La deuxième session francophone dans le cadre du « Stay Tuned as a DPO » à Louvain-la-Neuve a été un succès. Même si le nombre des participants n’atteignait pas (encore) ceux des collègues néerlandophones à Gand et Malines, l’enthousiasme des étudiants n’était pas moins grand.
Aperçu de l’actualité juridique
Le matin, Florence de Villenfagne nous a donné un aperçu des actualités juridiques en ce qui concerne le RGPD. À l’aide de quelques statistiques, elle nous a montré que le nombre et les montants des amendes en Belgique n’étaient pas encore au même niveau que dans les autres pays européens. L’Autriche par exemple, avec une population inférieure à celle de notre pays, a vu le total des amendes atteindre 18 millions d’euros, là où la Belgique arrive à peine à 764.000 euros. Autre comparaison : la Hongrie, également avec une population inférieure, atteint 28 amendes et ce, comparé aux 15 de la Belgique !
On peut donc facilement dire que les autres autorités semblent jusqu’à présent être en avance d’un an sur l’APD belge. Celle-ci a néanmoins annoncé que, malgré un retard dû au corona, le nombre d’actions et d’amendes semble en hausse. À suivre.
Les cookies
Une autre partie de la matinée a été consacrée aux cookies. En application de la directive ePrivacy, les internautes doivent être informés et donner leur consentement préalablement au dépôt et à la lecture de certains traceurs, tandis que d’autres sont dispensés du recueil de ce consentement. Mais que recouvrent les termes « cookie » ou « traceur » ? Florence nous l’a expliqué.
Schrems II
Le cas Schrems II a ensuite été abordé. La Cour de justice de l’Union européenne a récemment rendu un arrêt majeur invalidant le régime de transfert de données entre l’Union européenne et les États-Unis appelé « Privacy Shield ». Ce ‘bouclier de protection des données’ a été adopté en 2016 par la Commission européenne suite à l’invalidation du « Safe Harbor », qui permettait le transfert de données entre l’Union européenne et les opérateurs américains adhérant à ses principes de protection des données sans autre formalité.
La CJUE a également validé les clauses contractuelles types permettant le transfert de données depuis l’Union européenne vers des importateurs établis hors de l’Union.
Il est évident que cet arrêt a des conséquences pour les responsables de traitement et les sous-traitants qui transfèrent des données à caractère personnel vers des pays tiers. L’APD examine actuellement en collaboration étroite avec ses homologues au sein du CEPD les conséquences de la décision et met tout en œuvre pour garantir la protection des droits fondamentaux à la protection des données et à la vie privée tout en préservant le libre échange des données entre l’Espace Économique Européen et les pays tiers.
Journée dans le cloud
Alors qu’en matinée, Florence de Villenfagne passait en revue les dernières décisions, jurisprudences et actualités, Jean-Simon Cornelis, quant à lui, souhaitait sensibiliser les participants aux risques potentiels du recours au stockage de données auprès de tiers.
Avec les diverses restrictions liées aux conséquences de la pandémie du Covid-19, il était important de se poser le temps d’un après-midi pour mieux comprendre les tenants et aboutissants du stockage des données auprès de tierces parties, les fournisseurs de services cloud (« Cloud Services Providers »).
Le « cloud » pour les nuls
En guise d’introduction, Jean-Simon Cornelis s’est en premier lieu attaché à définir ce qui se cache derrière le terme « cloud », tant au niveau des services potentiellement couverts que par les différentes formes que peuvent prendre ce type de services. Il en a également brossé les principaux avantages et inconvénients.
Quelques cas récents de violations et leurs conséquences organisationnelles et financières ont été passés en revue avant d’en suggérer les protections et les dispositions préventives… lesquelles ne sont, in fine, pas si complexes ou hors de portée que cela.
Modéliser les menaces
La seconde partie de l’après-midi a été consacrée à la manière dont, une fois conscients des risques encourus, nous pouvons nous poser les bonnes questions afin de limiter autant que possible les préjudiciables risques de violation. Une des parades est bien entendu de s’assurer des compétences effectives des « Cloud Services Providers » en s’inspirant du « Cloud Security Act ».
Au-delà, il s’agit, dépendamment de l’aversion aux risques, du secteur d’activités et de la potentialité d’être ciblé par les hackers, de définir un véritable modèle de menaces afin de s’y préparer au mieux.
Hybrid Storage Solutions ?
En guise de conclusion, les participants ont été invités à prendre un peu de recul par rapport aux changements récents apportés à notre manière de traiter les données (télétravail, vidéoconférence, partage d’écran, réplication des données, vitesse de création de nouvelles données, etc.).
Si vous êtes intéressé à rejoindre. plus d’informations peuvent être trouvées ici.