SlideShare une entreprise Scribd logo

Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper

Guillaume Valcin
Guillaume Valcin

Livre Blanc sur la Mise en. Conformité de la Règlementation Générale sur la Protection des Données en Europe et pour toutes les entreprises ayant une relation commerciale avec les données à caractère personnel des citoyens européens. White Paper on Implementation. Conformity of the General Data Protection Regulation in Europe and for all companies having a commercial relationship with the personal data of European citizens.

Présentations et discours publics
1  sur  46
Télécharger pour lire hors ligne
Conformité RGPD Construire le futur de la sécurité des données, un avantage concurrentiel
Avec une politique adaptée et les dispositions légales 2016 2020 €300 Md €729 Md 6.1 millions d’emploi 10.3 millions d’emploi PIB PIB1,99 3,74%% Source : IDC Europeean Data Market Study Le Marché Européen de la donnée
La confiance numérique Valeur économique de la donnée Valeur des produits et services de la données 72% des internautes estiment qu’on leur demande encore trop de données 255 000 en 2016 50 milliards d’euros en 2016 359 000 en 2020 111 milliards en 2020 Source : IDC Europeean Data Market Study Le Marché de la donnée
20% 15% 15% 10% 10% 10% 5% 5% 5%5% 50% Part Exercice des droits Pilotage du programme Privacy By Design Politiques, directives et organisation Information des personnes et consentement Encadrement des transferts Communication, formation, sensibilisation Amélioration des mesures de sécurité Registre et principes associés Contrôles et Audit 10 CHANTIERS RGPD QUI CONCENTRENT LES INVESTISSEMENTS... Répartition du budget par chantier ASSURANCE + de 40 Business Units Près de 300 acteurs sollicités Pilotage en central par 4 ETP BANQUE ~ 50 entités Plus de 250 acteurs sollicités Pilotage en central par 3 ETP Source : Wavestone Programme RGPD en chiffres
 Le renforcement de mesures destinées à augmenter le niveau de protection des individus Analyse Marché  Des innovations technologiques de plus en plus rapides et disruptives nécessitant une remise en cause fréquente des processus et des outils de l’entreprise  Une internationalisation des échanges plus marquée qu’auparavant, qui nécessite la prise en compte de règles juridiques plus nombreuses et parfois, difficilement (voire non) compatibles entre elles Les défis numériques de l’UE
Solvency IIUDIBCBS 239 Meaningful Use Nov. 2012 L'agrégation des données de risque Sept. 2013 Identifier les instruments médicaux Nov. 2009 Le Bâle II Des assurances Fonds Propres Début 2011 Programme d’incitation financière EHR Mécanismes de conformité pouvant s’interfacer avec la RGPD GDPR Mai 2016 La protection des données personnelles La convergence conformité
 GVA veut garantir à tous ces clients que se conformer aux exigences de cette nouvelle règlementation apporte un avantage concurrentiel aux, secteurs publiques, grands comptes et PME  Cette nouvelle offre, est un puissant moyen d’élargir les fondations économiques, culturelles et sociétales autour d’une démarche innovante et originale  Bâtir une filière d’excellence EXQUALIBUR, Excellence qualité au bureau et devenir ainsi l’acteur de confiance de la protection des données Objectif de l’offre
RGPD GDPR Génération de revenues  Amandes de 2% ou 4% sur le CA Global  Impact sur l’Image  Exigences règlementaires  Protection renforcée  Gestion des traitements stratégiques  Accélérateur pour le cloud  Accélérateur pour la sécurité et la conformité Fidélisation à la marque et exploration de données pour l'amélioration du service à la clientèle et l'exploitation des données Valeur ajoutée commerciale
 Pour réaliser ce projet de mise en conformité́ GDPR dans les temps, quelles actions prioritaires retenez-vous ? Au plan organisationnel, comment abordez-vous la mise en conformité́ GDPR ? Précisément, en tant que RSSI, quels choix avez-vous adopté pour réaliser la mise en conformité́ avec l’esprit des textes du GDPR ? Quelle approche proposez- vous pour aborder la problématique liée à la définition des données à caractère personnel au sein du Groupe et de l’ensemble de ses sociétés ?A l’issue de ce diagnostic réalisé, avez- vous pu réfléchir à différents points dont la capitalisation de l’existant ? Sondage métier RGPD
Aucune donnée à caractère personnel n'est collectée au- delà du strict minimum nécessaire à chaque finalité du traitement Aucune donnée à caractère personnel n'est conservée au- delà du strict minimum nécessaire à chaque finalité du traitement Aucune donnée à caractère personnel n'est traitée au-delà du strict nécessaire de la finalité du traitement Aucune donnée à caractère personnel n'est divulguée à des tiers commerciaux Aucune donnée à personnel n’est vendue ou louée à des tiers Aucune donnée à caractère personnel n'est conservée sans encryption Data Matrix Framework Avant de commencer la mise en conformité voici les questions standards à se poser Analyse des écarts CNIL / GDPR Questions clés à poser Data Centric
 Organisation adaptée  La GDPR prévoit pour tout organisme publique et entreprise de plus de 250 salariés, la désignation d’un délégué  Collaboration transversale  Métiers, Développeurs, Analystes, Juristes, DSI  Déclinaison du programme aux tiers  Les sous-traitants pourront être tenus co-responsables  Déployer la politique et les procédures  Le dispositif repose sur un ensemble de règles de conformité claires qui nécessites des procédures adaptées` et partagées au sein de l’organisation, mais également connues et contrôlées pour s’assurer de leur application Méthodes et approches
Ayants droits Champs / Obligations Framework Lorsque le traitement repose sur le consentement comme base pour le traitement légal, ce consentement doit être donné gratuitement, sans ambiguïté, informé, spécifique, séparable d'autres documents et facile à révoquer Droits existants: - Droit d’accès - Droit d'objection - Droit de rectification Nouveaux droits: - Droit d'effacer - Droit de restreindre le traitement - Droit à la portabilité des données - Droit de ne pas être soumis à la prise de décision automatisée La confidentialité des données doit être prise en compte dans tous les projets, produits, services, processus, systèmes, etc. dès la phase de développement et pendant tout le cycle de vie Le contrôleur doit effectuer PIA si le traitement est susceptible de causer un risque élevé aux droits et libertés des individus Mesures de sécurité Identification des infractions de données, analyse de risque et plan d'intervention Notification aux autorités de protection des données, mais aussi à l'individu affecté si un risque élevé pour les droits et libertés est impliqué Des informations complètes et claires sur le traitement doivent être fournies par les contrôleurs aux particuliers Assurer et démontrer la conformité avec le GDPR à tout moment (responsabilisation) Mettre en place une gouvernance claire, y compris la nomination d’un agent de protection des données (DPD/DPO) et mettre en place un cadre approprié de surveillance de la conformité Conserver les registres du traitement La GDPR s’applique aux traitements de données à caractère personnel concernant un Etat membre de l’union par les organisations dans et en dehors de l’UE Aucun transfert de données personnelles en dehors de l’UE, à moins que certaines conditions ne soient remplies ou que des mécanismes soient utilisés (BCR) Les contrôleurs doivent inclure dans leurs contrats la liste élargie de leurs sous-traitants Certains aspects du GDPR sont maintenant directement applicables aux sous-traitants Le règlement s’applique au traitement Données CP*, automatisé, en partie, ou non automatisé contenues ou appelées à figurer dans un fichier. DCP* Données à caractère personnel Les piliers de la RGPD
Du bon sens Une méthodologie basée sur les suggestions matures de la CNIL Analyse de l’existant Mener un état des lieux de ses clients au travers d’un questionnaire Sur mesures Ajuster son dispositif conseil en fonction des résultats de l’analyse de l’existant Une compétence Formaliser son offre de service au travers d’une démarche, d’une méthode (cadre et outils) et sa politique de servuction Les points clés de la démarches
Obligations Etablir les registres Assurer une gouvernance des données (Audit, Processus et contrôle) par un DPO, Démontrer la mise en conformité n ’importe quand Privacy By design La confidentialité des données doit être prise en compte dans tous les projets, produits, services, processus, systèmes, etc. dès la phase de développement et pendant tout le cycle de vie DPIA Le contrôleur doit effectuer une analyse du risque encouru sur le traitement est susceptible de causer un risque élevé au regard des droits et libertés des personnes Approche canonique
Obligations (DPO)DPIA - EIVPPrivacy By design Désigner un Délégué Etablir les registres et cartographier les traitements Constituer et regrouper la documentation nécessaire Recueil du consentement Informations et Notifications Accomplir les modalités de transferts hors UE, Règles Internes, Audit et Contrôles Evaluer la conformité Description du contexte du traitement Mesures de nature règlementaire et préventive Etude des atteintes potentielles (Source, Scenarios, Menaces, Réduction) Validation (Objectif, Plan, Formalisme) Organisation (projets, Processus, IT) Maitrise des données (Stockage, Anonymisation, Demandes,…) en environnement de développement, Qualification, Production Gestion des Incidents (DB, ..) Bonnes Pratiques Gestion des tiers Big Data, Architectures Approche Modélisée
L’approche en 6 étapes - CNIL Par Guillaume VALCIN – Aout 2017 – DRAFT – Non Validé
