Le dossier GDPR

1. Gestion pratique d’implémentation: le dossier RGPD = boite à outils J a c q u e s F o l o n , P h . D . P r o f . I C H E C M e . C o n f . U n i v. L i è g e P r o f i n v i t é U n i v. s a i n t L o u i s C o - f o u n d e r g d p r f o l d e r. e u J a c q u e s @ g d p r f o l d e r. e u

2. Exercice introductif Imaginez que l’APD vous annonce sa visite suite à une plainte. Comment et que préparez-vous?

3. Vous devez être capable de démontrer que vous êtes en règle par rapport au RGPD!

4. 1 8 / 0 2 / 2 0 1 9 4

5. Méthodologie pratique 1 8 / 0 2 / 2 0 1 9 5

6. B. LE GDPR C'EST (PAS BEAUCOUP) DU DROIT DROIT CONTRAT SOUS-TRAITANTS PRIVACY POLICIES RH (CONFIDENTIALITÉ-CODE DE CONDUITE) INFORMATIQUE PRIVACY BY DESIGN/DEFAULT SECURITE DE L'INFORMATION IAM CODE DE CONDUITE ICT DOCUMENTATION DES PROGRAMMES DROIT D'ACCES DROIT A L'OUBLI CC81 ORGANISATION ANALYSE DE RISQUES ARCHIVAGE DIGITAL GESTION DE PROJET CHANGE MANAGEMENT REGISTRE DE TRAITEMENT COMMUNICATION DE CRISE (DATA BREACH) FORMATION

7. 1 8 / 0 2 / 2 0 1 9 7

8. Il n’existe pas de certification GDPR NI DPO

9. Il n’existe pas de certification GDPR NI DPO

10. 1. Le but: le dossier GDPR 2. DPO or not DPO? 3. Les décisions de la direction 4. La partie visible d’abord 5. La partie risquée d’abord 6. Je ne veux pas être sous-traitant 7. Les DB existantes 8. Les droits des personnes 9. Les mesures techniques 10. Les mesures organisationnelles 11. Les RH 12. Les DPIA 13. Le registre 14. Le Dossier RGPD

11. But à atteindre : avoir un dossier complet Obligation de moyen

12. On va le construire ensemble ! Il ne sera jamais fini !

14. Jacques Folon - 2019

15. 4 missions différentes !! GDPR Sécurité de l’information Conseil Data Privacy Officer (DPO) Information Security Advisor (ISA) Mise en œuvre Chef de projet GDPR ou correspondant GDPR dans les divers départements Responsable de la sécurité des systèmes d’information (RSSI)

16. • Soutien de la direction • Description de fonction • Certification ? • Plan d’actions • Chef de projet • Correspondants RGPD • Avis et recommandations à la direction • Rapport annuel (Analyse-bilan-plan) • KPI • Et s’il n’y a pas de DPO => personne en charge

17. Pour convaincre la direction: LE GDPR CA PEUT ETRE POSITIF MEILLEURE CONNAISSANCE DES PROCESSUS INTERNES

20. • Le DPO ne décide pas ! • Décisions à prendre • Acter les décisions • Quid en cas de désaccord? • Exemples de décisions

22. La partie visible c’est notamment les sites internet • Consentement • Contrat • Intérêt légitime • Privacy policy • Cookies1 8 / 0 2 / 1 9

23. CONSENTEMENT ET PREUVE NOT ONLY CONTRAT INTÉRÊT LÉGITIME CONSENTEMENT

25. CONSENTEMENT ET PREUVE

26. PRIVACY POLICY OR REGULATION OR …

27. INTÉRÊT LEGITIME ?

28. CONSIDÉRANT 47 . Les intérêts légitimes d'un responsable du traitement, y compris ceux d'un responsable du traitement à qui les données à caractère personnel peuvent être communiquées, ou d'un tiers peuvent constituer une base juridique pour le traitement, à moins que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent, compte tenu des attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable du traitement. Un tel intérêt légitime pourrait, par exemple, exister lorsqu'il existe une relation pertinente et appropriée entre la personne concernée et le responsable du traitement dans des situations telles que celles où la personne concernée est un client du responsable du traitement ou est à son service. En tout état de cause, l'existence d'un intérêt légitime devrait faire l'objet d'une évaluation attentive, notamment afin de déterminer si une personne concernée peut raisonnablement s'attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l'objet d'un traitement à une fin donnée. Les intérêts et droits fondamentaux de la personne concernée pourraient, en particulier, prévaloir sur l'intérêt du responsable du traitement lorsque des données à caractère personnel sont traitées dans des circonstances où les personnes concernées ne s'attendent raisonnablement pas à un traitement ultérieur.

29. • Le site Internet • Double opt-in • Conservation des accords (contrat, consentement) • Cookies • Marketing digital • La collecte des données papier • Bulletins d’inscriptions • Privacy policies (plusieurs !!!)

30. Cookies

35. • Données sensibles • RH • Secrets d’affaires • Identifier les départements à risques • On commence par sécuriser les worst case • Procédure en cas de vol/perte • Documentez les incidents • Anticipez les incidents

36. 1 8 / 0 2 / 1 9

38. Vous avez des sous-traitants ? Vous êtes sous-traitant? Comment ne pas être sous-traitant? Comment minimiser les risques?

40. • Inventaire • Responsable opérationnel • Shadow IT • « Légalisation » des bases de données existantes • Mise en conformité • Quantité vs qualité • Que met-on dans le dossier RGPD?

