Suivez nous sur Twitter

/// Blog Archive

19 nov / 2012
Author: 6ix IT Tags: , , , Comments: 0

Bookmark and Share

Le délégué à la protection des données personnelles est le nom donné par Bruxelles à celui aujourd’hui nommé en France  le CIL. Cet acronyme pour Correspondant Informatique et Libertés.

Un précédent article parule mois précédent nous présentait les grands axes de la refonte du projet de lois autour des données personnelles.

C’est à l’occasion de la conférence LEXPOSIA que ces détails ont été publiquement repris. Aucune réelle surprise  si ce n’est que ce projet de loi européen vient recouvrir  l’annonce faite par la Ministre de l’économie Numérique.

La notion de Privacy by Design est donc toujours au goût du jour.  Pour rappel , il s’agit d’une notion qui vise à l’intégration du respect de la vie privée dès la conception des logiciels.

La conformité à ce concept sera sous la responsabilité des CNIL de chacun des pays européen  Pour être plus concret, un bon exemple est  le projet « Do not track ».

Le développeur aura la responsabilité d’intégrer cette protection des données.

Ce projet est évidemment conçu pour le Cloud . Les développeurs ont désormais l’obligation de transparence sur le traitement des données et plus particulièrement sur  la localisation des données.

Ce Privacy by Design intégre également le droit à l’oubli lors de la phase de conception des applications, logiciels ou sites web.

Rien de neuf donc de ce coté.

La seule nouveauté vient donc dans la dénomination du contact entreprise <> CNIL. Cet intitulé de poste beaucoup moins barbare et plus adapté à la vie en entreprise va venir alimenter petit à petit  les discussions à la machine à café.

Cette conférence a permis de (re)préciser sont les avancées dans ce domaine et la seule nouveauté est dans le nom du responsable des données personnelles.

26 oct / 2012
Author: 6ix IT Tags: , , , , Comments: 19 771

Bookmark and Share

Ça  s’agite à Bruxelles. Ça s’agite même beaucoup depuis le début de l’année 2012. La fameuse directive 95/46/CE, directive qui constitue le texte de référence sur la question des données personnelles  est sur le point d’être modifié.

Les entreprises des états membres de l’union européenne auront très bientôt pour obligation la mise en conformité de leur système d’information et plus globalement, de ces systèmes de traitement automatisé des données à caractère personnel.

Sans prendre en compte la lourde partie juridique, de nombreuses contraintes techniques et organisationnelles vont être imposées aux entreprises françaises.

Pour être concret, cela signifie des procédures à rédiger et évidemment à appliquer en interne. Dans ces procédures est inclus l’inclusion d’une politique SIF (cela comprends formation, sensibilisation et information du personnel régulièrement).

Des audits de sécurité devront également être conduits régulièrement avec l’objection protection des données personnelles.

Et attention aux entreprises qui ne voudraient pas s’y conformer, des amendes sont prévues dans ce futur projets de loi européen  Les première fuites parlent de sommes considérables (2% du CA global) et de somme atteignant le million d’euros pour les organismes publics.
Cette loi risque donc de bouleverser le paysage de la sécurité, et ce pour toutes les entreprises d’Europe. Les plus exposées à ces risques seront bien évidemment les entreprises exposées sur Internet (on ne parle pas ici de site vitrine mais webservice s’appuyant sur des API et donc avec le SI vraiment exposé).

D’autres contraintes sont également imposées par le dispositif européen et sont lourdes de conséquences, car elles ont un coût:

  • Prise en compte de la vie privée dès la conception – Privacy by Design
  • Suivi des systèmes et utilisateurs interagissant avec les données personnelles stockées.
  • Mise en place d’équipe spécialisée sur le monitoring des données stockées

On peut d’ores et déjà se poser la question de comment de telles contraintes vont être imposées aux entreprises européennes. Certification ? Label ? Mise en place d’une Autorité de « régulation » ?

La CNIL qui oeuvre depuis de nombreuses années dans ce sens met en place un label CNIL. L’idée est bonne.

Mettre en place une loi, pourquoi pas, mais qui sera en charge d’en vérifier la bonne application? Une autorité de régulation comme l’Arjel ? Avec la délivrance d’autorisation, de certificats de conformité ?

Affaire à suivre dans tout les cas.

On peut néanmoins se poser la question de l’accessibilité de ce label CNIL à la vue du référentiel proposé et/ou des budgets nécessaires à la surveillance des réseaux.


/// Twitter Feed

Find out what's happening, right now, with the people and organizations you care about.

Copyright 2012-2013 © 6ix IT