Avant Désigner un Pilote Cartographier systèmes Prioriser les actions Gérer les risques Organiser la conformité Documenter Pour mesurer concrètement l’impact de la GDPR commencez par recenser l’ensemble de vos traitement de données, élaborer un registre des traitements A partir du registre, identifier les actions pour vous conformer aux obligations, prioriser ces actions au regard des risques que font peser vos traitements Pour chacun des traitements comportant des risques jugés élevés vous devez procéder à une analyse d’impact sur la protection des données Mettre en place les processus internes qui garantissent la prise en compte de la protection des données à tout moment Pour prouver la conformité, vous devez constituer et regrouper la documentation nécessaire, les documents doivent être contrôlés et réactualisés Le DPD/DPO, remplace le CIL, responsable de l’accompagnement et du contrôle interne de la protection des données Méthode
Désigner un Pilote Le DPD/DPO, remplace le CIL, responsable de l’accompagnement et du contrôle interne de la protection des données Vous avez désigné un pilote au sein de votre structure chargé de mettre en œuvre la conformité (lettre de mission) en lui affectant les ressources nécessaires Vous lui avez affecté les moyens humains et financiers nécessaires pour mettre en œuvre ses missions CNIL, la méthode, Les jalons clés du succès Vous avez rencontré les entités qui traitent de données personnelles Vous avez établi la liste des traitements par finalité Vous avez identifié tous les acteurs Vous connaissez tous les flux et les unités de stockage et combien de temps elles sont conservées Pour mesurer concrètement l’impact de la GDPR commencez par recenser l’ensemble de vos traitement de données, élaborer un registre des traitements Cartographier systèmes A partir du registre, identifier les actions pour vous conformer aux obligations, prioriser ces actions au regard des risques que font peser vos traitements Prioriser les actions Vous avez mis en place les premières mesures pour protéger les personnes contre vos traitements et identifié les traitements à risque (PbD) Etapes
Vous avez désigné un pilote au sein de votre structure chargé de mettre en œuvre la conformité (lettre de mission) en lui affectant les ressources nécessaires Vous lui avez affecté les moyens humains et financiers nécessaires pour mettre en œuvre ses missions CNIL, la méthode, Les jalons clés du succès Votre documentation démontre que vous respectez les obligations prévues par le règlement général de la protection des données Votre documentation démontre que vous respectez les obligations prévues par le règlement général de la protection des données Gérer les risques Pour chacun des traitements comportant des risques jugés élevés vous devez procéder à une analyse d’impact sur la protection des données Organiser la conformité Mettre en place les processus internes qui garantissent la prise en compte de la protection des données à tout moment Documenter Pour prouver la conformité, vous devez constituer et regrouper la documentation nécessaire, les documents doivent être contrôlés et réactualisés Etapes
Pour que votre conformité se déroule bien, n’en faites pas tout un film GDPR MOVIE
Maturité et plan d’actions Maturité Preuve + Contrôle des mesures juridiques et techniques labellisation Protection de la vie privée + Codes de conduite + Certification Intégration des DCP dans les projets (Privacy By Design) + + EIVP/DPIA + Privacy By Design respect des droits de la PC + Plan d'assurance Sécurité + Adjonction d'outils SSI (Security By Default) Registre de traitement des données Politique et Cadre de gouvernance Faible Moyenne Pratique de Base prise en compte par l'organisme Forte Pratique de base mise en œuvre de façon partielle Pratique inexistante Processus défini, décrit, adapté à l'organisme, généralisé et bien compris par le management et par les exécutants Processus coordonné et contrôlé à l'aide d'indicateurs permettant de corriger les défauts 1 2 3 4 5 Mai - 2018Temps Sensibilisation, Formation, Directions, Métiers + Utilisateurs, Nomination du Chef de Projet, CIL/DPO
CONNAISSANCE Périmètre Responsabilité Gestion de risque Coût Votre S.I. possède de nombreux composants technologiques complexes, dont beaucoup possèdent les architectures de sécurité propriétaires. Une connaissance spécialisée de chaque composant est nécessaire pour garantir une sécurité de sécurité adéquate des systèmes et des applications Votre S.I. est seulement aussi fort que son composant le plus faible. Focus a toujours été sur l'instance / client productif, mais il doit maintenant être étendu à une dimension holistique pour fournir une plate-forme résiliente et sécurisée pour le traitement des données personnelles. Décider quels risques doivent être atténués et Comment est souvent artisanal - décision en temps utile sur le déploiement de notre outils publié chaque mois qui affecte le le S.I. et comment prioriser les activités d'assainissement. L'automatisation de l'évaluation de l'ensemble du S.I. est coûteuse. Sans automatisation, il devra être évalué régulièrement, laissant ainsi la brèche de l’erreur humaine. Défis techniques
Conformité Contrôle efficace Automatisation Population Processus Technologie Gouvernance de confidentialité des données – Briques principales et facilitateurs Pour assurer une conformité durable, les projets de gestion d'identification et d'accès devraient se concentrer sur les trois dimensions: personnes, processus et technologie Gouvernance de la vie privée Politiques, normes et stratégie de sécurité Technologies Processus du cycle de vie des données privées Gestion des accès et administration des Processus Processus de gestion de la sécurité Démontre Affecte Supporté par Fait appliquer Appuie agit Le modèle de gouvernance soutien les changements et l'application des politiques et contribue à accélérer l'adoption de contrôles adéquats et efficaces
Implémentation RGPD Outils Outils Outils Outils Outils Outils Outils Outils Outils Outils Outils Outils Outils Gouvernance, politiques, règles et documentation Sécurité opérationnelle Minimisation des données Protection opérationnelle des données Surveillance des activités liées aux données Gestion des incidents et des violations RTBF / Gestion des consentements Brouillage : Anonymisation et/ou Masquage Chiffrement des données Stockage / Suppression / Archivage Transfer / Modification / Restitution Applications Infrastructures et périphériques Revues d’architecture Entrepôts de données Données structurées Données non structurées Outils Outils Outils Outils Outils Mise en conformité RGPD GAP ANALYSIS T0 RGPD Processus métiers Consentements Protection des données Accountability Privacy By Default Inventaire/Registre
Couche gouvernance Politiques Métadonnées Gestion de la conformité Couche Gestion des données Gestion des informations sur le cycle de vie Couche conformité & Sécu Sécurité et Vie Privée Informations légales Gestions des droits individus Politique de gouvernance Gouvernance des données Découverte des données et classification Accès au données Brouillage IAM Filtrage De contenu Surveillance Sur les données stockées en base et sur les répertoires Vulnérabilités BD, Apps, Infra Réponse à Incident Gestion des incidents Reporting AC/CO Droits DCP LEG PbD Données Sensibles RSSI, DPO, CPO Conformité Juridique AC : Accountability ; CO : Conformité ; DCP : Données à caractère personnel ; LEG : Légal ; PbD : Privacy By Design DBA/AdminUtilisateur RGDP en pratique Information Governance catalog Information Analyzer Identify Governance Intelligence Application Scanner
 Etat des lieux des pratiques  Connaitre les couts et les objectifs  Privacy By Design : Mesures existantes  Evaluation des impacts DPIA  Définir les priorités + paralléliser les tâches + tâches manquantes Phase 1 : analyse préalable Etude d’opportunité Etat des lieux Etudes des options (politique et périmètre) Phase 2 : Mise ne place de la structure de base Gouvernance de la sécurité Documentation Audit Interne et suivi des actions Formation et sensibilisation Indicateurs Phase 3 : Mise ne place des processus Appréciation des risques Mise à jour des mesures existantes Ajout de mesures manquantes Revue Phase 4 : Démarrage Revue Préparation de l’audit Audit à blanc Plan de remédiation Dépendances  Privacy By Design : Nouvelles mesures Time Line Cycle de vie PDP
DPD/DPO Chargé de piloter la mise en conformité des traitements DCP* Destinataire Chargé de recevoir une communication des DCP Ayants Droits Directement concerné par les données traitées et couvert par des droits Responsable Commandite les traitements de DCP Sous-Traitant Met à disposition tout ou partie des moyens de traitements DCP Autorités Chargé du contrôle de conformité et des pénalités ou sanctions Qui intervient dans la conformité RGDP ? RGPD GDPR Les acteurs de la RGPD
Surveillance et Enregistrement Email Applications Périphériques Réseaux Cloud / Big Data Où sont localisés les DCP Traitement Où vont ces données Politique applicable Nécessité de suivre les données personnelles tout au long du cycle de vie - à la fois en repos (stockage) et en mouvement (utilisation) Alerte • Détection Notifier • Conscience Rapide • Intention Chiffrer • Protection Bloc • Protection Masque • Dois savoir Données non structurées • Lire • Écrire • Copier / coller • Déplacer • Impression • Brûler • Télécharger Données structurées • Voir • Modifier • Supprimer • Extraire Découverte • Ordinateurs de bureau • Serveurs • Stockage Classification • Etiquetage Contenu • Similitude • Mot-clé • Dictionnaire Contexte • Serveur • Application • Type de fichier • Utilisateur L’enchainement de la classification des données
