Livre Blanc sur la Mise en. Conformité de la Règlementation Générale sur la Protection des Données en Europe et pour toutes les entreprises ayant une relation commerciale avec les données à caractère personnel des citoyens européens.
White Paper on Implementation. Conformity of the General Data Protection Regulation in Europe and for all companies having a commercial relationship with the personal data of European citizens.
2. Avec une politique
adaptée et les
dispositions légales
2016 2020
€300 Md €729 Md
6.1
millions
d’emploi
10.3
millions
d’emploi
PIB PIB1,99 3,74%%
Source : IDC Europeean Data Market Study
Le Marché Européen de la donnée
3. La confiance numérique Valeur économique de la donnée
Valeur des produits et services
de la données
72% des internautes
estiment qu’on leur
demande encore trop de
données
255 000 en 2016
50 milliards d’euros en 2016
359 000 en 2020
111 milliards en 2020
Source : IDC Europeean Data Market Study
Le Marché de la donnée
4. 20%
15%
15%
10%
10%
10%
5%
5%
5%5%
50%
Part
Exercice des droits
Pilotage du programme
Privacy By Design
Politiques, directives et organisation
Information des personnes et consentement
Encadrement des transferts
Communication, formation, sensibilisation
Amélioration des mesures de sécurité
Registre et principes associés
Contrôles et Audit
10 CHANTIERS RGPD
QUI CONCENTRENT
LES
INVESTISSEMENTS...
Répartition du budget
par chantier
ASSURANCE
+ de 40 Business Units
Près de 300 acteurs
sollicités Pilotage en
central par 4 ETP
BANQUE
~ 50 entités
Plus de 250 acteurs
sollicités Pilotage en
central par 3 ETP
Source : Wavestone
Programme RGPD en chiffres
5. Le renforcement de mesures destinées à
augmenter le niveau de protection des
individus
Analyse Marché
Des innovations technologiques de plus
en plus rapides et disruptives
nécessitant une remise en cause
fréquente des processus et des outils
de l’entreprise
Une internationalisation des échanges plus
marquée qu’auparavant, qui nécessite la prise
en compte de règles juridiques plus
nombreuses et parfois, difficilement (voire
non) compatibles entre elles
Les défis numériques de l’UE
6. Solvency IIUDIBCBS 239 Meaningful Use
Nov. 2012
L'agrégation des
données de
risque
Sept. 2013
Identifier les
instruments
médicaux
Nov. 2009
Le Bâle II
Des assurances
Fonds Propres
Début 2011
Programme
d’incitation
financière EHR
Mécanismes de conformité pouvant s’interfacer avec la RGPD
GDPR
Mai 2016
La protection des
données
personnelles
La convergence conformité
7. GVA veut garantir à tous ces clients que se
conformer aux exigences de cette nouvelle
règlementation apporte un avantage
concurrentiel aux, secteurs publiques,
grands comptes et PME
Cette nouvelle offre, est un puissant moyen
d’élargir les fondations économiques,
culturelles et sociétales autour d’une
démarche innovante et originale
Bâtir une filière d’excellence EXQUALIBUR,
Excellence qualité au bureau et devenir
ainsi l’acteur de confiance de la protection
des données
Objectif de l’offre
8. RGPD
GDPR
Génération de revenues
Amandes de 2% ou 4% sur le CA Global
Impact sur l’Image
Exigences règlementaires
Protection renforcée
Gestion des traitements stratégiques
Accélérateur pour le cloud
Accélérateur pour la sécurité et la
conformité
Fidélisation à la marque et exploration de données pour l'amélioration du service à la clientèle et l'exploitation des données
Valeur ajoutée commerciale
9. Pour réaliser ce projet de
mise en conformité́ GDPR
dans
les temps, quelles actions
prioritaires retenez-vous ?
Au plan organisationnel,
comment abordez-vous la
mise en conformité́ GDPR ?
Précisément, en tant que
RSSI, quels choix avez-vous
adopté pour réaliser la mise
en conformité́ avec l’esprit
des textes du GDPR ?
