20130222 - Règlement UE point de vue UK

Transcription

Personal Data Offences: a Criminal Approach
Cloud Computing and Personal Data Offences
in the Digital Era: a UK Perspective
Kiran Sandford
Head of IT Group, Mishcon de
Reya
Vice President, ITechLaw
[email protected]
+ 44 207 440 7066
Introduction (1/2)
 Data Protection Act 1998
 Privacy and Electronic Communications Regulations
 Role of the Regulator
Le rôle du régulateur
 Overview of criminal penalties and enforcement action
Résume des sanctions pénales et mesures d’application
 Monetary penalties
Sanctions pécuniaires
Introduction (2/2)
 What happens in practice
La pratique
 Recent cases/examples
Exemples et jurisprudence récentes
 The latest on how this applies to the Cloud
Application a l’actuelle dans le domaine du ‘Cloud’
Role of the Information Commissioners Office
(ICO) (1/2) Le rôle du bureau du Commissionnaire d’Information (ICO)
 ICO responsible for enforcement of Data Protection Act and Privacy
Regulations
Le ICO est responsable pour l’application de la ‘Data Protection
Act’
et les ‘Privacy Regulations’
 Can institute proceedings for criminal offences
Le ICO peut lancer une procédure judiciaire
Role of the Information Commissioners Office
(ICO) (2/2) Le rôle du bureau du Commissionnaire d’Information (ICO)
 Issues guidance
Publie des conseils et de l’orientation
 Guidance does not have the force of law but will be taken into
account
Ces conseils n’ont pas la force du droit mais seront pris en
compte
 Takes a pragmatic approach in practice
Le ICO est très pragmatique
Data Protection Act 1998 – an Overview of
the Criminal Regime (1/2) Data Protection Act - Résumé
des infractions pénales
 Criminal penalties in the UK
Infractions pénales dans le Royaume Unis
 Known as an “offence”
Une infraction
 Offence of failure to notify
Infraction de manque de notification
 Offence of disclosing or using personal data without consent of the
data controller
Infraction de divulguer ou utiliser les données personnelles
sans
consentement
 Offence of selling personal data
Infraction de vente de données personnelles
Data Protection Act 1998 – an Overview of
the Criminal Regime (2/2) Data Protection Act Résumé des infractions pénales
 Other offences
Autres infractions
 Proceeds of Crime Act applies to the recovery of proceeds of crime
“Proceeds of Crime Act” s’applique a la récupération des
produits
d’un crime
 Enforcement notices for contravention of data protection principles
Avis d’executions pour contravention des principes
 Non compliance with an Enforcement Notice is an offence
Le non respect d’un avis d’exécution est une infraction
Criminal Liability for Business – what the
Data Protection Act says (1/2) Data Protection Act –
Responsabilité pénale des entreprises
 Proceedings for an offence to be commenced:
o by the ICO
o by the Director of Public Prosecutions
Une procédure pénale peut être lancée par:
o le ICO
o le Procureur Générale
 Summary conviction (Magistrates Court) fine not exceeding £5,000
Par procédure sommaire (Magistrat) avec une amende
pas plus de £5,000
Criminal Liability for Business – what the
Responsabilité pénale des entreprises
 Conviction on indictment (Crown Court) – unlimited fine
Par procédure ‘mise en accusation’ (Crown Court) amende
illimité
 Proceeds of Crime Act – where profits/money obtained as a result of
a criminal offence
Proceeds of Crime Act – ou il existe un profit grâce une
infraction
criminelle
 15 Prosecutions since June 2011
15 poursuites judiciaires depuis Juin 2011
Criminal Liability for Individuals - what the
Responsabilité pénale des individus
 Where a Criminal Offence has been committed by a body corporate
 Proved to have been committed:
o with consent/ connivance of; or
o attributable to neglect on the part of any director, manager,
secretary or similar officer
Ou il y a une infraction pénale commise par une personne morale
Et preuve de
o Consentement / connivence; ou bien
o Attribuable a la négligence d’un administrateur, directeur,
secrétaire ou mandataire de la société
Criminal Liability for Individuals - what the
Responsabilité pénale des individus
 That individual as well as the body corporate is guilty of that offence
Cet individus, ainsi que la société, sera coupable
 May be proceeded against and punished accordingly
L’individus peut être poursuivi et puni par la justice
 Also applies to members/ shareholders of a body corporate
S’applique également aux membres/actionnaires d’une société
So what happens in practice (1/2) La pratique
 Failure to notify is an offence of “strict liability”
Le manque de notification est une infraction de responsabilité
stricte
 Automatic criminal conviction if the matter goes to Court
Condamnation criminelle automatique si le dossier est renvoyer
a la
justice
 Low fines in practice
En réalité, les amendes sont faibles
 ICO works with businesses to try and correct problem