Indice Libellé Données 4 Secret Informations nominatives : - Informations de santé : pathologie, antécédents familiaux, observation médicale, - situations ou comportements à risques - Informations relatives aux infractions, condamnations ou mesures de sûreté (infractions, condamnations, mesures de sécurité) - Informations relatives à des suspicions de fraudes ou d’infractions - Origines raciales ou ethniques, opinions politiques, philosophiques, religieuses, appartenances syndicales des personnes, la vie sexuelle Informations non nominatives : - Informations liées à l’organisation et à la stratégie de l’organisme, dont la révélation aurait un impact négatif sur la conduite de ses missions - Informations liées aux mécanismes de fraudes et aux failles ou vulnérabilités de sécurité, dont la révélation pourrait être exploitée pour nuire aux missions de l’organisme 3 Confidentiel Toute information nominative ne rentrant pas dans la classe « secret » et notamment : - NIR, Etat-civil, identité, données d’identification (nom, prénom, adresse, photographie, date, lieu de naissance), - Appréciation sur les difficultés sociales des personnes - Informations d’ordre économique et financière (revenus, situation financière) - Vie personnelle : habitude de vie, situation familiale et sociale - Vie professionnelle : CV, Situation professionnelle, Scolarité, formation, Distinction - Informations biométriques : contour de la main, empreintes digitales, réseaux veineux, iris de l’œil, reconnaissance faciale, reconnaissance vocale, autre procédé 2 Restreint - Données de localisation (déplacement, données GPS, GSM, etc) par satellite, par téléphone mobile ou autre (adresse IP, logs, etc) - Identifiants des terminaux, Identifiants de connexions, Information d’horodatage… - procédures, description de processus, instructions, Intranet - enregistrements non nominatifs (dates, heures, actions, états, etc.) - informations personnelles que le salarié a identifié explicitement comme telles dans le système d’information - Données de connexion 1 Public Informations ayant vocation à être publiées : éditoriaux, publication Extranet, statistiques publiables, campagnes de communication, etc. Cartographie des DCP
IDM : Rôles et autorisations IAM : Gestion des accès GRC Brouillage et chiffrement Violation des données Surveillance des données Comment s'assurer que les informations personnelles et l'information système sont correctement protégées? Il existe plusieurs façons qui peuvent conduire à accéder aux données personnelles dans un environnement applicatif, outre l'accès transactionnel de l'application. Nous nous assurons de les vérifier tous .... Complexité sur les données
Cadre Organisationnel Cadre IT & Sécurité Cadre Juridique  Classification des données  Privacy By Design Init  Evaluation des impacts  Procédures de notification  Mentions légales  Gestion du consentement  Transfrontalier  Licéité & PII/DFS  DPO & Registre  Politiques & Exigences  Gouvernance/Pilotage  Communication/Edu Gestion IT de la RGPD
Cadre IT & Sécurité DPIA Toolbox Architecture Toolbox Data Management Toolbox  Classification des données  Privacy By Design Init  Evaluation des impacts  Procédures de notification Notification Toolbox Data Processing Toolbox La RGPD dans la sécurité
Gestion des patrimoines  Recenser  Identifier  Protéger  Réagir Data Centric Security Centre de réponse aux incidents Gestion des risques Centre de sécurité Opérationnel Expertise Métiers, Conformité, Juristes, Sécurité Découverte de données et classification Hiérarchiser, Evaluer les risques Mettre en œuvre les mesures Documentation : Cartographie, Formalisme, Recommandations d’Audit, Recommandations du contrôle interne Anticiper une violation Réagir face à une violation La boite à outils PDP *PDP : Protection des données
Etude d’impact sur la vie privée Définition des mesures techniques (chiffrement, Anonymisation, masquage,…) Approbation du PIA par le DPO et Spécification des exigences Révision de l’architecture vie privée Documentation sur les finalités, étendue du traitement, stockage, exigences d'accessibilité Enregistrement des évènements Réévaluation continue du traitement Le processus de gestion du changement comprend l'évaluation de la sécurité et la signature Test fonctionnel de sécurité de pré-production Évaluation de la sécurité post- production Traitement de gestion des correctifs Métriques et rapports Signature de sécurité fonctionnelle par sécurité responsable Planning & exigences Design & Architecture Recette TMA Production MaintenanceDéveloppement Privacy By design Protection standard Sécurité Applicative Privacy by Design La SDLC Privacy by Design
Chaine de création de valeur Des données Collection transmission Préparation Stockage L'information est soumise par les utilisateurs, fournis par des organismes publics, captée sur le Web à l'aide de courtiers de données, capturés par des sondes... Utilisation du réseau de télécommunications ou de fournisseur de services de téléphonie mobile dans des centres de données localisées ou utilisant des services cloud Testez et vérifiez l'exactitude; intégration dans un ensemble unique de données intelligibles grande analyse de données: analyse statistique, visualisation et autres techniques de reporting et d'analyse, y compris la construction automatisée de modèles analytiques connus sous le nom de machine learning La chaine de valeur des données
Classification DPIA Registre Identification Authentification Habilitation Traçabilité Masquage Contrôle Chiffrement Brouillage Nettoyage logs Nettoyage SGBD Limitation Eliminer les textes clairs Contrôle : export, dump, reporting *Brouillage: Masquage, Pseudonymisation anonymisation, Tokenisation *Limitation: Eliminer Les données pas nécessaires Classification Licéité Justification Création Traitement Sauvegarde Partage/Transfert Archivage Suppression Scanner Marquer Classifier Analyse Protection Client Limitation Dépendances Relations Monitoring Le cycle de vie PDP
Assurer la protection des données Brouillage des données Mise à l’épreuve des données brouilléesDonnées de production Anonymisation Pseudonymisation Encryption Inintelligible Intelligible Indéchiffrable IPP DFS Confidentielle
Configurations Journalisation Conditions des journaux Console Des journaux Base de données Des logs enregistrés Suivi des données Défis des clients: • Conformité aux règles de confidentialité des données • Conformité aux normes de l'industrie • Surveiller l'accès aux données classifiées, par exemple Informations sur les actifs de l'entreprise ou les données sur les salaires • Comment surveiller les actions des utilisateurs sur un besoin de savoir-faire • Comment gérer les journaux de données? La gestion des logs
Pas de risque pour les droits et libertés Risque pour les droits et libertés Risques élevés pour les droits et libbertés Documentation interne & Devoir pour le sous- traitant d’aviser le responsable Notifier Les autorités Notifier l’ayant droit En cours - Délai (max 72h) - Peut être en plusieurs phases Sans délai 1) Faits entourant la violation (2) Effets (3) Actions correctives (1) Nature de la violation (catégories et nombres de personnes concernées et dossiers concernés (2) Coordonnées DPO (3) Conséquences de la violation (4) Actions correctives (1) Nature de la violation (2) Coordonnées DPO (3) Conséquences de la violation (4) Mesures correctives Violation De données Déclencheur Obligations Limites Contenu La gestion des violations
Le DPO, le référent RGPD/PDP Par Guillaume VALCIN – Aout 2017 Je viens d’un endroit ou si vous voyez un serpent, vous le tuez. Chez Général Motors si vous voyez un serpent, la première chose à faire et d’engager un spécialiste en serpent – H. Ross PEROT
Le marché des profils Data Scientist Chief Data Officier Chief Technologie Officer 1 2 3 67% 16% 13% Des recherches
Informer / Sensibiliser Animer le cadre légal Responsabiliser / Alerter Analyser/Investiguer Auditer/Contrôler Documenter/ Prouver Arbitrer / Communiquer Rapporter / Présenter Veiller avec la CNPD Savoir faire Positionnement hiérarchique Assurer son implication Fournir les ressources nécessaires Facilité l’accès aux données Formation continue Intégration Conflit d’intérêt Secret Professionnel Master PDP Droit numérique Gestion des risques PDP (CNIL/EU95) Savoir Aucun Diplôme Faire Savoir Technologies IT Savoir Etre Métier Indépendance Objectivité /Probité Intégrité / résistanceReporter / Notifier Conseiller Anatomie DPO AFCDP
Communiquer Animer un réseau Informer/Conseiller Coopérer avec les CNPD Aux juristes Contrôler la conformité Conseiller les DPIA Missions Positionnement efficace Assurer son implication Pas responsable En cas d’échec Facilité l’accès aux traitements< Dans un état membre Connaissance activité Expertise législations Protection des données Savoir Aucun Diplôme Faire Savoir Maitrise des traitements Savoir Etre IT & Sécurité Indépendance implication Aux Experts (IT/COM) Traducteur Direction Fournir les ressources IndépendanceAccès aux traitements Conflit d’intérêt Facilité l’accès aux Données Formulaire en ligne Le 25 mai 2018 réaliser l’inventaire des traitements évaluer ses pratiques et mettre en place des procédures identifier les risques établir une politique de protection des données personnelles sensibiliser les opérationnels et la direction Protection Anatomie DPO CNIL
DPO 2017 Technique Juridique Communication Organisation 30% 20% 40% 10% Paysage des CIL en France :  profil technique à 47%,  profil juridique à 19%  profil administratif à 10% Information : Anatomie DPO
Contacter GVA < Adresse Nos bureaux 40 bis rue du Pdt Wilson Informations GVA Conseil A la croisée de la sécurité d'aujourd'hui et de demain Contact 07 70 48 53 28 Guillaume.valcin@laposte.net
Fin Construire le futur de la sécurité des données, un avantage concurrentiel

