Cyber Securi-The ou Cafe – Le Data Act ou la donnee dans tous ses etats

octobre 15th, 2024 | Posted by Claude-Etienne Armingaud in Conférence | Europe | Technologies - (0 Comments)

Dans le cadre de notre nouveau cycle de conférences autour du numérique et des problématiques « cyber », nous avons le plaisir de vous convier à un petit déjeuner organisé dans nos locaux parisiens, à l’occasion duquel Claude-Etienne Armingaud, CIPP/E (Associé, Protection des données & Technologies) se penchera sur la préparation des entreprises dans le cadre de leur mise en conformité au regard du Règlement sur les Données (EU Data Act). Une belle occasion d’échanger, de s’inspirer et d’entrer en relation avec des professionnels du domaine !

Les places étant limitées, nous vous invitons à vous inscrire dès à présent via le lien suivant : https://ow.ly/183L50TAWbP.

Data Act : le deficit d’attention des entreprises pourrait se retourner contre elles

septembre 19th, 2024 | Posted by Claude-Etienne Armingaud in Entretien | Europe | Technologies - (0 Comments)

Entretien croisé réalisé par Dorian Marcellin avec notre confrère et ami Romain Perray.

Les entreprises se sont-elles suffisamment préparées au Data Act ? 

Claude-Etienne Armingaud : La maturité est quasiment nulle aujourd’hui sur le Data Act, car il n’y a même pas de connaissance de base du texte chez beaucoup d’acteurs, voire de son existence même. Si on compare avec l’expérience du RGPD il y a 8 ans, la différence, c’est qu’il y avait déjà une culture dans les pays européens autour des données personnelles. Ainsi, certaines filiales européennes avaient prévenu très tôt leur maison mère à l’étranger des impacts de la réglementation en avance de phase. Aujourd’hui, le Data Act reste avant tout un sujet connu des juristes, qui n’a pas provoqué de remous. Avec le RGPD, il fallait nommer des data protection officers, et cela avait fait réagir fortement. Là, on est dans la politique de l’autruche. 

L’échéance du 12 septembre 2025 est-elle un couperet ? 

Claude-Etienne Armingaud : La façon dont je vois les choses, c’est que si les entreprises ne prennent pas le sujet à bras-le-corps avec le temps qui leur reste, ce sont les utilisateurs qui vont les mettre face à leurs responsabilités. J’ai le sentiment que de nombreuses organisations se disent qu’elles verront bien s’il y a d’éventuelles actions en justice avant d’agir. Pourtant, on est sur des changements en termes de processus, de conception des produits, de changements contractuels, qui se font en moyenne sur des délais de 18 mois environ. Sans signaux plus positifs par rapport à l’échéance, je pense que les régulateurs européens vont finir par montrer les dents. 

L’augmentation de la maturité de la gouvernance des entreprises sur le sujet des données depuis une dizaine d’années n’est-elle pas un avantage en ce sens ? 

Claude-Etienne Armingaud : Les partis pris dans les organisations concernant la donnée m’ont toujours choqué : la fragmentation est très importante et il y a très peu d’ownership sur la donnée. Par exemple, l’ESG a toujours évolué séparément de son côté, alors qu’en toute logique, ces sujets devraient être intimement liés avec la vie privée, les données personnelles et la conformité technologique dans son ensemble. Les organisations ont la tentation de délaisser de nombreuses questions sur la donnée en mettant tout sur les épaules de leurs directions IT. Or, une grande partie de l’effort, au-delà de la question technique, va être le travail que le business va devoir faire sur lui-même ! Et en retour, cela contribue à la tendance des équipes IT de vouloir garder des prérogatives exclusives, quitte à jargonner pour repousser les métiers. 

Je pense au contraire que les entreprises qui mettent en avant leur chief data officer, par opposition ou complémentarité avec le data protection officer, avec la mission de raconter une histoire pour fédérer à la fois les métiers et l’IT, sont sur la bonne voie. Leur message est d’une certaine façon que la conformité est un aspect collatéral de la gouvernance de la donnée, qui doit être mise en place de toute façon pour permettre à l’entreprise d’aller de l’avant. Cela implique une conscience à haut niveau que le sujet des fondamentaux data est un investissement vertueux. Travailler sur ces fondamentaux, c’est faire le chemin du Data Act. 

Pensez-vous qu’une prise de conscience puisse avoir lieu suffisamment rapidement pour que les entreprises changent leur vision et leur méthode ? 

