Plan d'action GDPR Luxembourg Ageris Halian

Règlementeuropéenpourlaprotectiondespersonnesphysiques
àl'égarddutraitementdesDCP
1Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Le Règlement européen n°2016/679
du Parlement européen et du Conseil du 27 avril 2016
relatif à la protection des personnes physiques
à l'égard du traitement des données à caractère personnel
et à la libre circulation de ces données
L’impact sur l’organisation et le Plan d’actions
Version 2.02 du 12/12/2016
Animateur : Denis Virole / Directeur des Services / Ageris Group
Extrait du Workshop réalisé au Luxembourg le 13/12/2016 en partenariat avec HALIAN

Introduction
Le traitement des DCP doit être conduit pour servir l’humanité
Le droit à la protection des DCP n’est pas un droit absolu
Il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux,
conformément au principe de proportionnalité
Le Règlement respecte tous les droits fondamentaux et observe les libertés et les principes reconnus par la Charte des droits
fondamentaux de l’Union Européenne, consacrés par les traités, en particulier le respect de la vie privée et familiale, du
domicile et des communications, la protection des DCP, la liberté de pensée, de conscience et de religion, la liberté d’expression et
d’information, la liberté d’entreprise, le droit à un recours effectif et accéder à un tribunal impartial, et la diversité culturelle et
religieuse

1. Prendre en compte les
évolutions technologiques
2. Prendre en compte les
nouveaux usages des
technologies de
l’information
3. Renforcer les droits des
citoyens européens
4. Responsabiliser les
dirigeants et les sous-
traitants
Internet, Mobilité, … Réseaux sociaux, enfants, profilage, …
Adulte, enfant, … Entreprise, sous-traitant, …
La protection des personnes physiques à l'égard du traitement des DCP est un droit fondamental.
L'article 8, paragraphe 1, de la Charte des droits fondamentaux de l'Union européenne et l'article 16, paragraphe 1, du traité sur le fonctionnement
de l'Union européenne disposent que toute personne a droit à la protection des données à caractère personnel la concernant.
5. Les mêmes droits pour tous les citoyens de l’Union Européenne
Introduction : Les enjeux du nouveau règlement

Champ d’application
Définitions
Principes
Chapitre 1: Champ d’application, définitions et principes

Chapitre 2: Le renforcement des droits des personnes concernées
1. Le raccourcissement
du délai de réponse
concernant les droits :
d’accès, de rectification
et de suppression et droit
d’opposition
2. Des informations plus
détaillées à fournir
pour le RT
7. Le droit pour la
personne concernée de
ne pas faire l’objet d’une
décision fondée sur un
traitement automatisé, y
compris le profilage
3. Un renforcement du
droit d’accès de la
personne concernée
6. L’instauration de
nouveaux droits: le droit
à la limitation du
traitement et le droit à la
portabilité des données
4. Des modifications
terminologiques
concernant le droit de
rectification et le droit
d’opposition de la
personne concernée
5. Une nouvelle
dénomination concernant
le droit de suppression:
le droit à l’oubli ou le
droit à l’effacement
Les droits de recours

La Loi sur la protection des données
Les droits
Art. 26 de la Loi
Le droit d’information de la
personne concernée
Art. 30 de la Loi
Le droit d’opposition
Art. 28 de la Loi
Le droit d’accès
et
Communication
Art. 28 (4) et 28 (6) de la Loi
Le droit de rectification et de
suppression

Les droits
Droits existants
mais renforcés par le Règlement
Nouveaux droits
Droit
d’information
Art. 13 et 14
Droit d’accès
Art. 15
Droit de
rectification
Art. 16
Droit à
l’effacement
Art. 17
Droit
d’opposition
et
Profilage
Art. 21 et 22
Droit à la
limitation du
traitement
Art. 18
Obligation de
notification
rectification
effacement
limitation du T
Art. 19
Droit à la
portabilité
Art. 20
Les droits de recours
Droit d'introduire une
réclamation auprès d'une
autorité de contrôle
Art. 77
Droit à un recours
juridictionnel effectif
contre un responsable du
traitement ou un sous-
traitant
Art. 79
Droit à réparation et
responsabilité
Art. 82
Droit à un recours
juridictionnel effectif
contre une autorité de
contrôle
Art. 78
Représentation des
personnes
concernées
Art. 80
Le Règlement européen

Lorsque le T =
art 6,1 les
intérêts
légitimes RT
Prise de
décision
automatisée
profilage ?
L’identité
du RT
Durée de
Conservation
Chapitre III: Droits de la personne concernée
Section 2: Information et accès aux données à caractère personnel
Article 13: Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée
T = art 6
Retirer son
consentement
Introduire une
réclamation
Conditionne un
contrat ?
Destinataires
2. Des informations plus détaillées à fournir pour le responsable du traitement
L'existence du droit à :
• L 'accès aux DCP
• La rectification
• La imitation du T relatif à la PC
• De s'opposer au T
• Du droit à la portabilité des DCP Informations
concernant
une nlle finalité
Finalités du T
Rectification
l'effacement,
limitation T ou
non au T
portabilité

Effacement
T = art 6.1 les
intérêts
légitimes RT
Introduire une
réclamation
Catégories de
DCP
Destinataires
Changement
de finalité
L’identité
du RT
L'accès aux DCP
La rectification
Une limitation du T relatif à la PC
De s'opposer au T
Du droit à la portabilité des DCP
T = art 6.1 /
art 9.2
Le droit de retirer
le consentement
Finalités du T
Source
des DCP
accessibles
ou non
au public
Chapitre III: Droits de la personne concernée
Section 2: Information et accès aux données à caractère personnel
Article 14: Informations à fournir lorsque des DCP n’ont pas été collectées auprès de la personne concernée
2. Des informations plus détaillées à fournir pour le responsable du traitement
Durée de
Conservation
l'existence
d'une décision
automatisée, /
profilage

Réclamation auprès de
l’autorité de contrôle
Réparation du
préjudice subit
Recours juridictionnel
contre une autorité de
contrôle
Droits de recours pour
la PC
Recours juridictionnel
contre un RT ou un
sous traitant
Action collective
8. Les droits de recours

Chapitre 3: Le responsable du traitement et le sous-traitant: nouvelles obligations
1. La mise en œuvre de
mesures techniques et
organisationnelles ainsi
que de politiques
appropriées en matière
de protection des DCP
par le RT
2. Les responsabilités
conjointes des RT
7. L’analyse d’impact
relative à la protection
des données
3. Les nouvelles
obligations du sous
traitant
6. Notification d’une
violation de DCP à
l’autorité de contrôle et
communication à la
personne concernée le
cas échéant
4. La tenue du registre
des activités par le RT
5. Enonciation des
différentes mesures
techniques et
organisationnelles à
mettre en œuvre

Protection des DCP
Aide le RT de son obligation
de donner suite aux
demandes
Met à la disposition du RT toutes
les informations nécessaires
pour apporter la preuve du
respect des obligations prévues
La pseudonymisation
La minimisation des données
Pas rendues accessibles à un nombre
indéterminé de personnes physiques
Définissent de manière transparente leurs obligations respectives
Régi par un contrat + des garanties suffisantes
Veille à ce que les personnes autorisées
à traiter les DCP respectent la
confidentialité
Supprime toutes les DCP ou les renvoie au RT au terme de la prestation
• politiques appropriées en matière de protection
• mesures technique et organisationnelle
• application d'un code de conduite
• certification
Ne recrute pas un autre ST sans l'autorisation écrite préalable + régi par un contrat
Chapitre 3: Le responsable du traitement et le sous-traitant: nouvelles obligations
Notifie la violation de DCP
Sur instruction / prend toutes les mesures requises
peut exercer les
droits
Registre

1. Désignation du DPO
2. La fonction de DPO
3. Les missions
Chapitre 4: Le délégué à la protection des données

Coordonnées du DPO
Désigne un DPO
Désigne un DPO
Désigne un DPO
Désigne un DPO
Coordonnées du DPO
Service public
Chapitre 4: Le délégué à la protection des données

1. L’élaboration de
codes de conduite
2. La mise en place
de mécanismes de
certification
Chapitre 5: Chapitre 5: Codes de conduite et certification

Chapitre 6: Les transferts de données à caractère personnel vers des pays tiers
1. Principe général
applicable aux transferts
de DCP hors UE
2. La décision
d’adéquation
7. Le renforcement de la
coopération entre EM
lors d’un transfert hors
UE
3. Le transfert moyennant
des garanties
appropriées: BCR,
Clauses contractuelles
Types, Code de conduite,
mécanisme de
certification
6. Les obligations du RT
lors d’un transfert hors
UE
4. Les BCR
5. Dérogations pour des
situations particulières

