Transcript Cette manifestation bénéficie du soutien des sociétés ISEP

8e Université AFCDP des Correspondants Informatique & Libertés
Lundi 27 janvier 2014 ~ Paris
Le lundi 27 janvier 2014 l’AFCDP (Association Française des Correspondants à la protection des Données à caractère Personnel
www.afcdp.net) organise la 8e Université des CIL, l’évènement incontournable des professionnels de la conformité à la loi Informatique et
Libertés.
Manifestation réservée aux Adhérent AFCDP, à jour de leur cotisation, sans condition d’ancienneté (sur inscription et faisant
l’objet d’une contribution – Places en nombre limité). Lieu : Palais des Congrès d’Issy les Moulineaux (M° Mairie d’Issy)
Cette manifestation bénéficie du soutien des sociétés ISEP Formation Continue, Devoteam, IBM France, BRM Avocats,
Cabinet Cilex, SoLocal Group, Carac, Rever, Actecil. Partenaires Presse : Legiteam, Global Security Mag
PROGRAMME DE LA CONFERENCE
MATINEE – PLENIERE
9H15 : Ouverture de la conférence par le Président de l’AFCDP, Paul-Olivier GIBERT
Enfin…Voici le Règlement européen ?
Dr. Sachiko SCHEUING (European Privacy Officer, Axciom), Cecilia ÁLVAREZ RIGAUDIAS (Cabinet Uría Menéndez) et
Christoph KLUG (GDD)
Des représentants d’associations « sœurs » de l’AFCDP (NGFG, APEP et
GDD), partenaires au sein de CEDPO (Confederation of European Data
Protection Organisations) décryptent la dernière version du projet de
Règlement européen, dévoilent les coulisses des négociations, identifient les
forces en présence et font œuvre de prospective. La synthèse des actions prises
par CEDPO pour donner une place centrale au DPO et les impacts probables
pour les entreprises seront également couverts.
Sécurité des données personnelles de santé : Un an après l’enquête
d’Actusoins, les choses ont-elles changées ?
Eric GROSPEILLER, FSSI du Ministère de la Santé
Un an après l’enquête qui avait révélé que de nombreuses données personnelles de santé étaient référencées par le moteur de recherche
Google, quelles mesures ont-elles été prises au sein du secteur concerné ? Quelles mesures opérationnelles un CIL ou un RSSI peuvent-il
mettre en œuvre dans leur propre établissement de soins pour éviter pareille mésaventure ? Et si d’autres professions étaient concernées…
Quel avenir pour les Autorités de contrôle ?
Une fois le Règlement européen promulgué, que vont devenir les autorités de contrôle nationales ? Comment seront-elles financées ? Serontelles toutes dotées des pouvoirs de contrôle et de sanction ? Qu’apportera le « Comité européen de la protection des données » par rapport
au Groupe Article 29 ? Comment, très concrètement, fonctionnera le futur mécanisme de cohérence ? Quel sera leur rôle auprès des DPO ?
Table ronde animée par Christiane FÉRAL-SCHUHL, ancien Bâtonnier du Barreau de Paris
avec
Isabelle FALQUE-PIERROTIN, Présidente de la CNIL
Stefan VERSCHUERE, Vice-président de la CPVP belge
Artemi RALLO LOMBARTE, ancien Directeur de l'AEPD espagnole
On n’a pas de pétrole mais on a …des données personnelles ?
Il ne se passe plus une semaine sans qu’un dossier spécial titre sur « les données, pétrole du XXIe Siècle » : pauvre métaphore qui débouche
sur une pauvre pensée ? Concept validé qui permet d’imaginer une nouvelle recette fiscale ou la rémunération des personnes concernées qui
acceptent de recevoir de la publicité ciblée ? Et qui profite de cette « manne » ?
Table ronde animée par Fabrice ROCHELANDET, Professeur à l'Université Paris 3, Auteur du livre "Economie des données personnelles
et de la vie privée", La Découverte, 2010
avec
Gaétan GORCE, Sénateur de la Nièvre (PS), Maire de La Charité-sur-Loire Commissaire de la CNIL
Christian REIMSBACH-KOUNATZE, OCDE, Coordinateur du projet « Data and Analytics »
Charles HUOT, DG Délégué et co-fondateur de Temis, Président du comité éditorial de l’Alliance Big data
L’AFCDP FETE SES DIX ANS… et les DIX ANS DU CIL et de la Loi « Informatique et Libertés » : une surprise ?
