Données personnelles : 3 minutes pour comprendre le nouveau projet de règlement européen

• Thiébaut Devergranne

J’étais à Miami ces dernières semaines et j’en ai profité pour faire une courte vidéo pour expliquer rapidement les points essentiels du nouveau projet de règlement européen qui va bouleverser toute l’économie de la protection des données personnelles en Europe dans les années à venir :



Et si vous souhaitez entrer dans les détails vous trouverez également mes slides de présentation sur le sujet.

 


Commentaires...

Vanessa Moulédous

Merci pour cet overview non conventionnel et utile de ce qui attend les gestionnaires de données personnelles. On se sent de plus en plus diabolisés...

Thiébaut Devergranne

Oui, les choses vont vraiment dans le sens de sanctions plus importantes pour s'assurer d'une application plus effective de la protection offerte par le texte. Une contrainte de plus qui pèse sur les entrepreneurs !

Jean-Christophe Brechard

Je vais prêcher pour ma paroisse, mais les santions pécuniaires et les frais de défenses sont pris en charges par des contrats d'assurances spécifiques.

Il est aujourd'hui possible de s'assurer contre ce risque, comme on assure son entreprise contre l'incendie ou la perte d'exploitation.

Avec ce nouveau règlement européen, l'assurance devient partie intégrante de la politique de sécurité des données.

Thiébaut Devergranne

Aucune assurance ne vous assurera contre le fait que vous soyez dans l'illégalité. Si vous avez un doute contactez votre assurance et demandez-leur ;)

En fait c'est une condition de résiliation incluse dans la plupart des contrats (ex : en matière automobile si votre taux d'alcoolémie dépasse le taux légal, vous n'êtes plus assuré). C'est un cas très classique en droit.

Jean-Christophe Brechard

Rebonjour,

Je me suis mal exprimé.

Ce dont je parle ce sont les amendes civiles auxquelles peuvent être condamnées les entreprises en cas d'enquête de la CNIL, suite à un hacking et/ou perte de données. Mais c'est également la prise en charge des frais de notifications aux personnes, notifications aux organismes réglementaires, frais d'expertises informatiques, ET également les frais de défenses (expert et avocat)en cas de réclamation d'un tiers.

La problématique de ce type de police est qu'elle doit vous couvrir pour un sinistre que vous faites subir à un tiers, mais qui vous impacte également (fuite de données pour le tiers, et faille dans votre SI pour vous).

Thiébaut Devergranne

Jean-Christophe,

Vous pouvez effectivement souscrire un contrat d'assurance pour régler en particulier les frais d'expertise, d'avocat, etc, mais en ce qui concerne les amendes civiles, il faut dire que dès lors que vous serez mis hors cadre légal, l'assurance ne prendra plus rien en charge.

Personnellement je suis très critique sur l'utilité pratique de ce type de prestations d'assurance. Je parle véritablement d'expérience, car j'ai défendu un cas de sinistre informatique, et ce n'est qu'après 3 procès (deux en référé, un en appel) que l'assureur a bien voulu payer les sommes dues (avec un an d'attente, au passage et 3 condamnations claires de l'assureur).

De l'expérience que j'ai en la matière j'ai pu constater qu'en cas de sinistre les assureurs que j'ai fréquenté (cas personnels, ou dans des affaires pro) trouvent toutes les excuses pour ne rien payer tant qu'il n'y a pas d'avocat impliqué dans les demandes - d'une part - et, d'autre part, lorsque les sinistres sont importants - ils ne payent rien tant qu'ils n'ont pas été condamné par décision de justice. J'ai également plusieurs cas de clients qui ont relatés le même vécu (je parle des grandes compagnies d'assurance). Cela correspond à une logique économique : si dans 1000 cas il suffit de dire "non", pour que 990 victimes de sinistres abandonnent leur droit à indemnisation, alors pourquoi s'en priver ? Cela augmente considérablement la rentabilité de l'entreprise...

D'où une utilité assez réduite dans ma perception. Mais c'est mon expérience pratique, et pas une étude scientifique dans laquelle nous aurions demandé à l'ensemble des victimes de sinistres comment se passent l'indemnisation.

Buffon

Bonjour,

Pour ma part je trouve tout à fait normal que ce type d'amende puisse être dispensée.

En effet, si cela avait pu être appliqué à Google, notamment avec la condamanation administrative que la CNIL leur a infligée, l'effet aurait été dissuasif. Il est vrai que lorsque qu'un modèle économique est contruit autour des données à caractère personnel, cela devient génant de devoir le modifier.

Maintenant cette nouvelle réglementation implique juste d'être proactif. Donc de penser à l'impact quand aux données utilisées, vis à vis des personnes qui en sont propriétaire.

Ne pensez vous pas dans ce cas que suite à la réglementation 95/46/CE, il est nécessaire d'harmoniser les différents droits nationaux européens ?

Ou dois je en déduire que cela ne vous gène guère d'utiliser le cloud computing et laisser nos amis d'outre atlantique, via le patriot act, SOX, .... de pouvoir librement accéder à vos données commerciales, comptables, vos brevets, ....

Libre à vous, pour moi je préfère que cela soit encadré et que nous puissions développer les innovations européennes, en europe et pour l'europe. Non pour que cela soit phagociter par d'autres contrées.


Les commentaires sont fermés
Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit. Il travaille en droit des nouvelles technologies depuis plus de 15 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus.

formation RGPD

VOS CGV (gratuit)