Post on 23-Jan-2021
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.1© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
“Accountability “ comment le traduire dans une
entreprise????
Colloque INRIA – Lyon 11 Septembre , 2013
Daniel Pradelles - EMEA Privacy Officer
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.2© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
La dynamique… d’un Contexte Global……
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.3
Les challenges d’aujourd’hui et de demain (Business)Contexte Technique
• Environnement Complexe, Global & Multi Dimensionnel• Flots de données Globaux, Dynamiques & Fragmentés..• Augmentation exponentielle de la création / collecte• Technologie omniprésente et en évolution exponentielle
Contexte Business
• Multi intervenants, Hautement dynamique• Tendances Fort potentiel / Haut risque • Supporte Innovation, Business intelligence, et croissance économique• Certains « Business models » n’ont pas été validés “privacy”
… à un point d’inflexion et dans une évolution qui ne se ralentira pas
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.4
Les challenges d’aujourd’hui et de demain(Legal)
Contexte Régulatoire
• Incertitude dans toutes Régions et Secteurs économiques…• Opposition « Globalisation & Technologies » vs Approche traditionnelle• Lois en décalage chronique avec technologies et pratiques• Trop d’emphase sur les critères géographiques• Approche trop centrée sur l’unique conformité réglementaire• Consensus global sur les principes / différentes de mises en pratique
…Absence d’Interoperabilité entre grands blocs régionaux…
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.5
Les challenges d’aujourd’hui et de demain(Sociétal)
Contexte Sociétal
• Nomes sociales changent mais la protection doit rester• Modèles économiques abscons pour les utilisateurs• Complexité et opacité du « Nuage »• L’axiome « Consentement & Contrôle » ne suffit plus• Doutes & Craintes façonnent le perception• Citoyens et Politiques réclament plus de protection• Scandales et Fuites de données génèrent des lois « impulsives »• Experience utilisateurs difficile diminuent les retours attendus• Risques de ralentissement ou de rejet de nouveaux modèles / technologies
La Confiance devient un nécessité fondamentale ……. D’où le besoin d’une approche nouvelle
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.6© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Le Projet “Accountability”
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.7
Concept & EvolutionProjet Accountability
Participants:• Regulateurs, Industrie, NGO
Scope:• Définition , • mise en pratique, • Evolution• Intégration cadre réglementaire
Phases:• Galway 2009 – Paris 2010 – Madrid 2011- Brussels 2012 - Varsovie / Toronto 2013 - ……2014
Definition de l’ “Accountability “
“Accountability is the obligation….. Ø to act as a responsible steward of the personal information of others, Ø to take responsibility for the protection and appropriate use of that information beyond mere legal requirements, and
Ø to be accountable for any misuse of that information.”The Galway Project working definition
.. And to be implemented efficiently .. ..it has to be a Company Culture and a Mindset
Une voie médiane entre Regulation & Self regulation
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.9
Les “Eléments” d’accountability
Engagement formel de la société, Politiques internes alignées sur des critères internes et externes 1
Mécanisme pour mettre ces politiques en pratique, incluant outils formation et culture d’entreprise 2
Systémes de validation, vérification et correction en continu. 3
Transparence et implication active des clients 4Moyens de mise en vigueur et de réparation des préjudices 5
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.10© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Accountability@HP
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.11
Privacy Risk Model pour une Société
“Accountable”1. Compliance Risk
2. Reputation Risk
3. Investment Risk
4. Reticence Risk
5. Business Continuity Risk
6. Compounding Risk
+ Data Subject Risks & Expectations
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.12
“Accountability”
Liability Accountability
+
Décisions prises en fonction des seules contraintes légales
Ø Basée sur une conformité théoriqueØ Alignée sur un standard minimumØ Fonction des technologies et pratiques
connues
Décisions en fonction de règles basé sur l’éthique, les attentes clients en complément de la conformité réglementaire
Ø Tous les employéz sont responsables d’une utilisation responsable des données,
Ø Protection des données effectiveØ Basé sur les attentes et les risques réels et
potentiels des nouvelles pratiques
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.13
Accountability Model
+ +• Is it Fair?• Is it not misleading?• Is it right by the customer?• Is it expected by user?• Is it transparent?• Is it right by HP?• Is it right by other
stakeholders?
