Pendant que sa présidente participait aux négociations du Safe Harbor à Bruxelles, Edouard Geffray, secrétaire général de la Cnil, a répondu aux questions des nombreux participants à l’Université de l’AFCDP (Association Française des Correspondants à la Protection des Données à Caractère Personnel) qui a eu lieu hier à la Maison de la Chimie à Paris. 

Franc, direct, sans langue de bois : Edouard Geffray, le jeune secrétaire général de la Cnil, n’a éludé aucune des questions que se posaient les nombreux Correspondants Informatique et Libertés (plus de 400 CIL présent)  à l’Université de l’AFCDP sur l’entrée en vigueur du règlement européen, le statut du futur DPO (Data Protection Officer) que le règlement prévoit de rendre obligatoire dans les entreprises publiques et les entreprises qui traitent de données « sensibles » : autrement dit, un très grand nombre. Rappelons que ce règlement vient d’être adopté et doit rentrer en vigueur dans deux ans. « Deux ans, c’est à la fois beaucoup et très peu » précise Edouard Geffray. « En tout état de cause », reprend-t-il à l’intention des CIL présents, « vos entreprises et organisations doivent prendre les devants. Il ne faut pas se réveiller la veille ». Beaucoup de questions ont été posées, notamment celle de la nécessité de nommer un ou plusieurs DPO si l’établissement concerné possède des filiales à l’étranger. « Le règlement ne tranche pas », précise Edouard Geffrey, mais « il semblerait normal que la logique du guichet unique s’applique ». Ce qui reviendrait à nommer un DPO par établissement principal.

Le DPO ne sera pas un salarié protégé

En matière de statut, si le règlement ne définit pas à proprement dit de « profil » du DPO, notamment en matière d’heures de formations nécessaires, soit en droit, soit en informatique, il est prévu de travailler sur un « référentiel » qui donne quelques pistes pour le profil du futur DPO. Par contre, il ne sera pas un salarié protégé, comme peut l’être actuellement un délégué du personnel en France. « La logique, souligne Edouard Geffray, est de capitaliser sur ce qui a déjà été fait avec les CIL, qui seront naturellement appelés à être les DPO de demain», qui reconnaît que les questions posées sont nombreuses : un bouton de demande d’aide et de question mis en place pour les CIL sur le site de la Cnil a reçu ainsi plus de 1000 questions depuis juillet 2015. 

En ce qui concerne le règlement européen et son articulation avec la loi pour une République numérique qui vient d’être adoptée le 26 janvier avec une écrasante majorité en première lecture par l’Assemblée nationale, précisons que, sur le territoire français, la loi s’applique tant que le règlement n’est pas entré en vigueur : autrement dit, les sanctions de 2% du chiffre d’affaires ou de 10 millions d’euros (calculées du montant de sanctions le plus élevé) seront appliquées sur le territoire français, tant que le règlement européen n’est pas entré en vigueur : au printemps 2018, c’est le règlement qui s’appliquera : précisons que dans le règlement, le montant de sanctions prévu est de 4% du chiffre d’affaires mondial, ou de 20 millions d’euros.

Un éventuel Safe Harbor II ? 

Enfin, suite à l’invalidation du Safe Harbor par la Cour de Justice de l’Union Européenne le 6 octobre dernier, et partant du fait que les entreprises européennes avaient besoin d’une période de transition pour s’adapter et d’un cadre juridique visible pour les échanges de leurs données, le G29 (groupe des autorités de régulation européennes) avait donné jusqu’au 31 janvier prochain aux autorités européennes et américaines pour s’entendre sur un éventuel Safe Harbor II. De plus, le G29 doit discuter les 2 et 3 février prochain à Bruxelles si les autres outils de transfert de données, c’est-à-dire les BCR (Binding Corporate Rules, voir Mag-Securs n° 49) et les clauses contractuelles types pouvaient être utilisés en alternative. 
Une conférence de presse sur les négociations est organisée le 3 février à Bruxelles. 





Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 143639
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI