AFCDP. Université des DPOs 2019

AFCDP. Université des DPOs 2019

La 13ème université des DPOs organisée par l’AFCDP à la maison de la chimie à Paris le 16 janvier 2019. Des interventions fort intéressantes dont celles de Jean Lessi le secrétaire général de la CNIL.

Google sanctionné à hauteur de 50 millions d’euros par la CNIL

Dans le cadre du RGPD, Google a été sanctionné à hauteur de 50 millions d’euros par la CNIL (autorité de régulation française)

https://www.cnil.fr/fr/la-formation-restreinte-de-la-cnil-prononce-une-sanction-de-50-millions-deuros-lencontre-de-la

https://www.lemonde.fr/pixels/article/2019/01/21/donnees-personnelles-la-cnil-condamne-google-a-une-amende-record-de-50-millions-d-euros_5412337_4408996.html

La société de conseil Data Privacy Professionals référencée dans le guide 2018/2019 de la cybersécurité du Syntec Numérique

Référencement de Data Privacy Professionals dans le guide sur la cybersécurité du Syntec Numérique

 

La société de conseil Data Privacy Professionals (Strasbourg ; Alsace ; Grand-Est ; France) spécialisée sur les aspects RGPD (Règlement Général sur les Données Personnelles, règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016) concernant les problématiques liées aux traitements des données personnelles est référencée dans le guide 2018 / 2019 sur la cybersécurité du Syntec Numérique en tant qu’acteur de la catégorie prestataire de services.

 

Partenariat entre Data Privacy Professionals et le cabinet d’avocats Meron-Campagne


Partenariat dans le cadre des activités RGPD (Règlement Général sur la Protection des Données)


Le cabinet de conseil Data Privacy Professionals basé dans la région Strasbourgeoise (Strasbourg, Alsace, Grand-Est) et le cabinet d’avocats Meron-Campagne basé à Paris (France) et à Bruxelles (Belgique) ont annoncé le 24 septembre 2018 un partenariat.

Le partenariat a comme vocation le développement de leurs activités respectives liées à la gestion des données personnelles (« data privacy ») et plus particulièrement dans le cadre des mises en conformité RGPD  (le Règlement Général sur la Protection des Données étant en vigueur depuis le 25 mai 2018).


Les acteurs de ce partenariat


Société de conseil: Data Privacy Professionals

 

Société de conseil spécialisée RGPD

Data Privacy Professionals (https://www.dataprivacy.pro/)  est une société de conseil basée dans la région Strasbourgeoise (Strasbourg, Alsace, Grand-Est) spécialisée sur les problématiques liées aux données personnelles (« data privacy »). La société a été créée en 2017 et à vocation à se développer à l’international.

 Associations professionnelles

Ses consultants sont membres de lIAPP (International Association of Privacy Professionals) et de l’AFCDP (Association Française des Correspondants à la protection des Données à caractère Personnel).

 Offre de services RGPD

L’offre de services s’étend de l’audit à la formation, la rédaction des contrats et documents juridiques convenus ainsi qu’au conseil/accompagnement dans le cadre de la mise en place de programmes « data privacy / RGPD » au sein de TPEs, PMEs, ETIs et d’associations. L’accompagnement concerne aussi bien les problématiques techniques, opérationnelles que juridiques. La société agit également comme Délégué à la Protection des Données (DPO) externe pour ses clients.

Le cabinet d’avocats Meron-Campagne

Cabinet d’avocats

Le cabinet d’avocats Meron-Campagne (https://www.avocat-meron-campagne.fr/) est basé à Paris (France) et à Bruxelles (Belgique) spécialisé entre autres dans les aspects juridiques liées aux données personnelles (RGPD/ « data privacy »). Le cabinet Meron-Campagne intervient sur l’ensemble des aspects juridiques requérant une expertise pointue et notamment la rédaction et la mise à jour des contrats et documents conformes au RGPD (Règlement Général sur la Protection des Données).

Offre de services

Le cabinet Meron-Campagne conseille et accompagne les Start-ups, les chefs d’entreprises, les TPE/PME, les professionnels en exercice libéral et les associations sur les aspects juridiques relatifs aux affaires des entreprises tels que le droit des contrats, la protection des données personnelles, la propriété intellectuelle, le droit d’e-commerce, le droit des sociétés, le droit du patrimoine, la transmission d’entreprise, le contentieux.