Ethique
• Will it affect reputation?• Will privacy concerns affect
investment? • Will decision impact normal
operations ?• Will your decisions compound
to create risk ?
Risques
• Global Privacy Policy• Customer & Employee
Privacy Policies• Online Privacy Statement• Privacy Notices
Privacy Policies
Legal?
Sécurité?
Engagements?
…..au-delà du Légal
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.14© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
En pratique…..
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.15
Commitment Implementation Validation
• Solid policies aligned to external criteria
• Management commitment
• Full transparency
• Mechanisms to ensure policies and commitments are put into effect with employees
• Monitoring and assurance programs that validate both coverage and effectiveness of implementation
Identify Risks and Opportunities Integrated Governance
Demonstrate capacity to internal stakeholders (Management, Internal Audit, Board)
Demonstrate capacity to external stakeholders (Trust Agents, Regulators)
Demonstrate capacity to individual data subjects
Dem
onst
rati
on
Conte
xtu
al A
ppro
ach
Overs
ight
Processus et DEMONSTRATION et de leur efficacité
Le Cadre “Privacy Accountability “ dans l’entreprise
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.16
L’ accountability dans les Nuages ?
Data Subject
Data Controller
Chain of Accountability
Questions en suspens:- Controller Vs BCR Processor liability?- Intra Corp. BCR Controller Vs BCR Processor?- Inter Corp. BCR Controller Vs BCR Processor?- Inter Corp. BCR Controller Vs BCR Controller?
BCR Proc
BCR Proc
BCR Proc
BCR Proc
BCR Proc
BCR Proc
BCR Cont
Proc.
Proc. Proc.
Proc.
Proc. Proc.
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.17
BCR comme une demonstration????
It provides: • EU directive compliance for WW Intra Company transfers• Flexibility adapted to Global Business models technologies.• More than just Compliance for transfers
It is a Framework:• Demonstrating Company Capacity to ensure Accountability• Ensuring effective Privacy / Personal Data Protection, • Fostering Trust from Customers, 3rd Parties, Employees & Regulators.
It is a Package:• EU approved summary (WP133)• Binding mechanism via Intercompany agreement• DPA approved compliance with EU requirements (WP153)• Detailed description of HP Policies, Guidelines and processes, Audit, Training, Privacy
Organization,… (WP154)
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.18© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Lien avec le projet de Réglement Européen
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.19
….en RésuméLe Projet de Règlement sur la Protection des Données
Points Clés
• Droit des individus à un contrôle effectif de leurs données,• Amélioration de la confiance dans les services en ligne,• Exploitation du plein potentiel de l’économie numérique,• Stimulation de l’innovation, la croissance et l’emploi.
Nouveaux concepts
• Droit à l’oubli• Responsabilité # Accountability• Portabilité des données• Privacy by Design• Privacy by Default• Data Protection Impact Assessments
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.20
HP – Recommandations
Ø Protection des Données est un droit fondamental
Ø Support d’un Règlement Européen
Ø Protection des données = Avantage concurrentiel
Ø Les Organisations doivent être “Accountable”
Ø Harmonisation Européenne indispensable
Ø Interopérabilité Réglementaire Globale
Ø Système Globaux Complexes = Outils fluides et
flexibles
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.21
HP – Red Flags
Ø Contraintes administratives partiellement
adressées
Ø Concept d’Accountability incomplet
Ø Trop rigide et prescriptif (Quoi Vs Comment)
Ø Rôle du « Data Privacy Officer »
Ø BCR Contrôleur et Processeur à développer
Ø Montants des Amendes et autres moyens..
Ø Notification de failles de sécurité à clarifier
Ø Responsabilité pénales des processeurs
Ø Mécanismes de Consentement
Ø Traitement du Profiling
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.22
Privacy today and beyond (Cloud, Internet of things, Big data, etc…)
A4
CLOUD
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.23© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Thanks for your attention
Daniel Pradelles – EMEA Privacy Officer