Frédéric Guénin

4e réunion du Club GDPR – KPMG & Qualiens

Le Club GDPR, lancé par KPMG et Qualiens, tiendra sa quatrième réunion le lundi 12 février 2018.

Cette session aura lieu autour des thématiques suivantes :

  • Retour d’expérience : Implémentation du projet de mise en conformité
  • Etude de cas : Exigences sécuritaire et réactions en cas de faille/fuite de données

Le Club GDPR a pour vocation d’échanger autour de problématiques communes liées à la protection des données à caractère personnel dans le cadre de la nouvelle réglementation européenne, à travers le témoignage d’experts et des échanges de bonnes pratiques dans le but de converger ensemble vers des solutions pragmatiques et bien entendu conformes !

Le Club GDPR a pour objet :

  • D’identifier les meilleures pratiques en matière de protection des données à caractère personnel,
  • De disposer d’un réseau de contacts pouvant être sollicités à tout instant,
  • D’améliorer la compréhension du GDPR et des attentes de l’autorité de contrôle,
  • D’anticiper les contraintes générées par le GDPR (rôle des différents acteurs, niveau de ressources requis, type de projets à mettre en œuvre…).

Frédéric Guénin, Avocat, Qualiens, interviendra sur le sujet : « Etude de cas : Exigences sécuritaire et réactions en cas de faille/fuite de données ».

Ce club se réunira plusieurs fois par an en fonction des besoins et de l’actualité.

Inscriptions auprès de KPMG : fr-club-GDPR@kpmg.fr

/par
Frédéric Guénin

3e réunion du Club GDPR – KPMG & Qualiens

Le Club GDPR, lancé par KPMG et Qualiens, tiendra sa troisième réunion le lundi 4 décembre 2017.

Cette session aura lieu autour des thématiques du « Data Protection Officer (DPO) », de l’analyse d’impact relative à la protection des données (AIPD) et d’un retour d’expérience dans le domaine alimentaire.

Le Club GDPR a pour vocation d’échanger autour de problématiques communes liées à la protection des données à caractère personnel dans le cadre de la nouvelle réglementation européenne, à travers le témoignage d’experts et des échanges de bonnes pratiques dans le but de converger ensemble vers des solutions pragmatiques et bien entendu conformes !

Le Club GDPR a pour objet :

  • D’identifier les meilleures pratiques en matière de protection des données à caractère personnel,
  • De disposer d’un réseau de contacts pouvant être sollicités à tout instant,
  • D’améliorer la compréhension du GDPR et des attentes de l’autorité de contrôle,
  • D’anticiper les contraintes générées par le GDPR (rôle des différents acteurs, niveau de ressources requis, type de projets à mettre en œuvre…).

Frédéric Guénin, Avocat, Qualiens, interviendra sur le sujet : « Le DPIA (Data Privacy Impact Assessment) ».

Ce club se réunira plusieurs fois par an en fonction des besoins et de l’actualité.

Inscriptions auprès de KPMG : fr-club-GDPR@kpmg.fr

/par
Frédéric Guénin

Droit appliqué à l’intelligence artificielle

L’IFACI, l’Institut Français de l’Audit et du Contrôle Internes, organise à Paris son prochain séminaire le 7 novembre 2017 sur le sujet : « Les apports de l’intelligence artificielle aux métiers de l’audit et du contrôle internes : quelle réalité ?« . 

Trois thématiques principales seront abordées :

  • Quelles sont les possibilités et les limites de l’offre actuelle pour nos métiers ?
  • Peut-on dès maintenant déployer des techniques d’intelligence artificielle dans le cadre de l’audit et du contrôle ?
  • De manière générale, quelle est la problématique juridique posée par le recours à de l’intelligence artificielle ?

Frédéric Guénin, avocat, Qualiens, interviendra sur ce 3e sujets.

Inscriptions réservées aux seuls membres de l’IFACI.

/par
Frédéric Guénin

2e réunion du Club GDPR – KPMG & Qualiens

Le Club GDPR, lancé par KPMG et Qualiens, tiendra sa deuxième réunion le lundi 16 octobre 2017.

Cette session aura lieu autour des thématiques du consentement, des « outils GDPR » et d’un retour d’expérience dans le domaine médical.

Le Club GDPR a pour vocation d’échanger autour de problématiques communes liées à la protection des données à caractère personnel dans le cadre de la nouvelle réglementation européenne, à travers le témoignage d’experts et des échanges de bonnes pratiques dans le but de converger ensemble vers des solutions pragmatiques et bien entendu conformes !

