Protection des données personnelles

1 604 vues

Publié le

Conférence donnée lors du symposium de 4instances "take control of your information" le 17/2/2011

Publié dans : Formation, Business
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
1 604
Sur SlideShare
0
Issues des intégrations
0
Intégrations
197
Actions
Partages
0
Téléchargements
39
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Protection des données personnelles

  1. 1. Take control of your information (17/2/2011) La protection des données personnelles Jacques Folon Partner Edge Consulting Chargé de cours ICHEC Professeur invité Université de Metz
  2. 2. La présentation est en ligne sur www.slideshare.net/folon
  3. 3. Table des matières <ul><li>Rappel des principes </li></ul><ul><li>La sécurité imposée </li></ul><ul><li>Pas de sécurité sans contrôle </li></ul><ul><li>E-discovery </li></ul><ul><li>Conclusion </li></ul>
  4. 4. <ul><li>Qui est certain que son organisation est parfaitement en règle au niveau du respect de la vie privée et est prêt à parier 12 bouteilles de champagne? </li></ul>
  5. 5. 1. Rappel des principes
  6. 6. AVANT
  7. 7. Ce que les patrons croient…
  8. 8. En réalité…
  9. 9. Les employés partagent des informations… avec des tiers
  10. 11. Source : https://www.britestream.com/difference.html .
  11. 14. La transparence est devenue indispensable !
  12. 15. Trois définitions importantes
  13. 16. <ul><li>Qu’est-ce qu’une donnée personnelle? </li></ul><ul><li>Qu’est-ce qu’un traitement? </li></ul><ul><li>Qu’est-ce qu’un responsable de traitement? </li></ul>
  14. 17. Donnée personnelle On entend par &quot;données à caractère personnel”: toute information concernant une personne physique identifiée ou identifiable, désignée ci-après &quot;personne concernée&quot;; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs Éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale
  15. 18. Traitement de données Par &quot;traitement&quot;, on entend toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés Automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction de données à caractère personnel.
  16. 19. Responsable de traitement Par &quot;responsable du traitement&quot;, on entend la personne physique ou morale, l'association de fait ou l'administration publique qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel .
  17. 20. Responsabilités du “responsable de traitement » <ul><li>Loyauté </li></ul><ul><li>Finalité </li></ul><ul><li>Proportionalité </li></ul><ul><li>Exactitude des données </li></ul><ul><li>Conservation non excessive </li></ul><ul><li>Securité </li></ul><ul><li>Confidentialité </li></ul><ul><li>Finalité expliquée avant le consentement </li></ul><ul><li>Information à la personne concernée </li></ul><ul><li>Consentement indubitable ( ou règle légale) </li></ul><ul><li>Déclaration à la CPVP </li></ul>
  18. 21. Droits du citoyen
  19. 22. Droits du consommateur <ul><li>6 PRINCIPES: </li></ul><ul><li>Droit d’accès </li></ul><ul><li>Droit de rectification </li></ul><ul><li>Droit de refuser le marketing direct </li></ul><ul><li>Droit de retrait </li></ul><ul><li>Droit à la sécurité </li></ul><ul><li>Acceptation préalable </li></ul>
  20. 23. Et n’oubliez pas … <ul><li>Le droit d’accès en vertu de la loi sur la transparence de l’administration! </li></ul>
  21. 24. Données reçues et transférées
  22. 25. Informations sensibles
  23. 26. Informations sensibles <ul><li>Race </li></ul><ul><li>Opinions politiques </li></ul><ul><li>Opinions religieuses ou philosophiques </li></ul><ul><li>Inscriptions syndicales </li></ul><ul><li>Comportement sexuel </li></ul><ul><li>Santé </li></ul><ul><li>Décisions judiciaires </li></ul>
  24. 27. Coockies
  25. 28. 2. La sécurité imposée
  26. 29. Transferts de données transfrontaliers
  27. 30. Sécurité
  28. 31. Le maillon faible…
  29. 33. TELETRAVAIL
