Accueil
Envoyer
Imprimer
Partager
J'ai assisté au congrès sur les données personnelles organisé par l’IAPP Europe (International organisation of privacy professionals) les 13, 14 et 15 novembre, qui après deux années à Paris s’est tenu cette fois-ci à Bruxelles. Cet évènement rassemble aussi bien des « compliance officers » américains que les CIL, RSSI ou juristes et avocats spécialisés européens mais aussi les représentants des différentes autorités de protection des données personnelles. Parmi les intervenants, la CNIL était particulièrement bien représentée à la fois en nombre et en la personne de sa présidente, Mme Falque Pierrotin. Les institutions européennes (le Parlement, la Commission et le G29) et l‘EDPS, autorité européenne des données personnelles, ont aussi envoyé certains de leurs représentants les plus actifs et charismatiques.
Le droit des données personnelles étant en évolution permanente et touchant de façon transversale toutes les activités économiques, les sujets d’intérêts sont nombreux. Mais bien évidemment celui qui a été au centre des discussions est le projet de règlement européen. Ce projet est à la fois attendu et redouté. Il représente enfin l’espoir d’une harmonisation des règles, absolument indispensable dans un monde où les données ne sont plus cantonnées à l’intérieur des frontières de chaque pays. D’un autre côté le texte semble à certains trop prescriptif et, bien que très détaillé, pas adapté à toutes les situations ni à l’évolution technologique.
Avec autant de participants le débat est resté relativement général mais voici quelques informations glanées pour vous:
- Il s’agira bien d’un règlement, donc un texte directement applicable dans le droit des États membres, et non d’une directive
- Le règlement s’appliquera tant aux personnes publiques qu’aux personnes privées même si les États membres semblent montrer peu d’enthousiasme à cette idée
- Il est indissociable du projet de directive (bien moins connu et parfois oublié, mais pourtant essentiel) sur les traitements relatifs de prévention et de détection des infractions pénales, d’enquêtes, de poursuites et de procédure judiciaire connexes
- Le calendrier devrait permettre de présenter une nouvelle version cet été, mais il se peut que des retards résultent de la règlementation de la sphère publique et policière
- Le principe du « one stop shop »ou point de contact unique reste maintenu : tout le monde s’accorde à dire, la CNIL y compris, que c’est une bonne chose pour simplifier les formalités. En revanche, les critères d’identification du pays de « l’établissement principal » d’un groupe sont à élargir. Par ailleurs, il faut clarifier le rôle de « l’autorité de contact » dans le cadre d’infractions touchant plusieurs pays ou de plaintes de personnes vivant dans d’autres pays que celui de l’autorité de contact. L’équilibre et la collaboration avec les autres autorités reste à définir plus précisément. En dernier lieu, pour éviter le forum shopping, ce n’est pas au groupe de « choisir » le pays où se trouverait sont « principal établissement » mais aux autorités de le déterminer
- Un débat est clairement apparu sur la question de l’«accountabiliy » (responsabilité) : s’agit-il de règles flexibles dans lesquelles il faut piocher selon les caractéristiques de l’activité ou du traitement des données (c’est la position des intervenants du côté des sociétés) ou bien des règles à respecter et mettre en place de façon systématique (c’est la position des intervenants côté autorités) ?
- Un autre débat a porté sur les critères en fonction desquels un CIL devient obligatoire. Le chiffre de 250 employés correspond au seuil délimitant les PME et ne sera pas remis en question. Le critère plus délicat, mais néanmoins nécessaire, est celui du type de traitement (indépendamment du nombre de personnes).
