© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.1© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

“Accountability “ comment le traduire dans une

entreprise????

Colloque INRIA – Lyon 11 Septembre , 2013

Daniel Pradelles - EMEA Privacy Officer

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.2© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

La dynamique… d’un Contexte Global……

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.3

Les challenges d’aujourd’hui et de demain (Business)Contexte Technique

• Environnement Complexe, Global & Multi Dimensionnel• Flots de données Globaux, Dynamiques & Fragmentés..• Augmentation exponentielle de la création / collecte• Technologie omniprésente et en évolution exponentielle

Contexte Business

• Multi intervenants, Hautement dynamique• Tendances Fort potentiel / Haut risque • Supporte Innovation, Business intelligence, et croissance économique• Certains « Business models » n’ont pas été validés “privacy”

… à un point d’inflexion et dans une évolution qui ne se ralentira pas

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.4

Les challenges d’aujourd’hui et de demain(Legal)

Contexte Régulatoire

• Incertitude dans toutes Régions et Secteurs économiques…• Opposition « Globalisation & Technologies » vs Approche traditionnelle• Lois en décalage chronique avec technologies et pratiques• Trop d’emphase sur les critères géographiques• Approche trop centrée sur l’unique conformité réglementaire• Consensus global sur les principes / différentes de mises en pratique

…Absence d’Interoperabilité entre grands blocs régionaux…

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.5

Les challenges d’aujourd’hui et de demain(Sociétal)

Contexte Sociétal

• Nomes sociales changent mais la protection doit rester• Modèles économiques abscons pour les utilisateurs• Complexité et opacité du « Nuage »• L’axiome « Consentement & Contrôle » ne suffit plus• Doutes & Craintes façonnent le perception• Citoyens et Politiques réclament plus de protection• Scandales et Fuites de données génèrent des lois « impulsives »• Experience utilisateurs difficile diminuent les retours attendus• Risques de ralentissement ou de rejet de nouveaux modèles / technologies

La Confiance devient un nécessité fondamentale ……. D’où le besoin d’une approche nouvelle

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.6© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Le Projet “Accountability”

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.7

Concept & EvolutionProjet Accountability

Participants:• Regulateurs, Industrie, NGO

Scope:• Définition , • mise en pratique, • Evolution• Intégration cadre réglementaire

Phases:• Galway 2009 – Paris 2010 – Madrid 2011- Brussels 2012 - Varsovie / Toronto 2013 - ……2014

Definition de l’ “Accountability “

“Accountability is the obligation….. Ø to act as a responsible steward of the personal information of others, Ø to take responsibility for the protection and appropriate use of that information beyond mere legal requirements, and

Ø to be accountable for any misuse of that information.”The Galway Project working definition

.. And to be implemented efficiently .. ..it has to be a Company Culture and a Mindset

Une voie médiane entre Regulation & Self regulation

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.9

Les “Eléments” d’accountability

Engagement formel de la société, Politiques internes alignées sur des critères internes et externes 1

Mécanisme pour mettre ces politiques en pratique, incluant outils formation et culture d’entreprise 2

Systémes de validation, vérification et correction en continu. 3

Transparence et implication active des clients 4Moyens de mise en vigueur et de réparation des préjudices 5

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.10© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Accountability@HP

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.11

Privacy Risk Model pour une Société

“Accountable”1. Compliance Risk

2. Reputation Risk

3. Investment Risk

4. Reticence Risk

5. Business Continuity Risk

6. Compounding Risk

+ Data Subject Risks & Expectations

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.12

“Accountability”

Liability Accountability

+

Décisions prises en fonction des seules contraintes légales

Ø Basée sur une conformité théoriqueØ Alignée sur un standard minimumØ Fonction des technologies et pratiques

connues

Décisions en fonction de règles basé sur l’éthique, les attentes clients en complément de la conformité réglementaire

Ø Tous les employéz sont responsables d’une utilisation responsable des données,

Ø Protection des données effectiveØ Basé sur les attentes et les risques réels et

potentiels des nouvelles pratiques

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.13

Accountability Model

+ +• Is it Fair?• Is it not misleading?• Is it right by the customer?• Is it expected by user?• Is it transparent?• Is it right by HP?• Is it right by other

stakeholders?

