20130222 - Règlement UE point de vue UK
Transcription
20130222 - Règlement UE point de vue UK
Personal Data Offences: a Criminal Approach Cloud Computing and Personal Data Offences in the Digital Era: a UK Perspective Kiran Sandford Head of IT Group, Mishcon de Reya Vice President, ITechLaw [email protected] + 44 207 440 7066 Personal Data Offences: a Criminal Approach Introduction (1/2) Data Protection Act 1998 Privacy and Electronic Communications Regulations Role of the Regulator Le rôle du régulateur Overview of criminal penalties and enforcement action Résume des sanctions pénales et mesures d’application Monetary penalties Sanctions pécuniaires Personal Data Offences: a Criminal Approach Introduction (2/2) What happens in practice La pratique Recent cases/examples Exemples et jurisprudence récentes The latest on how this applies to the Cloud Application a l’actuelle dans le domaine du ‘Cloud’ Personal Data Offences: a Criminal Approach Role of the Information Commissioners Office (ICO) (1/2) Le rôle du bureau du Commissionnaire d’Information (ICO) ICO responsible for enforcement of Data Protection Act and Privacy Regulations Le ICO est responsable pour l’application de la ‘Data Protection Act’ et les ‘Privacy Regulations’ Can institute proceedings for criminal offences Le ICO peut lancer une procédure judiciaire Personal Data Offences: a Criminal Approach Role of the Information Commissioners Office (ICO) (2/2) Le rôle du bureau du Commissionnaire d’Information (ICO) Issues guidance Publie des conseils et de l’orientation Guidance does not have the force of law but will be taken into account Ces conseils n’ont pas la force du droit mais seront pris en compte Takes a pragmatic approach in practice Le ICO est très pragmatique Personal Data Offences: a Criminal Approach Data Protection Act 1998 – an Overview of the Criminal Regime (1/2) Data Protection Act - Résumé des infractions pénales Criminal penalties in the UK Infractions pénales dans le Royaume Unis Known as an “offence” Une infraction Offence of failure to notify Infraction de manque de notification Offence of disclosing or using personal data without consent of the data controller Infraction de divulguer ou utiliser les données personnelles sans consentement Offence of selling personal data Infraction de vente de données personnelles Personal Data Offences: a Criminal Approach Data Protection Act 1998 – an Overview of the Criminal Regime (2/2) Data Protection Act Résumé des infractions pénales Other offences Autres infractions Proceeds of Crime Act applies to the recovery of proceeds of crime “Proceeds of Crime Act” s’applique a la récupération des produits d’un crime Enforcement notices for contravention of data protection principles Avis d’executions pour contravention des principes Non compliance with an Enforcement Notice is an offence Le non respect d’un avis d’exécution est une infraction Personal Data Offences: a Criminal Approach Criminal Liability for Business – what the Data Protection Act says (1/2) Data Protection Act – Responsabilité pénale des entreprises Proceedings for an offence to be commenced: o by the ICO o by the Director of Public Prosecutions Une procédure pénale peut être lancée par: o le ICO o le Procureur Générale Summary conviction (Magistrates Court) fine not exceeding £5,000 Par procédure sommaire (Magistrat) avec une amende pas plus de £5,000 Personal Data Offences: a Criminal Approach Criminal Liability for Business – what the Data Protection Act says (2/2) Data Protection Act – Responsabilité pénale des entreprises Conviction on indictment (Crown Court) – unlimited fine Par procédure ‘mise en accusation’ (Crown Court) amende illimité Proceeds of Crime Act – where profits/money obtained as a result of a criminal offence Proceeds of Crime Act – ou il existe un profit grâce une infraction criminelle 15 Prosecutions since June 2011 15 poursuites judiciaires depuis Juin 2011 Personal Data Offences: a Criminal Approach Criminal Liability for Individuals - what the Data Protection Act says (1/2) Data Protection Act – Responsabilité pénale des individus Where a Criminal Offence has been committed by a body corporate Proved to have been committed: o with consent/ connivance of; or o attributable to neglect on the part of any director, manager, secretary or similar officer Ou il y a une infraction pénale commise par une personne morale Et preuve de o Consentement / connivence; ou bien o Attribuable a la négligence d’un administrateur, directeur, secrétaire ou mandataire de la société Personal Data Offences: a Criminal Approach Criminal Liability for Individuals - what the Data Protection Act says (2/2) Data Protection Act – Responsabilité pénale des individus That individual as well as the body corporate is guilty of that offence Cet individus, ainsi que la société, sera coupable May be proceeded against and punished accordingly L’individus peut être poursuivi et puni par la justice Also applies to members/ shareholders of a body corporate S’applique également aux membres/actionnaires d’une société Personal Data Offences: a Criminal Approach So what happens in practice (1/2) La pratique Failure to notify is an offence of “strict liability” Le manque de notification est