Le Club GDPR a pour objet :

  • D’identifier les meilleures pratiques en matière de protection des données à caractère personnel,
  • De disposer d’un réseau de contacts pouvant être sollicités à tout instant,
  • D’améliorer la compréhension du GDPR et des attentes de l’autorité de contrôle,
  • D’anticiper les contraintes générées par le GDPR (rôle des différents acteurs, niveau de ressources requis, type de projets à mettre en œuvre…).

Frédéric Guénin, Avocat, Qualiens, interviendra sur le sujet : « Le recueil du consentement : quand, comment et quels risques ? ».

Ce club se réunira plusieurs fois par an en fonction des besoins et de l’actualité.

Inscriptions auprès de KPMG : fr-club-GDPR@kpmg.fr

/par
Frédéric Guénin

Conférence GDPR des Anciens MSIT (HEC – Mines ParisTech)

Qualiens participe à la Conférence annuelle de l’Association des Anciens HEC – Mines ParisTech du Mastère Spécialisé Management Stratégique de l’Information et des Technologies, sur le sujet du « GDPR ».

LUNDI 19 JUIN 2017, dans les locaux de KPMG à 19H30.

Programme :
19h15 – 19h30 : Accueil des participants
19h30 – 20h45 : Conférence GDPR
– Mot d’accueil de Cédric Barbin, Président de l’Association des Anciens MSIT,
– Propos introductifs de KPMG de Laurent Gobi, Responsable IT Risk Consulting,
– Présentation des principaux impacts du GDPR, par Frédéric Guénin, Avocat du Cabinet Qualiens (MSIT 2000),
– Témoignage de Fabrice Perrin, Responsable programme GDPR Groupe AXA (MSIT 2004),
– Enjeux en termes de sécurité et anticipation par Etienne Gaillard, Senior Manager en charge de l’offre GDPR et Vincent Maret, Responsable Cybersécurité et Protection des données personnelles
20h45 – 21h00 : Questions / Réponses
21h00 : Cocktail

Entré en vigueur en mai 2016, le règlement sera applicable à partir de mai 2018. A mi-parcours, quelles sont les mesures à prendre, les opportunités à saisir, les obstacles à anticiper ?

La Conférence GDPR, en partenariat avec KPMG, aura pour objet de vous présenter les points principaux de cette nouvelle réglementation, le témoignage d’AXA sur son projet GDPR et les mesures de sécurisation de vos données à mettre en œuvre.

A moins que vous soyez absolument sûr que votre entreprise ne traite rigoureusement aucune donnée à caractère personnel, vous devriez être concernés…

Pour s’inscrire veuillez utiliser le formulaire d’inscription en ligne.

Programme de la conférence

/par
Frédéric Guénin

Qualiens aux Rencontres de l’Audit Committee Institute de KPMG

Jeudi 8 juin 2017, KPMG organise à Paris une rencontre de l’ACI – Audit Committee Institute sur le thème « Data privacy, Cybersécurité… : de nouveaux défis pour la gouvernance« .

Frédéric Guénin, avocat, Qualiens, participera à cette conférence-débat qui débutera par une présentation, par Madame Isabelle Falque-Pierrotin, Présidente de la CNIL, se poursuivra par une table ronde à laquelle participeront :

  • Madame Isabelle Falque-Pierrotin, Présidente de la CNIL et du G29,
  • Madame Françoise Malrieu, Membre du CA des Groupes Engie, La Poste, Lazard Frères Banque, Oberthur Technologies et Bayard Presse,
  • Alain Bouillé, Président du CESIM (Club des Experts de la Sécurité de l’Information et du Numérique), Directeur Sécurité des Systèmes d’Information du Groupe CDC,
  • Frédéric Guénin, Avocat associé du Cabinet Qualiens,
  • Olivier Rigaudy, Directeur Général Finance et membre du Comité Exécutif du Groupe Teleperformance.

Cette conférence sera animée par :

  • Patrick-Hubert Petit, Associé KPMG et Président de l’Audit Committee Institute France,
  • Vincent Maret, Associé KPMG et Responsable de l’Offre Cybersécurité et Privacy.

Inscriptions auprès de KPMG.

/par
Frédéric Guénin

Participation de Qualiens au « Club GDPR » lancé par KPMG

Qualiens participera à la première réunion du Club GDPR, lancé par KPMG, qui se tiendra le mardi 6 juin 2017.

Le Club GDPR a pour vocation d’échanger autour de problématiques communes liées à la protection des données à caractère personnel dans le cadre de la nouvelle réglementation européenne, à travers le témoignage d’experts et des échanges de bonnes pratiques dans le but de converger ensemble vers des solutions pragmatiques et bien entendu conformes !