Recommandé

Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper 2
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper 2Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper 2
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper 2Guillaume Valcin
 
Règlement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UERèglement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UEPECB
 
Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...Claranet
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesTerface
 
Les impacts du nouveau règlement européen GDPR
Les impacts du nouveau règlement européen GDPRLes impacts du nouveau règlement européen GDPR
Les impacts du nouveau règlement européen GDPRArismore
 
RGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésRGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésHatime Araki
 
[Infographie] Le RGPD - en bref
[Infographie] Le RGPD - en bref[Infographie] Le RGPD - en bref
[Infographie] Le RGPD - en brefThinkmarket
 
GDPR
GDPRGDPR
GDPREmilie Scalla
 

Recommandé

Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper 2
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper 2Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper 2
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper 2Guillaume Valcin
 
Règlement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UERèglement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UEPECB
 
Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...Claranet
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesTerface
 
Les impacts du nouveau règlement européen GDPR
Les impacts du nouveau règlement européen GDPRLes impacts du nouveau règlement européen GDPR
Les impacts du nouveau règlement européen GDPRArismore
 
RGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésRGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésHatime Araki
 
[Infographie] Le RGPD - en bref
[Infographie] Le RGPD - en bref[Infographie] Le RGPD - en bref
[Infographie] Le RGPD - en brefThinkmarket
 
GDPR
GDPRGDPR
GDPREmilie Scalla
 
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018cedric delberghe
 
Comprendre le RGPD
Comprendre le RGPDComprendre le RGPD
Comprendre le RGPDNuageo
 
Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Philippe Mignen
 
Données personnelles et SI - GDPR
Données personnelles et SI - GDPRDonnées personnelles et SI - GDPR
Données personnelles et SI - GDPRAntoine Vigneron
 
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?Eloquant
 
Le GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaLe GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaJean-Michel Tyszka
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekPascal ALIX
 
Le GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - DocumentLe GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - DocumentJean-Michel Tyszka
 
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !Niji
 
Rgpd
RgpdRgpd
RgpdOhWeb Sas
 
GDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico LégauxGDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico LégauxYves Gattegno
 
RGPD / GDPR : Principes, Démarche, Outils
RGPD / GDPR : Principes, Démarche, OutilsRGPD / GDPR : Principes, Démarche, Outils
RGPD / GDPR : Principes, Démarche, OutilsaYaline
 
Enjeux du RGPD pour les PME
Enjeux du RGPD pour les PMEEnjeux du RGPD pour les PME
Enjeux du RGPD pour les PMEFred Gerdil
 
Gdpr presentation
Gdpr presentationGdpr presentation
Gdpr presentationGaetan Karre
 
RGPD : Quels impacts pour vos actions marketing ?
RGPD : Quels impacts pour vos actions marketing ?RGPD : Quels impacts pour vos actions marketing ?
RGPD : Quels impacts pour vos actions marketing ?EmailStrategie
 
Présentation GDPR - Business & Decision
Présentation GDPR - Business & DecisionPrésentation GDPR - Business & Decision
Présentation GDPR - Business & DecisionBusiness & Decision
 
Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018Pierre Ammeloot
 
earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...Lexing - Belgium
 
Présentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnellesPrésentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnellesMarseille Innovation
 
Protection de la vie privée
Protection de la vie privée Protection de la vie privée
Protection de la vie privée Prof. Jacques Folon (Ph.D)
 
27/04/17 Séminaire Données Personnelles
27/04/17 Séminaire Données Personnelles27/04/17 Séminaire Données Personnelles
27/04/17 Séminaire Données PersonnellesSoft Computing
 
Matinée Micropole GDPR
Matinée Micropole GDPRMatinée Micropole GDPR
Matinée Micropole GDPRMicropole Group
 

Contenu connexe

Tendances

Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018cedric delberghe
 
Comprendre le RGPD
Comprendre le RGPDComprendre le RGPD
Comprendre le RGPDNuageo
 
Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Philippe Mignen
 
Données personnelles et SI - GDPR
Données personnelles et SI - GDPRDonnées personnelles et SI - GDPR
Données personnelles et SI - GDPRAntoine Vigneron
 
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?Eloquant
 
Le GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaLe GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaJean-Michel Tyszka
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekPascal ALIX
 
Le GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - DocumentLe GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - DocumentJean-Michel Tyszka
 
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !Niji
 
GDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico LégauxGDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico LégauxYves Gattegno
 
RGPD / GDPR : Principes, Démarche, Outils
RGPD / GDPR : Principes, Démarche, OutilsRGPD / GDPR : Principes, Démarche, Outils
RGPD / GDPR : Principes, Démarche, OutilsaYaline
 
Enjeux du RGPD pour les PME
Enjeux du RGPD pour les PMEEnjeux du RGPD pour les PME
Enjeux du RGPD pour les PMEFred Gerdil
 
RGPD : Quels impacts pour vos actions marketing ?
RGPD : Quels impacts pour vos actions marketing ?RGPD : Quels impacts pour vos actions marketing ?
RGPD : Quels impacts pour vos actions marketing ?EmailStrategie
 
Présentation GDPR - Business & Decision
Présentation GDPR - Business & DecisionPrésentation GDPR - Business & Decision
Présentation GDPR - Business & DecisionBusiness & Decision
 
Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018Pierre Ammeloot
 
earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...Lexing - Belgium
 
Présentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnellesPrésentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnellesMarseille Innovation
 

Tendances (20)

Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
 
Comprendre le RGPD
Comprendre le RGPDComprendre le RGPD
Comprendre le RGPD
 
Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !
 
Données personnelles et SI - GDPR
Données personnelles et SI - GDPRDonnées personnelles et SI - GDPR
Données personnelles et SI - GDPR
 
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
 
Le GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaLe GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - Diaporama
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis Nystek
 
Le GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - DocumentLe GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - Document
 
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
 
Rgpd
RgpdRgpd
Rgpd
 
GDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico LégauxGDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico Légaux
 
RGPD / GDPR : Principes, Démarche, Outils
RGPD / GDPR : Principes, Démarche, OutilsRGPD / GDPR : Principes, Démarche, Outils
RGPD / GDPR : Principes, Démarche, Outils
 
Enjeux du RGPD pour les PME
Enjeux du RGPD pour les PMEEnjeux du RGPD pour les PME
Enjeux du RGPD pour les PME
 
Gdpr presentation
Gdpr presentationGdpr presentation
Gdpr presentation
 
RGPD : Quels impacts pour vos actions marketing ?
RGPD : Quels impacts pour vos actions marketing ?RGPD : Quels impacts pour vos actions marketing ?
RGPD : Quels impacts pour vos actions marketing ?
 
Présentation GDPR - Business & Decision
Présentation GDPR - Business & DecisionPrésentation GDPR - Business & Decision
Présentation GDPR - Business & Decision
 
Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018
 
earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...
 
Présentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnellesPrésentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnelles
 
Protection de la vie privée
Protection de la vie privée Protection de la vie privée
Protection de la vie privée
 

Similaire à Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper

27/04/17 Séminaire Données Personnelles
27/04/17 Séminaire Données Personnelles27/04/17 Séminaire Données Personnelles
27/04/17 Séminaire Données PersonnellesSoft Computing
 
BAROMÈTRE RGPD
BAROMÈTRE RGPDBAROMÈTRE RGPD
BAROMÈTRE RGPDConverteo
 
Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?
Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?
Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?Sollan France
 
"Take the L.E.A.D." l'offre globale de Sedona
"Take the L.E.A.D." l'offre globale de Sedona"Take the L.E.A.D." l'offre globale de Sedona
"Take the L.E.A.D." l'offre globale de SedonaAgence West
 
Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...
Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...
Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...Mailjet
 
Etapes Pratiques Pour La Mise En Conformité Au GDPR avec Talend
Etapes Pratiques Pour La Mise En Conformité Au GDPR avec TalendEtapes Pratiques Pour La Mise En Conformité Au GDPR avec Talend
Etapes Pratiques Pour La Mise En Conformité Au GDPR avec TalendJean-Michel Franco
 
Comment se mettre en conformité avec le GDPR ?
Comment se mettre en conformité avec le GDPR ?Comment se mettre en conformité avec le GDPR ?
Comment se mettre en conformité avec le GDPR ?Pramana
 
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018David Blampain
 
CWIN17 Paris / L'enjeu et la démarche GDPR pour l'entreprise
CWIN17 Paris / L'enjeu et la démarche GDPR pour l'entrepriseCWIN17 Paris / L'enjeu et la démarche GDPR pour l'entreprise
CWIN17 Paris / L'enjeu et la démarche GDPR pour l'entrepriseCapgemini
 
Track technologique gérer les risques et la conformité
Track technologique gérer les risques et la conformitéTrack technologique gérer les risques et la conformité
Track technologique gérer les risques et la conformitéVeritas Technologies LLC
 
Le RGPD, véritable opportunité vers la gouvernance de l’information
Le RGPD, véritable opportunité vers la gouvernance de l’informationLe RGPD, véritable opportunité vers la gouvernance de l’information
Le RGPD, véritable opportunité vers la gouvernance de l’informationPECB
 
Mailjet BigData - RGPD : les actions IT pour assurer la protection des données
Mailjet BigData - RGPD : les actions IT pour assurer la protection des donnéesMailjet BigData - RGPD : les actions IT pour assurer la protection des données
Mailjet BigData - RGPD : les actions IT pour assurer la protection des donnéesMailjet
 
Les points clés du GDPR ppt
Les points clés du GDPR ppt Les points clés du GDPR ppt
Les points clés du GDPR ppt Jeanny LUCAS
 
Les points clés du gdpr ppt
Les points clés du gdpr ppt Les points clés du gdpr ppt
Les points clés du gdpr ppt Jeanny LUCAS
 
Rgpd simplifié - Présentation CGA du 22/05/2018
Rgpd simplifié - Présentation CGA du 22/05/2018Rgpd simplifié - Présentation CGA du 22/05/2018
Rgpd simplifié - Présentation CGA du 22/05/2018cedric delberghe
 

Similaire à Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper (20)

27/04/17 Séminaire Données Personnelles
27/04/17 Séminaire Données Personnelles27/04/17 Séminaire Données Personnelles
27/04/17 Séminaire Données Personnelles
 
Matinée Micropole GDPR
Matinée Micropole GDPRMatinée Micropole GDPR
Matinée Micropole GDPR
 
BAROMÈTRE RGPD
BAROMÈTRE RGPDBAROMÈTRE RGPD
BAROMÈTRE RGPD
 
Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?
Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?
Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?
 
"Take the L.E.A.D." l'offre globale de Sedona
"Take the L.E.A.D." l'offre globale de Sedona"Take the L.E.A.D." l'offre globale de Sedona
"Take the L.E.A.D." l'offre globale de Sedona
 
Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...
Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...
Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...
 
Etapes Pratiques Pour La Mise En Conformité Au GDPR avec Talend
Etapes Pratiques Pour La Mise En Conformité Au GDPR avec TalendEtapes Pratiques Pour La Mise En Conformité Au GDPR avec Talend
Etapes Pratiques Pour La Mise En Conformité Au GDPR avec Talend
 
Comment se mettre en conformité avec le GDPR ?
Comment se mettre en conformité avec le GDPR ?Comment se mettre en conformité avec le GDPR ?
Comment se mettre en conformité avec le GDPR ?
 
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
 
CWIN17 Paris / L'enjeu et la démarche GDPR pour l'entreprise
CWIN17 Paris / L'enjeu et la démarche GDPR pour l'entrepriseCWIN17 Paris / L'enjeu et la démarche GDPR pour l'entreprise
CWIN17 Paris / L'enjeu et la démarche GDPR pour l'entreprise
 
Track technologique gérer les risques et la conformité
Track technologique gérer les risques et la conformitéTrack technologique gérer les risques et la conformité
Track technologique gérer les risques et la conformité
 
Atelier RGPD ANDRH 27.03.18
Atelier RGPD ANDRH 27.03.18Atelier RGPD ANDRH 27.03.18
Atelier RGPD ANDRH 27.03.18
 
Le RGPD, véritable opportunité vers la gouvernance de l’information
Le RGPD, véritable opportunité vers la gouvernance de l’informationLe RGPD, véritable opportunité vers la gouvernance de l’information
Le RGPD, véritable opportunité vers la gouvernance de l’information
 
Mailjet BigData - RGPD : les actions IT pour assurer la protection des données
Mailjet BigData - RGPD : les actions IT pour assurer la protection des donnéesMailjet BigData - RGPD : les actions IT pour assurer la protection des données
Mailjet BigData - RGPD : les actions IT pour assurer la protection des données
 
Rgpd
RgpdRgpd
Rgpd
 
Les points clés du GDPR ppt
Les points clés du GDPR ppt Les points clés du GDPR ppt
Les points clés du GDPR ppt
 
Les points clés du gdpr ppt
Les points clés du gdpr ppt Les points clés du gdpr ppt
Les points clés du gdpr ppt
 
Privacy by Design
Privacy by DesignPrivacy by Design
Privacy by Design
 
Rgpd simplifié - Présentation CGA du 22/05/2018
Rgpd simplifié - Présentation CGA du 22/05/2018Rgpd simplifié - Présentation CGA du 22/05/2018
Rgpd simplifié - Présentation CGA du 22/05/2018
 
