GHASSOUB _Seance 3_ measurement and evaluation in education.pptx
Le dossier GDPR
1. Gestion pratique d’implémentation:
le dossier RGPD = boite à outils
J a c q u e s F o l o n , P h . D .
P r o f . I C H E C
M e . C o n f . U n i v. L i è g e
P r o f i n v i t é U n i v. s a i n t L o u i s
C o - f o u n d e r g d p r f o l d e r. e u
J a c q u e s @ g d p r f o l d e r. e u
6. B. LE GDPR C'EST (PAS BEAUCOUP) DU DROIT
DROIT
CONTRAT SOUS-TRAITANTS
PRIVACY POLICIES
RH (CONFIDENTIALITÉ-CODE DE CONDUITE)
INFORMATIQUE
PRIVACY BY DESIGN/DEFAULT
SECURITE DE L'INFORMATION
IAM
CODE DE CONDUITE ICT
DOCUMENTATION DES PROGRAMMES
DROIT D'ACCES
DROIT A L'OUBLI
CC81
ORGANISATION
ANALYSE DE RISQUES
ARCHIVAGE DIGITAL
GESTION DE PROJET
CHANGE MANAGEMENT
REGISTRE DE TRAITEMENT
COMMUNICATION DE CRISE (DATA BREACH)
FORMATION
10. 1. Le but: le dossier GDPR
2. DPO or not DPO?
3. Les décisions de la direction
4. La partie visible d’abord
5. La partie risquée d’abord
6. Je ne veux pas être sous-traitant
7. Les DB existantes
8. Les droits des personnes
9. Les mesures techniques
10. Les mesures organisationnelles
11. Les RH
12. Les DPIA
13. Le registre
14. Le Dossier RGPD
11. But à atteindre :
avoir un dossier complet
Obligation de moyen
12. On va le construire ensemble !
Il ne sera jamais fini !
13. 1. Le but: le dossier GDPR
2. DPO or not DPO?
3. Les décisions de la direction
4. La partie visible d’abord
5. La partie risquée d’abord
6. Je ne veux pas être sous-traitant
7. Les DB existantes
8. Les droits des personnes
9. Les mesures techniques
10. Les mesures organisationnelles
11. Les RH
12. Les DPIA
13. Le registre
14. Le Dossier RGPD
15. 4 missions différentes !!
GDPR Sécurité de l’information
Conseil Data Privacy Officer (DPO) Information Security Advisor
(ISA)
Mise en œuvre Chef de projet GDPR ou
correspondant GDPR dans les
divers départements
Responsable de la sécurité des
systèmes d’information (RSSI)
16. • Soutien de la direction
• Description de fonction
• Certification ?
• Plan d’actions
• Chef de projet
• Correspondants RGPD
• Avis et recommandations à la direction
• Rapport annuel (Analyse-bilan-plan)
• KPI
• Et s’il n’y a pas de DPO => personne en charge
17. Pour convaincre la direction:
LE GDPR CA PEUT ETRE POSITIF
MEILLEURE CONNAISSANCE DES PROCESSUS INTERNES
18.
19. 1. Le but: le dossier GDPR
2. DPO or not DPO?
3. Les décisions de la direction
4. La partie visible d’abord
5. La partie risquée d’abord
6. Je ne veux pas être sous-traitant
7. Les DB existantes
8. Les droits des personnes
9. Les mesures techniques
10. Les mesures organisationnelles
11. Les RH
12. Les DPIA
13. Le registre
14. Le Dossier RGPD
20. • Le DPO ne décide pas !
• Décisions à prendre
• Acter les décisions
• Quid en cas de désaccord?
• Exemples de décisions
21. 1. Le but: le dossier GDPR
2. DPO or not DPO?
3. Les décisions de la direction
4. La partie visible d’abord
5. La partie risquée d’abord
6. Je ne veux pas être sous-traitant
7. Les DB existantes
8. Les droits des personnes
9. Les mesures techniques
10. Les mesures organisationnelles
11. Les RH
12. Les DPIA
13. Le registre
14. Le Dossier RGPD
22. La partie visible c’est notamment les
sites internet
• Consentement
• Contrat
• Intérêt légitime
• Privacy policy
• Cookies1 8 / 0 2 / 1 9
28. CONSIDÉRANT 47 .
Les intérêts légitimes d'un responsable du traitement, y compris ceux d'un responsable du
traitement à qui les données à caractère personnel peuvent être communiquées, ou d'un tiers
peuvent constituer une base juridique pour le traitement, à moins que les intérêts ou les libertés
et droits fondamentaux de la personne concernée ne prévalent, compte tenu des attentes
raisonnables des personnes concernées fondées sur leur relation avec le responsable du
traitement. Un tel intérêt légitime pourrait, par exemple, exister lorsqu'il existe une relation
pertinente et appropriée entre la personne concernée et le responsable du traitement dans des
situations telles que celles où la personne concernée est un client du responsable du traitement
ou est à son service.
En tout état de cause, l'existence d'un intérêt légitime devrait faire l'objet d'une évaluation
attentive, notamment afin de déterminer si une personne concernée peut raisonnablement
s'attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce
que celles-ci fassent l'objet d'un traitement à une fin donnée.
Les intérêts et droits fondamentaux de la personne concernée pourraient, en particulier, prévaloir
sur l'intérêt du responsable du traitement lorsque des données à caractère personnel sont
traitées dans des circonstances où les personnes concernées ne s'attendent raisonnablement pas
à un traitement ultérieur.
29. • Le site Internet
• Double opt-in
• Conservation des accords (contrat,
consentement)
• Cookies
• Marketing digital
• La collecte des données papier
• Bulletins d’inscriptions
• Privacy policies (plusieurs !!!)
34. 1. Le but: le dossier GDPR
2. DPO or not DPO?
3. Les décisions de la direction
4. La partie visible d’abord
5. La partie risquée d’abord
6. Je ne veux pas être sous-traitant
7. Les DB existantes
8. Les droits des personnes
9. Les mesures techniques
10. Les mesures organisationnelles
11. Les RH
12. Les DPIA
13. Le registre
14. Le Dossier RGPD
35. • Données sensibles
• RH
• Secrets d’affaires
• Identifier les départements à risques
• On commence par sécuriser les worst case
• Procédure en cas de vol/perte
• Documentez les incidents
• Anticipez les incidents
37. 1. Le but: le dossier GDPR
2. DPO or not DPO?
3. Les décisions de la direction
4. La partie visible d’abord
5. La partie risquée d’abord
6. Je ne veux pas être sous-traitant
7. Les DB existantes
8. Les droits des personnes
9. Les mesures techniques
10. Les mesures organisationnelles
11. Les RH
12. Les DPIA
13. Le registre
14. Le Dossier RGPD
38. Vous avez des sous-traitants ?
Vous êtes sous-traitant?
Comment ne pas être sous-traitant?
Comment minimiser les risques?
39. 1. Le but: le dossier GDPR
2. DPO or not DPO?
3. Les décisions de la direction
4. La partie visible d’abord
5. La partie risquée d’abord
6. Je ne veux pas être sous-traitant
7. Les DB existantes
8. Les droits des personnes
9. Les mesures techniques
10. Les mesures organisationnelles
11. Les RH
12. Les DPIA
13. Le registre
14. Le Dossier RGPD
40. • Inventaire
• Responsable opérationnel
• Shadow IT
• « Légalisation » des bases de
données existantes
• Mise en conformité
• Quantité vs qualité
• Que met-on dans le dossier RGPD?
41. 1. Le but: le dossier GDPR
2. DPO or not DPO?
3. Les décisions de la direction
4. La partie visible d’abord
5. La partie risquée d’abord
6. Je ne veux pas être sous-traitant
7. Les DB existantes
8. Les droits des personnes
9. Les mesures techniques
10. Les mesures organisationnelles
11. Les RH
12. Les DPIA
13. Le registre
14. Le Dossier RGPD
42.
43. Imaginez une demande
Que fait-on ?
Qui contacter?
Comment répondre?
Qui répond?
Est-on certain de répondre en un mois?
44. PROTÉGEZ LES DONNÉES DE VOS CLIENTS
ET MONTREZ LEUR QUE VOUS LE FAITES
4
4
TRANSPARENCE
INFORMATIONS LORS DE LA COLLECTE
DROIT D'ACCES
DROIT DE RECTIFICATION
DROIT A L'EFFACEMENT
DROIT A LA LIMITATION DU TRAITEMENT
PORTABILITE
DROIT D'OPPOSITION AU PROFILAGE
47. 1. Le but: le dossier GDPR
2. DPO or not DPO?
3. Les décisions de la direction
4. La partie visible d’abord
5. La partie risquée d’abord
6. Je ne veux pas être sous-traitant
7. Les DB existantes
8. Les droits des personnes
9. Les mesures techniques
10. Les mesures organisationnelles
11. Les RH
12. Les DPIA
13. Le registre
14. Le Dossier RGPD
48. • Certification?