Maître Meron-Campagne

Maître Meron-Campagne, fondatrice et dirigeante du cabinet Meron-Campagne, est membre de l’Association Française des Correspondants à la protection des données personnelles (AFCDP) et enregistrée comme Avocat Délégué à la Protection des Données auprès du Barreau de Paris. Elle est également associé et membre du conseil d’administration du réseau Avocap 2.2, structure regroupant à ce jour 246 avocats au sein de 144 cabinets indépendants. Maître Meron-Campagne y anime la commission « Droit des affaires » ainsi que la commission « Avocat Digital ». Dans le cadre des « Ateliers d’Avocap », son Cabinet a organisé en 2018 un cycle de formations sur la nouvelle législation intitulé « Protection des données personnelles au sein des cabinets d’avocats ».


Pourquoi ce partenariat ?


Service sur mesure

Les deux sociétés souhaitent proposer un service sur mesure à leurs clients et prospects respectifs afin de les accompagner sur l’ensemble des problématiques liées à la gestion des données personnelles.

Statut de la mise en conformité RGPD

Sur les deux dernières années, la gestion des données personnelles concernait essentiellement une mise en conformité RGPD. Le RGPD (Règlement Général sur la Protection des Données : règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016) étant applicable depuis le 25 mai 2018 (suite à une période de grâce de 2 ans), les entreprises sont censées être conformes à ce nouveau règlement. Dans la pratique, le constat est que les TPEs, PMEs et PMIs sont encore loin du compte concernant la prise en compte et l’application du RGPD en leur sein.

ePrivacy directive

De plus, le RGPD (Règlement Général sur la Protection des Données) n’est que la première étape dans la conformité « data privacy », puisque la révision de la directive européenne ePrivacy devrait modifier sous peu les pratiques liées au commerce électronique.

Approche holistique: juridique, opérationnel, technique

Afin de répondre favorablement à ces évolutions, une approche holistique est nécessaire couvrant l’expertise juridique, le savoir-faire opérationnel (gestion de programmes), une connaissance fine des nouvelles techniques et technologies (informatique, algorithmique, mathématiques, marketing digital), les nouveaux modèles d’affaires (vente de services).

Législations “data privacy”

A cette complexité s’ajoute le fait que certaines entreprises filiales de grands groupes, sont présentes dans plusieurs pays et peuvent être soumises à des législations « data privacy » locales telles HIPAA pour le domaine de la santé aux Etats-Unis.

Savoir-faire

Le partenariat entre la société de conseil Data Privacy Professionals et le cabinet d’avocats Meron-Campagne permet à chacun des acteurs d’apporter son savoir faire respectif afin d’offrir un service « tout compris » et sur mesure à destination de leurs clients. Les deux entreprises sont également complémentaires d’un point de vue géographique.


Les mots des dirigeants


Pascal THISSE

Fondateur et PDG de Data Privacy Professionals

Docteur en sciences, Ingénieur géophysicien, Master Entrepreneuriat

CIPP/E, CIPT, PMP(2007)


C’est avec grand plaisir que Data Privacy Professionals noue ce partenariat avec le cabinet d’avocats Meron-Campagne avec lequel il est en discussion depuis plus de 6 mois.  Les discussions avec Maître Marianna Meron-Campagne ont permis de bien comprendre les complémentarités géographiques et les possibles synergies concernant l’offre de services entre les deux sociétés.

Nos parcours personnels et professionnels respectifs, que ce soit à l’international, par le biais de connaissances linguistiques pointues (anglais, allemand pour ma part), d’un intérêt marqué pour l’entrepreneuriat, ou des qualités humaines de Marianna complètent ce tableau et ont permis des négociations dans une atmosphère agréable et décontractée. Je ne peux que me réjouir de ce partenariat et recommande très vivement les services du cabinet d’avocats Meron-Campagne.