Ethique

• Will it affect reputation?• Will privacy concerns affect

investment? • Will decision impact normal

operations ?• Will your decisions compound

to create risk ?

Risques

• Global Privacy Policy• Customer & Employee

Privacy Policies• Online Privacy Statement• Privacy Notices

Privacy Policies

Legal?

Sécurité?

Engagements?

…..au-delà du Légal

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.14© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

En pratique…..

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.15

Commitment Implementation Validation

• Solid policies aligned to external criteria

• Management commitment

• Full transparency

• Mechanisms to ensure policies and commitments are put into effect with employees

• Monitoring and assurance programs that validate both coverage and effectiveness of implementation

Identify Risks and Opportunities Integrated Governance

Demonstrate capacity to internal stakeholders (Management, Internal Audit, Board)

Demonstrate capacity to external stakeholders (Trust Agents, Regulators)

Demonstrate capacity to individual data subjects

Dem

onst

rati

on

Conte

xtu

al A

ppro

ach

Overs

ight

Processus et DEMONSTRATION et de leur efficacité

Le Cadre “Privacy Accountability “ dans l’entreprise

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.16

L’ accountability dans les Nuages ?

Data Subject

Data Controller

Chain of Accountability

Questions en suspens:- Controller Vs BCR Processor liability?- Intra Corp. BCR Controller Vs BCR Processor?- Inter Corp. BCR Controller Vs BCR Processor?- Inter Corp. BCR Controller Vs BCR Controller?

BCR Proc

BCR Proc

BCR Proc

BCR Proc

BCR Proc

BCR Proc

BCR Cont

Proc.

Proc. Proc.

Proc.

Proc. Proc.

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.17

BCR comme une demonstration????

It provides: • EU directive compliance for WW Intra Company transfers• Flexibility adapted to Global Business models technologies.• More than just Compliance for transfers

It is a Framework:• Demonstrating Company Capacity to ensure Accountability• Ensuring effective Privacy / Personal Data Protection, • Fostering Trust from Customers, 3rd Parties, Employees & Regulators.

It is a Package:• EU approved summary (WP133)• Binding mechanism via Intercompany agreement• DPA approved compliance with EU requirements (WP153)• Detailed description of HP Policies, Guidelines and processes, Audit, Training, Privacy

Organization,… (WP154)

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.18© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Lien avec le projet de Réglement Européen

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.19

….en RésuméLe Projet de Règlement sur la Protection des Données

Points Clés

• Droit des individus à un contrôle effectif de leurs données,• Amélioration de la confiance dans les services en ligne,• Exploitation du plein potentiel de l’économie numérique,• Stimulation de l’innovation, la croissance et l’emploi.

Nouveaux concepts

• Droit à l’oubli• Responsabilité # Accountability• Portabilité des données• Privacy by Design• Privacy by Default• Data Protection Impact Assessments

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.20

HP – Recommandations

Ø Protection des Données est un droit fondamental

Ø Support d’un Règlement Européen

Ø Protection des données = Avantage concurrentiel

Ø Les Organisations doivent être “Accountable”

Ø Harmonisation Européenne indispensable

Ø Interopérabilité Réglementaire Globale

Ø Système Globaux Complexes = Outils fluides et

flexibles

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.21

HP – Red Flags

Ø Contraintes administratives partiellement

adressées

Ø Concept d’Accountability incomplet

Ø Trop rigide et prescriptif (Quoi Vs Comment)

Ø Rôle du « Data Privacy Officer »

Ø BCR Contrôleur et Processeur à développer

Ø Montants des Amendes et autres moyens..

Ø Notification de failles de sécurité à clarifier

Ø Responsabilité pénales des processeurs

Ø Mécanismes de Consentement

Ø Traitement du Profiling

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.22

Privacy today and beyond (Cloud, Internet of things, Big data, etc…)

A4

CLOUD

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.23© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Thanks for your attention

Daniel Pradelles – EMEA Privacy Officer