une infraction de responsabilité stricte Automatic criminal conviction if the matter goes to Court Condamnation criminelle automatique si le dossier est renvoyer a la justice Low fines in practice En réalité, les amendes sont faibles ICO works with businesses to try and correct problem Le ICO travail avec les entreprises pour résoudre les problèmes Personal Data Offences: a Criminal Approach So what happens in practice (2/2) La pratique Criminal proceedings for failure to comply are rare Les poursuites pour non-respect sont très rares Enforcement notices often issued Avis d’exécutions souvent distribués Monetary Penalties Sanctions pécuniaires The ICO has called for more efficient deterrent sentences for breach – including custodial sentences Le ICO réclame des peines privatives pour dissuader les infractions Personal Data Offences: a Criminal Approach The Data Protection Act Examples of Recent Enforcement Notices Exemples récents d’avis d’exécution Stoke-on-Trent City Council – sensitive information about a child protection legal case being emailed to the wrong person Information sensible sur la protection d’un enfant envoyé en erreur Southampton City Council requiring taxi operators to record all conversations/ images Conducteurs de taxi exigés d’enregistrer toutes conversations/images Staffordshire County Council – mishandling subject access request Mauvaise gestion d’une demande d'accès No recent prosecutions for failure to comply with an enforcement notice Pas de poursuites judiciaires récentes pour non respect d’avis Personal Data Offences: a Criminal Approach Criminal Prosecutions - some examples of fines Quelques exemples d’amendes Tetrus Telecoms - Failure to notify £2,000 Amende pour manque de notification - £2,000 Lancashire bar owner for failing to register premises use of CCTV equipment £100 Amende pour défaut d’enregistrement d’un système de télévision circuit fermé - £100 Letting agent who obtained details about tenants from a rogue employee of the local borough council £260 Agent immobilier a obtenu détails sur les locataires d’un membre du conseil municipale - £260 Personal Data Offences: a Criminal Approach Proceeds of Crime Act Two former employees of T-Mobile convicted at the Crown Court: o Stole and sold customer data o Ordered to pay £73,000 in fines and confiscation costs o Proceeds of Crime Act used o Will go to prison if they do not pay within 18 months Deux employer de T-Mobile reconnus coupbable a la Crown Court: o Vole et vente de données personnelles o Amende de £73,000 et frais de la confiscation o Proceeds of Crime Act a été utilise o Peine de prison si la somme n’est pas payer en 18 mois Personal Data Offences: a Criminal Approach Monetary Penalties Sanctions pécuniaires Power to issue monetary penalty by notice - up to £500,000 Pouvoir d’emmètre sanctions pécuniaires – jusqu’a £500,000 After 6 April 2010 Apres le 6 Avril 2010 Introduced by Criminal Justice and Immigration Act 2008 Introduit par la Criminal Justice and Immigration Act 2008 Serious breaches of Data Protection Act and Privacy Regulations Infractions graves du ‘Data Protection Act’ et des ‘Privacy Regulations’ Much higher levels than fines for offences under the Data Protection Act Amendes plus fortes que sous le ‘Data Protection Act’ Personal Data Offences: a Criminal Approach Some Recent Examples of Monetary Penalties Sanctions pécuniaires, quelques exemples récent Sony fined 250,000 Sony reçoit une amende de £250,000 PlayStation Database hacked Base de données ‘playstation’ piraté Details of millions of customers including names, addresses and data of both Détails de millions de clients, y compris noms, adresses et autres données Card details also at risk Donnée concernant carte de crédit également en danger Personal Data Offences: a Criminal Approach Some Recent Examples of Monetary Penalties Sanction pécuniaire, quelques exemples récent Nursing and Midwifery Council o Lost unencrypted DVDs o Contained details of an individual’s disciplinary hearing o Monetary penalty £150,000 Conseil d’infirmières et de femmes sages o Perte de DVD non codées o Détails d’un procédure disciplinaire d’un individus o Sanctions pécuniaire de £150,000 Personal Data Offences: a Criminal Approach A case study showing Fines for offences v Monetary Penalties Etude: Amendes ou sanctions pécuniaires Owners of marketing company Tetrus Telecoms Propriatires d’une entreprise de marketing ‘Tetrus Telecoms’ Breaches of privacy regulations Infraction des ‘Privacy Regualtions’ Regularly sent spam texts A régulièrement envoyé des sms ‘spam’ Monetary penalties totaling £440,000 Sanctions pécuniaires de £440,000 Fine for failure to notify £2,000 Amende pour manque de notification de £2,000 Monetary penalties higher than fines levied for offences Sanctions pécuniaires plus élevés que l’amende Personal Data Offences: a Criminal Approach The ICO’s Approach to Cloud (1/3) L’approche du ICO au ‘cloud computing’ Dr Simon Rice, ICO technology policy advisor, said in September 2012: “The law on outsourcing data is very clear. As a business, you are responsible for keeping your data safe. You can outsource some of the processing of that data, as happens with cloud computing, but how that data is used