Claude-Etienne Armingaud : Elles ont une forte incitation à le faire. Sans cette nouvelle approche sur la donnée, elles ne tireront pas grand-chose de l’intelligence artificielle. Je le répète, cet effort initial de classification, ce n’est pas seulement un enjeu de conformité avec le Data Act, c’est une démarche de valeur globale. Mais pour y parvenir, il est nécessaire d’avoir une impulsion business, plutôt qu’une épée de Damoclès réglementaire. Malheureusement, c’est une vision un peu idéaliste et optimiste de penser que, parce que les dirigeants veulent de l’IA générative qui fonctionne, ils vont accepter de travailler sur les fondamentaux data. Dans les faits, on voit des comités exécutifs qui veulent tout, tout de suite, avec beaucoup d’idées de produits qui surfent juste sur la médiatisation. Trop souvent, l’ambition qui prévaut est de « faire à tout prix », même si c’est mal faire. La reprise d’initiative et d’influence par les chief data officers, je l’appelle bien sûr de mes vœux, mais je ne pense pas qu’elle sera avérée d’ici 2025. 

Lire l’intégralité de l’entretien sur le site Alliancy

Cybersecurite : quatre groupes politiques europeens interrogent la presidente du Parlement

juin 10th, 2024 | Posted by Claude-Etienne Armingaud in Données Personnelles | Entretien | Europe | Violation de données - (0 Comments)

Claude-Etienne Armingaud, avocat associé du cabinet K&L Gates spécialisé dans la protection de la vie privée et le droit des technologies, a identifié quatre points de défaillance potentiels dans la réaction du Parlement. S’ils devaient être confirmés, ils pourraient justifier une action éventuelle de l’autorité de protection des données.

Il s’agit d’une défaillance dans la sécurité, d’une quantité injustifiée de données collectées ou pendant une durée injustifiée, ou encore d’une communication incomplète de la violation aux personnes concernées.

Comme il s’agit d’un dossier très important, il est probable qu’il soit suivi par le CEPD, a ajouté M. Armingaud.

Lire l’article complet sur Euractiv

Quo Vadis, les Donnees ? Le Data Act ou la donnee dans tous ses etats

juin 7th, 2024 | Posted by Claude-Etienne Armingaud in Concurrence | Données Personnelles | Europe | Technologies - (0 Comments)

Six ans après l’entrée en vigueur du Règlement Européen 2016/679 sur la protection des données à caractère personnel (« RGPD« ), l’Union Européenne vient d’adopter un nouveau règlement visant une meilleure répartition de la valeur générée par l’utilisation des données entre les acteurs de l’économie numérique.

(suite…)

🇫🇷 RGPD, 6 ans apres: Ou en sommes-nous?

mai 22nd, 2024 | Posted by Claude-Etienne Armingaud in Conférence | Données Personnelles | Europe - (0 Comments)

Six ans déjà…

Nouvelle bougie pour le RGPD… et une table ronde en compagnie d’Aurélie Banck d’Europcar Mobility Group et de Noshin Khan, de OneTrust pour fêter ça – venez célébrer et dresser le bilan avec nous !

Spoiler : il n’y aura clairement pas de PowerPoint…

En détail :
🗓️ 30 mai
🕰️ 18h30
📍 Morning rue d’Amsterdam
🔗 Inscription Ici

, , ,

🇫🇷 OneTrust TrustWeek Paris: Charting GDPR – Navigating the EU and global data laws

octobre 17th, 2023 | Posted by Claude-Etienne Armingaud in Conférence | Données Personnelles | Europe | Monde | Transferts de données - (0 Comments)

Post-Brexit EU businesses have needed to rethink how they approach showing compliance with a host of regulations, managing international data transfers and building trust with data subjects. Having to comply with the GDPR, prepare for other data protection bills, all while continuing to comply with the EU-GDPR as well as a host of global regulations means businesses might look to certification as a common system for adequacy as a one-stop shop, when addressing the overlaps and more crucially closing the gaps on their privacy compliance programs.

Featured speakers:

  • Noshin Khan, Senior Compliance Counsel, Ethics Center of Excellence, OneTrust 
  • Claude-Étienne Armingaud, Partner, K&L Gates

Register here.

, ,

Entretien sur B Smart pour #DataPrivacyDay

janvier 27th, 2023 | Posted by Claude-Etienne Armingaud in Communication | Données Personnelles | Entretien | Europe - (0 Comments)

Un grand merci à BSMART et Delphine Sabattier de donner de l’écho à la Journée Mondiale de la Protection des Données qui aura lieu ce samedi !

La réglementation (RGPD, Loi Informatique et Libertés) est-elle parfaite ? Non — mais avec ce double anniversaire (45è bougie de la CNIL – Commission Nationale de l’Informatique et des Libertés et 5è de l’entrée en vigueur du #RGPD), focalisons-nous surtout sur les succès de ces normes — entre prise de conscience des entreprises et prise de pouvoir des personnes concernées.