Chapitre 7: Les autorités de contrôle
1. Autorité de
contrôle et
indépendance
2. Missions
de l’autorité
de contrôle
3. Les
pouvoirs de
l’autorité de
contrôle
4. L’autorité
chef de file
5. Le
renforcement
de la
coopération
entre
les autorités
6. Un Comité
européen de
la protection
des DCP

Indépendance
Libres de toute influence
Aucune activité professionnelle incompatible
1. Autorité de
contrôle et
indépendance
1. Autorité de
contrôle et
indépendance
1. Autorité de
contrôle et
indépendance
contribue à l'application cohérente du présent règlement dans l'ensemble de
l'Union
EM EM
Notifie à la Commission les dispositions légales
Prévoit qu'une ou plusieurs autorités publiques indépendantes sont chargées de
surveiller l'application du règlement,
Donne les moyens humains, techniques et financiers
Un contrôle financier qui ne menace pas son indépendance
1. Autorité de contrôle et indépendance

2. Missions de l’autorité de contrôle
• Conseille, conformément au droit de l'État membre, le parlement national, le gouvernement
• Favorise la sensibilisation du Public
• Encourage la sensibilisation des RT et des ST
• Fournit, sur demande, à toute PC des informations sur l'exercice des droits
• Encourage l'élaboration de codes de conduite
• Encourage la mise en place de mécanismes de certification ainsi que de labels
• Établit et tient à jour une liste en lien avec l'obligation d'effectuer une analyse d'impact
• Tient des registres internes des violations
• Facilite l'introduction des réclamations
• Traite les réclamations
• Suit les évolutions
• Coopère avec d'autres autorités de contrôle
• Contribue aux activités du comité
• Contrôle l'application du règlement
• Effectue des enquêtes
• Examine périodiquement les certifications délivrées
• Adopte les clauses contractuelles types visées
• Approuve les règles d'entreprise contraignantes
• Rédige et publie les critères d'agrément
• Procède à l'agrément d'un organisme

Pouvoir d'enquête
Pouvoir de faire adopter toutes les
mesures correctrices
Pouvoir consultatif
3. Les pouvoirs de l’autorité de contrôle

1. Le droit d’introduire
une réclamation auprès
d’une autorité de
contrôle
2. Les droits de
recours
3. Les amendes
administratives
Chapitre 8: Voies de recours, responsabilité et sanctions

Règlement européen
1. Amendes administratives pouvant s’élever jusqu’à 10 000 000 euros ou dans le cas d’une entreprise jusqu’à 2% du CA
annuel mondial:
• relatives au consentement des enfants en lien avec des services de la société de l’information (art. 8);
• en matière de traitement ne nécessitant pas d’identification (art. 11);
• en matière de protection des données dès la conception et de protection des données par défaut (art. 25);
• des règles propres aux responsables conjoints du traitement (art. 26);
• en matière de représentants des responsables qui ne sont pas établis dans l’Union (art. 27);
• s’imposant dans la relation entre le responsable et le sous-traitant (art. 28);
• en matière de traitement effectué sous l'autorité du responsable du traitement et du sous-traitant (art. 29);
• relatives à la tenue du registre de toutes les catégories d’activités de traitement (art. 30);
• concernant la coopération avec l’autorité de contrôle (art. 31) ;
• relatives à la sécurité des traitements (art. 32) ;
• relatives à la notification des violations de données à l’autorité de contrôle (art. 33) ;
• relatives à la communication des violations de données aux personnes concernées (art. 34) ;
• concernant l’analyse d’impact relative à la protection des DCP (art. 35) et la consultation préalable de l’autorité de
contrôle (art. 36) ;
• concernant la désignation du délégué à la protection des données (art. 37), ses fonctions (art. 38), ses missions
(art. 39) ;
• en matière de certification (art. 42) et de procédure de certification (art. 43);
• des obligations de l’organisme de certification au sens des articles 42 et 43 (b) ;
• des obligations de l’organisme chargé de surveiller le respect du code de conduite au sens de l’article 41, § 4 (c).
Les montants des amendes administratives
3. Les amendes administratives

2. Amendes administratives pouvant s’élever jusqu’à 20 000 000 euros ou jusqu’à 4% du CA annuel mondial total :
• les principes de base des traitements, en ce compris les conditions du consentement au sens des articles 5 (Principes
relatifs au traitement des données à caractère personnel), 6 (licéité du traitement), 7 (conditions applicables au
consentement) et 9 (Traitement des catégories particulières de données à caractère personnel) ;
• des droits des personnes concernées au sens des articles 12 à 22 du Règlement ;
• des règles relatives aux transferts de données à un destinataire d’un pays tiers ou d’une organisation (art. 44 à 49) ;
• toutes les obligations mises en place par le droit national conformément au chapitre IX: le chapitre IX laisse aux États
membres une certaine marge d’appréciation en matière notamment de traitements des données à caractère personnel et
liberté d'expression et d'information (cfr. art 85) ; traitements d’un numéro d’identification national (art 87) etc.;
• le non-respect d’une injonction de limitation temporaire ou définitive de traitement ou de suspension du flux de
données, prononcée par une autorité de contrôle en vertu des articles 58, § 2 ou lorsque le responsable ne permet pas
l’accès en violation de l’article 58, § 1er.
Les montants des amendes administratives
3. Les amendes administratives

Directive 95/46/CE relative à la protection des personnes
physiques à l’égard du traitement des DCP et à la libre
circulation de ces données
Abrogation
Directive 2002/58/CE du 12 juillet 2002 concernant le
traitement des données à caractère personnel et la
protection de la vie privée dans le secteur des
communications électroniques (directive vie privée et
communications électroniques)
Aucune incidence puisque le Règlement n’impose pas
d’obligations supplémentaires aux personnes physiques
ou morales quant au traitement dans le cadre de la
fourniture de services de communications électroniques
Loi sur la protection des données de 2002 La Loi va être très certainement modifiée, certaines
dispositions vont être abrogées.
Abrogation, relation avec les autres textes
Evolutions

Conclusion
Fondamentalement les principes et les obligations que nous connaissons aujourd’hui sont maintenus, le règlement les
renforce et en crée de nouveaux
Les principales évolutions sont les suivantes :
• Création de nouveaux droits pour les PC
• La responsabilité des RT est renforcée et le RT doit apporter les preuves de mise en conformité
• La responsabilité et les obligations des ST sont renforcées
• La sécurité des DCP devient un principe fondamental de la protection de la vie privée
• De nouveaux concepts sont à appliquer : EIVP / PIA, Sécurité par défaut, Privacy By Design, …
• Les missions du DPO évoluent vers le contrôle
• Les amendes administratives ont considérablement augmenté
• La coopération entre les autorités de contrôle se renforce
• Les autorités de contrôle vont définir des codes de conduite et des certifications / labels
Le délai de mise en conformité est fixé à fin mai 2018 : ce délai est cours.
Il convient de mettre en œuvre un plan d’actions permettant d’atteindre cet objectif dans les meilleurs
délais : 2017 est une année importante pour la mise en conformité

Le Plan d’actions

La démarche :
• Doit être adaptée au niveau de maturité de l’organisme : une approche progressive par palier doit être
mise en oeuvre
• Doit impliquer la direction générale de l’organisme pour qu’elle impose la démarche
• Doit aborder des aspects « organisationnels » et « techniques »
• Nécessite de formaliser des documents (politiques, procédures, …)
• Nécessite de désigner un chef de projet pour mener à bien tous les chantiers
Le Plan d’actions : La démarche

Le Plan d’actions : 2 objectifs
1 Augmenter la maturité
2 respecter le délai : Mai 2018
M
A
T
U
R
I
T
E
6/7
Processus continuellement optimisé,
l'amélioration des processus est
dynamique, institutionnalisée et tient
compte de l'évolution du contexte
5
Processus
coordonné et
contrôlé à l'aide
d'indicateurs
permettant de
corriger les
défauts constatés
4
Processus défini,
décrit, adapté à
l'organisme,
généralisé et bien
compris par le
management et
par les exécutants
3
Pratiques de base
mises en œuvre,
avec un
engagement relatif
de l'organisme vis-
à-vis des PC
2
Pratique de base
mises en œuvre de
manière informelle
et réactive à
l'initiative de ceux
qui estiment en
avoir besoin
1
Pratique
inexistante ou
incomplète et le
besoin n'est pas
reconnu.
TEMPS