- Le règlement devra inciter d’avantage à l’utilisation des données pseudonymisées même si elles resteront par définition des données personnelles
- Les évaluations d’impact (« impact assessment ») sont surtout nécessaires en cas d’évolution majeure des technologies ou introduction d’une nouvelle technologie (comme la reconnaissance faciale) et moins dans les autres cas
- L’ « intérêt légitime » du responsable de traitement, qui permet de légitimer un traitement de données, devra toujours avoir pour limite les droits fondamentaux des personnes (dont le droit à la protection des données qui est d’ailleurs devenu un droit constitutionnel). Pour certains cela crée une zone de flou et il faudrait y substituer une approche basée sur l’évaluation des risques (à savoir, tant qu’il n’y a pas de véritable risque, l’intérêt légitime du responsable de traitement peut prévaloir sur les droits des personnes). Mais cette approche a été réfutée : il faut des principes et leur respect est essentiel.
- Le consentement reste une exception pour légitimer les transferts internationaux
- Le fait que le système de certification américain du « Safe harbor » ne soit pas mentionné dans le règlement ne remet pas en question sa validité comme moyen sécurisant le transfert international
- Le montant des sanctions restera élevé.
- La question de l’indulgence (« leniency ») qui serait accordée par les autorités en cas de manquement, pour les sociétés qui ont mis en place un système de conformité et respectent les règles et les principes, n’a pas encore fait son chemin. Pourtant ses défenseurs sont convaincus que l’on y viendra (comme c’est déjà le cas dans le domaine du droit de la concurrence).
De façon plus générale :
- Il faut éviter que les personnes soient jugées sur une « prédiction » de leur comportement (surtout en matière de répression et prévention des infractions)
- Il faut éviter que les autorités puissent se servir impunément dans les fichiers du monde économique
- Il faut que les personnes puissent garder le contrôle de leurs données, surtout dans un contexte purement commercial, et que l’utilisation de leur données soit raisonnablement prévisible
- Si le besoin d’une règlementation se fait sentir aujourd’hui c’est pour lutter contre certains abus (et non pour le plaisir de légiférer) c’est le «privacy by disaster »
- Il ne faut pas cependant créer un frein à l’innovation
De façon plus pragmatique
- Il n’est plus temps de débattre sur les principes. Ceux qui veulent voir le projet de règlement modifié doivent présenter des amendements au texte.
- Il faut des lois véritablement efficaces. La directive imposant la rétention de données aux opérateurs de communication pour lutter contre le terrorisme représente un coût significatif pour l’industrie avec une utilité quasi nulle.
Et pour finir de façon plus optimiste :
- Le niveau de protection que la nouvelle réglementation va permettre d’atteindre deviendra un argument commercial voire un atout concurrentiel (comme l’est devenue la préservation de l’environnement et le développement durable)
Pour beaucoup la protection des données personnelles est un sujet d’importance mineure et barbant. Qu’ils ne s’y trompent pas, il représente un enjeu majeur. D’un côté les données ont une vraie valeur économique et la technologie permet de faire des choses extraordinaires qui vont révolutionner notre façon de vivre et de travailler ; d’un autre, la protection des données et de la vie privée est le garant de la liberté de l’individu.
--------------
IAPP Europe Congress on personal data
Posted: 06 Dec 2012 09:00 AM PST
I have returned from the Data Protection Congress on personal data organised by IAPP Europe (International Association of Privacy Professionals) held on 13, 14 and 15 November, which after 2 years in Paris took place this time in Brussels. The event brought together American and European compliance officers , IT security officers and specialised European lawyers, as well as representatives from the different data protection authorities. Among the speakers the CNIL was particularly well represented, both in terms of numbers and through the attendance of its President, Mrs Falque Pierrotin. The European institutions, i.e. Parliament, the Commission, WP 29 and EDPS (European Data Protection Supervisor), had also sent several of their most active and charismatic representatives.
Data protection law is in a constant state of evolution and ties in with all economic activities, so there were presentations and discussions on a variety of interesting topics. But clearly at the heart of discussions is the draft European Regulation. This Regulation is both wished for and dreaded. It represents a much-needed harmonisation of rules, in a world where data is no longer confined within national borders. However, the text appears too prescriptive and, despite being very detailed, concerns have been expressed that it is not suited for each and every situation, nor for technological evolution.
