arrow
  • Par réglementation et norme
  • Par produit
  • Protection des données personnelles et respect de la vie privée
  • Normes ISO

Cadre RGPD

  • Cadre de Conformité RGPD
  • Organisation optimale de la conformité RGPD
  • Réalisation et gestion quotidienne des conformités RGPD
  • Sensibilisation au RGPD
  • Evaluation des performances
Découvrir

Smart Whistleblower

  • Lancement d’alertes
  • Suivi global des alertes
  • Planificateur d’actions sur les alertes
  • Amélioration des capacité d’actions, de compréhension, de gouvernance
Découvrir

Smart Integrity Index®

  • Mise en place de la plateforme anonyme de mesure de l’intégrité
  • Préparation du questionnaire de mesure de l’intégrité
  • Collecte des informations pour identifier les lacunes
  • Rapport d’évaluation de l’Intégrité
Découvrir

Norme ISO 14001

  • Pilotage de la gouvernance responsable de la mise en conformité de votre structure
  • Identification de votre état de conformité au regard des points d’exigences applicables à votre structure
  • Création et priorisation des actions à mener si non-conforme
  • Gestion des risques avec un guide d’implémentation des bonnes pratiques revues et régulièrement mis à jour
  • Documentation de la Conformité pour prouver votre conformité au Règlement
  • Détection des synergies avec les autres cadres d’exigences dans Smart Compliance Booster®
Découvrir

Norme ISO 20000-1

  • Pilotage de la gouvernance responsable de la mise en conformité de votre structure
  • Identification de votre état de conformité au regard des points d’exigences applicables à votre structure
  • Création et priorisation des actions à mener si non-conforme
  • Gestion des risques avec un guide d’implémentation des bonnes pratiques revues et régulièrement mis à jour
  • Documentation de la Conformité pour prouver votre conformité au Règlement
  • Détection des synergies avec les autres cadres d’exigences dans Smart Compliance Booster®
Découvrir

Norme ISO 27001

  • Pilotage de la gouvernance responsable de la mise en conformité de votre structure
  • Identification de votre état de conformité au regard des points d’exigences applicables à votre structure
  • Création et priorisation des actions à mener si non-conforme
  • Gestion des risques avec un guide d’implémentation des bonnes pratiques revues et régulièrement mis à jour
  • Documentation de la Conformité pour prouver votre conformité au Règlement
  • Détection des synergies avec les autres cadres d’exigences dans Smart Compliance Booster®
Découvrir

Norme ISO 45001

  • Pilotage de la gouvernance responsable de la mise en conformité de votre structure
  • Identification de votre état de conformité au regard des points d’exigences applicables à votre structure
  • Création et priorisation des actions à mener si non-conforme
  • Gestion des risques avec un guide d’implémentation des bonnes pratiques revues et régulièrement mis à jour
  • Documentation de la Conformité pour prouver votre conformité au Règlement
  • Détection des synergies avec les autres cadres d’exigences dans Smart Compliance Booster®
Découvrir

Norme ISO 9001

  • Pilotage de la gouvernance responsable de la mise en conformité de votre structure
  • Identification de votre état de conformité au regard des points d’exigences applicables à votre structure
  • Création et priorisation des actions à mener si non-conforme
  • Gestion des risques avec un guide d’implémentation des bonnes pratiques revues et régulièrement mis à jour
  • Documentation de la Conformité pour prouver votre conformité au Règlement
  • Détection des synergies avec les autres cadres d’exigences dans Smart Compliance Booster®
Découvrir

Smart Global Academy®

  • Activation du registre de formation
  • Programmation de formations
  • Evaluation des performances
  • Documentation pour la conformité
Découvrir

Smart Global Onboarding®

  • Déploiement de votre Solution Smart Global Governance® complète en moins de 6 semaines.
  • Accompagnement et support continu.
Découvrir

Smart Partner Network®

  • Créer de la valeur innovation
  • Augmenter votre chiffre d’affaires
  • Bénéficier de formations
  • Bénéficier d’avantages
  • Etre accrédité Smart Global Governance®
Découvrir

