Données personnelles : le nouveau projet de règlement européen

J'intervenais aux #SecurityTuesday hier sur le thème du nouveau projet de règlement européen ayant vocation à remplacer la loi informatique et libertés (le cadre est très sympathique et les organisateurs sont vraiment adorables, si vous êtes professionnels de la SSI c'est un bon endroit pour s'y retrouver). Voici les slides de la présentation :



En résumé, voici quelques points importants à retenir :

  • Les montants des amendes seront désormais considérables (2% du CA global d'un groupe - soit l'équivalent d'1.2 Milliard de dollars pour Microsoft en 2008). Et pour les organismes publics ce sera 1.000.000 d'euros. Fini les "il n'y a pas de sanctions".
  • 27 pays, un texte (mais un gros texte quand même : +80 pages / ~100 articles à digérer) !
  • Fini les déclarations, mais bonjour la documentation et le DPO obligatoire dans les établissements publics et dans les entreprises > 250 personnes
  • Il va falloir formaliser des études d'impact sur les risques pour les personnes pour certains traitements sensibles.
  • L'adoption du règlement se fera entre 2013/2014 (optimistes) et 2016 (pessimistes).

D'un, point de vue purement SSI, il faut noter :

  • Que le règlement impose la formalisation des études de risques de sécurité (implicite aujourd'hui dans l'article 34 de la loi). Mais quelle méthode faudra-t-il utiliser ?
  • Que la Commission aura en outre la possibilité de préciser certaines mesures de sécurité (ex : IDS obligatoire dans tels cas, algorithmes de chiffrement).
  • Une nouvelle obligation de notification à l'autorité nationale de contrôle des violations de données personnelles, étendue à tous les responsables de traitement (et pas uniquement aux OCE comme dans la loi actuelle).
  • Que cette notification à la CNIL devra être faite sans délai, cad dès connaissance de la violation (la justification sera obligatoire si elle se fait +24h après).
  • Et qu'enfin cette notification devra également être faite à la personne concernée. Il faudra expliquer à ses propres clients que leurs données sont parties dans la nature. Oui, ce sera douloureux...

 

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

24 comments
Données personnelles : le nouveau projet de règlement européen | Données privées | Scoop.it - 4 years ago

[…] J'intervenais aux Security Tuesday hier sur le thème du nouveau projet de règlement européen. Voici les slides de la présentation : En résumé, voici quelques points importants à retenir : Les montants des amendes seront …  […]

Reply
Données personnelles : le nouveau projet de règlement européen | Éducation, Internet et droit... | Scoop.it - 4 years ago

[…] J’intervenais aux #SecurityTuesday hier sur le thème du nouveau projet de règlement européen (le cadre est très sympathique et les organisateurs sont vraiment adorables, si vous êtes professionnels de la SSI c’est un bon endroit pour s’y retrouver).  […]

Reply
Données personnelles : le nouveau projet de règlement européen | datarmine | Scoop.it - 4 years ago

[…] Intervention de Thiébaut Devergranne au Security Tuesday sur le projet de réglement européen concernant les données personnelles  […]

Reply
Données personnelles : le nouveau projet de règlement européen | La sécurité Informatique : Une assurance pour des services numériques de confiance | Scoop.it - 4 years ago

[…] J’intervenais aux #SecurityTuesday hier sur le thème du nouveau projet de règlement européen (le cadre est très sympathique et les organisateurs sont vraiment adorables, si vous êtes professionnels de la SSI c’est un bon endroit pour s’y retrouver).  […]

Reply
Données personnelles : le nouveau projet de règlement européen | IT (Systems, Networks, Security) | Scoop.it - 4 years ago

[…] J’intervenais aux #SecurityTuesday hier sur le thème du nouveau projet de règlement européen (le cadre est très sympathique et les organisateurs sont vraiment adorables, si vous êtes professionnels de la SSI c’est un bon endroit pour s’y retrouver).  […]

Reply
Décryptage du projet de loi européen sur les données personnelles | SecurityVibes Magazine – Qualys Security Community - 4 years ago

[…] du projet européen, et surtout ce que cela change pour l’entreprise. A découvrir ici : http://www.donneespersonnelles.fr/donnees-personnelles-le-nouveau-projet-de-reglement-europeen nRelate.domain = […]

Reply
Données personnelles : le nouveau projet de règlement européen | Protection de l'information et gestion des risques | Scoop.it - 4 years ago

[…] J’intervenais aux #SecurityTuesday hier sur le thème du nouveau projet de règlement européen (le cadre est très sympathique et les organisateurs sont vraiment adorables, si vous êtes professionnels de la SSI c’est un bon endroit pour s’y retrouver).  […]

Reply
Eusebius - 4 years ago

Merci pour cette très utile synthèse… Il me reste une question, qu’advient-il du type de traitements mis en oeuvre par l’État et qui en 2004 sont passés sous le régime de la demande d’avis ? Revient-on vers un contrôle/sanction effectif des autorités nationales de protection des données, ou pas du tout ? Qu’est-ce qui est envisagé pour l’instant ?