and protected remains your responsibility.” La loi sur l'externalisation des données est très claire. Les entreprise sont responsable pour le sécurité des données. Ils peuvent externaliser le traitement de ces données, comme dans le domaine du cloud computing, mais l’utilisation et la protection de ces données restent la responsabilité de l’entreprise. Personal Data Offences: a Criminal Approach The ICO’s Approach to Cloud (2/3) L’approche du ICO au ‘cloud computing’ “It would be naïve for an organisation to take the attitude that these guidelines are too much effort to simply store some data in a different place. Where personal information is involved, the stakes are high and the ICO has already demonstrated it will act firmly against those who don’t meet data protection laws.” Ca serait naïve pour une organisation de prendre l’attitude que ces conseils représentes trop d’effort pour ce qui est le simple stockage des données dans un autre endroit. Quand on parle de données personnelles, les enjeux sont élevés et le ICO a déjà démontre qu’il agirai contre ceux qui ne respectent pas les règles de protection de données. Personal Data Offences: a Criminal Approach The ICO’s Approach to Cloud (3/3) L’approache du ICO au ‘cloud computing’ “Figures show that consumers are concerned about how secure their data is when they use cloud storage themselves. It takes little imagination to consider that businesses not reflecting those concerns will quickly find themselves losing customers’ good will.” Les chiffres montres que les consommateurs sont eux mêmes préoccuper par des questions de sécurité. Ce n’est pas difficile a imaginer que les entreprises qui ne partages pas ces inquiétudes perdront rapidement la bonne volonté de leurs clients. Personal Data Offences: a Criminal Approach Cloud – an outline of the latest issues (1/2) Cloud – un résume des questions d’actualité September 2012 ICO reminds businesses of data protection responsibilities Le ICO rappel au entreprises leurs responsabilités Published guidance A publié des conseils Businesses remain responsible for how data is looked after Les entreprises sont responsables pour les donnes personnelles Even if they pass it to Cloud network providers Même si ces données sont passer au fournisseurs Cloud Personal Data Offences: a Criminal Approach Cloud – an outline of the latest issues (2/2) Cloud – un résume des questions d’actualité Concern that many businesses do not realise this Inquiétude que beaucoup d’entreprises ne sont pas au courant ICO expected to take a tougher line on data protection in the Cloud Prévu que le ICO vont adopter une ligne plus forte Can expect wider use of criminal sanctions and monetary penalties L’usage plus fréquent des sanctions criminelles and sanctions pécuniaires est anticipé Personal Data Offences: a Criminal Approach ICO’s Cloud Guidance (1/3) Conseils du ICO Assess risks and take steps to mitigate them Evaluer et atténuer les risques Must consider how Cloud supplier intends to process personal data Considérer le traitement des données par le fournisseur ‘cloud’ Conduct privacy impact assessment Evaluer l’impact sur la confidentialité Select the right service provider Choisir le bon fournisseur Personal Data Offences: a Criminal Approach ICO’s Cloud Guidance (2/3) Conseils du ICO Monitor performance Surveiller la performance Continual cycle of monitoring, review and assessment Cycle de surveillance, examen et évaluation Inform Cloud users Informer les utilisateurs du ‘cloud’ Be as open as possible Soyer ouvert Personal Data Offences: a Criminal Approach ICO’s Cloud Guidance (3/3) Conseils du ICO Ensure there is a written contract Assurez vous qu’il existe un contact écrit Require Cloud provider to act only on instructions from data controller Insister que le fournisseur agisse uniquement sur vos instructions Cloud provider not able to change terms without customer’s knowledge and agreement Pas de changement au conditions sans le consentement de l’utilisateur Be wary of “take it or leave it” set of terms Méfiez vous des conditions ‘à prendre ou à laisser’ Personal Data Offences: a Criminal Approach Guidance – Assessing the security of a Cloud provider (1/2) Evaluation de la sécurité d’un fournisseur “Appropriate technical and organisational measures against the unauthorised or unlawful processing of personal data and against accidental loss or destruction of, or damage to, personal data” Des mesures techniques et organisationnelles contre le traitement non autorisé ou illicite de données personnelles et contre la perte ou destruction accidentelle ou dommage aux données personnelles Sufficient guarantees about technical and organisational security Des garanties suffisantes quant à la sécurité technique et organisationnelle Availability, confidentiality and integrity of provider Disponibilité, la confidentialité et l'intégrité du fournisseur Personal Data Offences: a Criminal Approach Guidance – Assessing the security of a Cloud provider (2/2) Evaluation de la securite d’un fournisseur Inspect premises Inspection de locaux Independent third party security audit where inspection not viable Ou l’inspection n’est pas viable, audit par un tiers indépendant Review physical, technical and