Le Plan d’actions : La démarche / Identifier les acteurs
Chef de projet

Le Plan d’actions : La démarche / Identifier les fonctions DPO / CISO
DPO CISO
Information Conseil
RT
Sur les obligations RT
L’identification des DCP et T
Les droits des PC
Validation de l’EIVP
Les enjeux
Les périmètres
La validation des risques résiduels
MOA
Evènements redoutés
Vulnérabilités métiers
Menaces
Vulnérabilités IT
MOE / ST
Source de risques
Niveau de risques
Sensibilisation formation Tous
Veille Réglementaire
Réglementaire hors DCP et
technique
Contrôle
MOA
MOE
ST
La conformité au Règlement et à la
PPDCP
La conformité au Référentiel SSI
Coopère avec l’autorité de contrôle AC : CNPD
ANSSI pour le Luxembourg fonction
publique
Point de Contact Pour l’AC et les PC Pour les ST, voir les MOE et MOA

Situation
effective
Pratique
inexistante ou
incomplète et le
besoin n'est pas
reconnu.
Pratique de base
mises en œuvre de
manière informelle
et réactive à
qui estiment en
avoir besoin
Pratiques de base
mises en œuvre,
avec un
engagement
relatif de
l'organisme vis-à-
vis des PC
Processus défini,
décrit, adapté à
l'organisme,
compris par le
management et par
les exécutants
Processus
coordonné et
d'indicateurs
permettant de
corriger les
défauts constatés
Processus continuellement optimisé :
6
Labellisation
Certification
5
Code de conduite
4
Contrôle des
mesures
juridiques
3
Respect des
droits de la PC
+
Relations avec
l’autorité de Ctl
+
Contrats
2
Politique
Générale de
protection de la
VP
Noti. Viol DCP
Registre1
Sensibilisation
DG
+
Directions
métiers
Le Plan d’actions : Les mesures juridiques

Situation
effective
Pratique
inexistante ou
incomplète et le
besoin n'est pas
reconnu.
Pratique de base
mises en œuvre
de manière
informelle et
réactive à
l'initiative de
ceux qui estiment
en avoir besoin
Pratiques de base
mises en œuvre,
avec un
engagement
relatif de
l'organisme vis-à-
vis des PC
Processus défini,
décrit, adapté à
l'organisme,
compris par le
management et
par les
exécutants
Processus
coordonné et
d'indicateurs
permettant de
corriger les
défauts constatés
6
Produits certifiés
5
Système de management
4
Ctl des mesures
techniques
3
EIVP
Security by
design
+
PAS
2
Politiques de Sécurité SI
Organisation
Security by default
Sécurité périphérique
1
Sensibilisation
Sécurité en profondeur
Le Plan d’actions : Les mesures organisationnelles et techniques

Situation
effective
Pratique
inexistante ou
incomplète et le
besoin n'est pas
reconnu.
Pratique de base
mises en œuvre de
manière informelle
et réactive à
qui estiment en
avoir besoin
Pratiques de base
mises en œuvre,
avec un
engagement
relatif de
l'organisme vis-à-
vis des PC
Processus défini,
décrit, adapté à
l'organisme,
compris par le
management et par
les exécutants
Processus
coordonné et
d'indicateurs
permettant de
corriger les
défauts constatés
6
Labellisation
Certification
5
Code de conduite
4
Contrôle des
mesures
juridiques
3
Respect des
droits de la PC
+
Relations avec
+
Contrats
2
Politique
Générale de
protection de la
VP
Organisation
Noti. Viol DCP
Registre1
Sensibilisation
DG
+
Directions
métiers
Le Plan d’actions : Les mesures juridiques / Sensibilisation du RT

Analyses et commentaires d’AGERIS Group
Le montant des sanctions administratives a considérablement augmenté, ce qui démontre la volonté des
autorités compétentes de renforcer la protection de la vie privée des citoyens européens et de pousser les organismes à
se mettre en conformité avec la législation.
Il est fort probable (en tout les cas il faut le souhaiter) que la médiatisation des actions engagées par une autorité de
contrôle et cette augmentation du montant des actions deviennent dissuasives et poussent les responsables
d’organismes à engager les démarches nécessaires de mise en conformité.
Une sensibilisation sur ces risques juridiques, médiatiques, …. est à engager en interne pour pousser à
la mise en œuvre de la gouvernance adéquate et renforcer les démarche de mise en conformité.

Loi de 2002
Application actuelle
Application le 25 mai 2018
Obligations du RT
Prendre toutes précautions utiles au regard de la
nature des données et des risques présentés par
le traitement, pour préserver la sécurité des DCP
et notamment empêcher qu’elles soient
déformées, endommagées ou que des tiers non
autorisés puissent y avoir accès.
• Mise en place de mesures techniques et organisationnelles
nécessaires au respect des DCP: « privacy by design », «
privacy by default ».
• Véritable «responsabilisation» / principe «d’accountability»:
obligation de démontrer la conformité au nouveau Règlement
à tout moment.
• Suppression des obligations déclaratives dès lors que pas de
risques pour la vie privée.
Obligations du ST
Doit présenter des garanties suffisantes pour
assurer la mise en œuvre des mesures de
sécurité et de confidentialité.
Aucune responsabilité en cas de non-respect de
cette obligation. Seul le RT est responsable.
• Le ST ne devra pas recruter un autre ST sans l’autorisation
écrite préalable, spécifique ou générale du RT;
• La relation entre le RT et le ST devra être régie par un contrat
(le Règlement détaille ce que doit contenir le contrat entre le
RT et le ST);
• Lorsqu’un ST recrute un autre ST, ce dernier sera soumis aux
mêmes obligations que le ST.
Communication de la
violation de DCP à
l’autorité de contrôle
Uniquement pour les fournisseurs de services de
communications électroniques accessibles au
public sur les réseaux publics de communication
dans l’UE.
Notification à l’autorité de contrôle dans les meilleurs délais et si
possible dans les 72 heures au plus tard après en avoir pris
connaissance.
Communication à la
PC de la violation des
DCP la concernant
Egalement pour les fournisseurs de services de
communications électroniques.
Communication à la PC (sauf dans certains cas).
EIVP
EIVP concernant les traitements de DCP
sensibles.
Mais aucune spécifications.
Une EIVP devra être effectuée par le RT avec l’aide du DPO dans
3 cas :
• Evaluation systématique et approfondie d’aspects personnels
concernant des personnes physiques qui est fondée sur un
traitement automatisé y compris le profilage,
• Le traitement à grande échelle de catégories particulières de
données visées à l’article 9 et 10 (biométrie, santé etc.).
• La surveillance systématique à grande échelle d’une zone
accessible au public
Introduction : Plan d’actions / La sensibilisation du RT

Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique.
Ce contrat ou cet autre acte juridique prévoit, notamment, que le ST :
Agit sur
instruction du
RT
Assure la
sécurité et la
confidentialité
des données
Aide et conseil
le RT
Démontre le
respect du
règlement
Ne traite les DCP que sur instruction documentée du RT
Veille à ce que les personnes
autorisées à traiter les DCP
s'engagent à respecter la
confidentialité ou soient soumises
à une obligation légale appropriée
de confidentialité
Prend toutes les mesures
requises en vertu de l'article 32
(sécurité du traitement)
Aide le RT, par des mesures techniques et organisationnelles
appropriées, dans toute la mesure du possible, à s'acquitter
de son obligation de donner suite aux demandes
Aide le RT à garantir le respect des obligations prévues
aux articles 32 à 36
Supprime toutes les DCP ou les renvoie au RT au terme de
la prestation de services relatifs au T, et détruit les copies
existantes
Met à la disposition du
responsable du traitement
toutes les informations
nécessaires pour démontrer
le respect des obligations et
pour permettre la réalisation
d'audits et contribuer à ces
audits
L'application d'un code de
conduite approuvé ou d'un
mécanisme de certification
approuvé pour démontrer
l'existence des garanties
suffisantes