Smart Certification Partnership

  • Digitalisation du référentiel de certification
  • Digitalisation du processus d’audit de certification
  • Paramétrage de l’interface de documentation de l’entité requérante.
  • Collaboration distante avec le tiers certificateur
  • Elaboration et suivi des tableaux de bord
Découvrir

Smart Compliance Index®

  • Définition des orientations stratégiques en matière de conformité
  • Définition des tableaux de bord
Découvrir

Smart Compliance Booster®

  • Organisation optimale de la conformité
  • Sélection de vos obligations de conformité
  • Réalisation et gestion quotidienne des conformités
  • Diffusion de la culture de conformité et du risque
  • Evaluation des performances par cadre de conformité
Découvrir

Smart elasticReg®

  • Sélection des cadres d’exigences de conformité
  • Adaptation des cadres d’exigences de conformité à votre contexte opérationnel
  • Utilisation avec Smart Compliance Booster®
Découvrir

Smart Retention Duration®

  • Définition de votre politique de rétention des donnes
  • Aide en ligne avec sélection parmi plus de 80 juridictions qui concernent votre Organisation
  • Utilisation des durées de conservation légale des données minimales et maximales civiles, pénales, fiscales, sociales et data privacy
Découvrir

Smart Data Discovery®

  • Cartographie automatisée du système d’information
  • Cartographie automatisée des métadonnées et des données
Découvrir

Smart Data Catalog®

  • Création de votre catalogue de données
  • Alimentation automatique de votre catalogue de données
Découvrir

Smart Certification Readiness

  • Sélection du référentiel de certification
  • Mise en place de la démarche de certification
  • Diagnostic interne de certification
  • Gestion collaborative des tâches liées aux recommandations pour la certification
  • Elaboration et suivi des tableaux de bord
  • Collaboration distante avec le Tiers Certificateur
Découvrir

Smart Vendor Risk Management®

  • Création d’un annuaire des Tiers
  • Expédition de questionnaires multi-conformités
  • Evaluation des Tiers
  • Relance automatique des Tiers pour obtenir les réponses aux questionnaires
  • Analyse automatique des réponses et alimentation d’une file d’attente des réponses non v
  • Vérifiables automatiquement
  • Gestion de projet collaborative pour atténuer les risques
  • Suivi des relations avec les tiers concernant la conformité
Découvrir

Smart Request Automation®

  • Paramétrage de votre processus de décision et des messages de réponses associés.
  • Connexion à votre système d’informations
  • Prise de décision de la suite à donner à la demande d’exercice de droits
  • Traitement intégralement automatisé tout en conservant la possibilité d’intervenir manuellement si nécessaire
  • Documentation dans le registre des demandes d’exercices de droits
Découvrir

Smart Process Automation®

  • Automatisation grâce aux connexions existant entre Smart Global Governance® et plus de 1500 logiciels tiers
  • Automatisation de rapports sur mesure
  • Automatisation de collecte d’informations sur les bases de données publiques et/ou privées
Découvrir

Smart Internal Audit®

  • Définition du plan d’audit
  • Collecte des informations internes et externes
  • Analyse automatique, des dysfonctionnements et des marges d’amélioration.
  • Élaboration des recommandations pour l’efficacité de l’Organisation
  • Gestion collaborative des tâches liées aux recommandations
  • Elaboration et suivi des tableaux de bord
Découvrir

Certification & Conformité aux règles sur la protection des données - De Gaulle Fleurance & Associés et Europrivacy

Lire la suite


Digitalisation & Compliance – DayOne

Day One et Smart Global Governance sont par ailleurs membres du groupe de travail « Digitalisation & Compliance » et organisent régulièrement, sous l’égide du Cercle Montesquieu et de l’AFJE plusieurs événements sur le sujet.