organisational security Examen de la sécurité physique, technique et organisationnel Receive regular updates Mises à jour régulières Registered standard or kitemark Norme reconnue/enregistrée ou ‘kitemark’ Personal Data Offences: a Criminal Approach Security – protecting the customer’s data (1/2) Sécurité - protection des données du client Encryption Cryptage Security within transit of the Cloud La sécurité au sein du Cloud Access control – sufficient measures to prevent unauthorised access Contrôle d'accès - des mesures suffisantes pour empêcher l'accès non autorisé Personal Data Offences: a Criminal Approach Security – protecting the customer’s data (2/2) Sécurité - protection des données du client Data retention and deletion Préservation et suppression des données Policies for Cloud provider to access data Règlement gouvernant l'accès au données par le fournisseur Ensure processed only for specific purposes Traitement uniquement pour des objectifs précis Ensure data controller can retrieve its data Soyer sure que le contrôler puisse récupérer les données Personal Data Offences: a Criminal Approach Transfers outside the UK/EEA in the Cloud Transfer hors du RU/Espace Economique Européen Resources may be outside the UK Les ressources sont peut être en dehors du RU Numerous data centres in different countries Plusieurs centres dans plusieurs pays Ask for list of countries where data is to be processed Demander une liste des pays ou le traitement est effectué Information relating to safeguards Informations sur les mesures de protection Personal Data Offences: a Criminal Approach Cloud – so what are the criminal implications (1/2) Quelles sont les conséquences No prosecution specific to the Cloud yet Toujours pas de poursuites judiciaires liées au Cloud Guidance does not have the force of law Les Conseils n’ont pas la force du droit In reality the issues are not new En réalité, les questions ne sont pas neuves But businesses will have no excuse not to comply Les entreprises n’auront pas d’excuses Personal Data Offences: a Criminal Approach Cloud – so what are the criminal implications (2/2) Quelles sont les conséquences Cloud being looked at closely by the ICO Questions ‘ cloud’ examinées de près Can expect tougher enforcement action in the near future Une application plus stricte est anticipé To include criminal penalties for offences Y-compris des sanctions criminelles Act now or face the consequences Agissez maintenant ou assumez les conséquences Personal Data Offences: a Criminal Approach The criminal implications –What to expect in the Cloud Cloud Computing – consequences anticipé Fines for failure to notify Amendes pour manque de notification Potential for data theft Potentiel pour vols de données Payment out under Proceeds of Crime legislation Payements sous la législation ‘Proceeds of Crime’ Example of paying back proceeds of crime where data stolen Remboursement des produits de crime ou les données sont volées Issues where individuals are outside the jurisdiction Problèmes ou les individus sont hors de la juridiction Personal Data Offences: a Criminal Approach Breaches in the Cloud and the consequences (1/2) Infractions et conséquences dans le ‘Cloud’ Monetary penalties Sanctions pécuniaires Scottish Borders authority fined £250,000 when it failed to control its supplier Autoritée des frontières Écossaise reçoit une amende de £ 250,000 quand elle n'a pas réussi à contrôler son fournisseur Papers recording pension data found in car park Document avec données d'enregistrement de retraite trouve dans un parking Personal Data Offences: a Criminal Approach Breaches in the Cloud and the consequences (2/2) Infractions et conséquences dans le ‘Cloud’ Did not have a written contract with the processor of that data Pas de contact écrit avec le traiteur des donnes Had not checked or inspected security arrangements Aucune vérification ou inspection des mesures de protection Analogies with Cloud Analogies avec le ‘Cloud’ Personal Data Offences: a Criminal Approach Offences relating to the Cloud – the likely next steps Infractions ‘Cloud’ - Les prochaines étapes anticipé Offences relating to failure to notify up to date particulars Infractions liée a la manque de notification des renseignement a jour Data being transferred outside the EEA Données transférée hors de l’Espace Economique Européen Lack of transparency with individuals/customers Manque de transparence avec clients Personal liability of directors for an offence where they have acted knowingly or recklessly Responsabilité personnel des Administrateurs qui ont agis avec connaissance ou imprudence Personal Data Offences: a Criminal Approach Issues relating to security Questions de sécurité Offences relating to security Infractions liées a la sécurité Failure to check organisational and technical measures L'absence de vérification les mesures organisationnelles et techniques Knowingly or recklessly disclosing data Divulgation de données avec connaissances ou par imprudence Personal Data Offences: a Criminal Approach Cloud Computing and Personal Data Offences in the Digital Era: a UK Perspective Q+A Kiran Sandford Head of IT Group, Mishcon de Reya Vice President, ITechLaw [email protected] + 44 207 440 7066