Le ICO travail avec les entreprises pour résoudre les
problèmes
So what happens in practice (2/2) La pratique
 Criminal proceedings for failure to comply are rare
Les poursuites pour non-respect sont très rares
 Enforcement notices often issued
Avis d’exécutions souvent distribués
 Monetary Penalties
 The ICO has called for more efficient deterrent sentences for breach
– including custodial sentences
Le ICO réclame des peines privatives pour dissuader les
infractions
The Data Protection Act
Examples of Recent Enforcement Notices
Exemples récents d’avis d’exécution
 Stoke-on-Trent City Council – sensitive information about a child
protection legal case being emailed to the wrong person
Information sensible sur la protection d’un enfant envoyé en
erreur
 Southampton City Council requiring taxi operators to record all
conversations/ images
Conducteurs de taxi exigés d’enregistrer toutes
conversations/images
 Staffordshire County Council – mishandling subject access request
Mauvaise gestion d’une demande d'accès
 No recent prosecutions for failure to comply with an enforcement
notice
Pas de poursuites judiciaires récentes pour non respect d’avis
Criminal Prosecutions - some examples of fines
Quelques exemples d’amendes
 Tetrus Telecoms - Failure to notify £2,000
Amende pour manque de notification - £2,000
 Lancashire bar owner for failing to register premises use of CCTV
equipment £100
Amende pour défaut d’enregistrement d’un système de
télévision
circuit fermé - £100
 Letting agent who obtained details about tenants from a rogue
employee of the local borough council £260
Agent immobilier a obtenu détails sur les locataires d’un
membre du conseil municipale - £260
Proceeds of Crime Act
 Two former employees of T-Mobile convicted at the Crown Court:
o Stole and sold customer data
o Ordered to pay £73,000 in fines and confiscation costs
o Proceeds of Crime Act used
o Will go to prison if they do not pay within 18 months
Deux employer de T-Mobile reconnus coupbable a la Crown Court:
o Vole et vente de données personnelles
o Amende de £73,000 et frais de la confiscation
o Proceeds of Crime Act a été utilise
o Peine de prison si la somme n’est pas payer en 18 mois
Monetary Penalties
 Power to issue monetary penalty by notice - up to £500,000
Pouvoir d’emmètre sanctions pécuniaires – jusqu’a £500,000
 After 6 April 2010
Apres le 6 Avril 2010
 Introduced by Criminal Justice and Immigration Act 2008
Introduit par la Criminal Justice and Immigration Act 2008
 Serious breaches of Data Protection Act and Privacy Regulations
Infractions graves du ‘Data Protection Act’ et des ‘Privacy
Regulations’
 Much higher levels than fines for offences under the Data Protection
Act
Amendes plus fortes que sous le ‘Data Protection Act’
Some Recent Examples of Monetary Penalties
Sanctions pécuniaires, quelques exemples récent
 Sony fined 250,000
Sony reçoit une amende de £250,000
 PlayStation Database hacked
Base de données ‘playstation’ piraté
 Details of millions of customers including names, addresses and
data of both
Détails de millions de clients, y compris noms, adresses et
autres données
 Card details also at risk
Donnée concernant carte de crédit également en danger
Some Recent Examples of Monetary Penalties
Sanction pécuniaire, quelques exemples récent
 Nursing and Midwifery Council
o Lost unencrypted DVDs
o Contained details of an individual’s disciplinary hearing
o Monetary penalty £150,000
Conseil d’infirmières et de femmes sages
o Perte de DVD non codées
o Détails d’un procédure disciplinaire d’un individus
o Sanctions pécuniaire de £150,000
A case study showing Fines for offences v
Monetary Penalties
Etude: Amendes ou sanctions pécuniaires
 Owners of marketing company Tetrus Telecoms
Propriatires d’une entreprise de marketing ‘Tetrus Telecoms’
 Breaches of privacy regulations
Infraction des ‘Privacy Regualtions’
 Regularly sent spam texts
A régulièrement envoyé des sms ‘spam’
 Monetary penalties totaling £440,000
Sanctions pécuniaires de £440,000
 Fine for failure to notify £2,000
Amende pour manque de notification de £2,000
 Monetary penalties higher than fines levied for offences
Sanctions pécuniaires plus élevés que l’amende
The ICO’s Approach to Cloud (1/3)
L’approche du ICO au ‘cloud computing’
Dr Simon Rice, ICO technology policy advisor, said in September
2012:
“The law on outsourcing data is very clear. As a business, you are
responsible for keeping your data safe. You can outsource some of the
processing of that data, as happens with cloud computing, but how that
data is used and protected remains your responsibility.”
La loi sur l'externalisation des données est très claire. Les entreprise
sont responsable pour le sécurité des données. Ils peuvent
externaliser le traitement de ces données, comme dans le domaine du
cloud computing, mais l’utilisation et la protection de ces données