With so many participants the debate remained relatively general, but below are some points gleaned for you:
- It has been confirmed that this will be a “regulation”, therefore directly applicable in the law of Member States, and not a directive
- The Regulation will apply equally to public persons and private persons, even if the member States seem to show little enthusiasm for this idea
- It is intrinsically linked with the draft Directive (much less notorious and often forgotten, but nevertheless essential) on the processing of personal data for the purposes of prevention and detection of criminal offences, enquiry, proceedings and related legal procedure
- The work in progress should allow for an amended version of the Regulation to be published this summer, but it could be that delays arise from regulating the public and policing domain
- The one-stop-shop principle will remain in the Regulation: everyone, including the CNIL agrees that it is a good thing to have a single point of contact for formalities. However, there should be additional criteria for determining the “principal establishment” of a group (similar to those used for defining the lead country for BCR approval). Additionally, the role of the so called “lead authority” must be clarified in the context of offences that affect several countries or complaints from people living in countries other than that of the lead DPA. The balance and collaboration with other EU DPAs is yet to be defined more clearly. Finally, to avoid any forum shopping it is not up to the Group to “choose” the country of its “principal establishment” but up to the authorities to determine where this principal establishment effectively lies.
- A debate has clearly emerged on the issue of accountability; are the relevant rules for accountability to be considered as a flexible set of rules, whose use will vary depending on the specificities of the business or the processing in question (position favoured by the stakeholders), or are they rules to be followed and implemented in a systematic way (position favoured by the authorities)?
- Another debate concerned the criteria based on which a Data Protection Officer becomes obligatory. The figure of 250 employees corresponds to the threshold indicating an SME and will not be re-evaluated. The more delicate and fundamental issue is the type of processing in question, regardless of the number of persons.
- The Regulation must incentivise greater use of “pseudonymised” data, even if it would still remain, by definition, personal data
- Impact assessment is particularly necessary in the event of major technological evolution or introduction of new technology (such as facial recognition), but less so in other situations.
- The “legitimate interests” of the data controller, which can legitimise processing, must always be overridden by the data subject’s fundamental rights, which are now enshrined in constitutional law. For some this balance between the conflicting interests of the data controller and data subjects creates a grey area and more legal uncertainty; they would prefer a risk based approach (i.e. as long as there is no real risk the legitimate interest should prevail over the data subject’s rights). But this approach has been refuted; there must be principles and respecting them is essential.
- Consent remains an exception in order to legitimise international transfers
- The fact that “Safe Harbor” is not mentioned in the Regulation does not call into question its validity as a means to legitimise and safeguard an international transfer of data
- Financial sanctions will remain high
- The issue of leniency for those who are generally compliant with the data protection rules, and in particular the accountability principles, has not yet been elaborated but its supporters are convinced that it will, and should be, an accepted principle (as is already the case in anti-trust law).
More generally
- Judging individuals on a prediction of their behaviour must be avoided (especially when it comes to prevention of crimes or intelligence)
- Authorities digging into and using with impunity the files of private businesses must be avoided
- Individuals must be able to retain control over their data, particularly in a purely commercial context, and the use of their data must be reasonably foreseeable
- If there is a need today for the Regulation, it is because this is become necessary to respond and fight against existing abuses (and not for the pleasure of legislating). It is “privacy by disaster”
- The Regulation must not, however, constitute a restraint on innovation
On a pragmatic note
- It is no longer the time to be debating on principles. Those asking for changes will need to present in writing actual proposed amendments to the Regulation
- Truly efficient laws are needed. The Data Retention Directive requiring communications operators to retain data to combat terrorism represents a significant cost for industries with little or no utility.
And finally on a more optimistic note
- Regulation and the level of protection it will bring will become a commercial factor and a competitive asset (just as with sustainable development and environmental protection).
For many people data protection is a tiresome subject of minor significance. They are, however, much mistaken – it represents a major issue. On the one hand it has real economic value and technology has enabled extraordinary things to be achieved that will revolutionise our way of living and working. On the other hand, data protection and the right to privacy represent the safeguarding of our personal freedoms, so that individuals do not become “things”.