43. Imaginez une demande Que fait-on ? Qui contacter? Comment répondre? Qui répond? Est-on certain de répondre en un mois?

44. PROTÉGEZ LES DONNÉES DE VOS CLIENTS ET MONTREZ LEUR QUE VOUS LE FAITES 4 4 TRANSPARENCE INFORMATIONS LORS DE LA COLLECTE DROIT D'ACCES DROIT DE RECTIFICATION DROIT A L'EFFACEMENT DROIT A LA LIMITATION DU TRAITEMENT PORTABILITE DROIT D'OPPOSITION AU PROFILAGE

45. RIGHT TO ACCESS

46. DROIT A L'OUBLI, VRAIMENT ?

48. • Certification? • Plan de sécurité? • Analyse de risques • Il faut une référence • Voir DPIA CNIL • Déclaration vs. Réalité • IAM ?

49. 1 8 / 0 2 / 1 9

50. • Privacy by design? • Il faut documenter ! • Comment faire? • Comment le démontrer? • Comment convaincre les développeurs?

51. PRIVACY BY DESIGN ??

53. NO THERE ARE SOME BENEFITS

54. IT IS AN INVESTMENT IN ORDER TO MINIMIZE FUTURE RISKS

55. WHAT DOES IT MEANS ? IT IS FROM THE START TO THE END OF THE PROCESS

56. BUT DON'T FORGET… IT'S AN ITERATIVE PROCESS

57. DATA QUALITY IS ESSENTIAL

58. Privacy by design & information lifecycle • Privacy by design is key in various essential phases of the information lifecycle u building new IT systems for storing or accessing personal data; developing policies or strategies that have privacy implications; u embarking on a data sharing initiative; using data for new purposes.

59. INFORMATION LIFECYCLE

60. Look at the entire data lifecycle

61. 1.CREATE OR

62. BALANCE TEST NEEDED

63. PRIVACY POLICY OR REGULATION OR …

64. CONSENT & EVIDENCES

65. No proven consent or regulation means…

66. SENSITIVE DATA IF THENOR

67. PRIVACY IMPACT ASSESMENT

69. 2.STORE • SECURITY • ENCRYPTION • AUTHENTICATION • AVAILABILITY • CONFIDENTIALITY • IAM

70. 3. USE

71. 4. SHARE

72. 4. SHARE

73. 5.ARCHIVE

74. 6. DESTROY

75. Final tips

76. Final tips

77. Some IBM advices

78. Customer identity

79. SSO + IAM

80. Encryption + in transit encryption !

81. Mobile device management

82. Processors & subcontractors

83. Monitor discrepancies

84. Could you detect data leaks?

85. Limit retention

86. Last words

87. Identity Access Management (GESTION DES ACCÈS) 8 7

88. 8 8 Quelles sont les questions à se poser?? • Les personnes sont-elles ce qu’elles disent être?? • Sont-elles des membres réels de notre communauté ? • Ont-elles reçu les autorisations nécessaires ? • Le respect de leurs données personnelles est-il mis en place?

89. 8 9 Exemples de questions • Quel mot type de mot de passe donner? • Quelles sont les activités autorisées? • Quelles sont les activités interdites? • A quelle catégorie de personne cette nouvelle identité doit-elle être attachée? • A quel moment du processus d’entrée les autorisations doivent-elles être données? • Quelles modalités de contrôle sont mises en place? • Peut-on prouver tout cela à un auditeur ? • Quid de l’e-discovery?

91. LE MAILLON FAIBLE…

92. • Il y en a aussi dans la 27002 • Inventaire physique • RH • Formation • Charte informatique • Clauses de confidentialité • …

93. COMMUNICATION DE CRISE 9 3

94. • le registre des incidents les décisions de la direction les raisons des choix les transferts à l’APD Le non transfert les droits d’accès …

96. • Un bon partenaire • Principe de transparence • CC 81 • Clauses de confidentialité • Charte informatique • Quid des syndicats? • Données sensibles

98. • Outil de la CNIL • Comment faire? • Qui autour de la table? • On commence par quoi? • Actualisation?

100. 9/ REGISTRE DES TRAITEMENTS 1 0 0

102. • Quel format choisir? • Comment faire? • Anticiper les simultanéités • Log de non-conformité • Méthode de classement • Il faut retrouver les preuves!

104. PRINCIPALE TÂCHE DO-CU-MEN-TA-TION

105. 105 COMMENT DÉMONTRER QU’ON EST EN RÈGLE? COMMENT RASSURER SES CLIENTS

106. Dossier GDPR

107. https://gdprfolder.eu © 2018 GDPRFOLDER.EU SPRL All Rights Reserved. 02 03 04 05 01 NOUVELLES LOIS NATIONALES JURISPRUDENCE NATIONALE ET EUROPÉENNE NOUVELLES PROCÉDURES ADLINISTRATIVES RECOMMANDATIONS DES AUTORITÉS DE PROTECTION DES DONNÉES NOUVELLES DIRECTIVES EUROPÉENNES Mises à jour permanentes Le GDPR n’en finit pas d’évoluer !

108. CONCLUSION

109. BONNE CHANCE A TOUS

110. JUST DO IT

Le dossier GDPR

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

Similaire à Le dossier GDPR

Similaire à Le dossier GDPR (20)

Plus de Prof. Jacques Folon (Ph.D)

Plus de Prof. Jacques Folon (Ph.D) (20)

Dernier

Dernier (13)

Le dossier GDPR