  30. 35. <ul><li>Sécurité organisationnelle </li></ul><ul><ul><li>Département sécurité </li></ul></ul><ul><ul><li>Consultant en sécurité </li></ul></ul><ul><ul><li>Procédure de sécurité </li></ul></ul><ul><ul><li>Disaster recovery </li></ul></ul>
  31. 36. <ul><li>Sécurité technique </li></ul><ul><ul><li>Risk analysis </li></ul></ul><ul><ul><li>Back-up </li></ul></ul><ul><ul><li>Procédure contre incendie, vol, etc. </li></ul></ul><ul><ul><li>Sécurisation de l’accès au réseau IT </li></ul></ul><ul><ul><li>Système d’authentification (identity management) </li></ul></ul><ul><ul><li>Loggin and password efficaces </li></ul></ul>
  32. 37. <ul><li>Sécurité juridique </li></ul><ul><ul><li>Contrats d’emplois et information </li></ul></ul><ul><ul><li>Contrats avec les sous-contractants </li></ul></ul><ul><ul><li>Code de conduite </li></ul></ul><ul><ul><li>Contrôle des employés </li></ul></ul><ul><ul><li>Respect complet de la réglementation </li></ul></ul>
  33. 38. 3. Le contrôle
  34. 39. Contrôle des collaborateurs <ul><li>Equilibre entre vie privée et droits de l’employeur </li></ul><ul><li>CC 81 secteur privé </li></ul><ul><li>Codes de conduite du secteur public </li></ul><ul><li>Principe de finalité </li></ul><ul><li>Principe de proportionalité </li></ul>
  35. 40. Les 4 finalités <ul><li>Prévention de faits illégaux, de faits contraires aux bonnes mœurs ou susceptibles de porter atteinte à la dignité d’autrui </li></ul><ul><li>La protection des intérêts économiques, commerciaux et financiers de l’entreprise auxquels est attaché un caractère de confidentialité ainsi que la lutte contre les pratiques contraires </li></ul><ul><li>La sécurité et/ou le fonctionnement technique de l’ensemble des systèmes informatiques en réseau de l’entreprise, en ce compris le contrôle des coûts y afférents, ainsi que la protection physique des installations de l’entreprise </li></ul><ul><li>Le respect de bonne foi des principes et règles d’utilisation des technologies en réseau fixés dans l’entreprise </li></ul>
  36. 41. Peut-on tout contrôler et tout sanctionner ?
  37. 42. <ul><li>Diffuser vers des tiers des informations confidentielles relatives XXX, à ses partenaires commerciaux, aux autres travailleurs, aux sociétés liées ou à ses procédés techniques ; </li></ul><ul><li>Diffuser à des tiers toute donnée personnelle dont XXXest responsable de traitement, sauf autorisation formelle de XXX ; </li></ul><ul><li>Copier, diffuser, télécharger, vendre, distribuer des oeuvres protégées par le droit de la propriété intellectuelle, sans avoir obtenu toutes les autorisations des ayants droit; </li></ul><ul><li>Copier ou télécharger des programmes informatiques sans en avoir reçu l’autorisation préalable du département informatique ; </li></ul><ul><li>Participer à tout jeu, concours, loterie, tombola, jeu de casino, ainsi que transmettre les adresses des sites concernés, tout comme participer à toute action de marketing, de marketing viral, ou à toute enquête quelle qu’elle soit, avec ou sans possibilité de gain ; </li></ul><ul><li>Transmettre des messages non professionnels reçus de tiers à d’autres travailleurs, transmettre tout message non professionnel reçu d’un autre travailleur soit à des tiers soit à d’autres travailleurs, transmettre tout message professionnel à des tiers ou à d’autres travailleurs dans le but de nuire à XXX ou à un autre travailleur ; </li></ul><ul><li>Transmettre à un tiers ou à un autre travailleur tout message ayant un contenu pornographique, érotique, raciste, révisionniste, pédophile, discriminatoire, sexiste, ou plus généralement contraire aux bonnes mœurs ou à toute réglementation ou législation belge ou comprenant un hyperlien vers un site proposant ce type de contenu ; </li></ul><ul><li>Consulter des sites Internet ayant un contenu pornographique, érotique, raciste, révisionniste, pédophile, discriminatoire, sexiste, ou plus généralement contraire aux bonnes mœurs ou à toute