La Revue est une publication Squire Sanders | Avocats Paris
www.ssd.com
Le droit des données personnelles étant en évolution permanente et touchant de façon transversale toutes les activités économiques, les sujets d’intérêts sont nombreux. Mais bien évidemment celui qui a été au centre des discussions est le projet de règlement européen. Ce projet est à la fois attendu et redouté. Il représente enfin l’espoir d’une harmonisation des règles, absolument indispensable dans un monde où les données ne sont plus cantonnées à l’intérieur des frontières de chaque pays. D’un autre côté le texte semble à certains trop prescriptif et, bien que très détaillé, pas adapté à toutes les situations ni à l’évolution technologique.
Avec autant de participants le débat est resté relativement général mais voici quelques informations glanées pour vous:
- Il s’agira bien d’un règlement, donc un texte directement applicable dans le droit des États membres, et non d’une directive
- Le règlement s’appliquera tant aux personnes publiques qu’aux personnes privées même si les États membres semblent montrer peu d’enthousiasme à cette idée
- Il est indissociable du projet de directive (bien moins connu et parfois oublié, mais pourtant essentiel) sur les traitements relatifs de prévention et de détection des infractions pénales, d’enquêtes, de poursuites et de procédure judiciaire connexes
- Le calendrier devrait permettre de présenter une nouvelle version cet été, mais il se peut que des retards résultent de la règlementation de la sphère publique et policière
- Le principe du « one stop shop »ou point de contact unique reste maintenu : tout le monde s’accorde à dire, la CNIL y compris, que c’est une bonne chose pour simplifier les formalités. En revanche, les critères d’identification du pays de « l’établissement principal » d’un groupe sont à élargir. Par ailleurs, il faut clarifier le rôle de « l’autorité de contact » dans le cadre d’infractions touchant plusieurs pays ou de plaintes de personnes vivant dans d’autres pays que celui de l’autorité de contact. L’équilibre et la collaboration avec les autres autorités reste à définir plus précisément. En dernier lieu, pour éviter le forum shopping, ce n’est pas au groupe de « choisir » le pays où se trouverait sont « principal établissement » mais aux autorités de le déterminer
- Un débat est clairement apparu sur la question de l’«accountabiliy » (responsabilité) : s’agit-il de règles flexibles dans lesquelles il faut piocher selon les caractéristiques de l’activité ou du traitement des données (c’est la position des intervenants du côté des sociétés) ou bien des règles à respecter et mettre en place de façon systématique (c’est la position des intervenants côté autorités) ?
- Un autre débat a porté sur les critères en fonction desquels un CIL devient obligatoire. Le chiffre de 250 employés correspond au seuil délimitant les PME et ne sera pas remis en question. Le critère plus délicat, mais néanmoins nécessaire, est celui du type de traitement (indépendamment du nombre de personnes).
- Le règlement devra inciter d’avantage à l’utilisation des données pseudonymisées même si elles resteront par définition des données personnelles
- Les évaluations d’impact (« impact assessment ») sont surtout nécessaires en cas d’évolution majeure des technologies ou introduction d’une nouvelle technologie (comme la reconnaissance faciale) et moins dans les autres cas
- L’ « intérêt légitime » du responsable de traitement, qui permet de légitimer un traitement de données, devra toujours avoir pour limite les droits fondamentaux des personnes (dont le droit à la protection des données qui est d’ailleurs devenu un droit constitutionnel). Pour certains cela crée une zone de flou et il faudrait y substituer une approche basée sur l’évaluation des risques (à savoir, tant qu’il n’y a pas de véritable risque, l’intérêt légitime du responsable de traitement peut prévaloir sur les droits des personnes). Mais cette approche a été réfutée : il faut des principes et leur respect est essentiel.