Ageris privacy 2016
Ageris privacy 2016Ageris privacy 2016
Ageris privacy 2016
 

Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper

  • 1. Conformité RGPD Construire le futur de la sécurité des données, un avantage concurrentiel
  • 2. Avec une politique adaptée et les dispositions légales 2016 2020 €300 Md €729 Md 6.1 millions d’emploi 10.3 millions d’emploi PIB PIB1,99 3,74%% Source : IDC Europeean Data Market Study Le Marché Européen de la donnée
  • 3. La confiance numérique Valeur économique de la donnée Valeur des produits et services de la données 72% des internautes estiment qu’on leur demande encore trop de données 255 000 en 2016 50 milliards d’euros en 2016 359 000 en 2020 111 milliards en 2020 Source : IDC Europeean Data Market Study Le Marché de la donnée
  • 4. 20% 15% 15% 10% 10% 10% 5% 5% 5%5% 50% Part Exercice des droits Pilotage du programme Privacy By Design Politiques, directives et organisation Information des personnes et consentement Encadrement des transferts Communication, formation, sensibilisation Amélioration des mesures de sécurité Registre et principes associés Contrôles et Audit 10 CHANTIERS RGPD QUI CONCENTRENT LES INVESTISSEMENTS... Répartition du budget par chantier ASSURANCE + de 40 Business Units Près de 300 acteurs sollicités Pilotage en central par 4 ETP BANQUE ~ 50 entités Plus de 250 acteurs sollicités Pilotage en central par 3 ETP Source : Wavestone Programme RGPD en chiffres
  • 5.  Le renforcement de mesures destinées à augmenter le niveau de protection des individus Analyse Marché  Des innovations technologiques de plus en plus rapides et disruptives nécessitant une remise en cause fréquente des processus et des outils de l’entreprise  Une internationalisation des échanges plus marquée qu’auparavant, qui nécessite la prise en compte de règles juridiques plus nombreuses et parfois, difficilement (voire non) compatibles entre elles Les défis numériques de l’UE
  • 6. Solvency IIUDIBCBS 239 Meaningful Use Nov. 2012 L'agrégation des données de risque Sept. 2013 Identifier les instruments médicaux Nov. 2009 Le Bâle II Des assurances Fonds Propres Début 2011 Programme d’incitation financière EHR Mécanismes de conformité pouvant s’interfacer avec la RGPD GDPR Mai 2016 La protection des données personnelles La convergence conformité
  • 7.  GVA veut garantir à tous ces clients que se conformer aux exigences de cette nouvelle règlementation apporte un avantage concurrentiel aux, secteurs publiques, grands comptes et PME  Cette nouvelle offre, est un puissant moyen d’élargir les fondations économiques, culturelles et sociétales autour d’une démarche innovante et originale  Bâtir une filière d’excellence EXQUALIBUR, Excellence qualité au bureau et devenir ainsi l’acteur de confiance de la protection des données Objectif de l’offre
  • 8. RGPD GDPR Génération de revenues  Amandes de 2% ou 4% sur le CA Global  Impact sur l’Image  Exigences règlementaires  Protection renforcée  Gestion des traitements stratégiques  Accélérateur pour le cloud  Accélérateur pour la sécurité et la conformité Fidélisation à la marque et exploration de données pour l'amélioration du service à la clientèle et l'exploitation des données Valeur ajoutée commerciale
  • 9.  Pour réaliser ce projet de mise en conformité́ GDPR dans les temps, quelles actions prioritaires retenez-vous ? Au plan organisationnel, comment abordez-vous la mise en conformité́ GDPR ? Précisément, en tant que RSSI, quels choix avez-vous adopté pour réaliser la mise en conformité́ avec l’esprit des textes du GDPR ? Quelle approche proposez- vous pour aborder la problématique liée à la définition des données à caractère personnel au sein du Groupe et de l’ensemble de ses sociétés ?A l’issue de ce diagnostic réalisé, avez- vous pu réfléchir à différents points dont la capitalisation de l’existant ? Sondage métier RGPD
  • 10. Aucune donnée à caractère personnel n'est collectée au- delà du strict minimum nécessaire à chaque finalité du traitement Aucune donnée à caractère personnel n'est conservée au- delà du strict minimum nécessaire à chaque finalité du traitement Aucune donnée à caractère personnel n'est traitée au-delà du strict nécessaire de la finalité du traitement Aucune donnée à caractère personnel n'est divulguée à des tiers commerciaux Aucune donnée à personnel n’est vendue ou louée à des tiers Aucune donnée à caractère personnel n'est conservée sans encryption Data Matrix Framework Avant de commencer la mise en conformité voici les questions standards à se poser Analyse des écarts CNIL / GDPR Questions clés à poser Data Centric
  • 11.  Organisation adaptée  La GDPR prévoit pour tout organisme publique et entreprise de plus de 250 salariés, la désignation d’un délégué  Collaboration transversale  Métiers, Développeurs, Analystes, Juristes, DSI  Déclinaison du programme aux tiers  Les sous-traitants pourront être tenus co-responsables  Déployer la politique et les procédures  Le dispositif repose sur un ensemble de règles de conformité claires qui nécessites des procédures adaptées` et partagées au sein de l’organisation, mais également connues et contrôlées pour s’assurer de leur application Méthodes et approches
  • 12. Ayants droits Champs / Obligations Framework Lorsque le traitement repose sur le consentement comme base pour le traitement légal, ce consentement doit être donné gratuitement, sans ambiguïté, informé, spécifique, séparable d'autres documents et facile à révoquer Droits existants: - Droit d’accès - Droit d'objection - Droit de rectification Nouveaux droits: - Droit d'effacer - Droit de restreindre le traitement - Droit à la portabilité des données - Droit de ne pas être soumis à la prise de décision automatisée La confidentialité des données doit être prise en compte dans tous les projets, produits, services, processus, systèmes, etc. dès la phase de développement et pendant tout le cycle de vie Le contrôleur doit effectuer PIA si le traitement est susceptible de causer un risque élevé aux droits et libertés des individus Mesures de sécurité Identification des infractions de données, analyse de risque et plan d'intervention Notification aux autorités de protection des données, mais aussi à l'individu affecté si un risque élevé pour les droits et libertés est impliqué Des informations complètes et claires sur le traitement doivent être fournies par les contrôleurs aux particuliers Assurer et démontrer la conformité avec le GDPR à tout moment (responsabilisation) Mettre en place une gouvernance claire, y compris la nomination d’un agent de protection des données (DPD/DPO) et mettre en place un cadre approprié de surveillance de la conformité Conserver les registres du traitement La GDPR s’applique aux traitements de données à caractère personnel concernant un Etat membre de l’union par les organisations dans et en dehors de l’UE Aucun transfert de données personnelles en dehors de l’UE, à moins que certaines conditions ne soient remplies ou que des mécanismes soient utilisés (BCR) Les contrôleurs doivent inclure dans leurs contrats la liste élargie de leurs sous-traitants Certains aspects du GDPR sont maintenant directement applicables aux sous-traitants Le règlement s’applique au traitement Données CP*, automatisé, en partie, ou non automatisé contenues ou appelées à figurer dans un fichier. DCP* Données à caractère personnel Les piliers de la RGPD
  • 13. Du bon sens Une méthodologie basée sur les suggestions matures de la CNIL Analyse de l’existant Mener un état des lieux de ses clients au travers d’un questionnaire Sur mesures Ajuster son dispositif conseil en fonction des résultats de l’analyse de l’existant Une compétence Formaliser son offre de service au travers d’une démarche, d’une méthode (cadre et outils) et sa politique de servuction Les points clés de la démarches
  • 14. Obligations Etablir les registres Assurer une gouvernance des données (Audit, Processus et contrôle) par un DPO, Démontrer la mise en conformité n ’importe quand Privacy By design La confidentialité des données doit être prise en compte dans tous les projets, produits, services, processus, systèmes, etc. dès la phase de développement et pendant tout le cycle de vie DPIA Le contrôleur doit effectuer une analyse du risque encouru sur le traitement est susceptible de causer un risque élevé au regard des droits et libertés des personnes Approche canonique
  • 15. Obligations (DPO)DPIA - EIVPPrivacy By design Désigner un Délégué Etablir les registres et cartographier les traitements Constituer et regrouper la documentation nécessaire Recueil du consentement Informations et Notifications Accomplir les modalités de transferts hors UE, Règles Internes, Audit et Contrôles Evaluer la conformité Description du contexte du traitement Mesures de nature règlementaire et préventive Etude des atteintes potentielles (Source, Scenarios, Menaces, Réduction) Validation (Objectif, Plan, Formalisme) Organisation (projets, Processus, IT) Maitrise des données (Stockage, Anonymisation, Demandes,…) en environnement de développement, Qualification, Production Gestion des Incidents (DB, ..) Bonnes Pratiques Gestion des tiers Big Data, Architectures Approche Modélisée
  • 16. L’approche en 6 étapes - CNIL Par Guillaume VALCIN – Aout 2017 – DRAFT – Non Validé