restent la responsabilité de l’entreprise.
L’approche du ICO au ‘cloud computing’
 “It would be naïve for an organisation to take the attitude that these
guidelines are too much effort to simply store some data in a
different place. Where personal information is involved, the stakes
are high and the ICO has already demonstrated it will act firmly
against those who don’t meet data protection laws.”
Ca serait naïve pour une organisation de prendre l’attitude que ces
conseils représentes trop d’effort pour ce qui est le simple stockage
des données dans un autre endroit. Quand on parle de données
personnelles, les enjeux sont élevés et le ICO a déjà démontre qu’il
agirai contre ceux qui ne respectent pas les règles de protection de
données.
L’approache du ICO au ‘cloud computing’
“Figures show that consumers are concerned about how secure their
data is when they use cloud storage themselves. It takes little
imagination to consider that businesses not reflecting those concerns
will quickly find themselves losing customers’ good will.”
Les chiffres montres que les consommateurs sont eux mêmes
préoccuper par des questions de sécurité. Ce n’est pas difficile a
imaginer que les entreprises qui ne partages pas ces inquiétudes
perdront rapidement la bonne volonté de leurs clients.
Cloud – an outline of the latest issues (1/2)
Cloud – un résume des questions d’actualité
 September 2012
 ICO reminds businesses of data protection responsibilities
Le ICO rappel au entreprises leurs responsabilités
 Published guidance
A publié des conseils
 Businesses remain responsible for how data is looked after
Les entreprises sont responsables pour les donnes
personnelles
 Even if they pass it to Cloud network providers
Même si ces données sont passer au fournisseurs Cloud
Cloud – an outline of the latest issues (2/2)
Cloud – un résume des questions d’actualité
 Concern that many businesses do not realise this
Inquiétude que beaucoup d’entreprises ne sont pas au courant
 ICO expected to take a tougher line on data protection in the Cloud
Prévu que le ICO vont adopter une ligne plus forte
 Can expect wider use of criminal sanctions and monetary penalties
L’usage plus fréquent des sanctions criminelles and sanctions
pécuniaires est anticipé
ICO’s Cloud Guidance (1/3)
Conseils du ICO
 Assess risks and take steps to mitigate them
Evaluer et atténuer les risques
 Must consider how Cloud supplier intends to process personal data
Considérer le traitement des données par le fournisseur ‘cloud’
 Conduct privacy impact assessment
Evaluer l’impact sur la confidentialité
 Select the right service provider
Choisir le bon fournisseur
Conseils du ICO
 Monitor performance
Surveiller la performance
 Continual cycle of monitoring, review and assessment
Cycle de surveillance, examen et évaluation
 Inform Cloud users
Informer les utilisateurs du ‘cloud’
 Be as open as possible
Soyer ouvert
Conseils du ICO
 Ensure there is a written contract
Assurez vous qu’il existe un contact écrit
 Require Cloud provider to act only on instructions from data
controller
Insister que le fournisseur agisse uniquement sur vos
instructions
 Cloud provider not able to change terms without customer’s
knowledge and agreement
Pas de changement au conditions sans le consentement de
l’utilisateur
 Be wary of “take it or leave it” set of terms
Méfiez vous des conditions ‘à prendre ou à laisser’
Guidance – Assessing the security of a Cloud
provider (1/2)
Evaluation de la sécurité d’un fournisseur
 “Appropriate technical and organisational measures against the
unauthorised or unlawful processing of personal data and against
accidental loss or destruction of, or damage to, personal data”
Des mesures techniques et organisationnelles contre le
traitement
non autorisé ou illicite de données personnelles et
contre la perte ou
destruction accidentelle ou dommage aux
données personnelles
 Sufficient guarantees about technical and organisational security
Des garanties suffisantes quant à la sécurité technique et
organisationnelle
 Availability, confidentiality and integrity of provider
Disponibilité, la confidentialité et l'intégrité du fournisseur
Guidance – Assessing the security of a Cloud
provider (2/2)
Evaluation de la securite d’un fournisseur
 Inspect premises
Inspection de locaux
 Independent third party security audit where inspection not viable
Ou l’inspection n’est pas viable, audit par un tiers indépendant
 Review physical, technical and organisational security
Examen de la sécurité physique, technique et organisationnel
 Receive regular updates
Mises à jour régulières
 Registered standard or kitemark
Norme reconnue/enregistrée ou ‘kitemark’
Security – protecting the customer’s data (1/2)
Sécurité - protection des données du client
 Encryption
Cryptage
 Security within transit of the Cloud
La sécurité au sein du Cloud
 Access control – sufficient measures to prevent unauthorised
access
