FR  I  EN
#JRGPD2020


Conformité éthique

L'éthique juridique telle que nous la concevons permet de respecter pleinement les droits et libertés des intervenants, utilisateurs et personnes concernées ou potentiellement impactées par les technologies ou actions à l'examen, incluant de manière naturelle la protection des données à caractère personnel mais non uniquement. Ce respect favorise l'adhésion à vos actions et technologies, et permet de prévenir toute responsabilité juridique qui serait due à la méconnaissance d'un droit.

Une démarche de mise en conformité éthique peut être exclusivement juridique et éthique ou associée à un audit de la sécurité de vos traitements de données voire de votre système d'information, en coordination avec nos partenaires experts de la gestion de risque et de la gouvernance dont le cabinet PROBE-IT.

Nous vous accompagnons par ailleurs dans cette démarche en étroite collaboration avec le cabinet d'avocats Juriscom.law lorsqu'un conseil juridique doit vous être fourni.

Notre démarche d'accompagnement inclut différentes étapes génériques qui, selon le contexte, seront mises en oeuvre complètement ou partiellement, de manière plus ou moins itérative :

  • Etat des lieux
    L'état des lieux est le point de départ d'une démarche de conformité et des analyses subséquentes. Lorsque nécessaire, ses résultats seront formalisés sous forme de tableau permettant de visualiser tous les éléments des actions ou technologies soumis à analyse qui peuvent avoir une incidence éthique.

  • Analyse de conformité éthique
    Cette analyse vise à confronter de manière systématique l'action ou la technologie que vous nous soumettez aux exigences des principes éthiques qui lui sont applicables.
    Dans la grande majorité des cas, cette analyse devra être faite à la lumière des exigences de nécessité et de proportionnalité telles qu'interprétées par la Cour européenne des droits de l'Homme. Nous exécutons cette analyse sur la base de grilles de questionnement que nous avons créées à l'aune de notre expérience de la protection des droits et libertés fondamentaux (incluant non exhaustivement le droit à la vie privée, le droit de ne pas être discriminé, la liberté de réunion et d'association, la liberté d'expression, la liberté physique, ainsi que d'autres intérêts qui ne sont pas à proprement parler des droits fondamentaux "autonomes" comme la liberté de choisir ou le droit d'accéder à Internet ou à un réseau social).
    Notez que notre test de proportionnalité inclut le contenu des tests de "base légale" et d'"objectif légitime" auxquels procède la Cour européenne des droits de l'Homme, car ces derniers sont des éléments de proportionnalité avant d'être des éléments autonomes de conformité à la Convention éponyme, et car ils restent des conditions à part entière d'une démarche éthique (leurs exigences sont d'ailleurs retranscrites dans le RGPD concernant la conformité des traitements de données à caractère personnel).

  • Analyse de conformité juridique
    Cette analyse vise à vérifier le cadre juridique dans lequel s'insère votre action ou technologie, afin de nous assurer qu'aucun texte de droit interne ne s'oppose ou ne conditionne son exécution ou développement. Tout conseil juridique vous est dans ce cadre prodigué par un avocat, Inthemis travaillant en collaboration étroite avec le cabinet d'avocats Juriscom.law.

  • Analyse de risque pour les droits et libertés
    Si une analyse de risque pour les droits et libertés, voire une analyse de risque dans sa version traditionnelle est requise ou souhaitable, elle peut être exécutée par nos soin du seul point de vue juridique, en lien avec votre service de sécurité informatique, ou en prenant en charge ses aspects juridiques et techniques en synergie avec nos partenaires experts en gestion de risque et gouvernance dont le cabinet PROBE-IT.
    Il convient toutefois de noter que la pertinence de cette analyse peut en partie reposer sur votre état de conformité éthique et juridique. Si les étapes précédentes mettent à jour des correctifs indispensables, il est judicieux de n'effectuer l'analyse de risque qu'après leur mise en oeuvre (ou de se projeter à ce moment lors de son exécution). A défaut, l'opération revient à analyser inutilement les risques posés par un contexte appelé à être modifié à brève échéance.
    Notre méthode d'analyse de risque se base sur la méthode ebios et le standard ISO 27001 (adaptés par nos soins à l'analyse des risque pour les droits et libertés).

  • Etude d'impact sur les droits et libertés
    Cette analyse d'impact, traditionnellement appellée "étude d'impact sur la vie privée" (PIA en anglais) est une démarche éthique qui a pris de l'importance dans les années 1990 et qui conserve une totale pertinence (elle a d'ailleurs été reprise, du moins partiellement en termes de méthode, dans le RGPD pour certains types de traitements de données).
    Ceci étant dit, elle sera dans de nombreux cas déjà effectuée plus ou moins partiellement, puisqu'elle se compose pour ses éléments essentiels d'un état des lieux, d'une analyse de conformité aux textes de droit applicables incluant la Convention européenne des droits de l'Homme et d'une analyse de risque pour les droits et libertés.

  • Synthèse des faiblesses et mesures correctrices à mettre en oeuvre
    Les faiblesses mises à jour lors de nos analyses et les mesures correctrices qu'elles imposent peuvent vous être présentées au sein d'un rapport d'étude dont la structure devra être actée entre nous en amont (généralement plus adapté aux projets de recherche), ou sous la forme d'une courte synthèse (généralement plus adaptée aux besoins d'une entreprise).
    Cette étape implique idéalement une rencontre physique destinée à vous expliquer les résultats de nos analyses.

  • Plan d'action et feuille de route, accompagnement de la mise en oeuvre
    Sur la base des résultats de nos analyses, de vos objectifs et de vos contraintes, nous pouvons établir ou vous aider à établir un plan d'action et une feuille de route visant la mise en oeuvre des mesures correctrices nécessaires à votre conformité.
    Nous pouvons également vous accompagner dans cette mise en oeuvre, à votre convenance.

  • Sensibilisation et formation
    Nos interventions peuvent se décliner en différents modules et niveaux, couvrant la simple sensibilisation de vos collaborateurs au transfert de compétences. Des sessions pratiques peuvent notamment vous apprendre à effectuer vous même des tests réguliers de nécessité et de proportionnalité.

     

 


Inthemis - Montpellier Optimum Centre - 450, rue Baden Powell - 34000 Montpellier Données à caractère personnel Informations légales © Inthemis