La première session aura lieu autour des thématiques du « data mapping » et de la sous-traitance.

Frédéric Guénin, Avocat, Qualiens, interviendra sur le sujet : « Comment s’assurer de la conformité GDPR de vos sous-traitants ? »

Ce club se réunira plusieurs fois par an en fonction des besoins et de l’actualité.

Inscriptions auprès de KPMG : fr-club-GDPR@kpmg.fr

/par
Frédéric Guénin

Nouvelle Conférence RGPD

L’ASPIM (Association Française des Sociétés de Placement Immobilier) organise une réunion d’information relative à la protection des données personnelles le mercredi 31 mai 2017, de 9h00 à 10h30 dans ses locaux (10, rue la Boétie – 75008 Paris).

Entré en vigueur en mai 2016, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, sera applicable à partir de mai 2018. A mi-parcours, quelles sont les mesures à prendre, les opportunités à saisir, les obstacles à anticiper ?

Cette réunion d’information, en partenariat avec KPMG et Qualiens Société d’Avocats, aura pour objet de vous présenter les points principaux de cette nouvelle réglementation ainsi que les mesures de sécurisation de vos données à mettre en œuvre.

A moins que vous soyez absolument sûr que votre entreprise ne traite rigoureusement aucune donnée à caractère personnel, vous devriez être concernés…

Elle sera co-animée par Frédéric Guénin, Avocat – associé du cabinet Qualiens, Vincent Maret, Associé du cabinet KPMG responsable du pôle Cybersécurité et Protection des données personnelles et Etienne Gaillard, Senior Manager du cabinet KPMG en charge de l’offre GDPR.

Inscription réservée aux seuls membres de l’ASPIM.

/par
Quentin Fournier

Nouvelles dispositions facilitant la prise de décision et la participation des actionnaires au sein des sociétés

La Loi Sapin II en date du 9 décembre 2017 a habilité le Gouvernement à légiférer par voie d’ordonnance afin de prendre diverses mesures destinées à simplifier la prise de décision dans les entreprises et la participation des actionnaires, ainsi qu’à encourager le recours aux technologies numériques dans le fonctionnement des organes sociaux.

Dans ce contexte le gouvernement a adopté le 4 mai 2017 une nouvelle ordonnance (n° 2017-747) publiée au journal officiel le 5 mai 2017 qui intègre dans le Code de commerce diverses mesures facilitant la prise de décision et la participation des actionnaires au sein des sociétés.

Pour les SARL l’article L.223-27 du Code de commerce est amendé afin de prévoir que les associés détenant le vingtième des parts sociales pourront désormais faire inscrire à l’ordre du jour de l’assemblée des points ou projets de résolution. L’objectif est de faciliter la participation des associés minoritaires au processus de décision de la société.

Pour les SA dont les actions ne sont pas admises aux négociations sur un marché réglementé l’ordonnance crée un nouvel article L.225-103-1 dans le Code de commerce qui autorise la possibilité de prévoir dans leurs statuts que les assemblées générales se tiendront exclusivement par visioconférence ou par conférence téléphonique. L’objectif est ici de faciliter la participation des actionnaires au processus décisionnel. Les actionnaires représentant au moins 5 % du capital auront toutefois un droit d’opposition sur le recours à un tel procédé.

Pour les SAS l’article L.227-10 du Code de commerce relatif aux conventions dites réglementées est complété afin que les conventions intervenues entre la société par actions simplifiées unipersonnelle (SASU) et son associé unique ou la société le contrôlant, si l’associé unique est une société, bénéficient de la procédure dérogatoire propre aux SASU. Ces conventions, qui donnaient lieu à l’établissement d’un rapport du commissaire aux comptes, font désormais l’objet d’une simple mention au registre des décisions de l’associé unique. Le droit applicable aux SASU est ainsi unifié et un formalisme inutilement lourd est supprimé.

Enfin, toujours dans les SAS l’article L.227-19 du Code de commerce est amendé afin que la modification l’adoption ou la suppression d’une clause exigeant l’agrément préalable de la société dans le cas d’une cession d’actions ne requiert plus une décision unanime des associés. L’unanimité, bien que non obligatoire, pourra toujours être imposée par les statuts. Il est en outre prévu que les clauses d’agrément relèvent nécessairement d’une décision collective des associés.