Maître Marianna Meron-Campagne

Fondatrice et dirigeante du cabinet d’avocats Meron-Campagne

Je suis heureuse d’annoncer la signature du partenariat avec Data Privacy Professionals.  Ce partenariat permet d’unir les compétences de nos deux structures et permettra à nos clients de bénéficier d’une réponse complète et globale à leurs besoins dans le cadre de la mise en conformité avec la législation applicable.


Cette démarche interprofessionnelle est à mon sens incontournable lorsque l’on souhaite proposer à nos clients une prestation sur mesure de haute précision et de les accompagner dans leur prise en compte des risques juridiques, des contraintes informatiques et des décisions commerciales et industrielles.


La négociation de ce partenariat a été grandement facilitée par Pascal, fondateur de Data Privacy Professionals dont le professionnalisme, le sens de la rigueur et de l’écoute sont très appréciables. 


La prochaine étape: le DPO et la révision de la directive européenne ePrivacy


Délégué à la Protection des Données: DPO

La prochaine étape dans le cadre du partenariat sera de proposer une offre commune aux deux sociétés en tant que Délégué à la Protection des Données externe pour les entreprises clientes. Le métier de DPO (Data Privacy Officer en anglais ; Délégué à la Protection des Données en français) est récent et a été introduit par le RGPD.

Du CIL vers le DPO en passant par le Bundesdatenschutzbeauftragter

Avant l’introduction du RGPD, le précurseur en France du métier de DPO s’appelait le CIL (Correspondant Informatique et Libertés). L’évolution des compétences entre le CIL et le DPO reste néanmoins notable en raison de compétences additionnelles requises dans des domaines techniques/technologiques, opérationnels et de management. L’Allemagne est un peu plus chanceuse que la France sur ce point, car avant l’application du RGPD le 25 mai 2018, la loi fédérale allemande sur les données personnelles (BDSG : Bundesdatenschutzgesetz) imposait déjà la nomination d’un Bundesdatenschutzbeauftragter pour de nombreuses entreprises ; or, les responsabilités de cette fonction étaient en tout point similaires à celles d’un DPO (Délégué à la Protection des Données).

Solutions de DPO externe

L’IAPP (International Association of Privacy Professionals) prévoyait suite à l’introduction du RGPD la nomination de 75 000 DPOs. De nombreuses entreprises TPEs, PMEs et ETIs ne disposant pas des compétences en interne doivent ou devront se tourner vers des solutions externes comme celles proposées par Data Privacy Professionals et le cabinet Meron-Campagne.

Un accompagnement sans faille et la révision de la ePrivacy directive

Ce sera à ce même DPO de préparer les évolutions qui ne manqueront pas d’être introduites suite à la révision de la directive européenne ePrivacy qui devrait se finaliser en 2019 ; et dont le périmètre concerne entre autres les communications électroniques et les activités d’e-Commerce. Le partenariat entre Data Privacy Professionals et le cabinet d’avocats Meron-Campagne permettra un accompagnement efficace et sans faille des entreprises dans cette évolution.

Data Privacy Professionals remercié par l’International Association of Privacy Professionals pour ses activités de volontariat liées à des traductions

Data Privacy Professionals (Pascal THISSE) remercié par l’iapp

L’International Association of Privacy Professionals (iapp) remercie Pascal Thisse (Data Privacy Professionals) pour ses activités de volontariat concernant des traductions  de livrables de l’anglais vers le français (examinateur en langue française)

 

 

 

Facebook published a one-page GDPR oriented advertisement in the FAZ (German) newspaper

On Saturday May 19th Facebook published a one-page advertisement in the famous FAZ (Frankfurter Allgemeine Zeitung) newspaper (Germany) regarding the GDPR which is to become effective on May 25th 2018.

Facebook also mentioned new features regarding the access to personal data (access, download, deletion).

There appears to be no mention regarding the portability principle.

Facebook seems to invest a lot in public relations and communication following the Facebook / Cambridge Analytica data scandal. They are playing for high stakes.

How healthcare market research agencies should tackle GDPR ?

