big data jeudi 22 mars 2012 - bigdataparis.com · diffusion des données ... d’externalisation,...
TRANSCRIPT
BIG DATA
Jeudi 22 mars 2012
87 boulevard de Courcelles
75008 PARIS
Tel :01.56.43.68.80
Fax : 01.40.75.01.96 [email protected]
www.haas-avocats.com
www.jurilexblog.com 1
© 2012 Haas société d’Avocats
• Thème 1 : Utilisation des données à des fins
commerciales : Best Practices en matière de cookies, de
retargeting et de géolocalisation
• Thème 2 : L’entreprise présente sur les réseaux sociaux :
l’enjeu de la collecte loyale des données
• Thème 3 : Optimiser les contrats de Cloud Computing en
respectant la loi Informatique et libertés
PLAN
4
BEST PRACTICES EN MATIÈRE DE
COOKIES, DE RETARGETING ET DE
GÉOLOCALISATION
Utilisation des données à des fins
commerciales :
Thème 1 :
5
PRÉREQUIS/ RAPPEL À LA MISE EN ŒUVRE D’UN
TRAITEMENT DE DONNÉES
Loi I&L Information des
personnes
concernées Article 32
Collecte licite et loyale
des données Article 6
Gestion des
flux
transfrontières
de données Articles 68 et s.
Restriction
quant aux destinataires
des données Article 30
Obligation de
sécurité et de
confidentialité Article 34
Formalités préalables
auprès de la CNIL Articles 22 et s.
6
Les cookies sont des fichiers qui permettent de collecter des
informations sur les internautes.
Ils s’installent sur l’ordinateur/portable via les serveurs des sites
qu’il visite.
Cookies Techniques
Exclusivement installés pour
faciliter la communication
électronique et absolument
nécessaires à la fourniture du
service sur internet
Cookies Traceurs (Ordonnance du 24 août 2011)
Suivre le comportement
d’un internaute sur la toile
Best Practices & Cookies
7
• Best practice 1 : Information – Informer les internautes sur la finalité de l’installation des cookies et
des moyens dont ils disposent pour s’y opposer
• Best practice 2 : Recueil du consentement – « Ces [cookies] accès ou inscriptions ne peuvent avoir lieu qu’à condition que
l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette
information, son accord qui peut résulter de paramètres appropriés de son
dispositif de connexion ou de tout autre dispositif placé sous son contrôle. »
– Ce consentement peut donc être requis directement (case à cocher) ou si
l’internaute a configuré son navigateur. La Cnil a interprété les termes
« appropriés » et « sous son contrôle » et a précisé que le consentement ne
sera pas valable si le paramétrage du navigateur conduit à accepter tous les
cookies sans distinguer leur finalité.
Best practice 3 : Formalités préalables – Déclaration normale le plus souvent, voire une NS 48
Best Practices & Cookies Traceurs
8
Procédé permettant à un site marchand de garder le contact avec ses visiteurs une fois qu'ils ont quitté son site, par l'intermédiaire de bannières personnalisées
Tendance actuelle :
Communication sur la
transparence et la loyauté
dans la collecte des données
Best Practices & Retargeting
9
• Best practice 1 : Information – Informer les internautes sur la collecte de leurs données à des fins de
retargeting : le G29 rappelle que les internautes doivent être
clairement informés de l'ensemble de leurs droits en application de la
directive 95/46 (finalités des traitements, c'est-à-dire leur objectif, ainsi
que les modalités d'exercice des droits d'accès, de rectification et de
suppression des données)
• Best practice 2 : Recueil du consentement – Le G29 souligne notamment que le consentement de l'internaute est
nécessaire pour conserver l'historique des recherches qu'il a
effectuées
• Best practice 3 : Formalités préalables – Déclaration normale le plus souvent, voire une NS 48
Best Practices & Retargeting
10
Typologie des géolocalisations:
Géolocalisation de contrôle
Ex : voitures de sociétés : contrôle par l’employeur du temps de travail ou
des parcours des commerciaux
Ex : voiture des assurés : contrôle par la compagnie d’assurance des
assurés qui bénéficie d’un contrat spécifique d’assurance de leur
véhicule en fonction des kilomètres parcourus
Géolocalisation « sociale» et commerciale
Applications de localisation des contacts
Applications de localisation des centres d’intérêts et commerces à
proximité
Application de localisation des promotions dans les boutiques à
proximité….