13H00 à 14H20 - COCKTAIL « DEJEUNATOIRE »
8e Université AFCDP des Correspondants Informatique & Libertés
27 janvier 2014 ~
APRES-MIDI : ATELIERS/FORUMS
Paris
(libre parcours) – De 14h20 à 17h45 (fin de la conférence)
•
Rumeurs et théorie du complot : Que peut faire le CIL ? - Philippe VERDIER, CIL de la RATP
Régulièrement la presse se fait le véhicule d'une rumeur qui veut que la Régie Autonome des Transports Parisiens n'a d'autres finalités que de
"pister" ses clients... Ainsi, en mai 2013, lors de l'agression d'un jeune militaire à la Défense, une chaine de télévision annonçait à tort que le
suspect avait été repéré grâce à son pass Navigo. Quelques semaines après, un grand journal publiait un article sur "la vie en liberté surveillée" qui
comprenait le passage suivant : "8 heures...dans le métro... Lorsqu'il présente son pass Navigo, la RATP enregistre son passage et peut partager ces
informations avec des partenaires commerciaux." Que peut faire un CIL face à de telle situation ? Comment mettre fin à une rumeur ? Quelles sont
les précautions qui sont prises (notamment en termes d'anonymisation) afin de protéger la vie privée des 4,1 millions de passagers qui transitent
dans le métro parisien chaque jour.
•
Les données personnelles et la Mort – Luce-Hélène CAPSIE, Avocate
Comment sont gérées les données personnelles en cas de décès ? Peut-on parler de « Mort numérique » ? La loi Informatique et Libertés
s’applique-t-elle aux personnes décédées ? Existe-t-il un fichier « repoussoir » permettant d’éviter d’adresser de la publicité à ces personnes ?
Peut-on « léguer » ses données déposées dans le Cloud ? Quelles précautions un CIL doit-il envisager à ce propos ?
•
Où en est la norme ISO 29100 (Privacy Framework) ? – Matthieu GRALL, Expert technique, CNIL
Un groupe de l’ISO travaille à formaliser plusieurs normes qui concerneront directement les CIL et les DPO : le Privacy Framework ISO 29100, le
Privacy Architecture Framework ISO 29101 et le Privacy Capability Assessment Model ISO 29190. Où en sont les travaux et à quoi ressemblent les
projets ? Quels impacts pourraient avoir ces normes sur le Privacy by Design, les PIA, voire les démarches de certification ?
•
Décortiquons « Facebook Login » d’un point de vue Informatique et Libertés – Armand HESLOT, Ingénieur expert données personnelles,
SoLocal Group, Nicolas BOURGEOIS, Juriste, AUCHAN
Facebook Login (anciennement Facebook Connect) est une application mise gratuitement à disposition des sites Web pour qu’ils puissent donner la
possibilité à leurs visiteurs de s’identifier grâce à leur compte Facebook. Sans surprise, cette gratuité à une contrepartie qui concerne les données
personnelles des visiteurs… Le groupe AFCDP « Données Prospects et Clients » a analysé d’un point de vue Informatique et Libertés ce « social
plugin » : Quelle démarche doit suivre un e-commerçant qui souhaite l'implémenter sur son site Web ? Quelles précautions prendre ? Quel
formalisme vis-à-vis de la CNIL ? Norme simplifiée 48 ? Déclaration normale ?
•
Le Consentement : le pouvoir de dire vraiment « oui » ? Martine RICOUART-MAILLET, Cabinet BRM Avocats
Entre consentement exprès et consentement « informé », quelle marge de manœuvre ? Comment s’assurer de la sécurité juridique d’un
consentement ? Quels seront les impacts du projet de Règlement à ce propos ? Faut-il conserver trace du consentement ? Un consentement oral estil valide ? Dans quels cas le recueil du consentement d’un salarié peut-il être envisagé ?
•
Maîtrise des données : quels sont les apports des solutions de sécurité ? Nicolas ATGER, responsable marché sécurité, IBM Software France
Pour mieux comprendre les possibilités qu'apportent les solutions de gestion et de protection des actifs immatériels et faciliter les échanges entre
Correspondant Informatique et Libertés et Directions du Système d’Information, présentation d'une approche globale de la sécurité et par thèmes
principaux : personnes, applications, infrastructure, données, fraude, conformité et pilotage.