  • 17. Avant Désigner un Pilote Cartographier systèmes Prioriser les actions Gérer les risques Organiser la conformité Documenter Pour mesurer concrètement l’impact de la GDPR commencez par recenser l’ensemble de vos traitement de données, élaborer un registre des traitements A partir du registre, identifier les actions pour vous conformer aux obligations, prioriser ces actions au regard des risques que font peser vos traitements Pour chacun des traitements comportant des risques jugés élevés vous devez procéder à une analyse d’impact sur la protection des données Mettre en place les processus internes qui garantissent la prise en compte de la protection des données à tout moment Pour prouver la conformité, vous devez constituer et regrouper la documentation nécessaire, les documents doivent être contrôlés et réactualisés Le DPD/DPO, remplace le CIL, responsable de l’accompagnement et du contrôle interne de la protection des données Méthode
  • 18. Désigner un Pilote Le DPD/DPO, remplace le CIL, responsable de l’accompagnement et du contrôle interne de la protection des données Vous avez désigné un pilote au sein de votre structure chargé de mettre en œuvre la conformité (lettre de mission) en lui affectant les ressources nécessaires Vous lui avez affecté les moyens humains et financiers nécessaires pour mettre en œuvre ses missions CNIL, la méthode, Les jalons clés du succès Vous avez rencontré les entités qui traitent de données personnelles Vous avez établi la liste des traitements par finalité Vous avez identifié tous les acteurs Vous connaissez tous les flux et les unités de stockage et combien de temps elles sont conservées Pour mesurer concrètement l’impact de la GDPR commencez par recenser l’ensemble de vos traitement de données, élaborer un registre des traitements Cartographier systèmes A partir du registre, identifier les actions pour vous conformer aux obligations, prioriser ces actions au regard des risques que font peser vos traitements Prioriser les actions Vous avez mis en place les premières mesures pour protéger les personnes contre vos traitements et identifié les traitements à risque (PbD) Etapes
  • 19. Vous avez désigné un pilote au sein de votre structure chargé de mettre en œuvre la conformité (lettre de mission) en lui affectant les ressources nécessaires Vous lui avez affecté les moyens humains et financiers nécessaires pour mettre en œuvre ses missions CNIL, la méthode, Les jalons clés du succès Votre documentation démontre que vous respectez les obligations prévues par le règlement général de la protection des données Votre documentation démontre que vous respectez les obligations prévues par le règlement général de la protection des données Gérer les risques Pour chacun des traitements comportant des risques jugés élevés vous devez procéder à une analyse d’impact sur la protection des données Organiser la conformité Mettre en place les processus internes qui garantissent la prise en compte de la protection des données à tout moment Documenter Pour prouver la conformité, vous devez constituer et regrouper la documentation nécessaire, les documents doivent être contrôlés et réactualisés Etapes
  • 20. Pour que votre conformité se déroule bien, n’en faites pas tout un film GDPR MOVIE
  • 21. Maturité et plan d’actions Maturité Preuve + Contrôle des mesures juridiques et techniques labellisation Protection de la vie privée + Codes de conduite + Certification Intégration des DCP dans les projets (Privacy By Design) + + EIVP/DPIA + Privacy By Design respect des droits de la PC + Plan d'assurance Sécurité + Adjonction d'outils SSI (Security By Default) Registre de traitement des données Politique et Cadre de gouvernance Faible Moyenne Pratique de Base prise en compte par l'organisme Forte Pratique de base mise en œuvre de façon partielle Pratique inexistante Processus défini, décrit, adapté à l'organisme, généralisé et bien compris par le management et par les exécutants Processus coordonné et contrôlé à l'aide d'indicateurs permettant de corriger les défauts 1 2 3 4 5 Mai - 2018Temps Sensibilisation, Formation, Directions, Métiers + Utilisateurs, Nomination du Chef de Projet, CIL/DPO
  • 22. CONNAISSANCE Périmètre Responsabilité Gestion de risque Coût Votre S.I. possède de nombreux composants technologiques complexes, dont beaucoup possèdent les architectures de sécurité propriétaires. Une connaissance spécialisée de chaque composant est nécessaire pour garantir une sécurité de sécurité adéquate des systèmes et des applications Votre S.I. est seulement aussi fort que son composant le plus faible. Focus a toujours été sur l'instance / client productif, mais il doit maintenant être étendu à une dimension holistique pour fournir une plate-forme résiliente et sécurisée pour le traitement des données personnelles. Décider quels risques doivent être atténués et Comment est souvent artisanal - décision en temps utile sur le déploiement de notre outils publié chaque mois qui affecte le le S.I. et comment prioriser les activités d'assainissement. L'automatisation de l'évaluation de l'ensemble du S.I. est coûteuse. Sans automatisation, il devra être évalué régulièrement, laissant ainsi la brèche de l’erreur humaine. Défis techniques
  • 23. Conformité Contrôle efficace Automatisation Population Processus Technologie Gouvernance de confidentialité des données – Briques principales et facilitateurs Pour assurer une conformité durable, les projets de gestion d'identification et d'accès devraient se concentrer sur les trois dimensions: personnes, processus et technologie Gouvernance de la vie privée Politiques, normes et stratégie de sécurité Technologies Processus du cycle de vie des données privées Gestion des accès et administration des Processus Processus de gestion de la sécurité Démontre Affecte Supporté par Fait appliquer Appuie agit Le modèle de gouvernance soutien les changements et l'application des politiques et contribue à accélérer l'adoption de contrôles adéquats et efficaces
  • 24. Implémentation RGPD Outils Outils Outils Outils Outils Outils Outils Outils Outils Outils Outils Outils Outils Gouvernance, politiques, règles et documentation Sécurité opérationnelle Minimisation des données Protection opérationnelle des données Surveillance des activités liées aux données Gestion des incidents et des violations RTBF / Gestion des consentements Brouillage : Anonymisation et/ou Masquage Chiffrement des données Stockage / Suppression / Archivage Transfer / Modification / Restitution Applications Infrastructures et périphériques Revues d’architecture Entrepôts de données Données structurées Données non structurées Outils Outils Outils Outils Outils Mise en conformité RGPD GAP ANALYSIS T0 RGPD Processus métiers Consentements Protection des données Accountability Privacy By Default Inventaire/Registre
  • 25. Couche gouvernance Politiques Métadonnées Gestion de la conformité Couche Gestion des données Gestion des informations sur le cycle de vie Couche conformité & Sécu Sécurité et Vie Privée Informations légales Gestions des droits individus Politique de gouvernance Gouvernance des données Découverte des données et classification Accès au données Brouillage IAM Filtrage De contenu Surveillance Sur les données stockées en base et sur les répertoires Vulnérabilités BD, Apps, Infra Réponse à Incident Gestion des incidents Reporting AC/CO Droits DCP LEG PbD Données Sensibles RSSI, DPO, CPO Conformité Juridique AC : Accountability ; CO : Conformité ; DCP : Données à caractère personnel ; LEG : Légal ; PbD : Privacy By Design DBA/AdminUtilisateur RGDP en pratique Information Governance catalog Information Analyzer Identify Governance Intelligence Application Scanner
  • 26.  Etat des lieux des pratiques  Connaitre les couts et les objectifs  Privacy By Design : Mesures existantes  Evaluation des impacts DPIA  Définir les priorités + paralléliser les tâches + tâches manquantes Phase 1 : analyse préalable Etude d’opportunité Etat des lieux Etudes des options (politique et périmètre) Phase 2 : Mise ne place de la structure de base Gouvernance de la sécurité Documentation Audit Interne et suivi des actions Formation et sensibilisation Indicateurs Phase 3 : Mise ne place des processus Appréciation des risques Mise à jour des mesures existantes Ajout de mesures manquantes Revue Phase 4 : Démarrage Revue Préparation de l’audit Audit à blanc Plan de remédiation Dépendances  Privacy By Design : Nouvelles mesures Time Line Cycle de vie PDP
  • 27. DPD/DPO Chargé de piloter la mise en conformité des traitements DCP* Destinataire Chargé de recevoir une communication des DCP Ayants Droits Directement concerné par les données traitées et couvert par des droits Responsable Commandite les traitements de DCP Sous-Traitant Met à disposition tout ou partie des moyens de traitements DCP Autorités Chargé du contrôle de conformité et des pénalités ou sanctions Qui intervient dans la conformité RGDP ? RGPD GDPR Les acteurs de la RGPD
  • 28. Surveillance et Enregistrement Email Applications Périphériques Réseaux Cloud / Big Data Où sont localisés les DCP Traitement Où vont ces données Politique applicable Nécessité de suivre les données personnelles tout au long du cycle de vie - à la fois en repos (stockage) et en mouvement (utilisation) Alerte • Détection Notifier • Conscience Rapide • Intention Chiffrer • Protection Bloc • Protection Masque • Dois savoir Données non structurées • Lire • Écrire • Copier / coller • Déplacer • Impression • Brûler • Télécharger Données structurées • Voir • Modifier • Supprimer • Extraire Découverte • Ordinateurs de bureau • Serveurs • Stockage Classification • Etiquetage Contenu • Similitude • Mot-clé • Dictionnaire Contexte • Serveur • Application • Type de fichier • Utilisateur L’enchainement de la classification des données