 

An interview that Data Privacy Professionals has given on January 28 2018 (“data privacy day”) regarding GDPR impacts on healthcare market research agencies

 

Introduction

 

Within the framework of the worldwide data protection day (28th January), a healthcare market research agency highly concerned by the compliance toward the GDPR has questioned itself on the effects of this new regulation on Market Research agencies. As part of this reflection, Pascal Thisse expert in Data Protection for 8 years and CEO of “Data Privacy Professionals” has kindly answered their questions.

 

Interview healthcare market research

 

Healthcare market research agency:

GDPR (General Data Protection Regulation) will apply to all companies from May 25 2018. My first question is what are the main challenges, in your view, for healthcare market research companies in the context of compliance with GDPR?

Data Privacy Professionals:
Before we talk about challenges, we have to think about the characteristics of those healthcare market research companies. I can see 4 different characteristics.

The first one is that data processing is part of their core activities and not as an ancillary activity. The second characteristic is that such companies process personal data on a large-scale. The third characteristic is that they process special categories of personal data, commonly called “sensitive data” (e.g. healthcare data). The last characteristic is the potential processing of personal data of vulnerable persons – i.e. children, patients …

So we have four characteristics.
The first challenge considering these four characteristics is that a Data Protection Officer (DPO) is mandatory.

 

Healthcare market research agency:

This is an obligation then. Those companies must have a DPO.

Data Privacy Professionals:

Yes, they must have a DPO. The DPO is mandatory in this case. It is relatively clear.
The second challenge is that GDPR will be effective from 25 May 2018 onwards. That leaves us with 4 months. They must launch a data privacy program, within a relatively short period of time, and in line with regulations, including GDPR.
Therefore, this is the second challenge, i.e. the timeframe is relatively short and a substantial effort is required for launching a data privacy program. They will need to do that quickly.

 

Healthcare market research agency:

Are we talking about companies, or company profiles, that present an increased, or at least a slightly more important risk than other types of companies?

Data Privacy Professionals:

Yes. There is no doubt in that regard. The first risk, is the financial risk to start with. In case of non-compliance, the fine might be up to 4% of the overall company’s turnover or 20 million Euros (whichever is higher). With such companies, the sanction might be made public by the data privacy authority. That would severely damage the company’s reputation.

Another point is the operational risk. The people involved (data subject) can more easily make requests such as access (right of access), rectification (right to rectifications), personal data erasure (right to erasure / right to be forgotten) from May 2018. Therefore, data subject requests could speed up from this date.
For this, the companies will need to have the adequate resources, in terms of IT and/or human resources, in order to respond to requests.
This is one of the major risks.
To conclude, the financial risk is related to the operational risk. Is this something that will be specific to market research? Yes and no… It is specific in a sense that market research companies process sensitive data. A non-conformity could definitively damage their reputation, namely in case of “data breach”. I think that is the main risk.

Healthcare market research agency:

Based on the data gathered, we talk about healthcare data, and companies communications with healthcare professionals, sometimes with patients, and regarding diseases that are “sensitive” and with sensitive characteristics… Is this also an additional risk compared with another type of activity?

Data Privacy Professionals:

Regarding the sensitive data, the regulator has not differentiated between healthcare data, that I would call benign, and something more important. By benign, I mean something like taking a very common medication like Doliprane. There might be more important things like someone suffering from Multiple Sclerosis or a rare disease, etc. Such differences are not explicitly made in the regulation when it comes to healthcare data.
Perhaps it is worth considering, in terms of taxonomy or typology/classification of data, that companies make the distinction.

Healthcare market research agency:

Which highlights the importance of the DPO in the company… or the DPO’s role rather.

Data Privacy Professionals:

Absolutely.

 

Healthcare market research agency:

We have listed the different challenges and we mentioned the risks for these companies – what would be the first piece of advice that you would give personally to these market research companies specialised in healthcare, in order to “live through” the GDPR properly?

Data Privacy Professionals:

The first piece of advice is that, given the risks we have just mentioned, it is clearly necessary to seek help from consultants specialised in data privacy. Data protection is not something we can improvise. It also covers different aspects. There is a legal aspect;  a technical/technological aspect (including the knowledge of the IT system); and an  operational aspect by embedding data privacy principles/processes within the organisation. They need to have the relevant people able to understand the data privacy concepts.