•
Comment gérer le traumatisme d’une mise en demeure publique ? Frédéric THU, Dirigeant du Cabinet Cilex, et un représentant de l’OPH HLM
de Paris
Lors de la dernière révision de la Loi Informatique et Libertés, la CNIL a gagné le pouvoir de rendre publiques ses lettres de mise en demeure,
pouvoir dont elle a usé, notamment suite à une mission de contrôle effectuée auprès d’un bailleur social. Celui-ci s’est appuyé sur des conseils
externes, dont le Cabinet Cilex qui a réalisé un audit. La CNIL ayant prononcé (publiquement également) la clôture du dossier après avoir constaté
les efforts accomplis dans un esprit très constructif, les acteurs impliqués témoignent et analysent a posteriori cette période et en tirent des
enseignements.
•
Un CIL a-t-il besoin de se former ? –Mireille DESHAYES, Adjointe au CIL de Groupama, Valérie MULLER, CIL du Groupe Orpea-Clinea,
Vincent REGNAULT, CIL et Responsable du Système d'Information du Centre Hospitalier Intercommunal du Pays des Hautes Falaises (Fécamp)
Peut-on être CIL sans faire un effort de formation ? Des professionnels qui ont consenti un effort soutenu en ce domaine témoignent. Qu’en retirentils, concernant aussi bien leur efficacité, leur expertise, leur crédibilité, leur employabilité ? Peut-on réellement conseiller un responsable de
traitement, défendre un dossier devant un CODIR ou un COMEX, porter une demande d’autorisation auprès de la CNIL, conseiller un client sans
disposer d’un réel niveau d’expertise ? Un autodidacte peut-il réellement se préparer à endosser les habits du futur DPO ? La professionnalisation
engagée ne passe-t-elle pas par une exigence de formation ?
•
Je veux chiffrer mon mail, Aie ! Les ennuis commencent ! – Bernard FORAY - Ancien CIL et RSSI de grands groupes internationaux, Auteur de
l'ouvrage "La fonction RSSI" chez Dunod
Disons STOP au stockage à la transmission des données en clair et au détriment de la confidentialité sur les réseaux ! Alors que des solutions
simples et opérationnelles existent, pourquoi sont-elles encore trop peu utilisées ? Comment vulgariser les procédés de chiffrement pour les rendre
compréhensibles par les responsables de traitement ? Quels sont les logiciels dont on peut disposer ? Quels sont leurs avantages, leurs
inconvénients ? Venez trouver des réponses grâce à des études de cas pratiques : je veux envoyer un mail chiffré, je veux crypter un document, je
veux protéger mes fichiers dans le nuage. Alors, si vous voulez vous ouvrir de nouvelles perspectives, appréhender votre environnement
technologique et gagner en autonomie, venez nous rejoindre dans cet atelier sans oublier de méditer la citation de Bruce Schneier : "Le sécurité est
un processus, pas un produit" !
•
Quelle organisation « Informatique et Libertés » mettre en place au sein des groupes français d’envergure internationale ? – Armande BRU
consultante-juriste Devoteam, Catherine ENGLERT, Consultante et CIL Devoteam
Comment les grandes entreprises internationales abordent-elles la conformité Informatique et Libertés au regard des différentes législations
locales ? Comment s’organisent-elles ? Quels impacts pourrait avoir le futur règlement sur cette organisation, et notamment sur le rôle du
CIL/DPO ? Certains groupes anticipent-ils les nouvelles obligations qui leurs incomberont ? Ont-ils participé aux amendements ? Le CIL français
risque-t-il de perdre son leadership au profit de son collègue allemand, britannique ou belge ?
•
Quantified self, Réseaux sociaux de santé et Télémédecine : Quelle conformité « Informatique et Libertés » ? – Benoit LOUVET, Avocat au
Barreau de Paris et Eric CHARIKANE, Consultant indépendant, représentants du Groupe AFCDP « Données de santé »
Qu'est-ce que le Quantified self ? Qu'est-ce que les Réseaux sociaux de santé ? Quelle est la limite entre les données de bien ou de performances
sportives et les données de santé ? Quelles précautions prendre pour éviter les détournements de finalités ? Quels risques face à l'agrégation de
données issues du Quantified self ?