Best Practices & Géolocalisation
11
• Best practice 1 : Information & Consentement – Prévenir les personnes géolocalisées et obtenir leur consentement
– Prévoir un système de désactivation à la discrétion de la personne
géolocalisée
• Best practice 2: Privacy Policy – Actuelle tendance forte : volonté de transparence pour attirer la
confiance des internautes
• Best practice 3 : Formalités préalables – Attention en fonction des informations collectées, une demande
d’autorisation, un déclaration ou une norme simplifiée devra être
réalisée auprès de la Cnil
– Ex : NS 51 pour la géolocalisation des véhicules salariés
Best Practices & Géolocalisation
12
ENJEU DE LA COLLECTE LICITE DES
DONNÉES
Présence des entreprises sur les
réseaux sociaux
Thème 2 :
13
Avis du
G29 du
12 juin
2009
Supprimer les
comptes qui sont
restés inactifs
pendant une longue
période
Définir des paramètres
par défaut limitant la
diffusion des données
des internautes
Installer un dispositif
permettant de porter
plainte, pour les
membres ou non du
réseaux
Proposer aux
internautes
d’utiliser un
pseudonyme
Permettre aux
personnes, même non
membres , de supprimer
les données qui les
concernent
Mettre en place des
mesures pour
protéger les mineurs
Impératifs du réseau sur lequel
vous êtes inscrit
14
La collecte loyale des données
Affaire Pages Jaunes
(Délibération de la CNIL du 21 septembre 2011)
La société a récupéré les données d’utilisateurs de 6 réseaux sociaux pour enrichir
son site Pages Blanches
Le fait que des informations personnelles soient librement accessibles sur internet
n’autorise pas les tiers à les collecter sans l’accord préalable des personnes
concernées
L’article 6 de la loi Informatique et libertés rappelle que la collecte de données
doit être une collecte :
licite et loyale
ayant une finalité déterminée, explicite et légitime
portant sur des données adéquates, pertinentes et non excessives au regard de la
finalité pour laquelle elles ont été collectées
portant sur des données exactes, complètes et mises à jour
portant sur des données conservées pour une durée proportionnée
15
ÉVITER LES
SANCTIONS
Sanctions pénales:
300000 euros
d’amende et 5 ans de
prison
Contrôle de la CNIL et
sanctions financières
allant jusqu’à 300 000
euros d’amende
VALORISER SA
BASE DE
DONNEES
Une base de
donnée
juridiquement
sécurisée est une
base de données
exploitable pour les
opérations
commerciales
PROTEGER SON
IMAGE
Garantir la
transparence
Privacy policy
Attirer la
confiance des
clients, prospects
et investisseurs)
Enjeu de la collecte loyale
16
EN RESPECTANT LA LOI
INFORMATIQUE ET LIBERTÉS
Optimisez les contrats de Cloud
Computing
Thème 3 :
17
On s’accorde pour définir le Cloud
computing comme une forme évoluée
d’externalisation, dans laquelle le
client ou l’utilisateur dispose d’un
service en ligne dont l’administration
et la gestion opérationnelle sont
effectuées par un sous-traitant.
Points essentiels à vérifier avant de signer un contrat de Cloud
computing :
Valider l’adéquation entre vos besoins et la solution de Cloud, en
termes de capacités de stockage et d’archivage des données
S’assurer contre la perte des données / modalités de sauvegarde
Niveau de sécurité de la solution de Cloud
Répartir les responsabilités entre les acteurs
Demander où sont localisés les serveurs Cloud
La solution du Cloud Computing
18
Préambule : Rédaction importante car représente la lumière à laquelle
est interprété le contrat par le juge
Informatique et libertés et notamment les flux transfrontières de
données : autorisation de la Cnil et/ou assurance d’un degré de protection
adéquat dans le pays qui héberge les données
Sécurité : Procédures techniques de sécurisation, protection du
terminal et du réseau, procédure d’habilitation et d’authentification
Qualité du service et délai de réaction du prestataire en cas de
pannes
Evolutivité de la solution
Protection contre la perte des données
Clause de confidentialité : importante surtout lorsque le client est lui-
même tenu au secret / Cloud de données médicales ou sensibles
Durée du contrat et possibilité de changer de prestataire
Sécuriser votre contrat de Cloud
19
Que deviennent vos données à l’issue du contrat?
Réversibilité : Modalités de restitution des données au client
sous quel format : compatibilité avec un logiciel standard ou le
système d’un autre prestataire
délai de restitution
directement auprès d’un tiers que vous aurez choisi
Prévoir une obligation de suppression des données chez le
prestataire
Modalités adaptées au degré de confidentialité des données
Accusé de suppression
Gérer la fin du contrat de Cloud
20
HAAS SOCIETE D'AVOCATS
Tel : 01 56 43 68 80
Fax : 01 40 75 01 96 Email : [email protected]
www.jurilexblog.com
87 BD DE COURCELLES 75008 PARIS
Métro Ternes
22