  • 29. Indice Libellé Données 4 Secret Informations nominatives : - Informations de santé : pathologie, antécédents familiaux, observation médicale, - situations ou comportements à risques - Informations relatives aux infractions, condamnations ou mesures de sûreté (infractions, condamnations, mesures de sécurité) - Informations relatives à des suspicions de fraudes ou d’infractions - Origines raciales ou ethniques, opinions politiques, philosophiques, religieuses, appartenances syndicales des personnes, la vie sexuelle Informations non nominatives : - Informations liées à l’organisation et à la stratégie de l’organisme, dont la révélation aurait un impact négatif sur la conduite de ses missions - Informations liées aux mécanismes de fraudes et aux failles ou vulnérabilités de sécurité, dont la révélation pourrait être exploitée pour nuire aux missions de l’organisme 3 Confidentiel Toute information nominative ne rentrant pas dans la classe « secret » et notamment : - NIR, Etat-civil, identité, données d’identification (nom, prénom, adresse, photographie, date, lieu de naissance), - Appréciation sur les difficultés sociales des personnes - Informations d’ordre économique et financière (revenus, situation financière) - Vie personnelle : habitude de vie, situation familiale et sociale - Vie professionnelle : CV, Situation professionnelle, Scolarité, formation, Distinction - Informations biométriques : contour de la main, empreintes digitales, réseaux veineux, iris de l’œil, reconnaissance faciale, reconnaissance vocale, autre procédé 2 Restreint - Données de localisation (déplacement, données GPS, GSM, etc) par satellite, par téléphone mobile ou autre (adresse IP, logs, etc) - Identifiants des terminaux, Identifiants de connexions, Information d’horodatage… - procédures, description de processus, instructions, Intranet - enregistrements non nominatifs (dates, heures, actions, états, etc.) - informations personnelles que le salarié a identifié explicitement comme telles dans le système d’information - Données de connexion 1 Public Informations ayant vocation à être publiées : éditoriaux, publication Extranet, statistiques publiables, campagnes de communication, etc. Cartographie des DCP
  • 30. IDM : Rôles et autorisations IAM : Gestion des accès GRC Brouillage et chiffrement Violation des données Surveillance des données Comment s'assurer que les informations personnelles et l'information système sont correctement protégées? Il existe plusieurs façons qui peuvent conduire à accéder aux données personnelles dans un environnement applicatif, outre l'accès transactionnel de l'application. Nous nous assurons de les vérifier tous .... Complexité sur les données
  • 31. Cadre Organisationnel Cadre IT & Sécurité Cadre Juridique  Classification des données  Privacy By Design Init  Evaluation des impacts  Procédures de notification  Mentions légales  Gestion du consentement  Transfrontalier  Licéité & PII/DFS  DPO & Registre  Politiques & Exigences  Gouvernance/Pilotage  Communication/Edu Gestion IT de la RGPD
  • 32. Cadre IT & Sécurité DPIA Toolbox Architecture Toolbox Data Management Toolbox  Classification des données  Privacy By Design Init  Evaluation des impacts  Procédures de notification Notification Toolbox Data Processing Toolbox La RGPD dans la sécurité
  • 33. Gestion des patrimoines  Recenser  Identifier  Protéger  Réagir Data Centric Security Centre de réponse aux incidents Gestion des risques Centre de sécurité Opérationnel Expertise Métiers, Conformité, Juristes, Sécurité Découverte de données et classification Hiérarchiser, Evaluer les risques Mettre en œuvre les mesures Documentation : Cartographie, Formalisme, Recommandations d’Audit, Recommandations du contrôle interne Anticiper une violation Réagir face à une violation La boite à outils PDP *PDP : Protection des données
  • 34. Etude d’impact sur la vie privée Définition des mesures techniques (chiffrement, Anonymisation, masquage,…) Approbation du PIA par le DPO et Spécification des exigences Révision de l’architecture vie privée Documentation sur les finalités, étendue du traitement, stockage, exigences d'accessibilité Enregistrement des évènements Réévaluation continue du traitement Le processus de gestion du changement comprend l'évaluation de la sécurité et la signature Test fonctionnel de sécurité de pré-production Évaluation de la sécurité post- production Traitement de gestion des correctifs Métriques et rapports Signature de sécurité fonctionnelle par sécurité responsable Planning & exigences Design & Architecture Recette TMA Production MaintenanceDéveloppement Privacy By design Protection standard Sécurité Applicative Privacy by Design La SDLC Privacy by Design
  • 35. Chaine de création de valeur Des données Collection transmission Préparation Stockage L'information est soumise par les utilisateurs, fournis par des organismes publics, captée sur le Web à l'aide de courtiers de données, capturés par des sondes... Utilisation du réseau de télécommunications ou de fournisseur de services de téléphonie mobile dans des centres de données localisées ou utilisant des services cloud Testez et vérifiez l'exactitude; intégration dans un ensemble unique de données intelligibles grande analyse de données: analyse statistique, visualisation et autres techniques de reporting et d'analyse, y compris la construction automatisée de modèles analytiques connus sous le nom de machine learning La chaine de valeur des données
  • 36. Classification DPIA Registre Identification Authentification Habilitation Traçabilité Masquage Contrôle Chiffrement Brouillage Nettoyage logs Nettoyage SGBD Limitation Eliminer les textes clairs Contrôle : export, dump, reporting *Brouillage: Masquage, Pseudonymisation anonymisation, Tokenisation *Limitation: Eliminer Les données pas nécessaires Classification Licéité Justification Création Traitement Sauvegarde Partage/Transfert Archivage Suppression Scanner Marquer Classifier Analyse Protection Client Limitation Dépendances Relations Monitoring Le cycle de vie PDP
  • 37. Assurer la protection des données Brouillage des données Mise à l’épreuve des données brouilléesDonnées de production Anonymisation Pseudonymisation Encryption Inintelligible Intelligible Indéchiffrable IPP DFS Confidentielle
  • 38. Configurations Journalisation Conditions des journaux Console Des journaux Base de données Des logs enregistrés Suivi des données Défis des clients: • Conformité aux règles de confidentialité des données • Conformité aux normes de l'industrie • Surveiller l'accès aux données classifiées, par exemple Informations sur les actifs de l'entreprise ou les données sur les salaires • Comment surveiller les actions des utilisateurs sur un besoin de savoir-faire • Comment gérer les journaux de données? La gestion des logs
  • 39. Pas de risque pour les droits et libertés Risque pour les droits et libertés Risques élevés pour les droits et libbertés Documentation interne & Devoir pour le sous- traitant d’aviser le responsable Notifier Les autorités Notifier l’ayant droit En cours - Délai (max 72h) - Peut être en plusieurs phases Sans délai 1) Faits entourant la violation (2) Effets (3) Actions correctives (1) Nature de la violation (catégories et nombres de personnes concernées et dossiers concernés (2) Coordonnées DPO (3) Conséquences de la violation (4) Actions correctives (1) Nature de la violation (2) Coordonnées DPO (3) Conséquences de la violation (4) Mesures correctives Violation De données Déclencheur Obligations Limites Contenu La gestion des violations
  • 40. Le DPO, le référent RGPD/PDP Par Guillaume VALCIN – Aout 2017 Je viens d’un endroit ou si vous voyez un serpent, vous le tuez. Chez Général Motors si vous voyez un serpent, la première chose à faire et d’engager un spécialiste en serpent – H. Ross PEROT
  • 41. Le marché des profils Data Scientist Chief Data Officier Chief Technologie Officer 1 2 3 67% 16% 13% Des recherches
  • 42. Informer / Sensibiliser Animer le cadre légal Responsabiliser / Alerter Analyser/Investiguer Auditer/Contrôler Documenter/ Prouver Arbitrer / Communiquer Rapporter / Présenter Veiller avec la CNPD Savoir faire Positionnement hiérarchique Assurer son implication Fournir les ressources nécessaires Facilité l’accès aux données Formation continue Intégration Conflit d’intérêt Secret Professionnel Master PDP Droit numérique Gestion des risques PDP (CNIL/EU95) Savoir Aucun Diplôme Faire Savoir Technologies IT Savoir Etre Métier Indépendance Objectivité /Probité Intégrité / résistanceReporter / Notifier Conseiller Anatomie DPO AFCDP
  • 43. Communiquer Animer un réseau Informer/Conseiller Coopérer avec les CNPD Aux juristes Contrôler la conformité Conseiller les DPIA Missions Positionnement efficace Assurer son implication Pas responsable En cas d’échec Facilité l’accès aux traitements< Dans un état membre Connaissance activité Expertise législations Protection des données Savoir Aucun Diplôme Faire Savoir Maitrise des traitements Savoir Etre IT & Sécurité Indépendance implication Aux Experts (IT/COM) Traducteur Direction Fournir les ressources IndépendanceAccès aux traitements Conflit d’intérêt Facilité l’accès aux Données Formulaire en ligne Le 25 mai 2018 réaliser l’inventaire des traitements évaluer ses pratiques et mettre en place des procédures identifier les risques établir une politique de protection des données personnelles sensibiliser les opérationnels et la direction Protection Anatomie DPO CNIL
  • 44. DPO 2017 Technique Juridique Communication Organisation 30% 20% 40% 10% Paysage des CIL en France :  profil technique à 47%,  profil juridique à 19%  profil administratif à 10% Information : Anatomie DPO
  • 45. Contacter GVA < Adresse Nos bureaux 40 bis rue du Pdt Wilson Informations GVA Conseil A la croisée de la sécurité d'aujourd'hui et de demain Contact 07 70 48 53 28 Guillaume.valcin@laposte.net
  • 46. Fin Construire le futur de la sécurité des données, un avantage concurrentiel