8e Université AFCDP des Correspondants Informatique & Libertés
27 janvier 2014 ~
Paris
•
Ils savent des choses sur nous-mêmes que nous ignorons encore : Prédictibilité et Big Data – Dr Rand HINDI, PhD, SNIPS
Selon certains, grâce à l'analyse des données, une banque américaine prévoit les divorces deux ans à l'avance… une chaine de magasins adresse
des offres concernant des produits pour femmes enceintes à un père de famille ...jusqu'à ce que celui-ci apprenne la grossesse de sa fille... les
moteurs de recherche anticipent les questions que nous allons leur poser... les acteurs de la géolocalisation se disent capable de prévoir notre
position du lendemain… la police concentre ses patrouilles sur les lieux d’un probable crime… On se partage entre enthousiasme et inquiétude :
Quid des décisions automatiques ? Quid des biais et des erreurs ? Jusqu’où cela ira-t-il ? Que se passera-t-il quand les données seront capables
d’identifier des individus dangereux avant même qu’ils n’aient commis de crimes ? Comment utiliserons-nous les prédictions issues des
algorithmes ? Le développement des Big Data fait-il peser une menace non seulement sur notre vie privée, mais également sur notre liberté et notre
dignité ?
•
Organiser la sécurité par la systémique et exemple de mise en pratique dans un grand organisme public belge, la STIB (transports publics
de Bruxelles) - Eric GHEUR, Membre de la Commission belge de protection de la vie privée, Administrateur-gérant de Galaxia
Les nombreuses publications sur la sécurité découlent de principes organisationnels essentiellement analytiques. Pourtant les paradigmes actuels
de l'organisation reposent sur des principes systémiques. L'exposé vise à montrer comment la systémique modifie la conception de l'organisation de
la sécurité et en améliore significativement l'efficacité, notamment en ce qui concerne le respect des libertés fondamentales des usagers. Les
quelques éléments théoriques exposés seront traduits dans la pratique et ensuite illustrés par un exemple vécu à la STIB, la Société des Transports
Intercommunaux de Bruxelles.
•
RSSI et CIL : Amis ou ennemis ? - Philippe SALAÜN, CIL et responsable de la Gestion de crise - CNP Assurances
Amis bien sûr... mais il convient d'aller plus loin. Quelles sont les différences et les similitudes entre les deux métiers ? Sur quels sujets ces deux
professionnels doivent-ils absolument coopérer ? Comment arbitrer une éventuelle divergence de vue concernant la sécurisation des données
personnelles ? Est-il réellement possible d'être CIL et RSSI en même temps ?
•
Délégation de service public, une gouvernance renouvelée – Gurvan QUENET, CIL et RSSI de la CUB, Communauté Urbaine de Bordeaux
La délégation de service public est un contrat par lesquels une personne morale de droit public confie la gestion d’un service public dont elle a la
responsabilité à un délégataire public ou privé dont la rémunération est substantiellement liée au résultat d’exploitation du service. En matière de
conformité Informatique et Libertés, quels sont les devoirs et les responsabilités du délégant et du délégataire ? Que convient-il d'intégrer dans la
convention ? Qui est responsable de traitement et qui porte le "risque" Informatique et Libertés ? Le délégant peut-il avoir accès aux données
personnelles ?
•
Le CIL et les syndicats 2.0 : garant d’un droit personnel face à des revendications collectives – Bertrand LAPRAYE, CIL d’Alcatel Lucent
Les données personnelles, leur protection, sont devenues l’objet d’un vaste débat de société qui concerne les activités des salariés dans toutes leurs
facettes. Pour répondre à cette évolution et aux frontières du droit social, les organisations syndicales ont parfois la tentation « d’instrumentaliser »
les normes de protection des données personnelles. Comment le CIL doit-il s’adapter pour remplir ses missions de garant d’une liberté individuelle
et tracer les frontières avec des droits collectifs revendiqués mais pas toujours légitimes ? Cette question est à l’ordre du jour avec la RH dans le
Cloud, les réseaux sociaux publics et d’entreprise et les équipes virtualisées globales.
