«Les droits de l’individu dans la révolution numérique» : l’Assemblée nationale française publie son rapport (3e partie)

"Summer Moon" (New York, NY, 2011) - Photo: Marie-Andrée Weiss

Le rapport de l’Assemblée Nationale s’intéresse également à l’informatique dans les nuages, le ‘cloud computing’, qui présente de nombreux avantages économiques pour les entreprises, et même pour les gouvernements, mais dont l’utilisation n’est pas sans risques pour la sécurité des données personnelles. (3e partie de notre série)

Rate this:

Advertisements

«Les droits de l’individu dans la révolution numérique» : l’Assemblée nationale française publie son rapport (2e partie)

"The Switch" (photo by "Fifi LePew"; shot on Jan. 8, 2005). Available at http://www.flickr.com/photos/51035796522@N01/3120069/ (Creative Commons "Attribution-NonCommercial 2.0 Generic (CC BY-NC 2.0)" license.)

A ce jour, il n’existe aucun obligation de notification des failles de sécurité en droit français. La deuxième partie de notre série en cinq parties à propos du Rapport de l’Assemblée nationale française sur “Les droits de l’individu dans la révolution numérique”, adopté le 22 juin 2011, est un rappel du droit français en matière de failles de sécurité.

Rate this:

«Les droits de l’individu dans la révolution numérique» : l’Assemblée nationale française publie son rapport (1re partie)

"Untitled" (photo by Thomas Grospiron; shot on Oct. 9, 2008). Available at http://www.flickr.com/photos/tominou/2935634476/ (Creative Commons "Attribution-NonCommercial-ShareAlike 2.0 Generic (CC BY-NC-SA 2.0)" license.)

L’Assemblée nationale française a adopté en juin dernier un rapport sur “Les droits de l’individu dans la révolution numérique”. Il traite, entre autres, de la sécurité des échanges de données sur les réseaux, en particulier des failles de sécurité et du ‘nuage’ informatique, le ‘cloud’. La première partie de ce billet traite du droit des États-Unis en matière de failles de sécurité. Nous commenterons les autres aspects de ce rapport la semaine prochaine.

Rate this:

ENISA Surveys Stakeholders of Upcoming EU Data Breach Notification Regime

"Grillage gelé" (Photo by "Photophilius"; shot on Dec. 13, 2008). Available at http://www.flickr.com/photos/30254220@N04/3116313871/ (Creative Commons "Attribution-NonCommercial-ShareAlike 2.0 Generic (CC BY-NC-SA 2.0)" license.)

The European Network and Information Security Agency has recently published a report on data breach notifications in the European Union. ENISA surveyed data protection authorities, telecommunications regulatory authorities and telecom operators from different countries in the EU, but also from other non-EU countries such as the United States.
Using the various stakeholders’ responses, the report helps understand the practices and challenges of the future mandatory data breach notification regime, and aims to assist public authorities and private organizations in the EU as they implement data breach notification policies by providing a set of recommendations.
(Résumé aussi disponible en français)

Rate this:

European Data Protection Supervisor Supports General Obligation to Report Security Breaches

"Sunlight" (Photo by Luc De Leeuw; shot on Feb. 3, 2008). Available at http://www.flickr.com/photos/9619972@N08/2422737815/ (Creative Commons "Attribution-NonCommercial-ShareAlike 2.0 Generic (CC BY-NC-SA 2.0)" license.)

The European Data Protection Supervisor has recently issued an opinion on the review of the EU legal framework for data protection (Directive 95/46/EC). It expresses concerns regarding the increasing difficulties for individuals to protect the privacy of their personal data, and calls for strengthening individuals’ rights over them. This can be done, the EDPS argues, by making security breach notifications mandatory for all relevant sectors, increasing transparency of processing for data subjects, and introducing new rights, such as the “right to be forgotten” and the “right to data portability”.

Rate this:

La CNIL publie son premier guide sur la sécurité des données

"La sécurité" - Photo by Boris Drenec (2008). Shot on March 3, 2008. Available at http://www.flickr.com/photos/_boris/2360263645/in/pool-632629@N22/ (Creative Common "Attribution-NonCommercial-ShareAlike 2.0 Generic" license.)