Prochain webinar le 12 janvier 2021 de 9h à 10h30 sur le thème suivant :

Digitalisation du processus d’évaluation de tiers

Le Cercle Montesquieu en partenariat avec le groupe de travail « Digitalisation & Compliance » de l’AFJE, Day One et Smart Global Governance, vous propose un webinar en ligne via Teams sur le thème « Digitalisation du processus d’évaluation de tiers » ;

Intervenants :

– Olivier Fauqueux, Directeur Juridique, La Poste
– Audrey Morin, Directrice Compliance, Schneider Electric
– Olivier Guillo, Associé Fondateur, Smart Global Governance
– Laurent Luce, Senior Product Marketing Manager, Compliance and Security, Altares-D&B
– Olivier Chaduteau, Associé Fondateur, Day One

Pour vous inscrire – RSVP : julie.chabaud@dayone-consulting.com

A propos du groupe de travail « Digitalisation & Compliance »

La crise sanitaire a mis en exergue, moyennant des contraintes budgétaires fortes, l’accélération des besoins en matière de transformation digitale des entreprises. Le Cercle Montesquieu et l’AFJE ont constitué un groupe de travail conjoint pour conduire une étude sur la digitalisation des processus de compliance en y associant plusieurs partenaires : Day One, EdhecBusiness School, Smart Global Governance, De Gaulle Fleurance & Associés, Deloitte Legal.

Certification & Conformité aux règles sur la protection des données – De Gaulle Fleurance & Associés et Europrivacy

Une table ronde pour vous expliquer le rôle incontournable de la certification au sein du RGPD et ses atouts pour votre organisation

Au programme :

1. La donnée personnelle, devenue un enjeu stratégique majeur et mondial

2. La certification, une garantie européenne pour la conformité

  • Près de 70 occurrences dans le RGPD
  • Article 42 sur la mise en place de mécanismes de certification
  • Article 43 sur les organismes de certification

3. Les valeurs ajoutées de la certification :

  • Un élément déterminant dans les secteurs privés ou publics (identification et réduction des risques, assurance, accès au marché, image de marque, confiance …)
  • Un élément majeur face aux régulateurs et aux organes de contrôle

4. Certification de la conformité au RGPD avec Europrivacy

  • Europrivacy™/®, le schéma de certification de la conformité au RGPD développé dans le cadre du programme de recherche européen Horizon 2020 (https://www.europrivacy.com)

5. Les acteurs de l’IT et du conseil mobilisés autour de la certification Europrivacy

6. Panel et questions / Réponses

 

Ce webinaire sera animé par :

 

Formulaire d’inscription : 

 

Quels sont les défis de la mise en conformité RGPD dans l’assurance ?

Les données personnelles sont au cœur de l’activité des entreprises du secteur de l’assurance. Depuis l’entrée en vigueur du RGPD, ces entreprises sont de plus en plus exposées et se doivent de prendre des engagements envers les clients quant à l’utilisation de leurs données. En effet, ces données ne peuvent être utilisées qu’à des fins auxquelles le consommateur a consenti et uniquement si elles sont réellement nécessaires à l’activité de l’entreprise.

Dès 2018, la CNIL a mis en demeure les sociétés des groupes HUMANIS et MALAKOFF-MÉDÉRIC, qui utilisaient les données personnelles collectées de leurs assurés dans un but de prospection commerciale. Or, ces données avaient initialement été collectées aux fins de payer les allocations retraites, ce qui témoigne de l’ampleur des enjeux et de l’attention particulière que porte la CNIL à ce secteur.

2 ans et demi après l’entrée en vigueur du règlement et à quelques mois de l’échéance de la recommandation CNIL sur les cookies et traceurs, où en est le secteur de l’assurance ? Quels sont les grands défis des années à venir pour ce secteur en matière de RGPD et comment les relever ?

A destination des départements Marketing et Ventes mais également DSI, DPO, CDO, CCO…Tous ont vocation à bénéficier de la vision transversale de l’organisation que nous partagerons. Grâce aux différents cas clients de Didomi et Smart Global, les études menées par Capgemini Invent et leur retour d’expérience sur le secteur, nous aborderons les questions suivantes :

  • Comment les exigences du RGPD et les exigences clients impactent la stratégie data des entreprises du secteur de l’assurance ?
  • Quelle stratégie adopter en cas d’absence du consentement de l’utilisateur ?
  • Quelle est la meilleure façon d’optimiser l’utilisation des données collectées ?
  • Comment tirer parti des moyens digitaux et automatisés pour optimiser et sécuriser la chaîne de sous-traitance ?
  • Comment optimiser les synergies et la maîtrise de la chaîne des tiers ?