Devoirs Droits
Respecte le Règlement engage sa responsabilité
Définit des règles
Informe les personnels sur:
Les risques
Les règles
Les dispositifs de surveillance
Les éventuels contrôles
Les niveaux de responsabilité individuelle
Met en place les dispositifs de protection
Valide les risques résiduels
Contractualise avec le ST
Répond aux demandes des PC
Analyse / Contrôle
Informe l’autorité de contrôle des violations de DCP
Droit de connaitre :
• Les règles
• Les responsabilités
• Les dispositifs de surveillance
• Les contrôles
Droit d’exercer les droits de la personne concernée
Respecte les lois et les règles
Devoir de loyauté
Informe le RT des éventuels incidents
Définit des règles
Met en place des dispositifs de surveillance
Met en place des dispositifs de contrôle
Engage la responsabilité des utilisateurs
Engage la responsabilité du sous traitant
Le Plan d’actions : Les mesures juridiques / Sensibilisation des collaborateurs

Situation
effective
Pratique
inexistante ou
incomplète et le
besoin n'est pas
reconnu.
Pratique de base
mises en œuvre de
manière informelle
et réactive à
qui estiment en
avoir besoin
Pratiques de base
mises en œuvre,
avec un
engagement
relatif de
l'organisme vis-à-
vis des PC
Processus défini,
décrit, adapté à
l'organisme,
compris par le
management et par
les exécutants
Processus
coordonné et
d'indicateurs
permettant de
corriger les
défauts constatés
6
Labellisation
Certification
5
Code de conduite
4
Contrôle des
mesures
juridiques
3
Respect des
droits de la PC
+
Relations avec
+
Contrats
2
Politique
Générale de
protection de la
VP
Organisation
Noti. Viol DCP
Registre1
Sensibilisation
DG
+
Directions
métiers
Plan d’actions / Politique / Notification violation de DCP / Registre

La Politique de protection de la Vie Privée
Objectifs de la Politique
Domaine d’application de la Politique
• Définitions
• Rôles et responsabilités des acteurs impactés dans la protection de la vie privée
• Le Responsable des traitements
• Sa responsabilité
Protection des données dès la conception et par défaut
Responsables conjoints du traitement
Registre des traitements
Le DPO
• La désignation du DPO
• Les missions du DPO
• Les fonctions du DPO
• Relais DPO
• Fin de mission/remplacement du DPO
Les autres acteurs impliqués dans les traitements
• Acteurs Internes
• Les Directions métiers et les RDPO
• Le RSSI
• La Direction des systèmes d’Information
• Responsable de la Sécurité des biens et des personnes
Acteurs externes
• Sous-traitants externes
• Destinataires et tiers autorisés
Le Plan d’actions : Les mesures juridiques / Politique de protection de la VP

La Politique
Principes relatifs aux traitements des données à caractère personnel
• Licéité des traitements
• Règles applicables au consentement des personnes
• Traitements portant sur des données particulières
• Traitement comportant des données sensibles
• Traitement comportant des données perçues comme sensibles
• Règles complémentaires sur ces types de traitements
Droits des personnes
Transparence des informations et des communications et modalités d’exercice des droits
Présentation générale des droits : d’accès, de rectification, de suppression, de limitation et d’opposition de la personne
concernée
• Cas particulier du droit de rectification de la personne concernée
• Cas particulier du droit à l’oubli ou droit à l’effacement
• Cas particulier du droit à la limitation du traitement
• Obligation de notification en cas de rectification, limitation ou effacement
• Cas particulier du droit à la portabilité des données
• Cas particulier du droit d’opposition
• Profilage ou décision individuelle automatisée
Sécurité des données
Sécurité du traitement
Etude d’Impact sur la Vie Privée

La Politique
Notification à la Commission de contrôle d’une violation de données
Communication à la personne d’une violation de données à caractère personnel
Code de conduite et certification
• Code de conduite
• Labellisation
Culture protection de la vie privée
• Sensibilisation des nouveaux arrivés
• Formation
• Ateliers
Veille juridique et technologique
Contrôle de conformité et revue de Direction
Contrôle de la Commission de contrôle
• Mesures en cas de manquements
Modifications
Pérennité de la politique de gestion des données à caractère personnel
Communication et mise en œuvre de la politique de gestion des données à caractère personnel
Le Plan d’actions : Les mesures juridiques / Sensibilisation des collaborateurs

Directives Règles
Registre des T de DCP
Déclarer tous les traitements au DPO
Mettre à jour le registre des T
Rendre accessible le registre des T
Vérifier régulièrement le registre des T
Garantie de licéité des T
Agir avec loyauté et transparence lors de la collecte des DCP
Démontrer que le consentement des PC est respecté
Respecter les finalités déterminées lors de la collecte des DCP
Limiter les informations collectées dans les formulaires papiers ou numériques au strict nécessaire
Limiter la conservation des données au strict nécessaire
Traitements de DCP
sensibles ou perçues
comme sensibles
Respecter le cadre légal relatif au T des DCP sensibles
Interdire/ réglementer le traitement des données relatives aux condamnations pénales et aux infractions
Limiter l’accès aux DCP aux seuls professionnels habilités
Interdire l’usage du NIR comme identifiant unique ?
Limiter l’accès et l’usage des données bancaires au strict nécessaire
Limiter l’accès aux données sur les difficultés sociales des personnes aux seules personnes habilitées
Réaliser des évaluations d’impact sur la vie privée des PC par les T de DCP sensibles.
Limiter l’usage des zones de commentaires a des informations d’ordre général
Respect des droits des PC
S’assurer que les mentions légales sont conformes aux obligations
Permettre aux PC d’exercer leurs droits :
• d’accès
• de rectification
• d’opposition
• à l’oubli
• à la limitation du T de leurs DCP
Notifier aux destinataires les modifications apportées aux DCP suite aux demandes des PC
Interdire/Réglementer le profilage ou les décisions individuelles automatisées d’une PC
Sécurité des DCP Appliquer les mesures de sécurité définies dans la Politique de Sécurité des SI (PSSI)
Violation de DCP
Formaliser la notification de violation de DCP
Communiquer à la personne concernée la violation de ses DCP
Renforcement de la culture
protection de la vie privée
Sensibiliser tous les agents à la culture « protection des DCP » Informatique et Libertés
Former les agents sur la mise en œuvre de la politique de protection des DCP
Evolution de la politique
Assurer une veille juridique et technologique sur le domaine informatique et libertés
Contrôler régulièrement la mise en œuvre des directives de la politique
Réviser régulièrement la politique

Remontée d’incident :
• Perte de Confidentialité DCP
• Perte d’Intégrité de DCP
• Perte de Disponibilité de DCP
• …
Le texte européen prévoit une notification à l’autorité de
contrôle dans les meilleurs délais et si possible dans les 72
heures au plus tard après en avoir pris connaissance.
Cette notification n’est pas ici cantonnée à un acteur en
particulier mais à tous les acteurs dès lors qu’une atteinte aux
DCP est intervenue.
• Description de la nature de la violation de DCP,
• Communication du nom et coordonnées du DPO,
• Description des conséquences probables de la violation,
• Description des mesures prises ou celles que le RT
propose de prendre.
Et l’article 34 du Règlement prévoit la communication à la PC
dans les meilleurs délais.
Cette disposition prévoit trois cas dans lesquels la
communication n’est pas nécessaire:
• Le RT a mis en place le chiffrement etc.
• Le RT a pris des mesures ultérieures garantissant le
respect des droits et libertés afin qu’une nouvelle violation
ne soit plus susceptible de se matérialiser,
• La communication exigerait des efforts disproportionnés.
Le Plan d’actions : Les mesures juridiques / La notification de violation de DCP

disposer d’une
organisation
permettant de
détecter et de traiter
les
événements
susceptibles
d’affecter les
libertés et la VP des
PC
Définir les rôles et
responsabilités ainsi que les
procédures de remontées
d’informations et de réaction, en
cas de violation de DCP.
Établir un annuaire des
personnes en charges de gérer
les violations de DCP.
Élaborer un plan de réaction en
cas de violation de DCP pour
chaque risque élevé, le tenir à
jour et le tester périodiquement.
Tester le plan au moins une fois
tous les deux ans.
Permettre de qualifier les
violations de DCP selon leur
impact sur les libertés et la
vie privée des PC
Tenir à jour un inventaire des violations de DCP.
Consigner le contexte des violations de DCP, leurs effets, les
mesures prises pour y remédier…
Étudier la possibilité d’améliorer
les mesures de sécurité en
fonction des violations de DCP
qui ont eu lieu
La notification des PC décrit au
minimum la nature de la
violation de DCP et les points
de contact auprès desquels des
informations supplémentaires
peuvent être obtenues
La notification faite à l’autorité
nationale compétente décrit les
conséquences de la violation
de DCP, et les mesures
proposées ou prises par le
fournisseur pour y remédier
Il est important d’être en
capacité de recueillir, conserver
et présenter des preuves
lorsqu’une action en justice est
engagée suite à un incident
Le Plan d’actions : Les mesures juridiques / La notification de violation de DCP

