29 MARS 2017

CLAIRE LEVALLOIS-BARTH

MAITRE DE CONFÉRENCES EN DROIT

COORDINATRICE DE LA CHAIRE

28/03/2017

2

5 AXES DE RECHERCHE

Chair Personal Information

Identités numériques

Gestion des informations personnelles

Politiques des informations personnelles

Données personnelles dans l’IdO

Traces et contributions

Mécènes fondateurs

3

28/03/2017

Mécènes associés

Partenaire qualifié

Chaire Informations personnelles

DINSIC

LA CONFIANCE RÉGULÉE :

L’EXEMPLE DES LABELS EN

MATIÈRE DE PROTECTION DES

DONNÉES PERSONNELLES

28/03/2017

5 DES LABELS A FOISON

Plus de 90 labels répertoriés, dont environ 70 en Europe ►Nationaux, européens et américains

►Qui se multiplient

Dans des secteurs multiples et variés ►Principalement : processus et produits même si aussi services, formation, audit …

28/03/2017 CLAIRE LEVALLOIS-BARTH

Associations 26%

Entités privées 63% Entités

publiques 11%

28/03/2017

6 DÉLIVRÉS PAR DES ENTITÉS DE DIFFÉRENTE NATURE

CLAIRE LEVALLOIS-BARTH

7 UNE CONFIANCE RÉGULÉE PAR LE RÈGLEMENT GENERAL

SUR LA PROTECTION DES DONNÉES PERSONNELLES (RÈGLEMENT (UE) 2016/679 )

1978 1995 2004 27 avril

2016 25 mai

2016 25 mai

2018

Règlement Général sur la Protection des Données

Directive

95/46

Adoption

Application

Entrée

en

vigueur

Abrogation

Directive 95/46 G29

CEPD Comité

européen de

protection des

données

Loi

Informatique

et Libertés

Loi

N° 2004-801

« Toilettage »

Loi Informatique

et Libertés

Loi pour une

République

numérique

N° 2016-1321

7 oct.

2016

28/03/2017

UN NOUVEAU PRINCIPE : LE PRINCIPE DE

RESPONSABILITÉ (« ACCOUNTABILITY »)

Une logique de démonstration de la conformité ► Passage d’une logique de formalités préalables à un contrôle a posteriori

► Processus permanent permettant au responsable de traitement de s’assurer et être

en mesure de démontrer qu’il gère les risques d’atteinte aux données personnelles

Via différents éléments de démonstration et donc de confiance ► Analyse d’impact et consultation préalable de l’autorité de contrôle si le risque est

élevé

► Délégué à la protection des données (DPO)

► Audits

► Code de conduite

► Certification, labels approuvés

Autant de signes de confiance laissés au choix de l’organisme ► En B2C

► En B2B

8

28/03/2017 CLAIRE LEVALLOIS-BARTH

DE NOMBREUSES QUESTIONS

Comment articuler l’intervention des acteurs ? ►Des initiatives privées qui adresse un “marché” de la confiance

►Fin 2016 : Livre blanc de Bureau Véritas

►Janvier 2017 : AFNOR Normalisation : « Guide Protection des données personnelles : l’apport des

normes volontaires »

Quel rôle pour les autorités de protection des données, dont la Cnil ? ►Approbation des référentiels

►Attribution de labels

►Retrait d’un label attribué par un organisme privée

►Approbation des critères d’agrément des organismes de certification et octroi de l’agrément

Comment faire en sorte que la production de signes extérieurs

correspondent à une véritable protection des données personnelles

de l’utilisateur ?

9

28/03/2017 CLAIRE LEVALLOIS-BARTH