•
Les objets connectés – Anne PILLIAS, Directrice Juridique et CIL de Teleperformance France, Fabienne VILLARS, CIL de Renault
Google Glass, plantes qui twittent pour demander de l’eau, réfrigérateurs intelligents, boitier fixé sur la serrure et qui peut être actionné à distance
via une application mobile, balance Withings, pilulier intelligent, boîte aux lettres qui vous prévient du passage du facteur, etc. Les « objets
intelligents » connectés à Internet s’imposent à nous. Quels risques pour la vie privée et quelles précautions prendre ?
•
Identité électronique, authentification, signature : facteurs de confiance ? – Amandine JAMBERT, Expert technique, CNIL
L’Europe est sur le point d’adopter un Règlement… qui vise à instaurer un cadre qui permettrait l’apparition de systèmes d’identification
électronique – dont certains pourraient être dédiés à des secteurs d’activité– voire d’authentification et de signature électronique. Le projet ne
prévoit pas la création d’une identité électronique européenne mais la reconnaissance mutuelle des dispositifs agréés par les autres etats membres.
Quelle sera l’autorité de contrôle chargée de la régulation de ce périmètre ? Les solutions apparaitront-elles assez rapidement avant que ne
s’imposent d’autres modes d’identification « molles », comme ceux proposées par les réseaux sociaux ? L’intervenante, qui prend part aux travaux
du groupe Article 29 au nom de la CNIL, nous dévoilera les points d’achoppement et de débats, mais aussi les espoirs que suscite ce texte.
•
Qu'implique le RGS (Référentiel Général de Sécurité) en termes de mise en œuvre au sein d'une collectivité ? – Olivier KOEGLER,
Responsable Ingénierie informatique et Sécurité de la Communauté urbaine de Strasbourg
Le Référentiel Général de Sécurité (RGS) définit un ensemble de règles de sécurité qui s'imposent aux autorités administratives dans la sécurisation
de leurs systèmes d’information et en particulier dans le cadre des téléservices de l'administration électronique. Il propose également des bonnes
pratiques en matière de sécurité des systèmes d’information que les autorités administratives sont libres d’appliquer. Comment implémenter les
recommandations du RGS ? Les prestataires doivent-ils le respecter ? Que comprendra la prochaine version du RGS ? Que peuvent retirer les
organismes du secteur privé du RGS pour la sécurisation de leur propre SI ?
•
Le Safe Harbor, un instrument chahuté, et autres actualités sur les flux transfrontières – Pascale GELLY, Avocate, Cabinet Gelly
L'actualité des transferts Internationaux de données personnelles est particulièrement riche ces derniers mois, avec la remise en cause du Safe
Harbor : que nous concoctent les institutions européennes ? Cet atelier sera également l’occasion de faire un point d'étape sur les BCR et les
nouvelles modalités de déclaration des transferts de données auprès de la CNIL (nouvelle annexe transferts).
Fin des Ateliers vers 17h45.
Le programme est susceptible de subir quelques modifications dont seraient informées au préalable les personnes inscrites.
Les participants sont informés qu’ils sont susceptibles de figurer sur des photographies (plan général de la salle) qui seraient prises à l’occasion de cette
manifestation pour en illustrer le compte-rendu (publié sur le site de l’AFCDP ou par voie de Presse) et en acceptent le principe.
Cette manifestation bénéficie du soutien des sociétés ISEP Formation Continue, Devoteam, IBM France, BRM Avocats, Cabinet Cilex, SoLocal Group, Carac,
Rever, Actecil.
Le lieu de la conférence est situé à quelques pas de la station de Métro Mairie d’Issy (Ligne 12, celle qui dessert la gare Montparnasse et la gare Saint-Lazare) :
Palais des Congrès d’Issy les Moulineaux - 25 avenue Victor Cresson - 92130 Issy les Moulineaux. Le parking public le plus proche est celui de la Mairie.
Supports de présentation : Les supports de présentation utilisés lors de la conférence seront publiés au sein d’AGORA AFCDP quelques jours après la
manifestation. Les opinions exprimées par les intervenants lors de la conférence ne sont pas celles de l’AFCDP.
Wifi : Chaque participant bénéficie d’un forfait de quatre heures de connexion. Les codes seront affichés dans la Palais des congrès.
Twitter : Nous avons ouvert une conversation sur #afcdp2014