/par
Frédéric Guénin
,

Open data : homologation du code de conduite établi par la RATP

Arrêté du 14 mars 2017 portant homologation du code de conduite établi par la RATP en application de l’article L. 1115-1 du code des transports (JO du 23 mars 2017)

Texte intégral : https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000034258549&dateTexte=&categorieLien=id
Article 1
Le code de conduite établi par la RATP en application de l’article L. 1115-1 du code des transports, dont le texte est annexé au présent arrêté, est homologué pour une durée de cinq ans.
La RATP est réputée remplir ses obligations au titre de l’article précité dès lors qu’elle adhère au présent code de conduite.
(…)
ANNEXE
CODE DE CONDUITE RÉGISSANT L’OUVERTURE DES DONNÉES DE LA RATP (extraits)

« Il y a un intérêt fort pour l’ouverture des données de transport afin d’améliorer la qualité de vie des usagers et apporter de l’innovation dans les services, amenant globalement à l’amélioration de la qualité des transports et de la mobilité. »
Comité du débat sur l’ouverture des données relatives à l’offre de transport. – Rapport Jutand
I. – Partie commune aux exploitants de services de transport

(…)

II. – Conditions particulières propres à la RATP

Les présentes conditions particulières sont établies en date du 10/08/2016 par la Régie autonome des transports parisiens (RATP) à son seul profit et ne sont pas applicables à ses filiales.
La liste des réseaux et services de transport concernés est la suivante :
– métros IDF ;
– RER A et B pour la partie exploitée par la RATP uniquement ;
– tramways T1, T2, T3a, T3b, T5, T6, T8 ;
– bus IDF exploités par la RATP.

I. – Sur le calendrier de diffusion des données et les modalités de mise à jour des données (rubrique a) de l’article L. 115-1 du code des transports) :

1.1 Les données théoriques et statiques, dont la liste exhaustive est fournie au tableau de synthèse, sont déjà disponibles sur la plateforme http://data.ratp.fr.
Les données sont mises à jour de façon régulière comme précisé dans le tableau de synthèse.
Concernant les données en temps réel, une infrastructure spécifique est en cours de mise en place et une modification en cours de l’architecture de l’information circonstancielle RATP justifie un délai spécifique pour les données de perturbations en cours et futures.
Les données en temps réel seront donc disponibles :
– fin 2016 pour les données de prochains passages aux arrêts ;
– au premier semestre 2017 pour les données de perturbations en cours ou futures.

 

II. – Sur les conditions techniques de diffusion des données en temps réel (rubrique b) de l’article L.115-1 du code des transports) :

2.1 Les données temps réel sont mises à disposition via des API.
Les données fournies sont :
– les horaires ou temps d’attente des prochains passages aux arrêts ;
– les perturbations en cours ou futures.
L’accès aux données se fait uniquement par requêtes/réponses.
2.2 Le protocole de communication utilisé est SOAP XML.
Les réutilisateurs sont identifiés grâce à leur adresse IP. La RATP mettra à leur disposition les éléments permettant de se connecter au service.
2.3 La RATP fait ses meilleurs efforts pour offrir aux réutilisateurs un accès effectif et de qualité à ses données. Pour assurer la continuité du service, elle met en place, sauf cas de force majeure, des moyens et contrôles identiques à ceux appliqués aux données et services utilisés par la RATP :
– l’infrastructure a donc été conçue par assurer une disponibilité des API de données temps réel de 99,5 % par 24/24H, 7/7 jours ;
– une supervision est assurée 24/7 et un opérateur de supervision est présent sur site de 6 h 30 à 20 h 30 ;
– le temps de réponse moyen par requête est :
– < 500 ms pour 90 % des requêtes ;
– < 1 s pour 95 % des requêtes ;
– < 5 s pour l’intégralité des requêtes.
L’infrastructure existe sur deux sites autonomes
2.4 Pour assurer la continuité du service, en cas de changement des modalités d’accès des données ou des conditions contractuelles, une information sera diffusée sur la plateforme et par voie électronique aux abonnés au minimum trois semaines à l’avance.

 

III. – Sur les informations concernant l’organisation de l’intermodalité (rubrique c) de l’article L. 115-1 du code des transports) :
Les horaires prévisionnels de l’offre de transport sont fournis et mis à jour mensuellement ; aucune variation saisonnière n’est disponible.