Le nom et les coordonnées du RT et, le cas échéant, du
responsable conjoint du traitement, du représentant du
responsable du traitement et du DPO
RT: Mr. Thierry RAMARD, 16 rue de Pont-à-Mousson, 57000 Metz.
DPO: Justine Bertaud, 16 rue de Pont-à-Mousson, 57000 Metz.
Les finalités du T
Gestion de clientèle, gestion du personnel, dispositif de vidéosurveillance
ayant pour finalité la sécurité des biens et des personnes, dispositif
biométrique reposant sur un stockage des gabarits en base mis en œuvre
pour contrôler l’accès aux locaux, appareils et applications informatiques
utilisés sur les lieux de travail.
Une description des catégories de PC et des catégories de DCP
Les salariés, les clients de l’entreprise etc.
Nom, prénom, date de naissance, adresse postale, adresse courriel, relevé
d’identité bancaire etc.
Les catégories de destinataires auxquels les DCP personnel
ont été ou seront communiquées, y compris les destinataires
dans des pays tiers ou des organisations internationales
Les personnes gérant la sécurité d’accès aux locaux, les personnes gérant
le restaurant d’entreprise, les personnes chargées de la gestion du
personnel (RH par ex.), les instances représentatives du personnel etc.
Les transferts de DCP vers un pays tiers ou à une organisation
internationale, y compris l’identification de ce pays tiers ou de
cette organisation internationale et, dans le cas des transferts
visés à l’art. 49, paragraphe 1, deuxième alinéa, les documents
attestant de l’existence de garanties appropriées.
Binding Corporate Rules (BCR), Clause contractuelle type (CCT), pays
assurant un niveau de protection suffisant.
Les délais prévus pour l’effacement des différentes catégories
de données
1 mois pour la vidéosurveillance, le temps de la période d’emploi de la
personne concernée (après possibilité d’archivage) etc.
Une description générale des mesures de sécurité techniques et
organisationnelles
Contrôle d’accès, habilitation, cloisonner les DCP, réduire les vulnérabilités
des logiciels, lutte contre les codes malveillants, chiffrer les DCP,
anonymiser les DCP, contrôler l’accès physique aux locaux, prévenir les
risques (incendie, inondation etc.) etc.
Le Plan d’actions : Les mesures juridiques / Le Registre

Situation
effective
Pratique
inexistante ou
incomplète et le
besoin n'est pas
reconnu.
Pratique de base
mises en œuvre de
manière informelle
et réactive à
qui estiment en
avoir besoin
Pratiques de base
mises en œuvre,
avec un
engagement
relatif de
l'organisme vis-à-
vis des PC
Processus défini,
décrit, adapté à
l'organisme,
compris par le
management et par
les exécutants
Processus
coordonné et
d'indicateurs
permettant de
corriger les
défauts constatés
6
Labellisation
Certification
5
Code de conduite
4
Contrôle des
mesures
juridiques
3
Respect des
droits de la PC
+
Relations avec
+
Contrats
2
Politique
Générale de
protection de la
VP
Organisation
Noti. Viol DCP
Registre1
Sensibilisation
DG
+
Directions
métiers
Le Plan d’actions : Les mesures juridiques / Le Respect des droits de la PC

Analyses et commentaires d’AGERIS Group
Le raccourcissement des délais de réponse impose de revoir les procédures internes pour respecter ce délai qui peut paraitre court.
Les modalités de réponse se précisent, il est important d’en tenir compte pour éviter tout litige avec la personne exerçant ses droits.
Concernant les informations complémentaires à fournir au moment de la collecte des DCP, il convient de revoir toutes les mentions légales
des formulaires papiers et numériques.
Enfin, concernant les informations à fournir aux PC souhaitant y accéder, il convient de revoir les procédures de conservation de toutes les
informations susceptibles d’être demandées.
La prise en compte de ces éléments dès la phase de conception d’un nouveau projet est nécessaire (voir chapitre relatif au « Privacy By
Design »)
Application le 25 mai 2018
Délai de réponse aux
demandes de droit des PC
1 mois (prolongation de deux mois compte tenu de la complexité et du nombre de demandes)
L’exercice des droits
Possibilité d’exercer ses droits par voie électronique (lorsque cela est possible et lorsque le RT les a collectées par
ce vecteur).
Les mentions
d’informations
13 mentions d’informations obligatoires lorsque les DCP ont été collectées directement auprès de la personne; 14
lorsqu’elles ont été collectées indirectement.
La réponse à une demande
au droit d’accès
9 mentions obligatoires à fournir
Nouveaux droits
Le droit à la portabilité de ses DCP
Le droit à la limitation du T.

1. La garantie de licéité des traitements
Objectif : S’engager à mettre en œuvre tous les moyens pour garantir
la licéité des T en conformité avec les obligations légales en vigueur
(art. 5 et 6 du Règlement n°2016/679).
Respect des droits de la PC
2. T de DCP sensibles ou perçues comme sensibles
Objectif : S’engager à appliquer des procédures et des moyens
spécifiques aux T des DCP sensibles ou perçues comme sensible afin
de limiter les risques pour les PC et de respecter les obligations légales
concernant leurs T .
3. Respect des droits des PC
Objectif : S’engager à informer les PC des droits dont elles disposent
légalement et à mettre en œuvre tous les moyens leur permettant de les
exercer.

Situation
effective
Pratique
inexistante ou
incomplète et le
besoin n'est pas
reconnu.
Pratique de base
mises en œuvre de
manière informelle
et réactive à
qui estiment en
avoir besoin
Pratiques de base
mises en œuvre,
avec un
engagement
relatif de
l'organisme vis-à-
vis des PC
Processus défini,
décrit, adapté à
l'organisme,
compris par le
management et par
les exécutants
Processus
coordonné et
d'indicateurs
permettant de
corriger les
défauts constatés
6
Labellisation
Certification
5
Code de conuite
4
Contrôle des
mesures
juridiques
3
Respect des
droits de la PC
+
Relations avec
+
Contrats
2
Politique
Générale de
protection de la
VP
Organisation
Noti. Viol DCP
Registre1
Sensibilisation
DG
+
Directions
métiers
Le Plan d’actions : Les mesures juridiques / Le Contrôle

Contrôle de
la
Commission
Des Déclarations
Du Registre
Du Bilan
Contrôle des
mesures
Les actions transverses
• L’organisation de protection de
la VP
• Le comité de suivi, validation
• La politique de protection de la
VP
• Les contrats avec le ST
• La communication de la
politique PDCP aux personnes
qui doivent l’appliquer.
• L’Intégration de la protection de
la VP dans les projets
• La supervision de la protection
de la VP
Sur les éléments
La Minimisation des DCP
La Gestion de la durée de conservation des DCP
Le respect des droits de la PC concernées
Le consentement des PC
L’exercice du droit d’opposition
L’exercice du droit d’accès direct
L’exercice du droit de rectification
Le Cloisonnement des DCP
Le Chiffrement des DCP
Pseudonynimisation des DCP
Sur les sources de
risques
L’éloignement des sources de risques
Le marquage des documents contenant des DCP
La gestion des personnes qui ont un accès légitime
Le contrôle de l’accès logique des personnes
La gestion des tiers qui ont un accès légitime aux DCP
La lutte contre les codes malveillants
Le contrôle de l’accès physique des personnes
La protection contre les sources de risques non humaines
Sur les supports
La réduction des vulnérabilités :
• des logiciels
• des matériels
• des canaux informatiques
• des personnes
• des documents papier
Sur les impacts
Sauvegarder les DCP
Protéger les archives de DCP
Contrôler l’intégrité des DCP
Tracer l’activité sur le SI
Gérer les violations de DCP
Contrôle des
PIA
Du contexte du PIA
Des mesures du PIA
De l’analyse des
risques
Des décisions
Le Plan d’actions : Les mesures juridiques / Le Contrôle

Situation
effective
Pratique
inexistante ou
incomplète et le
besoin n'est pas
reconnu.
Pratique de base
mises en œuvre de
manière informelle
et réactive à
qui estiment en
avoir besoin
Pratiques de base
mises en œuvre,
avec un
engagement
relatif de
l'organisme vis-à-
vis des PC
Processus défini,
décrit, adapté à
l'organisme,
compris par le
management et par
les exécutants
Processus
coordonné et
d'indicateurs
permettant de
corriger les
défauts constatés
6
Labellisation
Certification
5
Code de conduite
4
Contrôle des
mesures
juridiques
3
Respect des
droits de la PC
+
Relations avec
+
Contrats
2
Politique
Générale de
protection de la
VP
Organisation
Noti. Viol DCP
Registre1
Sensibilisation
DG
+
Directions
métiers
Le Plan d’actions : Les mesures juridiques / Code de conduite