Reply
Données personnelles : le nouveau projet de règlement européen | Libertés Numériques | Scoop.it - 4 years ago

[…] J’intervenais aux #SecurityTuesday hier sur le thème du nouveau projet de règlement européen (le cadre est très sympathique et les organisateurs sont vraiment adorables, si vous êtes professionnels de la SSI c’est un bon endroit pour s’y retrouver).  […]

Reply
Vers un droit des moteurs de recherche - 4 years ago

[…] de moins en moins enclines à se faire ouvertement marcher sur les pieds, l’influence du nouveau projet de règlement aidant […]

Reply
Données personnelles : le nouveau projet de règlement européen | Protection des données à caractère personnel | Scoop.it - 4 years ago

[…] J’intervenais aux #SecurityTuesday hier sur le thème du nouveau projet de règlement européen (le cadre est très sympathique et les organisateurs sont vraiment adorables, si vous êtes professionnels de la SSI c’est un bon endroit pour s’y retrouver).  […]

Reply
Données personnelles : le nouveau projet de règlement européen | digitalcuration | Scoop.it - 4 years ago

[…] En résumé, voici quelques points importants à retenir :Les montants des amendes seront désormais considérables (2% du CA global d’un groupe – soit l’équivalent d’1.2 Milliard de dollars pour Microsoft en 2008). Et pour les organismes publics ce sera 1.000.000 d’euros. Fini les “il n’y a pas de sanctions”.27 pays, un texte (mais un gros texte quand même : +80 pages / ~100 articles à digérer) !Fini les déclarations, mais bonjour la documentation et le DPO obligatoire dans les établissements publics et dans les entreprises > 250 personnesIl va falloir formaliser des études d’impact sur les risques pour les personnes pour certains traitements sensibles.L’adoption du règlement se fera entre 2013/2014 (optimistes) et 2016 (pessimistes). D’un, point de vue purement SSI, il faut noter :Que le règlement impose la formalisation des études de risques de sécurité (implicite aujourd’hui dans l’article 34 de la loi). Mais quelle méthode faudra-t-il utiliser ?Que la Commission aura en outre la possibilité de préciser certaines mesures de sécurité (ex : IDS obligatoire dans tels cas, algorithmes de chiffrement).Une nouvelle obligation de notification à l’autorité nationale de contrôle des violations de données personnelles, étendue à tous les responsables de traitement (et pas uniquement aux OCE comme dans la loi actuelle).Que cette notification à la CNIL devra être faite sans délai, cad dès connaissance de la violation (la justification sera obligatoire si elle se fait +24h après).Et qu’enfin cette notification devra également être faite à la personne concernée. Il faudra expliquer à ses propres clients que leurs données sont parties dans la nature. Oui, ce sera douloureux…  […]

Reply
protection données personnelles | Pearltrees - 3 years ago

[…] Données personnelles : le nouveau projet de règlement européen […]

Reply
3 minutes pour comprendre le nouveau projet de règlement européen - 3 years ago

[…] Et si vous souhaitez entrer dans les détails vous trouverez également mes slides de présentation sur le nouveau projet de règlement européen en matière de protection des …. […]

Reply
Ludovic - 3 years ago

Merci pour cette présentation rapide et explicite.

à mon sens c’est un règlement imposant plus ou moins la mise en place de l’ISO 27001(x) dans les entreprises.
J’y vois une belle avancé sur la papier et terme de gestion de la sécurité (de manière globale) mais aussi un coup de pouce à cette norme qui à bien du mal à percer finalement (très peu d’entreprise sont certifiées).

Reply
    Thiébaut Devergranne - 3 years ago

    Ludovic,
    Merci pour votre commentaire intéressant ; oui effectivement il y a toute une réflexion en termes de process en ce qui concerne la mise en oeuvre du règlement. Je pense en tout cas que la mise en place de cette certification devrait aider les entreprises à assumer leurs obligations de sécurité !

    Reply
Alexandra - 3 years ago

Bonjour,
Vous dites que l’adoption du Règlement se fera en 2013/2014 pour les optimistes; qu’en pensez-vous?
Des amendements ont déjà été apportés à cette proposition en décembre 2012: que faut-il aujourd’hui pour que le Règlement passe?
D’avance, merci pour votre réponse

Reply
    Thiébaut Devergranne - 3 years ago

    Il est très difficile en l’état de dire quand le règlement passera. Ce que l’on peut dire c’est que la procédure avance et l’essentiel du projet reste intact pour l’instant.
    Depuis juillet le texte est en examen au Parlement européen.

    Reply
7 conseils pratiques pour vous mettre en conformité avec vos obligations CNIL - 3 years ago

[…] La loi va bientôt changer. Les montants d’amende pour non respect du régime en matière de protection des données personnelles vont être faramineux : 2% du chiffre d’affaire global pour les groupes ; pour une société comme Microsoft en 2008, cela représente un potentiel 1,2 milliard de dollars d’amende… […]

Reply
Reflexions sur le projet de règlement européen - 3 years ago

[…] services du Premier Ministre (SGAE) pour donner mon sentiment sur les orientations actuelles du futur projet de règlement européen et aider la France à définir sa position dans cette querelle […]

Reply
Les méthodologies de sécurité, outil de limitation des risques juridiques - 3 years ago

[…] l’on regarde du côté de l’avenir avec le projet de nouveau règlement européen, on constate que l’article 30.2 impose une évaluation systématique des risques du […]

Reply
Click here to add a comment

Leave a comment: