Conformite et vie privee : paradoxe ou paradigme de la cybersécurité ?

1.      A l’Est, du Nouveau

1.1       Le Projet de PIPL

La Chine est aujourd’hui (avec l’Inde), le plus grand entrepôt de données transfrontalières du monde tout en étant le plus grand exportateur de la ressource devenue la plus précieuse de la planète.

Si les données constituent l'or de la nouvelle décennie, il est temps de comprendre les complexités qui entourent les silos de données et le monde réglementé que cette nouvelle ruée a engendré.

L'année marquée par la pandémie et une humanité "à l'abri chez elle" a été jalonnée de décisions et de documents clés sur la réglementation des données, dans des zones géographiques stratégiques, clé d'un nouvel ordre mondial.

En novembre 2020, la Chine a présenté un projet de loi sur la protection des informations personnelles (PIPL) visant à mettre en place un régime structuré de gouvernance des données et de la vie privée. Aucun calendrier de mise en œuvre n’est encore décidé, laissant planer l’insécurité juridique pour les entreprises et conférant un pouvoir discrétionnaire au gouvernement chinois.

Le projet de PIPL propose des sanctions importantes en cas de violations graves, notamment des ordonnances de rectification, la confiscation des gains illégaux, la suspension de l'activité, la révocation des licences d'exploitation et des amendes pouvant atteindre 50 millions RMB (environ 7,6 millions USD) ou cinq pour cent du chiffre d'affaires de l'année précédente. Les personnes chargées de la protection des informations personnelles seront également soumises à des sanctions pouvant aller jusqu'à 1 million de RMB (environ 153 200 dollars US).

Il soulève des points clés liés à la sécurité nationale par rapport à l'économie mondiale, à l'interdiction des contrôleurs et des processeurs de données étrangers, et à l'utilisation d'entreprises ou d'investissements chinois comme liens économiques avec des souverains internationaux, les menaçant ainsi d'actions réciproques en cas de décisions ou de menaces défavorables.

La PIPL a beaucoup emprunté au Règlement général sur la protection des données (RGPD) de l'Union européenne (UE) et comporte des dispositions qui donnent à la police numérique de Pékin une portée qui dépasse ses frontières physiques.

Elle permet également à la Chine de contrôler strictement les flux de données en provenance de son territoire, avec des sanctions et des interdictions éventuelles à l'encontre des entités figurant sur la liste noire.

1.2       Les Arrêts Schrems II

Dans le même temps, une décision de la Cour européenne de justice a mis à mal les dispositions du Privacy Shield, un cadre juridique qui guidait les flux de données entre les États-Unis et les pays de l'UE. Cette décision historique a des conséquences importantes pour des milliers d'entreprises qui partagent actuellement des millions de dollars de données avec les États-Unis.

L'UE a également publié une première série de mesures dans le cadre de la loi sur la gouvernance des données afin de "favoriser la disponibilité des données à utiliser en augmentant la confiance dans les intermédiaires de données et en renforçant les mécanismes de partage des données". Cette loi comporte des lignes directrices et des références ambiguës sur les transferts internationaux de données, les demandes d'accès de pays tiers et les dispositions visant à contrôler les données non personnelles. Tous ces éléments ont des limites qui viennent taillader le tissu existant du commerce et de la coopération mondiale.

2.      Le Nouvel Ordre Mondial des Données

2.1       Traçabilité à l’est et Transparence à l’ouest vont avoir des difficultés à cohabiter.

Jusqu’où va la transparence et où commence la violation de la vie privée et l’atteinte aux données personnelles ? Lorsqu’il s’agit de lutte contre la fraude, la transparence est celle des données financières des entreprises. Il s’agit certes de données sensibles au sens du business mais non au sens des droits des personnes.

Un exemple topique avec les données de santé est soulevé lorsque l’on parle de traçabilité concernant le développement du virus COVID : les données concernées sont celles d’une part des déplacements des personnes testées, de l’état de santé des personnes testées, des déplacements des personnes croisées par ces personnes, et on arrive rapidement à une violation de la vie privée et de la protection des données des personnes concernées, au sens occidental du terme.

Occidental. Le terme est ici capital : selon une étude des législations sur une cinquantaine de pays dont certains ne possèdent pas de loi sur la protection des données, toutes possèdent une règlementation sur la vidéosurveillance, l’accès aux données collectées, la durée de la collecte, l’objectif plus ou moins flou de la collecte. Les régions ayant répondu le plus rapidement au développement du virus sont celles où la liberté d’aller et venir librement est la plus contrainte et la plus surveillée par le gouvernement : Corée, Chine, Hong-Kong, Taiwan, Singapour.

La question a été et est encore débattue des limites de l’accès à ces données s’il convient de les collecter pour endiguer efficacement l’épidémie.

La question qu’il convient de se poser est celle de la sécurité de ces données : comment ne pas craindre des fuites massives alors que nombre de serveurs, y compris pour le prochain sommet des Nations Unies se fait sous l’égide de TenCent, le géant chinois, dont les fuites en matière de cybersécurité n’ont pas échappé à la presse étrangère.

La transparence a un corollaire très strict : la sécurité.

Avons-nous aujourd’hui le niveau de sécurité et les standards nécessaires afin de les faire appliquer à un niveau aussi large ?

2.2       Cette question amène bien sûr la question des conflits de normes.

Nous avons des normes concernant la protection des données et ce qui constitue des données sensibles en Europe. Les Etats des Etats-Unis en ont également, plusieurs, non fédérées. Le Moyen-Orient, la Russie, le Japon, la Chine, l’Inde, l’Australie et la Nouvelle-Zélande pour ne citer qu’eux, en ont également. Les Philippines, la Malaisie en prennent. Un certain nombre de pays d’Afrique commencent à travailler sur ces questions sur les modèles européens. Les pays d’Amérique Latine sur les modèles californiens.

Les règlements sur la protection des données s’appliquent selon certains pays à leurs citoyens (le RGPD notamment), à leurs résidents (le CCPA), aux données traversant leur territoire (la Chine, la Russie et en matière de lutte contre la fraude l’Inde).

Un exemple pratique : Imaginons maintenant que, citoyenne européenne, je sois pour des raisons de travail, résidente californienne et que je doive me rendre en Chine ou en Russie ou en Inde pour un contrat.

La Chine m’appliquera sa loi : je lui dois toutes mes données puisque je suis sur son territoire, en cas de fuite de ces données, le département de la justice californien me permettra d’assigner l’entreprise chinoise fautive devant ses tribunaux, et le RGPD, me permettra d’assigner cette même entreprise devant les tribunaux de mon pays européens et de porter plainte afin d’obtenir une sanction.

Comment imaginer de manière réaliste la possibilité d’exécuter une telle situation ?

 En Conclusion :

 La solution ne sera pas juridique avant très longtemps. Le retour d’expérience sera long et douloureux mais il devra passer par des accords bilatéraux ou multilatéraux si possible dont la crise actuelle ne rendra pas la négociation aisée.

 Les fraudeurs et hackeurs ne sont pas limités par les lois. Les Etats ne sont pas tenus par les lois des autres états, la question de l’extraterritorialité des lois se heurtant au pragmatisme dans sa mise en œuvre.

La lutte contre la fraude devrait-elle passer par la lutte contre la transparence afin de protéger les données ? Un paradoxe qui pourrait bien être le nouveau paradigme de l’ère cyber au sein de laquelle nous voyageons désormais.

 

 

 

China experience: compliance & Privacy with ACFE

#compliance et #transparence en #Chine

#Webinar #ACFE avec la spécialiste Laure G. DERON et moi-même, animé par Francis Hounnongandji,CFA, CFE

14 mai à 15h
Inscriptions contact@acfe-france.fr

How many Privacy Lawyers does it take to change a Private Lightbulb?

Digital Transformation: Privacy as an opportunity of Success

PREAMBLE

Companies’ digital transformation has taken place without anyone fully being prepared for it or even realizing it was taking place. A start-up offers an idea, digital marketing grows, more developers are hired in the IT department and the legal department that used to handle commercial contracts now has to negotiate IT contracts and then protect the employee, customer and supplier data.