- Le consentement reste une exception pour légitimer les transferts internationaux
- Le fait que le système de certification américain du « Safe harbor » ne soit pas mentionné dans le règlement ne remet pas en question sa validité comme moyen sécurisant le transfert international
- Le montant des sanctions restera élevé.
- La question de l’indulgence (« leniency ») qui serait accordée par les autorités en cas de manquement, pour les sociétés qui ont mis en place un système de conformité et respectent les règles et les principes, n’a pas encore fait son chemin. Pourtant ses défenseurs sont convaincus que l’on y viendra (comme c’est déjà le cas dans le domaine du droit de la concurrence).
De façon plus générale :
- Il faut éviter que les personnes soient jugées sur une « prédiction » de leur comportement (surtout en matière de répression et prévention des infractions)
- Il faut éviter que les autorités puissent se servir impunément dans les fichiers du monde économique
- Il faut que les personnes puissent garder le contrôle de leurs données, surtout dans un contexte purement commercial, et que l’utilisation de leur données soit raisonnablement prévisible
- Si le besoin d’une règlementation se fait sentir aujourd’hui c’est pour lutter contre certains abus (et non pour le plaisir de légiférer) c’est le «privacy by disaster »
- Il ne faut pas cependant créer un frein à l’innovation
De façon plus pragmatique
- Il n’est plus temps de débattre sur les principes. Ceux qui veulent voir le projet de règlement modifié doivent présenter des amendements au texte.
- Il faut des lois véritablement efficaces. La directive imposant la rétention de données aux opérateurs de communication pour lutter contre le terrorisme représente un coût significatif pour l’industrie avec une utilité quasi nulle.
Et pour finir de façon plus optimiste :
- Le niveau de protection que la nouvelle réglementation va permettre d’atteindre deviendra un argument commercial voire un atout concurrentiel (comme l’est devenue la préservation de l’environnement et le développement durable)
Pour beaucoup la protection des données personnelles est un sujet d’importance mineure et barbant. Qu’ils ne s’y trompent pas, il représente un enjeu majeur. D’un côté les données ont une vraie valeur économique et la technologie permet de faire des choses extraordinaires qui vont révolutionner notre façon de vivre et de travailler ; d’un autre, la protection des données et de la vie privée est le garant de la liberté de l’individu.
--------------
IAPP Europe Congress on personal data
Posted: 06 Dec 2012 09:00 AM PST
I have returned from the Data Protection Congress on personal data organised by IAPP Europe (International Association of Privacy Professionals) held on 13, 14 and 15 November, which after 2 years in Paris took place this time in Brussels. The event brought together American and European compliance officers , IT security officers and specialised European lawyers, as well as representatives from the different data protection authorities. Among the speakers the CNIL was particularly well represented, both in terms of numbers and through the attendance of its President, Mrs Falque Pierrotin. The European institutions, i.e. Parliament, the Commission, WP 29 and EDPS (European Data Protection Supervisor), had also sent several of their most active and charismatic representatives.
Data protection law is in a constant state of evolution and ties in with all economic activities, so there were presentations and discussions on a variety of interesting topics. But clearly at the heart of discussions is the draft European Regulation. This Regulation is both wished for and dreaded. It represents a much-needed harmonisation of rules, in a world where data is no longer confined within national borders. However, the text appears too prescriptive and, despite being very detailed, concerns have been expressed that it is not suited for each and every situation, nor for technological evolution.
With so many participants the debate remained relatively general, but below are some points gleaned for you:
- It has been confirmed that this will be a “regulation”, therefore directly applicable in the law of Member States, and not a directive
- The Regulation will apply equally to public persons and private persons, even if the member States seem to show little enthusiasm for this idea
- It is intrinsically linked with the draft Directive (much less notorious and often forgotten, but nevertheless essential) on the processing of personal data for the purposes of prevention and detection of criminal offences, enquiry, proceedings and related legal procedure
- The work in progress should allow for an amended version of the Regulation to be published this summer, but it could be that delays arise from regulating the public and policing domain
- The one-stop-shop principle will remain in the Regulation: everyone, including the CNIL agrees that it is a good thing to have a single point of contact for formalities. However, there should be additional criteria for determining the “principal establishment” of a group (similar to those used for defining the lead country for BCR approval). Additionally, the role of the so called “lead authority” must be clarified in the context of offences that affect several countries or complaints from people living in countries other than that of the lead DPA. The balance and collaboration with other EU DPAs is yet to be defined more clearly. Finally, to avoid any forum shopping it is not up to the Group to “choose” the country of its “principal establishment” but up to the authorities to determine where this principal establishment effectively lies.