• Plan de sécurité?
• Analyse de risques
• Il faut une référence
• Voir DPIA CNIL
• Déclaration vs. Réalité
• IAM ?
58. Privacy by design & information lifecycle
• Privacy by design is key in various essential phases of the
information lifecycle u
building new IT systems for storing or accessing personal data;
developing policies or strategies that have privacy implications; u
embarking on a data sharing initiative;
using data for new purposes.
88. 8 8
Quelles sont les questions à se poser??
• Les personnes sont-elles ce qu’elles
disent être??
• Sont-elles des membres réels de
notre communauté ?
• Ont-elles reçu les autorisations
nécessaires ?
• Le respect de leurs données
personnelles est-il mis en place?
89. 8 9
Exemples de questions
• Quel mot type de mot de passe donner?
• Quelles sont les activités autorisées?
• Quelles sont les activités interdites?
• A quelle catégorie de personne cette
nouvelle identité doit-elle être attachée?
• A quel moment du processus d’entrée les
autorisations doivent-elles être données?
• Quelles modalités de contrôle sont mises
en place?
• Peut-on prouver tout cela à un auditeur ?
• Quid de l’e-discovery?
90. 1. Le but: le dossier GDPR
2. DPO or not DPO?
3. Les décisions de la direction
4. La partie visible d’abord
5. La partie risquée d’abord
6. Je ne veux pas être sous-traitant
7. Les DB existantes
8. Les droits des personnes
9. Les mesures techniques
10. Les mesures organisationnelles
11. Les RH
12. Les DPIA
13. Le registre
14. Le Dossier RGPD
94. • le registre des incidents
les décisions de la direction
les raisons des choix
les transferts à l’APD
Le non transfert
les droits d’accès
…
95. 1. Le but: le dossier GDPR
2. DPO or not DPO?
3. Les décisions de la direction
4. La partie visible d’abord
5. La partie risquée d’abord
6. Je ne veux pas être sous-traitant
7. Les DB existantes
8. Les droits des personnes
9. Les mesures techniques
10. Les mesures organisationnelles
11. Les RH
12. Les DPIA
13. Le registre
14. Le Dossier RGPD
96. • Un bon partenaire
• Principe de transparence
• CC 81
• Clauses de confidentialité
• Charte informatique
• Quid des syndicats?
• Données sensibles
97. 1. Le but: le dossier GDPR
2. DPO or not DPO?
3. Les décisions de la direction
4. La partie visible d’abord
5. La partie risquée d’abord
6. Je ne veux pas être sous-traitant
7. Les DB existantes
8. Les droits des personnes
9. Les mesures techniques
10. Les mesures organisationnelles
11. Les RH
12. Les DPIA
13. Le registre
14. Le Dossier RGPD
98. • Outil de la CNIL
• Comment faire?
• Qui autour de la table?
• On commence par quoi?
• Actualisation?
99. 1. Le but: le dossier GDPR
2. DPO or not DPO?
3. Les décisions de la direction
4. La partie visible d’abord
5. La partie risquée d’abord
6. Je ne veux pas être sous-traitant
7. Les DB existantes
8. Les droits des personnes
9. Les mesures techniques
10. Les mesures organisationnelles
11. Les RH
12. Les DPIA
13. Le registre
14. Le Dossier RGPD
102. • Quel format choisir?
• Comment faire?
• Anticiper les simultanéités
• Log de non-conformité
• Méthode de classement
• Il faut retrouver les preuves!
103. 1. Le but: le dossier GDPR
2. DPO or not DPO?
3. Les décisions de la direction
4. La partie visible d’abord
5. La partie risquée d’abord
6. Je ne veux pas être sous-traitant
7. Les DB existantes
8. Les droits des personnes
9. Les mesures techniques
10. Les mesures organisationnelles
11. Les RH
12. Les DPIA
13. Le registre
14. Le Dossier RGPD