Are companies equipped to deal with the real issues?

Do the management teams even really know what the challenges are?  

These are the questions raised by the definition of the key role of the Data Protection Officer or DPO, created by the EU General Data Protection Regulation. If a company today wishes to be in compliance with the GDPR, or with any of the 130 other data protection regulations that have come into force since 2016, it must be able to succeed in this digital transformation and therefore its recruitment of the right DPO.

   I.    I.  What is a DPO?

A.   The DPO has strong powers

According to the GDPR, a DPO benefits from professional secrecy and independence. He/She reports to the highest level of management in the group, manages an independent budget in relation with the risks he/she has to manage and has the proper resources to monitor the risks and guaranteeing that sufficient organizational and technical security measures are in place to protection the personal data controlled and/or processed by the Company.

B.   The DPO is Protected from Termination

In addition to such high-level benefits, which make him/her a member of the company executive committee, he/she is protected against termination of contract caused by performing these duties. And, he/she cannot be delegated any powers or liability in connection with data protection as this is to remain the only responsibility of the Controller, i.e., the Company management to make the decisions that will in the end entail or protect the Company from the financial or criminal sanctions involved by the various legislation in force.

What does the DPO do to deserve such a favorable treatment? Basically, he/she is the representative of the governmental/supervisory privacy authority within your company. An independent monitor of sort that companies are compelled to appoint notwithstanding any legal sentence for lack of compliance.

.      I.  What does a DPO do?

A.   A Metamorphic role

The DPO is an expert in data protection, which does not say much.  He/she may have a legal or IT background.

•  The DPO is also able to identify the risks and have them mapped like a compliance officer.
• The DPO is delivery manager, a team leader and a project manager.
• The DPO is a contract negotiator and must know how to draft policies that are both flexible and simple.
• The DPO must train and raise awareness about data privacy within the company.
• The DPO monitors regulatory changes inside and outside the EU as the regulation protects people not countries.
• The DPO manages claims from data subjects and make sure their claims are addressed in due time.
•  The DPO makes sure that organizational and technical cybersecurity measures are in place to protect personal data.
• The DPO annually audits the organization compliance with the regulations it must comply with from a data protection perspective.
• The DPO is the natural contact of the governmental or supervisory privacy authority.

B.   A Transversal Role

Companies seem to have failed to take into account the size and significance of the missions assigned to the DPO.

DPOs I have met are generally IT or commercial lawyers who have taken on the role and navigate it with the support of outside consultants and lawyers.  Some are CISO with a project management and compliance background, mostly in US companies.

To properly accomplish these missions, the DPO must be both a people and a paper person. He/she must be autonomous and not afraid to take positions that may not please the business.

The people person role will help the DPO to work with the various functions involved in the data protection: Human Resources, Information Technologies, Marketing are the obvious ones. But Sales and Retails directions, sustainability, finance and innovation must also be involved.

The paper person role will manifest in the policies that should be applicable without having to be explained and flexible enough to adapt to the various changes the company will have to make along the year for compliance with laws and for business security.

Conclusion

There is one professional that is independent, autonomous, a project manager, a people and paper person, used to professional secrecy and naturally protected from termination. There is a professional who has long been working along the parameters of what the GDPR prescribed.

The independence of this professional may however come into conflict with the need to actually be within the company, to work in it, with its many directions and services and not monitor from afar.

A Privacy Lawyer who would be seconded in the company first as a project manager, then as a DPO and who could have someone from his/her firm monitor and follow-up any privacy issue, used to negotiate contracts and to have technical discussions with experts as well as working in an international environment and governmental authorities.

In the same way as the regulator he/she represents, the DPO will determine for each company, a referential corresponding to each data processing and based on each data processing purpose: e.g., Human Resources Management, Customers Management, Suppliers Management.

For each data processing which meets the conditions set in the corresponding referential, and provided other conditions set by applicable local legislation are met as well, no specific privacy impact assessment will be needed, only basic details for data mapping. For all others, a Data Protection Impact Assessment will be implemented.

This process, this DPO, this Privacy Professional is the key to successfully accompany your business and the management into its digital transformation.