- A debate has clearly emerged on the issue of accountability; are the relevant rules for accountability to be considered as a flexible set of rules, whose use will vary depending on the specificities of the business or the processing in question (position favoured by the stakeholders), or are they rules to be followed and implemented in a systematic way (position favoured by the authorities)?
- Another debate concerned the criteria based on which a Data Protection Officer becomes obligatory. The figure of 250 employees corresponds to the threshold indicating an SME and will not be re-evaluated. The more delicate and fundamental issue is the type of processing in question, regardless of the number of persons.
- The Regulation must incentivise greater use of “pseudonymised” data, even if it would still remain, by definition, personal data
- Impact assessment is particularly necessary in the event of major technological evolution or introduction of new technology (such as facial recognition), but less so in other situations.
- The “legitimate interests” of the data controller, which can legitimise processing, must always be overridden by the data subject’s fundamental rights, which are now enshrined in constitutional law. For some this balance between the conflicting interests of the data controller and data subjects creates a grey area and more legal uncertainty; they would prefer a risk based approach (i.e. as long as there is no real risk the legitimate interest should prevail over the data subject’s rights). But this approach has been refuted; there must be principles and respecting them is essential.
- Consent remains an exception in order to legitimise international transfers
- The fact that “Safe Harbor” is not mentioned in the Regulation does not call into question its validity as a means to legitimise and safeguard an international transfer of data
- Financial sanctions will remain high
- The issue of leniency for those who are generally compliant with the data protection rules, and in particular the accountability principles, has not yet been elaborated but its supporters are convinced that it will, and should be, an accepted principle (as is already the case in anti-trust law).
More generally
- Judging individuals on a prediction of their behaviour must be avoided (especially when it comes to prevention of crimes or intelligence)
- Authorities digging into and using with impunity the files of private businesses must be avoided
- Individuals must be able to retain control over their data, particularly in a purely commercial context, and the use of their data must be reasonably foreseeable
- If there is a need today for the Regulation, it is because this is become necessary to respond and fight against existing abuses (and not for the pleasure of legislating). It is “privacy by disaster”
- The Regulation must not, however, constitute a restraint on innovation
On a pragmatic note
- It is no longer the time to be debating on principles. Those asking for changes will need to present in writing actual proposed amendments to the Regulation
- Truly efficient laws are needed. The Data Retention Directive requiring communications operators to retain data to combat terrorism represents a significant cost for industries with little or no utility.
And finally on a more optimistic note
- Regulation and the level of protection it will bring will become a commercial factor and a competitive asset (just as with sustainable development and environmental protection).
For many people data protection is a tiresome subject of minor significance. They are, however, much mistaken – it represents a major issue. On the one hand it has real economic value and technology has enabled extraordinary things to be achieved that will revolutionise our way of living and working. On the other hand, data protection and the right to privacy represent the safeguarding of our personal freedoms, so that individuals do not become “things”.
La Revue est une publication Squire Sanders | Avocats Paris
www.ssd.com
Autres articles
-
La startup française, Multis s'abrite désormais au sein de l'entreprise suisse, Safe,
-
Mon Petit Placement se place auprès du grand public
-
Shine : les deux co-fondateurs passent la main à la direction de la fintech
-
Spendesk fait l’acquisition d’Okko pour mutualiser la gestion des achats et des dépenses
-
Deblock, néobanque crypto friendly, lève 12 millions d'euros