Durant ce webinar, @Didomi@Capgemini Invent et @Smart Global Governance prendront le temps de répondre à toutes vos questions.

Que signifient les nouvelles orientations de l’EDPB pour les garanties en matière de transfert de données ?

Des lignes directrices très attendues sur les garanties de transfert de données ont été publiées par le Conseil européen de la protection des données, qui pourraient éventuellement exclure le recours à de nombreux fournisseurs de services dans le nuage. 

 

Que contiennent ces nouvelles lignes directrices ? 

Les lignes directrices du Conseil européen de la protection des données (CEPD), officiellement adoptées le 10 novembre, comprennent une approche en six étapes pour déterminer l’utilisation de mesures supplémentaires et les conditions dans lesquelles elles seraient efficaces. Ces mesures doivent compléter les protections déjà en place dans les cadres de transfert de données, telles que les clauses contractuelles types. (SCC) 

Selon la Cour de justice européenne dans l’arrêt Schrems II (LINK TO SCHREMS II ARTICLE SEO #3), les clauses contractuelles types, les règles d’entreprise contraignantes et autres mécanismes similaires restent un moyen valable de transférer des données à l’étranger.  

Cependant, les organisations devraient utiliser des mesures supplémentaires pour augmenter le niveau de protection requis par le droit européen, si la protection des données transférées en dehors de l’UE dans le cadre de ces mécanismes n’est pas adéquate. 

Les orientations de l’EDPB sont particulièrement importantes car elles fournissent une liste non exhaustive de mesures possibles qui permettraient de sécuriser les transferts, alors qu’auparavant, bien que la notion de mesures supplémentaires existe, le tribunal ne précisait pas ce qu’elles étaient.  

 

L’approche en six étapes : 

Tout d’abord, le guide indique que les responsables du traitement doivent cartographier leurs transferts de données, puis vérifier les outils utilisés pour faciliter ces transferts. Ensuite, une évaluation doit être faite pour déterminer si la législation des pays vers lesquels les données sont transférées est susceptible de compromettre l’efficacité des mécanismes de transfert contenus dans les garanties du GDPR.  

Si la loi d’un pays tiers affecte les garanties du GDPR, les organisations doivent envisager des mesures supplémentaires. Enfin, les étapes procédurales formelles associées aux mesures supplémentaires choisies doivent être prises ; cela peut impliquer de consulter les autorités de protection des données appropriées. En outre, elles doivent procéder à une réévaluation continue des transferts de données. 

 

Quelles sont les mesures supplémentaires ? 

L’EDPB a fourni une longue liste de mesures supplémentaires possibles et les a séparées en types techniques, contractuels et organisationnels. Elle a souligné que la plus efficace est probablement une combinaison des trois types de mesures.  

Le conseil a poursuivi en déclarant que dans les cas où le gouvernement aurait accès aux données, il est probable que seules les mesures techniques seraient efficaces. 

L’EDPB a déclaré que le cryptage est l’une des mesures techniques efficaces dont disposent les organisations, à condition qu’il soit à la pointe de la technologie et soumis à une série d’exigences techniques. Parmi les autres mesures techniques figurent la pseudonymisation, qui est également soumise à des conditions distinctes, et le « traitement fractionné ou multipartite », qui consiste à transférer des données à différentes organisations en empêchant l’identification des personnes concernées. 

Le guide a décrit deux cas dans lesquels il a affirmé qu’il ne peut y avoir de mesure efficace pour assurer une protection adéquate des données. Le premier est le cas des transferts à des fournisseurs de services dans le nuage qui sont tenus par les autorités gouvernementales de donner accès aux données transférées. L’autre cas serait celui où l’accès à distance aux données est nécessaire à des fins commerciales.  

L’EDPB a déclaré que lorsqu’aucune mesure de protection des données appropriée n’est disponible, les transferts ne devraient pas être effectués. 

Sur Twitter, Max Schrems, le militant de la protection de la vie privée à l’origine de l’événement, a déclaré que 90 % des entreprises sont susceptibles d’être touchées dans les cas impliquant des fournisseurs de services dans le nuage, alors que les scénarios impliquant un accès à distance auraient un impact sur les centres de données gérés par les États-Unis et basés dans l’UE. 

Les lignes directrices ont également identifié des mesures contractuelles qui pourraient être utilisées pour renforcer les transferts de données, y compris des éléments tels que les obligations contractuelles relatives à la mise en œuvre de mesures techniques, les obligations de transparence et les obligations relatives à l’habilitation des personnes concernées à exercer leurs droits.  

Les mesures organisationnelles suggérées impliquent des politiques internes de contrôle des transferts de données, des mesures relatives à la transparence et à la responsabilité, des mesures impliquant la minimisation des données et la mise en œuvre de normes et de meilleures pratiques. 

Facebook apaise les inquiétudes de DPC concernant son service de rencontres

Le nouveau service de rencontres de Facebook a été approuvé par l’autorité irlandaise de régulation des données, plusieurs mois après une descente dans les bureaux de Facebook pour des raisons de protection de la vie privée. 

Le 21 octobre, Facebook a annoncé qu’il allait mettre en place son service de rencontres dans 32 pays européens. Le service était censé être lancé plus tôt cette année, avec une sortie prévue pour la Saint-Valentin, mais cela a été reporté en raison des inquiétudes soulevées par la Commission irlandaise de protection des données (DPC). 

 

Quelles étaient les préoccupations de la DPC ? 

La Commission était « très préoccupée » par le fait que Facebook avait décidé de notifier l’autorité seulement 10 jours avant la date de lancement prévue et qu’il y avait un manque de documentation fournie, telle qu’une évaluation d’impact sur la protection des données. 

Facebook a pris la décision de reporter la fonction de datation après que la Commission ait envoyé des fonctionnaires dans les bureaux de Facebook pour « accélérer l’obtention » de la documentation. 

 

Qu’est-ce qui a changé ? 

Cependant, il semble maintenant que Facebook ait finalement apaisé la Commission, puisque le 22 octobre, le responsable de la communication de l’autorité, Graham Doyle, a déclaré que Facebook avait fourni des « clarifications détaillées » concernant les aspects de protection des données du nouveau service.

Doyle a poursuivi en déclarant que Facebook a également « fourni des détails sur les modifications qu’ils ont apportées au produit pour tenir compte des questions soulevées par le DPC ». Il aégalement ajouté que la Commission continuera à surveiller le service tel qu’il sera lancé en Europe cette semaine.

Facebook a déclaré qu’il avait pris plusieurs mesures pour protéger la vie privée des utilisateurs, comme l’inclusion de contrôles sur les informations qui sont partagées avec des correspondances potentielles sur la plateforme. Cependant, Faecbook a également déclaré qu’il pourrait suggérer des correspondances en fonction des activités et des préférences des utilisateurs dans d’autres parties de la plateforme de médias sociaux, ainsi qu’utiliser l’activité des utilisateurs sur le service de rencontres à des fins de personnalisation dans ses autres produits, y compris les publicités ciblées. Exception faite des opinions religieuses et des sexes que les gens sont intéressés par les rencontres. 

Clarification de l’autodéclaration dans les nouvelles orientations de l’OFS

Le Serious Fraud Office (SFO) du Royaume-Uni a récemment publié de nouvelles directives qui clarifient la question de la rapidité avec laquelle les entreprises doivent signaler une faute potentielle pour pouvoir bénéficier d’un règlement.  

Le 23 octobre, le SFO a publié un chapitre de son manuel opérationnel dans lequel il aborde les considérations prises en compte par le personnel du SFO lorsqu’il invite une entreprise à négocier un accord de report de poursuites (DPA). 

 

Que signifie le nouveau guide de l’OFS pour les entreprises ? 

Les nouvelles lignes directrices stipulent que les entreprises doivent signaler les actes répréhensibles présumés « dans un délai raisonnable après que le comportement incriminé a été mis au jour » pour pouvoir bénéficier d’un DPA. 

La directrice de l’OFS, Lisa Osofsky, a fait une déclaration dans un courriel, soutenant les nouvelles orientations, en disant que « la publication de ces orientations permettra d’accroître la transparence sur ce que nous attendons des entreprises qui cherchent à coopérer avec nous », et que « les DPA sont un outil précieux dans la lutte contre les fraudes graves, les pots-de-vin et la corruption ». 

Laura Dunseath, ancienne responsable du SFO, a déclaré que les nouvelles lignes directrices sont particulièrement utiles dans les cas où les entreprises signalent elles-mêmes un problème sans enquêter sur la nécessité de faire un rapport.  Elle ajoute que « par le passé, certaines entreprises ont ressenti une telle pression pour faire un rapport rapide qu’elles ont fait leur rapport avant même qu’il soit clair que des infractions pénales avaient été commises ». 

La question de l’autodéclaration en vue d’obtenir un DPA a fait l’objet de nombreuses controverses au Royaume-Uni pendant de nombreuses années, notamment en raison du règlement de 497 millions de livres sterling obtenu par Rolls-Royece en 2017, qui battait alors tous les records. 

Osofsky a déjà déclaré qu’avant de faire un rapport au SFO, les entreprises devraient « faire un peu de travail pour déterminer ce que vous regardez et si c’est réel ou non ». C’est tout à fait le contraire de l’opinion de son prédécesseur, David Green. Green était moins favorable à ce que les entreprises mènent des enquêtes internes sur les fautes commises avant de les signaler. Il a déclaré que l’OFS cherchait un « compte-rendu factuel non verni » de la question et a imploré les sociétés de faire rapport à l’agence avant de mener une enquête interne. 

Certains estiment qu’à l’heure actuelle, les lignes directrices ont encore une grande marge de manœuvre dans leur application et qu’elles auraient pu être plus détaillées et plus claires. 

Le SFO a publié les lignes directrices sur les DPA pour la première fois en février 2014 et, depuis, neuf accords ont été conclus, le dernier en date ayant été conclu le 22 octobre concernant une entreprise de passation de marchés dans les aéroports, Airline Services. 

Les chefs des autorités européennes chargées des données clarifient l’approche après Schrems II

Les chefs d’autorités européennes influentes en matière de données ont apporté un éclairage sur leur approche de la gestion des conséquences de la décision Schrems II. 

Le 21 octobre, le chef du Conseil européen de la protection des données (CEPD), Andrea Jelinek, et le Contrôleur européen de la protection des données (CEPD), Wojciech Wiewiórowski, ont exposé leur point de vue sur la manière dont les entreprises peuvent transférer des données conformément à l’arrêt Schrems II.  

 

La pseudonymisation est-elle une garantie supplémentaire ? 

Andrea Jelinek a été demandé si la pseudonymisation peut être considérée comme une « garantie supplémentaire », ce que la Cour européenne de justice (CEJ) considère comme des mesures qui permettent des transferts de données sûrs en utilisant le mécanisme de la clause contractuelle standard (SCC). 

Jelinek a répondu que cela est toujours à l’étude et que la pseudonymisation pourrait potentiellement fonctionner en « paquet » avec d’autres mesures supplémentaires telles que le cryptage. Jelinek a également déclaré qu’un guide sur les questions de pseudonymisation et de garanties en général, est un « travail en cours », tel qu’il est actuellement examiné par le sous-groupe d’experts d’EDPB. 

 

L’obligation d’évaluer le pays d’importation pourrait-elle s’avérer être un obstacle important pour les entreprises ?   

Il a été demandé à M. Wiewiórowski si le résultat de la décision laisserait aux entreprises une grande tâche à accomplir, notamment en ce qui concerne l’évaluation des cadres de protection et de surveillance des données du pays dans lequel les données sont importées. Il a répondu que « ce n’est pas nouveau » et que de telles exigences existaient avant la décision de la CJCE. Il s’agit d’exigences selon lesquelles chaque responsable du traitement a le devoir d’évaluer ce qui se passera avec les données, lors de leur transfert vers un pays tiers. 

Il a soutenu ce point en tirant des similitudes avec le domaine des produits pharmaceutiques, en déclarant qu’une telle évaluation se produit lors de l’importation de tout ingrédient médical d’un autre pays. 

Wiewiórowskia reconnu qu’il peut être difficile de résister aux demandes de données faites par le gouvernement et les forces de l’ordre, mais il a déclaré que les entreprises devraient enregistrer la manière dont ces demandes sont traitées. Cela permettrait aux exportateurs de données d’évaluer plus précisément s’ils peuvent transférer des données à l’entreprise en toute sécurité. 