réglementation ou législation belge ; </li></ul><ul><li>Participer à des chaînes de lettres, quel qu’en soit le contenu ; </li></ul><ul><li>Participer à des forums de discussion, des chat, des newsgroup, des mailing-list non professionnels ; </li></ul><ul><li>Participer directement ou indirectement à des envois d’emails non sollicités ; </li></ul><ul><li>Utiliser l’adresse email d’un autre travailleur pour envoyer un message professionnel ou privé ; </li></ul><ul><li>Effectuer toute activité considérée par la loi belge comme relevant de la criminalité informatique, ou contraire à la législation concernant la protection des données personnelles et en particulier, à titre d’exemples, tenter d’avoir accès à des données dont l’accès n’est pas autorisé ou copier des données personnelles pour les transmettre à des tiers ; </li></ul>
  38. 43. sanctions <ul><li>Dans le RT </li></ul><ul><li>Cohérentes </li></ul><ul><li>Légales </li></ul><ul><li>Zone grise </li></ul><ul><li>Réelles </li></ul><ul><li>Objectives </li></ul><ul><li>Syndicats </li></ul>
  39. 44. RÖLE DU RESPONSABLE DE SECURITE
  40. 45. 4 e-discovery <ul><li>Etes vous prêts à vous défendre en justice? </li></ul>
  41. 46. Quelles informations avons nous ? <ul><li>Electronically stored information </li></ul><ul><li>Trend away from physical documents in file cabinets </li></ul><ul><li>Word processing & Office Suite </li></ul><ul><li>Email </li></ul><ul><li>Databases </li></ul><ul><li>Facsimiles </li></ul><ul><li>Local drives and network drives </li></ul><ul><li>Contact management system </li></ul><ul><li>Cell phone and PDA databases </li></ul><ul><li>Time & billing systems </li></ul><ul><li>Instant messages </li></ul><ul><li>Voice mail systems </li></ul><ul><li>GPS navigation systems </li></ul><ul><li>Off-site storage </li></ul><ul><li>Metadata </li></ul><ul><li>Social and business networking sites </li></ul>
  42. 47. Sommes nous prêts à nous défendre?
  43. 48. 5. Conclusion <ul><li>Top down </li></ul><ul><li>Obligation légale </li></ul><ul><li>Risque ou opportunité? </li></ul><ul><li>Sécurité juridique </li></ul><ul><li>Sécurité organisationelle </li></ul><ul><li>Sécurité informatique </li></ul><ul><li>Contrôle des employés </li></ul>
  44. 49. Méthodologie http://www.sunera.com/typo3temp/pics/f43202fdda.jpg
  45. 50. Procédure et méthodologie <ul><li>Décision stratégique à haut niveau </li></ul><ul><li>Réflexion et décision quant à la procédure de mise en place et ses implications en terme d’organisation et en particulier: </li></ul><ul><ul><li>Change management </li></ul></ul><ul><ul><li>Identity management </li></ul></ul><ul><ul><li>Security management </li></ul></ul><ul><li>Désignation d’un chef de projet interne </li></ul><ul><li>Analyse et adaptation des procédures de collecte de données </li></ul><ul><li>Analyse et adaptation des bases de données existantes </li></ul><ul><li>Régler la situation actuelle </li></ul><ul><li>Établissement de règles pour le futur </li></ul><ul><li>Procédures de contrôle et d’audit </li></ul><ul><li>e discovery </li></ul>
  46. 51. Aspects stratégiques <ul><li>Il faut gagner la confiance des citoyens </li></ul><ul><li>Le respect de la vie privée peut être un incitant à repenser l’organisation </li></ul><ul><li>L’obligation légale de sécurité peut être un moyen de penser une sécurité globale </li></ul><ul><li>Le respect de la vie privée est un excellent outil marketing à partir du moment où la loi n’est pas encore respectée partout </li></ul>
  47. 52. Alors quand un patron pense à ses données il est zen ?
  48. 53. Ou plutôt?
  49. 55. Espérons que la sécurité de vos données ne ressemble jamais à ceci !
  50. 56. Jacques Folon [email_address]
  51. 57. Je suis prêt à répondre à vos questions
  52. 58. Chargé de cours Partner Auteur Blog www.privacybelgium.be http://be.linkedin.com/in/folon www.edge-consulting.biz [email_address] Administrateur

×