Archives de Tag: CIL

Règlement européen sur la protection des données personnelles – article 14

image Le projet de règlement européen sur la protection des données personnelles est actuellement examiné par Bruxelles.

Dans ce document, on retrouve :
a) Les principes fondamentaux qui sont déjà inscrits dans notre législation,
b) Des précisions utiles sur certains points (sous-traitance, documentation, transferts vers des pays tiers, …),
c) Des principes nouveaux ou largement développés (consentement, informations à fournir aux personnes, droit à l’oubli, portabilité des données, profilage, privacy by design, notification des failles de sécurité, analyse d’impact, désignation du CIL, certification, …),
d) Des articles régissant les autorités de contrôle, le Comité européen de la protection des données, les sanctions administratives.

Examinons l’article 14 : « Informations à fournir à la personne concernée ».

Lorsque les données sont collectées directement auprès de la personne concernée, le responsable du traitement devra informer la personne :
– Des coordonnées du responsable du traitement, et le cas échéant, du CIL (Correspondant Informatique & Libertés),
– Des clauses contractuelles concernées, dans le cas où le traitement est fondé sur l’exécution d’un contrat,
– De la durée de conservation des données,
– Du droit de déposer une réclamation auprès de la CNIL,
– D’autres éléments déjà prévus dans la législation actuelle.
Lorsque les données ne sont pas collectées auprès de la personne concernée, le responsable du traitement devra en outre informer la personne de l’origine des données collectées.

Attention, ces évolutions sont importantes car elles impactent les processus et les systèmes d’information : il est donc nécessaire d’effectuer les analyses d’impact sans attendre. Les D&IM doivent le faire savoir !

Philippe SICARD
Consultant expert Informatique & Libertés

Publicités

Hadopi dans l’entreprise

La loi ne concerne pas que les ados en quête de musiques gratuites.
Trois photos piquées sur le web par un salarié, suffisent à interdire l’entreprise d’accéder à l’Internet !

Hadopi

HADOPI fait l’obligation à tout titulaire d’un accès à un service de communication en ligne, « de veiller à ce que cet accès ne fasse pas l’objet d’une utilisation à des fins de reproduction, de représentation, de mise à disposition ou de communication au public d’œuvres ou d’objets protégés par un droit d’auteur ou par un droit voisin ». Au terme de l’article L.331-25 du CPI, trois infractions suffisent à faire encourir l’entreprise la peine de suspension de son accès à l’Internet (L.335-7-1).

Le cas concerne ainsi, précise Maître Christophe Alleaume dans Le Journal du Management Juridique et Réglementaire N°27, P11, le téléchargement illicite d’œuvres, par trois fois répété, par un salarié sur son lieu de travail.

S’il est concevable que la gravité de l’infraction  puisse être mise en balance avec le caractère négligent ou pas, de l’employeur, le D&IM aura bien à l’esprit que l’utilisation abusive d’actifs tels les inventions, les articles de presse, les productions audiovisuelles ou de simples images piquées sur le web, fut-ce pour enjoliver un jeu de diapositives, est de nature à engager gravement et durablement le fonctionnement de l’entreprise.

Philippe BLOT-LEFEVRE
Coaching et Gestion du droit d’usage des informations

Conformité légale

imageL’ ADELI , association pour la maîtrise des systèmes d’information créée en 1978, publie une brochure sur la Conformité légale des SI que le D&IM et les membres de la Gouvernance dont ce dernier assure la coordinations horizontale, auront la bonne intuition de se procurer.

Huit pages synthétisent, schéma et tableaux à l’appui, le résultat opérationnel de quinze années de légiférassions françaises: Informatique et Liberté, HADOPI et HADOPI2, la LCEN et les deux LOOPSI ; quels sont les objets des textes, qui est touché et dans quelles mesures…

Ce document de travail est complété d’une enquête de 40 questions réparties en trois domaines principaux: juridique et législatif, qualité et sécurité des SI et entreprise et nouveaux outils.

Dans ce panel 57% des entreprises interrogées déclarent avoir un CIL (Correspondant Informatique et Liberté), ce qui est très au dessus de la moyenne nationale puisque la CNIL déclare 8262 CIL désignés dont 2219 en activité ; mais les réponses n’en sont que plus motivantes.