 

IV. – Sur les formats de données et les API (rubrique d) de l’article L. 115-1 du code des transports) :

4.1 Le tableau de synthèse joint détaille les formats de mise à disposition des données, de fichiers « à plat » ou d’API de données selon les cas.
4.2 Le protocole de communication utilisé pour les API est SOAP XML.
Les réutilisateurs sont identifiés grâce à leur adresse IP. La RATP mettra à leur disposition les éléments permettant de se connecter au service.
4.3 La RATP fait ses meilleurs efforts pour offrir aux réutilisateurs un accès effectif et de qualité à ses données. Pour assurer la continuité du service, elle met en place, sauf cas de force majeure, des moyens et contrôles identiques à ceux appliqués aux données et services utilisés par la RATP :
– l’infrastructure a été conçue par assurer une disponibilité de la plateforme/des API de données de 99,5 % par 24/24H, 7/7 jours ;
– une supervision est assurée 24/7 et un opérateur de supervision est présent sur site de 6 h 30 à 20 h 30.
– le temps de réponse moyen par requête est :
– < 500 ms pour 90 % des requêtes ;
– < 1 s pour 95 % des requêtes ;
– < 5 s pour l’intégralité des requêtes.
– l’infrastructure existe sur deux sites autonomes.
4.4 Pour assurer la continuité du service, en cas de changement des modalités d’accès des données ou des conditions contractuelles, une information sera diffusée sur la plateforme et par voie électronique aux abonnés au minimum trois semaines à l’avance.

 

V. Le cas échéant, les dérogations au principe de gratuité (rubrique e) de l’article L. 115-1 du code des transports) :

5.1 Le barème des redevances est le suivant :
– de 0 à 30 millions de requêtes/mois : gratuit ;
– de 30 à 100 millions de requêtes/mois : 12 000 euros/mois ;
– de 100 millions à 300 millions de requêtes/mois : 20 000 euros/mois ;
– au-delà de 300 millions de requêtes mois, + 20 000 euros par tranche de 300 millions de requêtes supplémentaires mensuelles.
Ce barème pourra être revu en cas d’augmentation significative des coûts (investissements, coûts d’exploitation) ou si les redevances venaient à accéder les coûts de mise à disposition des données.
5.2 Pour assurer la pérennité de nos serveurs et de ce fait la disponibilité même des données, des redevances mensuelles (dont le produit, évalué en annexe, ne dépasse pas les coûts de mise à disposition, présentés dans la même annexe) seront appliquées aux réutilisateurs « de masse » dès lors que leur sollicitation dépasse, en termes de requêtes, les seuils mentionnés au 5.1. ces barèmes s’appliquent de façon non discriminatoire et transparente à tous les réutilisateurs quelle que soit leur qualité.

 

VI. Sur les conditions assurant le caractère complet et neutre des réutilisations (rubrique f) de l’article L. 115-1 du code des transports) :

6.1 Pour assurer la qualité de l’information et des services, par le maintien du caractère complet et neutre de la réutilisation des données, et surtout la sécurité du public sur nos réseaux, les réutilisateurs pourront se voir imposer les conditions de réutilisation suivantes, proportionnées au but recherché..
Au titre, du caractère complet de la réutilisation des données, il sera demandé que les données, produits ou services proposés par les réutilisateurs s’appuient sur l’exploitation exhaustive et actualisée des données diffusées par les producteurs de données. Au titre du caractère neutre de la réutilisation des données, il sera demandé que l’exploitation des données par les réutilisateurs s’effectue selon un traitement loyal, équivalent et objectif des données de même nature, quel qu’en soit le producteur, et ne favorise aucune personne, société, service ou produit au détriment d’un autre.
La réutilisation de certaines données pourra être soumise à l’acceptation de la licence « ODbL ». La clause de « share-alike » imposera au réutilisateur une rediffusion dans les conditions de cette même licence. Le tableau de synthèse précise les données concernées.
Dans le cas d’une connexion par API, il sera demandé de respecter les règles de l’art en matière d’interrogation du serveur de la RATP, afin d’éviter un nombre inutilement élevé de requêtes. La RATP pourra contacter le réutilisateur dont la consommation augmente subitement afin de l’en alerter et de lui rappeler les bonnes pratiques. Le cas échéant, elle pourra prendre les mesures destinées à assurer l’accessibilité de tous à la plateforme, y compris la coupure provisoire, en cas de phénomène de saturation ;
Il sera également demandé d’adapter la fréquence de requête et de mise à jour à la nature de la donnée téléchargée : la réutilisation doit en effet être effectuée dans un délai compatible avec la durée de validité des données, surtout pour le temps réel ;
Le réutilisateur a l’obligation de respecter l’ordre public. Lorsqu’il existe un risque d’atteinte à l’ordre public ou à la sécurité des voyageurs et des réseaux, ainsi qu’en cas de force majeure, la RATP se réserve le droit de prendre les précautions nécessaires, y compris, le cas échéant, la suspension de la diffusion des données pour la durée nécessaire à la maîtrise de ce risque.
En cas de non-respect par le réutilisateur de ses obligations imposées au titre de la licence applicable ou des CGU, qui peuvent préciser les conditions décrites en 6.1, la RATP se réserve la possibilité de couper l’accès du réutilisateur à la plateforme.

 

/par