Le 25 mars dernier, la Commission européenne et les États-Unis d’Amérique ont annoncé avoir signé un nouvel accord cadre sur le transfert transfrontalier des données personnelles (appelé le « Trans-Atlantic Data Privacy Framework ») qui sera à la base d’une décision d’adéquation de la part de cette même Commission européenne. Ce nouvel accord – communiqué moins de deux ans après la sentence de la Cour de Justice européenne qui avait déclaré non valable le « Privacy Shield » – se fixe comme objectif de ne pas compromettre le niveau de protection des données garanti par le RGPD en cas de transfert de données personnelles vers les États-Unis et, de façon générale, dans le cadre du traitement des données personnelles des citoyens européens. Les points clés de l’accord seront constitués par des règles et des protections obligatoires, afin de limiter l’accès aux données de la part des autorités nord-américaines, ce motif ayant joué un grand rôle dans la décision citée de la Cour de Justice. Il sera en effet permis aux autorités d’accéder et, donc, de traiter les données personnelles seulement dans la mesure où cela serait nécessaire et proportionné pour protéger et poursuivre les objectifs de sécurité nationale définis. Cela aura lieu, peut-on lire dans le communiqué, en mettant en place un mécanisme de recours indépendant sur deux niveaux, afin de déterminer les mesures de correction et d’améliorer la supervision rigoureuse et stratifiée des activités des services de renseignements, tout en garantissant le respect des limitations au cours des activités de surveillance. Le Trans-Atlantic Data Privacy Framework fournira une base fondamentale pour les flux de données transatlantiques, permettant de protéger les droits des personnes concernées. Dans ce communiqué, il a été également confirmé que les équipes du gouvernement des États-Unis et de la Commission européenne continueront à coopérer, en vue de traduire cet accord en documents juridiques que chacune des deux parties devra adopter. Une fois la procédure prévue achevée, les Titulaires et Responsables du traitement, européens et américains, seront appelés à respecter les dispositions de l’accord cadre.

Contenus corrélés:

• Privacy Shield (ndt : Bouclier de Protection des Données) : la Cour de Justice Européenne annule l’Accord UE – USA
• Privacy Shield : le Comité européen de la protection des données (EDPB) a publié des FAQ sur l’arrêt Schrems de la CJUE
• LE SAVIEZ-VOUS… De nouvelles Clauses contractuelles standard ont été approuvées pour le transfert de données vers des pays en dehors de l’UE?

Le Journal Officiel du 14 juin dernier a vu la publication du Décret législatif n° 82/2021 (le « Décret ») relatif aux « dispositions urgentes en matière de cybersécurité, définition de l’architecture nationale de la cybersécurité et la création de l’Agence pour la cybersécurité nationale ».

Le terme « Cybersécurité » désigne « l’ensemble des activités nécessaires pour protéger des menaces informatiques les réseaux, les systèmes informatiques, les services informatiques et les communications électroniques, en assurant leur disponibilité, leur confidentialité et leur intégrité et en garantissant également leur résilience » (art. 1, alinéa 1, lettre a).

Le Comité interministériel pour la cybersécurité

Le Décret, composé de 19 clauses, institutionnalise notamment le « Comité interministériel pour la cybersécurité » (le « CIC »). Le CIC assure des fonctions de conseil, de proposition et de surveillance en matière de politiques de cybersécurité, également aux fins de la protection de la sécurité nationale dans l’espace cybernétique. En outre, le CIC a les tâches suivantes :

• proposer au Président du Conseil des ministres les orientations générales dans le cadre des politiques de cybersécurité nationale ;
• exercer une surveillance précise sur l’application de la stratégie nationale de cybersécurité ;
• promouvoir l’adoption des initiatives nécessaires pour (i) favoriser la collaboration efficace, au niveau national et international, entre les organismes institutionnels et les opérateurs privés concernés par la cybersécurité, ainsi que le partage des informations et (ii) l’adoption de meilleures pratiques et de mesures destinées à l’objectif de la cybersécurité et au développement industriel, technologique et scientifique en matière de cybersécurité ;
• exprimer son avis sur le bilan préventif et sur le bilan de l’Agence pour la cybersécurité nationale.

L’Agence pour la cybersécurité nationale

Parmi les principales nouveautés du Décret, on note également la création de « l’Agence pour la cybersécurité nationale » (« ANC » ou « Agence »). Le Décret précise ses fonctions, en clarifiant sa composition et son organisation. Avec un règlement approprié, qui doit être approuvé sous 120 jours après l’entrée en vigueur du Décret, il faut définir le fonctionnement de l’Agence composée de huit bureaux du niveau de la direction générale et de trente services de niveau de la direction non générale dans le cadre des ressources disponibles (art. 12, alinéa 1).