Contrôle d'accès - des mesures suffisantes pour empêcher
l'accès
non autorisé
Security – protecting the customer’s data (2/2)
Sécurité - protection des données du client
 Data retention and deletion
Préservation et suppression des données
 Policies for Cloud provider to access data
Règlement gouvernant l'accès au données par le fournisseur
 Ensure processed only for specific purposes
Traitement uniquement pour des objectifs précis
 Ensure data controller can retrieve its data
Soyer sure que le contrôler puisse récupérer les données
Transfers outside the UK/EEA in the Cloud
Transfer hors du RU/Espace Economique Européen
 Resources may be outside the UK
Les ressources sont peut être en dehors du RU
 Numerous data centres in different countries
Plusieurs centres dans plusieurs pays
 Ask for list of countries where data is to be processed
Demander une liste des pays ou le traitement est effectué
 Information relating to safeguards
Informations sur les mesures de protection
Cloud – so what are the criminal implications (1/2)
Quelles sont les conséquences
 No prosecution specific to the Cloud yet
Toujours pas de poursuites judiciaires liées au Cloud
 Guidance does not have the force of law
Les Conseils n’ont pas la force du droit
 In reality the issues are not new
En réalité, les questions ne sont pas neuves
 But businesses will have no excuse not to comply
Les entreprises n’auront pas d’excuses
Cloud – so what are the criminal implications (2/2)
Quelles sont les conséquences
 Cloud being looked at closely by the ICO
Questions ‘ cloud’ examinées de près
 Can expect tougher enforcement action in the near future
Une application plus stricte est anticipé
 To include criminal penalties for offences
Y-compris des sanctions criminelles
 Act now or face the consequences
Agissez maintenant ou assumez les conséquences
The criminal implications –What to expect in
the Cloud Cloud Computing – consequences anticipé
 Fines for failure to notify
Amendes pour manque de notification
 Potential for data theft
Potentiel pour vols de données
 Payment out under Proceeds of Crime legislation
Payements sous la législation ‘Proceeds of Crime’
 Example of paying back proceeds of crime where data stolen
Remboursement des produits de crime ou les données sont
volées
 Issues where individuals are outside the jurisdiction
Problèmes ou les individus sont hors de la juridiction
Breaches in the Cloud and the consequences (1/2)
Infractions et conséquences dans le ‘Cloud’
 Monetary penalties
 Scottish Borders authority fined £250,000 when it failed to control
its supplier
Autoritée des frontières Écossaise reçoit une amende de £
250,000
quand elle n'a pas réussi à contrôler son fournisseur
 Papers recording pension data found in car park
Document avec données d'enregistrement de retraite trouve
dans un
parking
Breaches in the Cloud and the consequences (2/2)
Infractions et conséquences dans le ‘Cloud’
 Did not have a written contract with the processor of that data
Pas de contact écrit avec le traiteur des donnes
 Had not checked or inspected security arrangements
Aucune vérification ou inspection des mesures de protection
 Analogies with Cloud
Analogies avec le ‘Cloud’
Offences relating to the Cloud – the likely next
steps Infractions ‘Cloud’ - Les prochaines étapes anticipé
 Offences relating to failure to notify up to date particulars
Infractions liée a la manque de notification des renseignement
a jour
 Data being transferred outside the EEA
Données transférée hors de l’Espace Economique Européen
 Lack of transparency with individuals/customers
Manque de transparence avec clients
 Personal liability of directors for an offence where they have acted
knowingly or recklessly
Responsabilité personnel des Administrateurs qui ont agis avec
connaissance ou imprudence
Issues relating to security
Questions de sécurité
 Offences relating to security
Infractions liées a la sécurité
 Failure to check organisational and technical measures
L'absence de vérification les mesures organisationnelles et
techniques
 Knowingly or recklessly disclosing data
Divulgation de données avec connaissances ou par
imprudence
Cloud Computing and Personal Data Offences
in the Digital Era: a UK Perspective
Q+A
Kiran Sandford
Head of IT Group, Mishcon de
Reya
Vice President, ITechLaw
[email protected]
+ 44 207 440 7066

20130222 - Règlement UE point de vue UK

Transcription

Documents pareils

SJ-820B (2013-05) - Assignation à un témoin dans les cas des

Simplivity-HISI Case Study

Travail sur un ancien et nouveau site Web

SAP Confidential Page 1 of 1 SAP Time and Attendance

Resolución del Director del Centro de Estudios Jurídicos (CEJ) por

revue internationale de droit pénal international review of penal law

Patron de vitrail, panneau "Geai Bleu" Stained glass pattern, "Blue

Version imprimable - Fondation Asile des aveugles

PRODUCT NAME HEAD

ana rewakowicz