Voici quelques chiffres pour la mise en bouche :
 Qui assure la veille juridique dans votre entreprise ?  Près de 50% ne savent pas
 Comment-êtes-vous informé des obligations incombant à votre métier ?  19,67% répondent : « par le bouche à oreille ».
 Connaissez-vous les règles générales en termes de contrats informatiques ?  Partiellement à 52,46% !
 Cette connaissance est-elle indispensable  à l’exercice de votre métier ?  oui à 72 % !!!
 L’entreprise applique-t-elle une démarche de qualité ? Non ou ne savent pas : 56%
 
 Y-a-t-il un responsable de sécurité des SI ?  39% de oui
 Le connaissez-vous ?  39% de oui
 L’entreprise a-elle un référentiel sécurité ? Sans réponse et non-complété:  90,13 %
         
 Votre entreprise a-t-elle été sensibilisée à la sécurité des SI ? 24% de réponses favorables.
 etc.

Procurez-vous le document car les commentaires sont édifiants (ici).

Etre D&IM d’entreprise, c’est se situer au confluent d’une visée (où voulons-nous être demain ?) et d’un diagnostic de positionnement  (quel chemin parcourir pour cette destination ? ). Pour cela, il faut économiser les ressources (ne pas succomber aux embuches et améliorer la productivité) en ajustant compétences (humaines et d’entreprise) et ambitions stratégiques. Cet ajustement intervient à la croisée, bien connue du D&IM, des fonctions de transformation que sont la communication, la formation, l’organisation et le système d’Information.

Philippe BLOT-LEFEVRE
HUB2B
Coaching stratégique et Consultant DLM (Digital Legal Management)
Membre de l’Académie de l’Intelligence Economique

CIL: de la conférence du CLUSIF au D&IM

image Le 14 Octobre 2010, le Clusif (Club de la Sécurité de l’Information français) pose à nouveau la question du Correspondant Informatique et Liberté en l’abordant sous l’angle de “l’évolution et des bonnes pratiques du CIL” lors de l’une de ces conférences de partage d’information avec ses membres.

Logo CNIL

Après une introduction du président du Clusif, M. MOULIN Chef du service des CIL à la CNIL, rappelle les principales missions du CIL:
– Veiller au respect de la loi Informatique et libertés dans l’organisation;
– Dresser la liste des traitements mis en œuvre;
– Etre consulté avant la mise en œuvre des traitements;
– Recevoir tout requête des personnes concernées par les traitements;
– Répondre aux demandes d’accès de droit, de rectification et d’opposition;
– Mener les actions pédagogiques, les missions d’audits, les études de risque;
– Elaborer le code de conduite et veiller à son application.
M. Moulin rappelle aussi que le CIL est rattaché directement à la direction (il est interne à l’organisation dès que plus de 50 personnes participent au traitement) et qu’il exerce cette fonction en toute indépendance: protégé des sanctions et exerçant un responsabilité de droit commun.

La conférence permet ensuite à Mme CHOISY de la Direction Juridique d’Orange de témoigner sur la fonction du CIL, à M. CONNES d’HSC d’analyser le ROI de la nomination d’un CIL dans une organisation et enfin à Mme LEGRAS d’AREVA de préciser les missions du CIL et surtout son interaction avec les directions de l’organisation: Risk manager, Déontologue, Direction Générale, Direction informatique, Direction des Ressources Humaines, Formation,…

La conférence a parfaitement rappelé les obligations des organisations vis à vis de la fonction CIL. En revanche, elle a laissé ouverte à de nombreuses fonctions existante dans les organisations, le portage de la responsabilité. Or, toute personne avertie de la fonction D&IM conclura très vite que la fonction CIL doit être portée par le D&IM qui couvre la totalité des responsabilités du CIL et qui va plus loin dans la mission par la mise en œuvre d’une approche méthodologique structurée fondée sur les textes de la normalisation.

S’il y a fonction D&IM, il y a obligatoirement portage de la dim-192pfonction CIL conformément aux missions de celui-ci et au-delà, pour le bien des organisations, par les missions attribuées au D&IM (Voir profil D&IM).

Jean-Pierre BLANGER
Membre Aproged
Directeur R&D Ricoh