Les associations (AFCDP, ADPL etc.) ou des organismes représentant des RT ou ST peuvent élaborer des Codes de conduite
Objectifs:
L’élaboration d’un Code de conduite a pour objectif d’encourager la bonne application du Règlement européen relatif à la
protection des DCP en prenant en compte la spécificité des différents secteurs de T et des besoins spécifiques des micro,
petites et moyennes entreprises.
Ce que doit contenir le Code:
le traitement loyal et transparent;
• les intérêts légitimes poursuivis par les RT dans les contextes spécifiques;
• la collecte des DCP; la pseudonymisation des DCP;
• les informations communiquées au public et aux personnes concernées;
• l’exercice des droits des personnes concernées;
• les informations communiquées aux enfants et la protection dont bénéficient les enfants;
• les mesures et les procédures concernant la sécurité du traitement;
• la notification aux autorités de contrôle des violations de DCP; le transfert de DCP vers des pays tiers;
• les procédures extrajudiciaires et autres procédures de règlement des litiges
Une fois que le Code de conduite est approuvé par l’autorité de contrôle, celle-ci l’enregistre et le publie.
La réalisation de Codes de conduite
Le Plan d’actions : Les mesures juridiques / Le Code de conduite

Situation
effective
Pratique
inexistante ou
incomplète et le
besoin n'est pas
reconnu.
Pratique de base
mises en œuvre de
manière informelle
et réactive à
qui estiment en
avoir besoin
Pratiques de base
mises en œuvre,
avec un
engagement
relatif de
l'organisme vis-à-
vis des PC
Processus défini,
décrit, adapté à
l'organisme,
compris par le
management et par
les exécutants
Processus
coordonné et
d'indicateurs
permettant de
corriger les
défauts constatés
6
Labellisation
Certification
5
Code de conduite
4
Contrôle des
mesures
juridiques
3
Respect des
droits de la PC
+
Relations avec
+
Contrats
2
Politique
Générale de
protection de la
VP
Organisation
Noti. Viol DCP
Registre1
Sensibilisation
DG
+
Directions
métiers
Le Plan d’actions : Les mesures juridiques / Labellisation Certification

L'idée de base est la capacité à s'appuyer sur un tiers pour considérer qu'une partie des ressources du SI (hébergeant des DCP)
que l'on met en œuvre répond à des exigences de sécurité à notre convenance;
• Je (ou une instance extérieure) définis des objectifs de sécurité, des moyens de les vérifier et des niveaux d'assurance de
l'atteinte de ces objectifs;
• Des composantes sont réalisées avec un objectif de conformité à ces définitions
• Des tiers en lesquels j'ai "confiance" garantissent cette conformité
• Intérêts direct :
• Ne pas avoir à analyser soi-même la façon dont la sécurité est assurée au sein d'une des composantes
• Technique d'interfaçage avec des composants achetés
• Technique d'interfaçage entre partie d'un SI (par exemple entre filiales d'un groupe ou entre partenaires commerciaux)
• Mécanique permettant de coopérer sans avoir à "inspecter" l'autre
• Intérêt indirect :
• Formalisme utilisable éventuellement de façon privée
• Écueils :
• Nécessité de formaliser les règles
• Nécessité de mettre en place des diapositifs récurrents d’audit et contrôles
Le Plan d’actions : Les mesures juridiques / La Certification

Exigences relatives à
la politique de protection des DCP
Exigences relatives au DPO
Exigences relatives à
l’analyse de la conformité
Exigences relatives au
contrôle de la conformité
dans le temps
Exigences relatives à la
gestion des réclamations
et à l’exercice du droit des
PC
journalisation des
évènements de sécurité
gestion des violations de
DCP
formation
Le Plan d’actions : Les mesures juridiques / La Labellisation / Certification

Devenir organisme de certification
Comment ?
Il faut obtenir un agrément de la part de l’autorité de contrôle de son Etat ou par un organisme national d’accréditation
désigné.
Pour cela, il faut prouver que les tâches et les missions n’entrainent pas de conflits d’intérêts;
Prouver son expertise en matière de protection des DCP;
Le respect de certains critères,
La mise en place de procédures en vue de la délivrance, de l’examen périodique et du retrait d’une certification, de labels
et de marques pour traiter les violations de la certification ou la manière dont la certification a été appliquée par un RT ou
un ST.
Quels pouvoirs ?
Délivrer ou retirer une certification initialement délivrée à une entreprise.
Les organismes de certification doivent communiquer à l’autorité de contrôle les raisons de la délivrance ou du retrait de
la certification à l’entreprise
Durée 5 ans
Comment devenir organisme de certification ?
Le Plan d’actions : Les mesures juridiques / La Certification

Situation
effective
Pratique
inexistante ou
incomplète et le
besoin n'est pas
reconnu.
Pratique de base
mises en œuvre
de manière
informelle et
réactive à
l'initiative de
ceux qui estiment
en avoir besoin
Pratiques de base
mises en œuvre,
avec un
engagement
relatif de
l'organisme vis-à-
vis des PC
Processus défini,
décrit, adapté à
l'organisme,
compris par le
management et
par les
exécutants
Processus
coordonné et
d'indicateurs
permettant de
corriger les
défauts constatés
6
Produits certifiés
5
4
Ctl des mesures
techniques
3
EIVP
Security by
design
+
PAS
2
Organisation
Security by default
1
Sensibilisation
Le Plan d’actions : Les mesures organisationnelles et techniques

1. Participer à la
sensibilisation
du personnel
8.La manipulation
des outils supportant
des DCP
2.Identifier les T
Evaluer la sensibilité
des DCP au DPO
Exprimer les
évènements redoutés
Participer au PIA
7.La manipulation
des DCP, documents
3.Habilitation et choix
des personnes
affectées aux taches
sensibles sur les T de
DCP
6. Comportements
généraux à
l’intérieur et à
l’extérieur des
établissements
4.Identification et
gestion des
personnels
stratégiques traitant
les DCP
5. Management de la
conformité et
sécurité lors de
sous-traitance
9.Contrôle
Le Plan d’actions : Les mesures organisationnelles et techniques / La sensibilisation

Situation
effective
Pratique
inexistante ou
incomplète et le
besoin n'est pas
reconnu.
Pratique de base
mises en œuvre
de manière
informelle et
réactive à
l'initiative de
ceux qui estiment
en avoir besoin
Pratiques de base
mises en œuvre,
avec un
engagement
relatif de
l'organisme vis-à-
vis des PC
Processus défini,
décrit, adapté à
l'organisme,
compris par le
management et
par les
exécutants
Processus
coordonné et
d'indicateurs
permettant de
corriger les
défauts constatés
6
Produits certifiés
5
4
Ctl des mesures
techniques
3
EIVP
Security by
design
+
PAS
2
Organisation
Security by default
1
Sensibilisation
Le Plan d’actions : Les mesures organisationnelles et techniques / Politique de sécurité

Le renforcement de la sécurité
La mise en œuvre de politiques :
• Les règles fonctionnelles et organisationnelles structurant la
protection des DCP
• L’engagement de la direction et les responsabilités métiers,, DSI, SSI
• Les enjeux, responsabilités et missions de la SSI / PDCP
Plans de Sécurité
Guides et manuels
Chartes utilisateurs
Procédures
• La mise en œuvre architecturale des règles fonctionnelles et la
définition des procédures , consignes et règles de sécurité
opérationnelles et de management
Politique de
Sécurité Système d’Information
Charte éthique pour la sécurité de
l’information et la protection de la VP
Politique générale de sécurité de l’information
Protection des DCP
Directives protection des DCP
Le Plan d’actions : Les mesures organisationnelles et techniques / Politique de sécurité

Article 27 Représentants des RT des ST qui ne sont pas établis dans l'Union
Lorsque l'article 3, paragraphe 2, s'applique, le RT ou le ST désigne par écrit un représentant dans l'Union.
Le représentant est établi dans un des États membres dans lesquels se trouvent les personnes physiques dont les DCP font l'objet d'un T lié à
l'offre de biens ou de services, ou dont le comportement fait l'objet d'un suivi.
Le représentant est mandaté par le RT ou le ST pour être la personne à qui, notamment, les autorités de contrôle et les PC doivent s'adresser,
en plus ou à la place du RT ou du ST, pour toutes les questions relatives au traitement, aux fins d'assurer le respect du présent règlement.
5La désignation d'un représentant par le RT ou le ST est sans préjudice d'actions en justice qui pourraient être intentées contre le RT ou le ST .
Le Plan d’actions : Les mesures organisationnelles et techniques : le Représentant