The second piece of advice is that they should not think that 25 May 2018 is the end of the story concerning their involvement regarding “data privacy” matters. It is the opposite actually. This is the beginning of the story regarding “data privacy”. They must keep that in mind. If May 25 2018 remains an important deadline,  it should be viewed as the beginning of the new “data privacy” paradigm and associated compliance.

 

Healthcare market research agency:

In a sense what it is going to change… the behaviours, the way of working within the company, right?

Data Privacy Professionals:

Absolutely. It means that employees might have to change their attitude regarding the way they process personal data. Therefore, the overall environment is going to change. They really have to understand this notion of GDPR as something that will remain with the company all the time. It is going to be a new challenge for the company, but it will remain this way forever. It is not something that will stop. It will remain in place.

 

Healthcare market research agency:

Do you have other comments or pieces of advice that we have not covered, and that could be added and be of interest to all market research companies?

Data Privacy Professionals:

Perhaps a last piece of advice: personal data is clearly an intangible asset of a company.  It must be seen as such. They must capitalise on this, while complying with regulations, especially regarding GDPR. The right balance needs to be found. That is why a DPO is needed in order to find the right balance regarding capitalising on personal data and using them wisely, whilst as the same time making sure the company respects regulations.

28 Jan

Intervention de la présidente de la CNIL lors de l’université des DPOs (AFCDP) le 24 janvier 2018

Intervention remarquée de Madame Falque-Pierrotin, présidente de la CNIL et du G29, lors de l’Université des DPO (AFCDP) qui s’est tenue à la Maison de la chimie (Paris 7ème) le 24 Janvier 2018.

DPO

Madame Falque-Pierrotin a insisté sur le rôle de chef d’orchestre du futur Délégué à la Protection des Données (ou DPO) en tant que pilote de la conformité, tout en gardant à l’esprit la collaboration étroite avec le RSSI, la DSI et les différents métiers. Le DPO doit être proche des métiers: il doit avoir la capacité d’influencer le commercial, la R&D, etc. Son rattachement doit être au plus haut niveau de l’entreprise afin que “sa voix porte”.

Assistance aux acteurs économiques

Elle a également mentionnée que la date du 25 Mai 2018 n’est pas une date couperet ; la CNIL ayant la volonté d’assister les acteurs économiques. Elle perçoit le RGPD comme un processus d’apprentissage progressif de la part des entreprises. La sémantique utilisée c.à.d. “apprentissage progressif” me fait penser aux plans “d’amélioration continue”, “lessons learned” dont les grandes entreprises multi-nationales sont familières et friandes. Il restera à décliner cette culture dans les PMEs, ce qui reste un challenge pour une majorité d’entre eux.

RGPD: 80 000 DPOs requis pour les entreprises françaises

La CNIL estime que 80 000 DPOs devront être nommés dans les entreprises françaises d’ici l’entrée en vigueur du RGPD le 25 Mai 2018. A la date d’aujourd’hui, la CNIL ne référence que 18 000 CILs. Dans l’hypothèse où tous les CILs sont reconduits en tant que DPO, il faudra néanmoins que les entreprises nomment 60 000 DPOs supplémentaires pour atteindre le chiffre de 80 000. Le reconduction du CIL en DPO ne devrait pas être automatique, en raison du positionnement différent du DPO par rapport au CIL: le DPO agissant comme un chef d’orchestre multi-casquette à l’aise à la fois sur les aspects juridiques/législatifs, techniques/technologiques et opérationnels/métiers.

CNIL: une autorité de réseaux

Madame Falque-Pierrotin a conclu que l’avenir de la CNIL ou son positionnement futur sera “une autorité de réseaux au niveau européen”, car la CNIL relayera les demandes venant des personnes concernées d’autres pays (par exemple, Espagne, Allemagne, etc.).

Perspectives

L’Union Européenne a été malmenée ces dernières années (notamment en raison du Brexit). Est-ce que la “data privacy” et le RGPD en vont pas rapprocher les états membres, car la collaboration entre états et la cohérence des décisions entre autorités de régulation seront requises à tous les niveaux ?

Est-ce que la “data privacy” et le RGPD ne seraient pas le souffle “nouveau” tant recherché par l’Union Européeenne pour rassembler les états et les peuples ?