 

Comment la décision Shcrems II sera-t-elle appliquée ?  

Jeliner et Wiewiórowski ont également abordé la question de l’application de la décision par les autorités de protection des données. En particulier, Jelinek a fait référence au groupe de travail qui a été créé lorsque l’ONG Noyb a déposé 101 plaintes. Wiewiórowski a déclaré que son bureau travaille actuellement à une évaluation des pratiques de transfert de données de toutes les institutions européennes et que cela prendra probablement encore plusieurs mois.  

 

L’IAB continue de poursuivre la décision relative au code de conduite malgré le rapport du régulateur belge.

L’Interactive Advertising Bureau (IAB) continue de faire pression pour l’approbation d’un code de conduite sur son cadre de transparence et de consentement (TCF), malgré un récent rapport de l’autorité de régulation belge, qui affirme que cela porterait atteinte au GDPR. 

 

Qu’est-ce que le TCF et quels sont les développements qui ont été faits ? 

Townsend Feehan, directeur général de l’IAB Europe, a révélé que des progrès ont été réalisés pour que le TCF soit approuvé en tant que code de conduite par une autorité de protection des données. Le TCF est couramment utilisé pour gérer le consentement des utilisateurs à la publicité ciblée et reçoit le soutien d’acteurs influents du secteur tels que Google. Bien que l’IAB ne se soit pas encore formellement rapproché d’une autorité de protection des données, il a rédigé un « document de présentation sophistiqué » qui en est actuellement à un stade plus avancé.  

Étant donné que l’IAB est réglementé par l’autorité belge de protection des données, il sera très probablement le régulateur de choix de l’IAB.  

Si le TCF est approuvé en tant que code de conduite, les règles et les lignes directrices du cadre seraient approuvées à l’avance par l’autorité et pourraient éventuellement fournir une solution pour des transferts internationaux de données beaucoup plus faciles. 

 

Pourquoi l’autorité belge de protection des données a-t-elle créé un rapport pour l’IAB ? 

Les projets de l’IAB ont toutefois été récemment remis en question par un rapport de l’autorité belge de régulation. Ce rapport est la conséquence d’une série de plaintes déposées auprès de diverses autorités de protection des données en Europe par des militants de la vie privée. 

Johnny Ryan, senior fellow du Conseil irlandais pour les libertés civiles et l’une des personnes ayant déposé des plaintes, a déclaré que le régulateur belge a créé un rapport préliminaire qui conclut que le contenu du TCF est gravement contraire à la GDPR. Il cite le rapport en indiquant que l’approche adoptée par IAB Europe « néglige les risques qui auraient un impact sur les droits et libertés des personnes concernées » et qu’il y a un manque de « règles adéquates pour le traitement de catégories spéciales de données personnelles ». 

Il poursuit en précisant que le rapport indique que la division du régulateur belge qui a produit ledit rapport, est d’avis qu’IAB Europe tente d’éviter toute responsabilité au titre de la GDPR, ce qui constituerait une « circonstance aggravante ». 

Le 20 octobre, un porte-parole du régulateur belge a confirmé que le rapport resterait confidentiel et qu’il serait transmis à la Chambre du contentieux pour évaluer le cas de l’IAB sur le fond. 

 

Comment l’IAB prévoit-il d’aller de l’avant ? 

Malgré le rapport, le porte-parole de l’IAB Europe a indiqué que le groupe continuera à travailler à l’approbation d’un code de conduite, précisant que, le rapport provenant d’une seule autorité, l’IAB doit maintenir un engagement étroit avec les régulateurs afin que le cadre soit pleinement compris. 

IAB Europe a également fourni une déclaration séparée contestant l’interprétation de la loi par le régulateur, qui considère IAB Europe comme un contrôleur de données dans le contexte de la mise en œuvre du TCF. L’IAB fait valoir que si l’interprétation est confirmée, elle entraverait le développement de « normes de conformité open-source » qui aideraient les acteurs du secteur et assureraient la protection des consommateurs. 

