C’est un principe de guichet unique. Dans le cas d’une entreprise ayant plusieurs établissements dans différents états membre, en cas d’incident, l’autorité de l’établissement principal rédige une proposition de décision qui est soumise aux autres autorités concernées. Ces dernières font des remarques et des observations qui doivent être prises en compte. En cas de désaccord un mécanisme d’arbitrage est sollicité au niveau du comité des CNIL européennes (Prise de décision à la majorité) Ce comité est le EDPB.

4 Ethique des algorithmes et IA

https://www.cnil.fr/sites/default/files/atoms/files/cnil_rapport_garder_la_main_web.pdf

On a confié à la CNIL une mission d’animation du débat public autour des enjeux éthiques des algorithmes. Cette mission a abouti à un rapport dont les éléments essentiels sont les suivants :

Débats publics : 3 000 participants / 45 manifestations

Principes fondateurs : loyauté et vigilance; L’intérêt des utilisateurs doit primer

Recommandations opérationnelles

  • Former à l’éthique tous les acteurs-maillons de la « chaîne algorithmique »
  • Travailler le design des systèmes algorithmiques au service de la liberté humaine
  • Constituer une plateforme nationale d’audit des algorithmes ;
  • Encourager la recherche sur l’IA éthique et lancer une grande cause nationale participative autour d’un projet de recherche d’intérêt général
  • Renforcer la fonction éthique au sein des entreprises

L’intégralité du compte-rendu est réservée aux membres du Club.

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.