Informer
Conseiller
le RT / ST
dans la MEO
des T
Registre ?
Contrôler le
respect
Conseil pour
l’EIVP
Pont de
contact
Coopère avec
l’AC
Le Plan d’actions : Les mesures organisationnelles et techniques : le DPO

L’organisation
Voie
Hiérarchique
Voie
Fonctionnelle
Protection des
DCP
Voie
Fonctionnelle
SSI
Comité de pilotage et suivi PDCP
Managers
Relais
Direction Générale
Le Plan d’actions : Les mesures organisationnelles et techniques : le DPO

• Dès que l’on sort de l’étape « best practices auto justifiées-sécurité informatique / by default » sous
responsabilité des maîtrises d’œuvre (et que l’on cherche l’adhésion des métiers,) les besoins de sécurité
classifiés doivent être à l’origine de la formalisation des exigences de sécurité adaptées, (règles, obligations
et interdits).
• Or ces exigences de sécurité (règles, obligations et interdits) sont susceptibles d’être ressentis comme des
contraintes allant à l’encontre d’objectifs de productivité du métier
• Certaines interdictions ou obligations techniques ou comportementales brident les services que
veulent mettre en œuvre certaines directions de projet
• La prise en compte native de la sécurité dans les projets est identifiée comme un facteur potentiel de
ralentissement
• Dans tous les cas il y a plusieurs divergences d’analyse potentielles :
• Entre la maitrise d’ouvrage et le DPO
• Entre la maîtrise d’ouvrage en charge du projet et la maîtrise d’œuvre
• Entre la maîtrise d’ouvrage , la maîtrise d’œuvre d’une part et la SSI d’autre part
• Entre la maîtrise d’œuvre et la SSI
• Entre le DPO et le RSSI
L’arbitre ne pourra se prononcer avec raison que si les mesures « divergence « peuvent être adossées à des besoins, des
enjeux ou a MINIMA À DES RISQUES
Besoin d’arbitrage Arbitre
Entre la maîtrise d’ouvrage en charge du projet et la maîtrise d’œuvre Direction / Comité de pilotage /
Entre la MOA, la Maitrise d’œuvre d’une part et la SSI / DPO d’autre part
Direction / Comité de pilotage
Entre SSI et DSI
Direction / Comité de pilotage
Validation / Homologation RT
Le Plan d’actions : Les mesures organisationnelles et techniques / Le Comité de validation

Contexte
Evènements
redoutés
Menaces
Risques
Mesures
Un « risque accepté » est caractérisé par la conjonction des 3 éléments suivants :
1. connaissance de l’existence d’un risque associé à une défaillance de sécurité
par les décideurs métiers;
2. mesure du risque par les intervenants autorisés, en fonction d’un référentiel
(critères, calcul et seuils d’impact, etc.) opposable ;
3. arbitrage et autorisation d’assumer les conséquences du risque, en tenant
compte des mesures de réduction, selon les principes de délégation en
vigueur.
L’instance de décision locale désignée par le RT doit réunir toutes les parties
prenantes (un représentant de la direction, les représentants Métier ou leur maîtrise
d’ouvrage, les dépositaires des ressources, les tiers subissant des impacts
collatéraux…) afin d’évaluer le risque dans son ensemble.
Risques Résiduels
Validation ?
Le Plan d’actions : Les mesures organisationnelles et techniques / Le Comité de validation

• La pseudonymisation et le chiffrement des données à caractère personnel;
• des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des
systèmes et des services de traitement;
• des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des
délais appropriés en cas d'incident physique ou technique;
• une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et
organisationnelles pour assurer la sécurité du traitement.
Le Plan d’actions : Les mesures organisationnelles et techniques / Security by default

Objectif : faire perdre le caractère identifiant des données à caractère personnel (DCP).
Une « véritable » anonymisation implique nécessairement une perte (irréversible) d’information. Dans certains cas, le simple fait d’effacer
ou de noircir une partie des données peut suffire à atteindre l’objectif souhaité.
La « pseudonymisation » peut être définie comme le remplacement d'un nom par un pseudonyme. C’est le processus par
lequel les DCP perdent leur caractère identifiant (de manière directe).
Les DCP restent liées à la même personne dans tous les dossiers et systèmes informatiques sans que l’identité ne soit révélée.
Elle peut être opérée avec ou sans la possibilité de retour vers les noms ou identités (pseudonymisation réversible ou
irréversible).
Recommandations : supprimer une partie suffisante des DCP
Si ce n’est pas possible, déterminer les solutions qui satisfont le mieux possible les besoins fonctionnels.
Recommandations : s’il est nécessaire que des personnes habilitées puissent vérifier que des données pseudonymisées correspondent à
des données originales qu’ils ont en leur possession, pratiquer une double pseudonymisation avec deux clés secrètes détenues par deux
organismes différents ;
Utiliser uniquement des DCP pseudonymisées ou des données fictives pour les phases de développement et de test.
Dans certains cas, il est conseillé d’appliquer une double pseudonymisation : c’est l’application d’une seconde fonction de
pseudonymisation sur la donnée pseudonymisée au moyen de la première fonction de pseudonymisation .
Ces deux fonctions doivent utiliser des secrets différents qui sont détenus par des organismes distincts.
Le Plan d’actions : Les mesures organisationnelles et techniques / Security by default /

WEB
public
DMZ
DMZ
DMZ
Applicatif
Métier
stratégique
Poste de travail
Composant d’intendance
(administration et sécurité)
Deuxième niveau
de Firewall
Premier niveau
de Firewall
Le risque est donc de
se perméabiliser :
. De l’intérieur,
si les sas applicatif ne
sont
pas à jour,
si les postes de travail ne
sont pas à jour et ne
respectent pas les règles
d’implémentation,
si les administrateurs et
utilisateurs ne respectent
pas ces règles.
. De l’extérieur,
si les Firewall ne sont
pas à jour.
Le Plan d’actions : Les mesures organisationnelles et techniques / EIVP /Security by default / la sécurité périphérique

Situation
effective
Pratique
inexistante ou
incomplète et le
besoin n'est pas
reconnu.
Pratique de base
mises en œuvre
de manière
informelle et
réactive à
l'initiative de
ceux qui estiment
en avoir besoin
Pratiques de base
mises en œuvre,
avec un
engagement
relatif de
l'organisme vis-à-
vis des PC
Processus défini,
décrit, adapté à
l'organisme,
compris par le
management et
par les
exécutants
Processus
coordonné et
d'indicateurs
permettant de
corriger les
défauts constatés
6
Produits certifiés
5
4
Ctl des mesures
techniques
3
EIVP
Security by
design
+
PAS
2
Security by default
1
Sensibilisation
Le Plan d’actions : Les mesures organisationnelles et techniques / EIVP /Security by design

Etapes de la méthode
Maîtrise
d’Ouvrage
Maîtrise
d’Œuvre
1.1. Description générale
Approuve
Consultée
Informée
Réalise
Informé1.2. Description détaillée
2.1. Mesures de nature juridique
2.2. Mesures traitant les risques Consulté
3.2. Événements redoutés
Réalise3.3. Menaces
Consultée
3.4. Risques
4.1. Évaluation Réalise
Informé
4.2 Objectifs Consultée
4.3 Plan d’actions Réalise Consulté
4.4 Validation formelle Réalise Informées Consulté Informé
Le Plan d’actions : Les mesures organisationnelles et techniques / EIVP /Security by design

Accès illégitime aux DCP
Impacts corporels
Impacts matériels
Impacts moraux
Modification non désirée des
DCP
Impacts corporels
Impacts matériels
Impacts moraux
Disparition des DCP
Impacts corporels
Impacts matériels
Impacts moraux
Le Plan d’actions : Les mesures organisationnelles et techniques / EIVP /Security by design / Etude d’impact