De plus, l’IAB Europe a nommé Thomas Adhumeau, avocat général de S4M (une société de technologie publicitaire), comme président du groupe de travail de l’IAB chargé de fournir des informations sur le TCF lors des réunions avec les régulateurs européens. S4M a déclaré que l’approbation du code de conduite pour le TCF « reste l’objectif ». 

Comme le montrent les documents obtenus en octobre dernier, l’IAB a eu plusieurs réunions avec le bureau du commissaire à l’information britannique (ICO) concernant le TCF, qui n’ont finalement pas abouti, car aucun accord n’a été conclu sur la base légale du traitement des données des cookies.  

Le cadre a été publié, en dépit des préoccupations de l’ICO. L’IAB a alors justifié sa décision par le fait qu’il représente de nombreuses organisations à travers l’UE et qu’il avait rencontré d’autres autorités européennes de protection des données. 

Startups de l’OVHcloud Startup Program

La solution pour leur conformité réglementaire

 

  • Signature d’un partenariat entre OVHcloud Startup et Smart Global Governance®
  • Les startups et scaleups n’échappent pas à la complexité réglementaire liée aux conformités
  • La solution Smart Global Governance® leur permet d’être en conformité sur l’ensemble des réglementations en vigueur dans 193 pays et dans 50 domaines du droit
  • Un gain garanti de 25 à 75% de productivité sur leurs enjeux de conformité
  • Une réduction pour les startups et scaleups clientes d’OVHcloud

 

OVHcloud Startup est un programme qui apporte fiabilité et sécurité aux startups et scaleups du monde entier et qui les aide, grâce à une sélection de partenaires, à atteindre une croissance exponentielle et internationale. OVHcloud Startup Program a développé un écosystème de confiance, alternatif et compétitif.

Smart Global Governance® a fait le choix de rejoindre cet écosystème en tant que leader européen des plateformes de gestion des conformités pour aider les startups et scaleups à appréhender le sujet complexe de la conformité aux réglementations en vigueur dans le ou les pays de leur exercice.

Le domaine de compétence de Smart Global Governance® est la simplification de la complexité règlementaire liée aux conformités. Sa solution met en place des cadres de conformité prêts à l’emploi (Data Privacy, CCIN, RGPD, Data Discovery et Data catalogue, préparation et certification aux normes ISO, préparation aux démarches RSE, Cybersécurité, etc.) qui lui permettent de couvrir l’ensemble des réglementations en vigueur dans 193 pays et dans 50 domaines du droit, et d’accompagner les professionnels dans le contrôle de la conformité légale de leur entreprise, organisation ou association.

Smart Global Governance® s’est donné pour mission d’aider les startups et scaleups membres du réseau OVH à inscrire leurs activités dans le cadre légal de la réglementation parce que nous savons que le respect de la conformité est un puissant levier de croissance : 20 à 75% de gain de productivité sont garantis par notre approche agile et simple à utiliser.

“ La solution Smart Global Governance® propose de créer de la confiance, de la valeur et de la résilience via :
– Des Conformités plus efficaces, simplifiées et améliorées en continu
– Une vision globale des Conformités pour une meilleure gouvernance et un avantage concurrentiel significatif. “ Olivier Guillo, Président de Smart Global Governance

A propos de Smart Global Governance
La société française, basée à Sophia-Antipolis et Paris, est un acteur international et sa solution a convaincu plus de 20 000 utilisateurs professionnels dans 100 pays dans le monde. Smart Global Governance® est accrédité par les pôles de compétitivité Systematic et Finance & Innovation et vient d’intégrer le réseau BPI Excellence.

Smart Global Governance est un éditeur de logiciel qui propose des solutions adaptées et flexibles. C’est la solution préconisée par Microsoft, Oracle, IBM, Orange, OVH, les directeurs juridiques (Cercle Montesquieu, l’AFJE), les associations (Cercle des DPO, des CDO, de la Conformité et de la Gouvernance).Smart Global Governance est une entreprise française qui permet de construire, gérer et assurer la mise en œuvre de réglementations et standards (RGPD, ISO, RSE, Financiers…) en interaction avec toutes les parties prenantes internes et externes.

Accréditée Europrivacy pour GDPR | Accréditée SGS pour ISO 27001 | Certifiée AFAQ protection des données personnelles.