La CNIL vient de publier son premier guide pratique sur la sécurité des données. Cette publication s’inscrit dans un mouvement plus général en Europe qui tend à renforcer le niveau de sécurité des données personnelles en prévoyant l’obligation de notifier les violations de sécurité. Dans ce cadre, la CNIL invite à un audit des systèmes d’information, à une évaluation des risques, et explique en 17 fiches pratiques les éléments essentiels et solutions techniques pour garantir la sécurité des données. Les entreprises procédant à des traitements de données à caractère personnel pourront utiliser ce guide afin de se conformer à l’obligation de sécurité prévue par la Directive “Données personnelles” et par la loi Informatique et Libertés. Ce guide sera d’une grande utilité pour les responsables de traitements, directeurs de systèmes d’information et CIL qui souhaitent améliorer la sécurité des traitements de données dans leurs entreprises.

Rate this:

Will France adopt a law requiring the notification of security breaches?

A French bill “to better guarantee the right to privacy in the digital age” has implemented the European Directive 2009/136/EC by requiring the data controller to inform the “Data Protection Correspondent” (a person within an organization who could be the controller or someone assisting the controller), or in the absence thereof, the French data protection authority (the Commission Nationale de l’Informatique et des Libertés), of a breach of integrity or confidentiality. Those involved in the breach must also be informed, at least if security breaches are “likely to adversely affect” their personal data. The bill follows the recommendation of the Directive to notify individuals of security breaches for all sectors, not just electronic communications. It was adopted by the French Senate on March 24, 2010 and is currently before the National Assembly.
(A French version of this article is also available in this blog.)

Rate this:

La France va-t-elle se doter d’une loi rendant obligatoire les notifications des violations de sécurité ?

La proposition de loi française “visant à mieux garantir le droit à la vie privée à l’heure du numérique” transpose la Directive 2009/136/CE en obligeant les responsables de traitements de données à caractère personnel d’informer le correspondant “informatique et libertés” ou, en son absence, l’autorité de protection de la vie privée (la CNIL), d’une violation de l’intégrité ou de la confidentialité de ces traitements, ainsi que les personnes concernées par cette violation, du moins si les failles de sécurité sont “de nature à affecter négativement” leurs données à caractère personnel. Elle suit également la recommandation de la directive européenne de notifier aux particuliers les violations de sécurité pour tous les secteurs, pas seulement celui des communications électroniques. Elle a été adoptée par le Sénat français depuis le 24 mars 2010 et est actuellement devant l’Assemblée nationale.
(An English version of this article is also available in this blog.)

Rate this:

Article 29 Data Protection Working Party reports on implementation of Data Retention Directive

The Article 29 Data Protection Working Party has adopted on July 13, 2010 a report on the EU Data Retention Directive (2006/24/EC). This report is the Working Party’s contribution to the evaluation of the implementation of the Data Retention Directive by the European Commission, which is due by September 15, 2010. The report details the results of a joint inquiry made by the data protection authorities about the compliance, at the national level, with the obligations of telecom providers and Internet service providers with both the Data Retention Directive and articles 6 and 9 of the EU e-Privacy Directive (2002/58/EC).

Rate this:

Are ‘clouds’ located outside the European Union unlawful?

A central aspect of every cloud service contract is the security of data processing. It is therefore important, if only for liability reasons, that responsibility for specific security measures be clearly assigned. This can be done by using security service level agreements between the cloud service provider and its client that clearly assign who is responsible for which particular security measure.
Storing data in a cloud located outside the EU raises specific legal compliance issues. According to some experts, such clouds are even unlawful. There are, however, some ways to make sure that, even if a data controller stores data into a cloud located in a third country, he is still in compliance with German data protection law. A data exporter must use, in order to satisfy the adequate level of data protection requirement, specific standard contractual clauses for all contracts with a cloud service company located outside the EU. Binding corporate rules are the alternative solution, though only for private clouds.

Rate this:

  • Blog authors

  • Copyright notice

    © Copyright 2010-2014 "Information Security Breaches & The Law".
    All rights reserved, unless noted otherwise under each author's post, page or other material.
    If you would like to discuss licensing terms, contact us at: info [at] security-breaches [dot] com.

  • Enter your e-mail address here to follow this blog and receive notifications of new posts by e-mail.

  • The “Global Information Security Breach Professionals” Group on Linkedin

  • Wordpress Blog Stats

    • 45,700 hits