Pour voir toute l’émission >> https://lnkd.in/eQwC3CkM

Pour fêter avec un peu d’anticipation dès ce soir avec IAPP – International Association of Privacy Professionals >> https://lnkd.in/gUN9ivtJ

(et merci à Jean LARROUMETS et Alain Staron, PhD pour nos échanges hors antenne — à poursuivre!)

#DPD23#DataPrivacyDay#DataProtectionDay#MaTeteDansLePoste

, , ,

« VAC Location exploite les donnees de ses vehicules pour limiter les couts » – Flottes Automobiles

novembre 5th, 2022 | Posted by Claude-Etienne Armingaud in Communication | Conférence | Données Personnelles | Entretien | Europe | France | Véhicules Connectés - (0 Comments)

« D’après le règlement européen sur la protection des données (RGPD), les entreprises doivent ne collecter que les données nécessaires », a pointé Claude Étienne-Armingaud. Rappelant la réglementation actuelle, l’avocat associé chez K&L Gates a ensuite présenté différents scénarios possibles de collecte de données.

« Les informations collectées dans la voiture peuvent rester sous la maîtrise unique de l’usager et ne sont pas transmises en dehors du véhicule : c’est le  » in-in « . Ou alors, être transmises au fournisseur de service, tel que Geotab (in-out). Enfin, elles peuvent être transmises au fournisseur de service pour déclencher à distance une action automatique dans le véhicule (in-out-in). Le responsable du traitement des données doit se montrer transparent et documenter la finalité de l’enregistrement de ces données », a argumenté Claude Étienne-Armingaud.

Autre point important rappelé par Claude Étienne-Armingaud, avocat associé chez K&L Gates : « il est indispensable de fixer des durées de conservation des données et de les sécuriser. »

Lire l’intégralité de l’article de Julie Vénier sur le site Flottes Automobiles

Le Paquet Numerique : apres le RGPD(P), le veritable RGPD ?

novembre 2nd, 2022 | Posted by Claude-Etienne Armingaud in Concurrence | Données Personnelles | e-commerce | Europe | Législation | Marketing | Réseaux sociaux | Technologies - (0 Comments)

« Le pétrole de la nouvelle économie… » C’est souvent par cette expression surannée que sont décrites les données qui résultent de notre utilisation des technologies. Dans le même temps, les géants américains du numérique enchainent les amendes pour non-respect du RGPD[1] (voir notamment la récente amende record prononcée à l’encontre d’Instagram par l’autorité de protection des données irlandaise[2]), et poussent ainsi la Commission européenne à développer de nouveaux outils afin de toujours plus encadrer les utilisations de ces données.

Cette initiative, le « Paquet Numérique », se compose respectivement des DMA[3], DSA[4] et DA[5] et ses objectifs sont clairs – suppléer le RGPD pour les autres données qui seraient issues des utilisateurs, peu important qu’elles fussent personnelles, et instaurer un partage visant une meilleur distribution d’une valeur aujourd’hui accaparée par des acteurs en position quasi-monopolistiques.

(suite…)

, , , , ,

Brexit, RGPD et la Chronologie des Violations de Données à Caractère Personnel

janvier 19th, 2021 | Posted by Claude-Etienne Armingaud in Brexit | Données Personnelles | Europe | Transferts de données - (0 Comments)

Le 1er janvier 2021, la période de transition du Brexit (Période de Transition) est enfin arrivée à terme et le Royaume-Uni a officiellement finalisé sa sortie de l’Union européenne (UE). L’accord commercial post Brexit (Accord) négocié à la dernière minute devrait permettre une transition plus douce sur le plan de la protection des données, dans la mesure où le Règlement Général sur la Protection des Données (RGPD) a cessé d’être directement applicable au Royaume-Uni. Il a également été accordé au Royaume-Uni une période de grâce de six mois afin de négocier une décision d’adéquation qui permettrait le libre transfert de données personnelles de l’UE vers le Royaume-Uni.

Si le Comité Européen de la Protection des Données (CEPD) a modifié le 13 janvier 2021 ses Communications sur le Brexit à la suite de l’Accord (Communications), il ne s’est cependant penché que sur:

  • La question des transferts de données de l’UE vers le Royaume-Uni;
  • La fin du mécanisme dit de « guichet unique » pour le Royaume-Uni; et
  • La nécessité pour les entités britanniques qui seraient soumises au RGPD de désigner un représentant conformément à l’article 27 RGPD.
(suite…)