Menaces
Sources
humaines
internes
agissant accidentellement
agissant de manière
délibérée
Sources
humaines
externes
agissant accidentellement
agissant de manière
délibérée
Sources
non
humaines
internes
externes
Vraisemblance
Vraisemblance
Vraisemblance
Événements redoutés
Accès illégitime aux
DCP
Modification non
désirée des DCP
Disparition des DCP
Vulnérabilités
Matériels
Logiciels
Canaux
informatiques
Personnes
Documents papier
Canaux papier
Le Plan d’actions : Les mesures organisationnelles et techniques / EIVP /Security by design / Evaluation de la vraisemblance

Gravité
4. Maximal
3. Important
2. Limitée
1. Négligeable
Cartographie des risques
1. Négligeable 2. Limitée 3. Important 4. Maximal
Vraisemblance
Accès
illégitime
aux DCP
Un schéma tel que ci-dessous peut être utilisé pour présenter la cartographie des risques
Accès
illégitime
aux DCP
Le Plan d’actions : Les mesures organisationnelles et techniques / EIVP /Security by design / Evaluation du n) du risque

4. Décision
4.1 Evaluation
Non Oui
4.2 Objectifs 4.3 Plan d’actions
4.4 Validation
Fin d’Etude d’impact sur la vie privée
Décision : la validation de l’étude d’impact sur la vie privée
L’Objectif est de décider d’accepter ou non la manière dont l’étude a été gérée et les risques résiduels.
Source : – CNIL http://www.cnil.fr
Le Plan d’actions : Les mesures organisationnelles et techniques / EIVP /Security by design / la validation

Appliquer les principes de défense en profondeur à l’architecture matérielle et logicielle des centres informatiques.
La sécurisation d’une architecture doit être assurée mais de façon distribuée, tout au long de la chaîne de liaison, en
prenant en compte l’ensemble des composants de l’architecture (réseau, système, applicatif)
Le principe de défense en profondeur doit être respecté, en particulier par la mise en œuvre successive de « zones
démilitarisées » (DMZ), d’environnements de sécurité en zone d’hébergement, de machines virtuelles ou physiques
dédiées, de réseaux locaux virtuels (VLAN) appropriés, d’un filtrage strict des flux applicatifs et d’administration.
Les premiers niveaux de défense protègent les ressources de niveaux inférieurs contre les attaques à large spectre
Les niveaux inférieurs assurent la protection contre les attaques ciblées sur un objectif précis
Le Plan d’actions : Les mesures organisationnelles et techniques / EIVP /Security by
design / la sécurité en profondeur

Le Plan d’Assurance Sécurité est un document contractuel décrivant l’ensemble des
dispositions spécifiques mises en œuvre pour garantir le respect des exigences de sécurité du
donneur d’ordre, le RT .
Il doit être annexé au contrat
Le Plan d’actions : Les mesures organisationnelles et techniques / le PAS

N° d’exigences
N°
Maturité
Localisation
DCP
Santé
Non
sensibles
Certifié
ou
Agrée
Non
Certifié
Agréé
Non
Certifié
Agréé
Certifié
Non
certifié
Non
certifié
Territoire
national
Territoire
national
Interdit par
la France
Territoire
national
Territoire
national
En dehors
de l’UE
PAS
++++
PAS
+++++
PAS
++++++
PAS
+
PAS
++
PAS
+++
Le Plan d’actions : Les mesures organisationnelles et techniques / le PAS

Situation
effective
Pratique
inexistante ou
incomplète et le
besoin n'est pas
reconnu.
Pratique de base
mises en œuvre
de manière
informelle et
réactive à
l'initiative de
ceux qui estiment
en avoir besoin
Pratiques de base
mises en œuvre,
avec un
engagement
relatif de
l'organisme vis-à-
vis des PC
Processus défini,
décrit, adapté à
l'organisme,
compris par le
management et
par les
exécutants
Processus
coordonné et
d'indicateurs
permettant de
corriger les
défauts constatés
6
Produits certifiés
5
4
Ctl des mesures
techniques
3
EIVP
Security by
design
+
PAS
2
Security by default
1
Sensibilisation
Le Plan d’actions : Les mesures organisationnelles et techniques / Contrôle des mesures techniques

Situation
effective
Pratique
inexistante ou
incomplète et le
besoin n'est pas
reconnu.
Pratique de base
mises en œuvre
de manière
informelle et
réactive à
l'initiative de
ceux qui estiment
en avoir besoin
Pratiques de base
mises en œuvre,
avec un
engagement
relatif de
l'organisme vis-à-
vis des PC
Processus défini,
décrit, adapté à
l'organisme,
compris par le
management et
par les
exécutants
Processus
coordonné et
d'indicateurs
permettant de
corriger les
défauts constatés
6
Produits certifiés
5
4
Ctl des mesures
techniques
3
EIVP
Security by
design
+
PAS
2
Security by default
1
Sensibilisation

Pourquoi mettre en œuvre un Système de Management de Sécurité des DCP ?
Pour protéger, dans la durée, les DCP et les systèmes d’information qui les hébergent
Pour renforcer la confiance (vis-à-vis PC /des clients / usagers et des fournisseurs ou en interne).
Pour améliorer les processus et l’organisation interne en matière de protection de DCP
Un SMSI – Système de Management de la Sécurité de l’Information est un ensemble d’éléments interactifs permettant à un
organisme d’établir une politique et des objectifs en matière de sécurité de l’information, d’appliquer la politique, d’atteindre ces
objectifs et de contrôler l’atteinte de ces objectifs.
Le SMSI est établi, documenté, mis en œuvre et entretenu. Son efficacité est mesurée par rapport aux objectifs de l’entité, et cette
mesure permet d’améliorer en permanence le SMSI.
Le SMSI est cohérent avec les autres systèmes de management de l’entité, notamment avec les systèmes de management de la
qualité, de la sécurité des conditions de travail, et de l’environnement.
L’existence d’un SMSI dans l’organisme permet de renforcer la confiance dans le mode de gestion de la sécurité de
l’information »

Situation
effective
Pratique
inexistante ou
incomplète et le
besoin n'est pas
reconnu.
Pratique de base
mises en œuvre
de manière
informelle et
réactive à
l'initiative de
ceux qui estiment
en avoir besoin
Pratiques de base
mises en œuvre,
avec un
engagement
relatif de
l'organisme vis-à-
vis des PC
Processus défini,
décrit, adapté à
l'organisme,
compris par le
management et
par les
exécutants
Processus
coordonné et
d'indicateurs
permettant de
corriger les
défauts constatés
6
Produits certifiés
5
4
Ctl des mesures
techniques
3
EIVP
Security by
design
+
PAS
2
Security by default
1
Sensibilisation

La certification permet d’attester par une tierce partie indépendante et impartiale qu’un produit atteint, à un instant donné, un
niveau de sécurité représenté par les services de sécurité qu’il offre et sa résistance à un niveau d’attaques donné : en
France, quel que soit le type d’évaluation, la certification s’appuie systématiquement, outre des vérifications de conformité,
sur des tests d’intrusion pour déterminer le niveau de sécurité réellement atteint par le produit.
La certification permet de répondre principalement à trois types d’objectifs.
1. Il peut s’agir d’objectifs règlementaires, tels que l’application de Règlements ou de directives européennes ou
nationales.
2. L’objectif peut être aussi contractuel, au travers de donneurs d’ordres publics ou privés qui exigent contractuellement
la certification de produits avant leur usage.
3. Enfin des entreprises peuvent souhaiter se démarquer en certifiant leurs produits (objectif commercial).
Le Plan d’actions : Les mesures organisationnelles et techniques / les produits certifiés

La mise en conformité au règlement européen est imposé dans un délai court fin mai 2018) :
il convient de démarrer dans les meilleurs délais la démarche de mise en conformité
La démarche :
• Doit être adaptée au niveau de maturité de l’organisme : une approche progressive par palier doit être mise en oeuvre
• Doit impliquer la direction générale de l’organisme pour qu’elle impose la démarche
• Doit aborder des aspects « juridiques » et « techniques »
• Nécessite de formaliser des documents (politiques, procédures, …) puis de les mettre en apllication
• Nécessite de désigner un chef de projet pour mener à bien tous les chantiers
Le délai de mise en conformité est fixé à fin mai 2018 : ce délai est court.
Il convient de mettre en œuvre un plan d’actions permettant d’atteindre cet objectif dans les meilleurs délais :
2017 est une année importante pour la mise en conformité
Plan d’actions : Conclusion

Plan d'action GDPR Luxembourg Ageris Halian

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

Similaire à Plan d'action GDPR Luxembourg Ageris Halian

Similaire à Plan d'action GDPR Luxembourg Ageris Halian (20)

Plan d'action GDPR Luxembourg Ageris Halian