L’Agence représente l’entité principale en matière de cybersécurité qui exerce des fonctions d’autorité nationale en la matière et englobe les nombreuses compétences dès à présent attribuées aux autres organes, notamment celles du Ministère du Développement Economique. Ses tâches couvrent notamment :

• la protection des intérêts nationaux et des fonctions essentielles de l’État contre les menaces informatiques ;
• le développement de capacités nationales de prévention, de suivi, de détection et d’atténuation, pour faire face aux incidents de sécurité informatique et aux attaques informatiques ;
• l’élévation de la sécurité des systèmes de « Information and Communications Technology » (« ICT ») des sujets inclus dans le périmètre de sécurité nationale cybernétique, des administrations publiques, des opérateurs de services essentiels et des fournisseurs de services numériques ;
• le soutien au développement de compétences industrielles, technologiques et scientifiques, en promouvant des projets pour l’innovation et le développement, en essayant de stimuler en même temps la croissance d’une force de travail nationale solide dans le domaine de la cybersécurité dans l’optique de l’autonomie stratégique nationale dans le secteur ;
• l’acceptation de fonctions d’interlocuteur unique national pour les personnes publiques et privées en matière de mesures de sécurité et d’activités d’inspection dans le cadre du périmètre de la sécurité nationale cybernétique, de la sécurité des réseaux et des systèmes d’information, et de la sécurité des réseau de communication électronique.

Le Noyau pour la cybersécurité

L’Agence est accompagnée du « Noyau pour la cybersécurité » qui a pour tâche de supporter le Président du Conseil des Ministres, pour les aspects relatifs à la prévention et la préparation d’éventuelles situations de crise et pour l’activation des procédures d’alerte. Parmi les principales tâches confiées à cet organisme, no note :

• la formulation de propositions d’initiatives en matière de cybersécurité du pays ;
• la promotion, la programmation et la planification opérationnelle de la réponse à des situations de crise cybernétique par des administrations et des opérateurs privés ;
• le déroulement d’exercices interministériels, c’est-à-dire la participation nationale à des exercices internationaux qui concernent la simulation d’événements de nature cybernétique afin d’élever la résilience du pays et être impliqué dans les crises qui concernent la cybersécurité.

◊◊◊◊

Avant le 30 avril chaque année, le Président du Conseil des Ministres a pour tâche de transmettre au Parlement un rapport sur l’activité réalisée par l’Agence au cours de l’année précédente et celle-ci, en qualité de Centre national de coordination italien, s’interfacera dans l’exécution de ses activités avec le « Centre européen de compétence pour la cybersécurité dans le cadre industriel, technologique et de la recherche », concourant à accroître l’autonomie stratégique européenne dans le secteur.

Contenus corrélés :

• Travail agile et protection des données personnelles
• Violations de données personnelles : Les lignes directrices des autorités de contrôle européennes pour la gestion des violations de données personnelles

Les nouvelles concernant la propagation du nouveau coronavirus (2019-nCoV) obligent les entreprises à prendre des mesures pour prévenir le risque d’infection dans la mesure du possible, car, comme on le sait. Conformément à la loi italienne applicable, l’employeur :

• conformément à l’article 2087 du code civil italien, a le devoir de prendre toutes les mesures de sécurité nécessaires pour garantir l’intégrité physique et la personnalité morale des employés, et
• conformément au décret législatif 81/2008, a la responsabilité de protéger les travailleurs contre l’exposition au risque biologique avec la collaboration du médecin compétent, le cas échéant).

À cet égard, il convient de noter à titre préliminaire que, sur notre continent, il n’y a actuellement aucun signe de propagation de l’épidémie, car les cas de coronavirus sont sporadiques et non alarmants. En ce qui concerne le territoire de l’Italie, le ministère de la santé a déclaré que « la circulation du virus n’existe pas ».

Le risque de transmission doit donc être considéré comme faible, sauf pour ceux qui ont des contacts étroits et durables avec des sujets malades.

Des précautions doivent être prises en particulier à l’égard des employés (sur place ou en déplacement) qui, en raison de leurs fonctions, ont des relations avec les « pays de l’Est » et principalement avec des personnes provenant des régions de Chine où l’épidémie est en cours.

En raison de ce qui précède, conformément aux indications fournies par le ministère italien de la santé, les employeurs doivent fournir aux employés qui travaillent en étroite collaboration avec le public des lignes directrices pour prévenir la propagation du virus, en utilisant les mesures d’hygiène standard pour limiter la propagation géographique des maladies respiratoires transmissibles, telles que :

• se laver fréquemment les mains ;
• faire attention à l’hygiène des surfaces ;
• éviter les contacts étroits et durables avec les personnes qui présentent des symptômes de type grippal.

Selon le ministère de la santé, si, au cours de la relation de travail, une personne entre en contact avec une personne répondant à la définition de « cas suspect » telle que définie par la circulaire du ministère de la santé du 27 janvier, elle doit immédiatement contacter les services de santé et signaler qu’il s’agit d’un cas suspect de 2019-nCoV.

En attendant l’arrivée du personnel médical :

• éviter tout contact étroit avec le sujet malade ;
• lui fournir un masque chirurgical ;
• se laver soigneusement les mains et faire attention aux surfaces du corps qui pourraient avoir été en contact avec des liquides (sécrétions respiratoires, urine et fèces) du sujet malade ;
• demander au sujet malade de jeter les serviettes utilisées directement dans un sac étanche. Le sac sera jeté avec le matériel infecté produit pendant les activités médicales du personnel de secours.

Pour prévenir le risque d’infection, l’employeur est tenu d’adopter des procédures et de fournir aux employés des instructions en matière d’hygiène.

Le service de conformité de De Luca & Partners est à votre entière disposition pour vous apporter le soutien nécessaire.

Pour de plus amples informations et détails, veuillez contacter Elena Cannone elena.cannone@delucapartners.it, coordinatrice de la conformité de la Focus Team.