Quelle approche proposez-
vous pour aborder la
problématique liée à la
définition des données à
caractère personnel au sein du
Groupe et de l’ensemble de ses
sociétés ?A l’issue de ce diagnostic
réalisé, avez- vous pu
réfléchir à différents points
dont la capitalisation de
l’existant ?
Sondage métier RGPD
10. Aucune donnée à caractère
personnel n'est collectée au-
delà du strict minimum
nécessaire à chaque finalité du
traitement
Aucune donnée à caractère
personnel n'est conservée au-
delà du strict minimum
nécessaire à chaque finalité du
traitement
Aucune donnée à caractère
personnel n'est traitée au-delà
du strict nécessaire de la
finalité du traitement
Aucune donnée à caractère
personnel n'est divulguée à des
tiers commerciaux
Aucune donnée à personnel
n’est vendue ou louée à des
tiers
Aucune donnée à caractère
personnel n'est conservée sans
encryption
Data Matrix
Framework
Avant de commencer
la mise en conformité
voici les questions
standards à se poser
Analyse des écarts
CNIL / GDPR
Questions
clés à poser
Data Centric
11. Organisation adaptée
La GDPR prévoit pour tout organisme publique et entreprise
de plus de 250 salariés, la désignation d’un délégué
Collaboration transversale
Métiers, Développeurs, Analystes, Juristes, DSI
Déclinaison du programme aux tiers
Les sous-traitants pourront être tenus co-responsables
Déployer la politique et les procédures
Le dispositif repose sur un ensemble de règles de
conformité claires qui nécessites des procédures
adaptées` et partagées au sein de l’organisation, mais
également connues et contrôlées pour s’assurer de leur
application
Méthodes et approches
12. Ayants droits Champs / Obligations Framework
Lorsque le traitement repose sur le
consentement comme base pour le
traitement légal, ce consentement doit être
donné gratuitement, sans ambiguïté, informé,
spécifique, séparable d'autres documents et
facile à révoquer
Droits existants:
- Droit d’accès
- Droit d'objection
- Droit de rectification
Nouveaux droits:
- Droit d'effacer
- Droit de restreindre le traitement
- Droit à la portabilité des données
- Droit de ne pas être soumis à la prise de
décision automatisée
La confidentialité des données doit être
prise en compte dans tous les projets,
produits, services, processus, systèmes, etc.
dès la phase de développement et pendant
tout le cycle de vie
Le contrôleur doit effectuer PIA si le
traitement est susceptible de causer un risque
élevé aux droits et libertés des individus
Mesures de sécurité
Identification des infractions de données,
analyse de risque et plan d'intervention
Notification aux autorités de protection des
données, mais aussi à l'individu affecté si un
risque élevé pour les droits et libertés est
impliqué
Des informations complètes et claires sur le
traitement doivent être fournies par les
contrôleurs aux particuliers
Assurer et démontrer la conformité avec le
GDPR à tout moment (responsabilisation)
Mettre en place une gouvernance claire, y
compris la nomination d’un agent de
protection des données (DPD/DPO) et mettre
en place un cadre approprié de surveillance
de la conformité
Conserver les registres du traitement
La GDPR s’applique aux traitements de
données à caractère personnel concernant un
Etat membre de l’union par les organisations
dans et en dehors de l’UE
Aucun transfert de données personnelles en
dehors de l’UE, à moins que certaines
conditions ne soient remplies ou que des
mécanismes soient utilisés (BCR)
Les contrôleurs doivent inclure dans leurs
contrats la liste élargie de leurs sous-traitants
Certains aspects du GDPR sont maintenant
directement applicables aux sous-traitants
Le règlement s’applique au traitement
Données CP*, automatisé, en partie, ou non
automatisé contenues ou appelées à figurer
dans un fichier.
DCP* Données à caractère personnel
Les piliers de la RGPD
13. Du bon sens
Une méthodologie basée sur
les suggestions matures de la
CNIL
Analyse de l’existant
Mener un état des lieux de ses
clients au travers d’un
questionnaire
Sur mesures
Ajuster son dispositif conseil
en fonction des résultats de
l’analyse de l’existant
Une compétence
Formaliser son offre de service au
travers d’une démarche, d’une
méthode (cadre et outils) et sa
politique de servuction
Les points clés de la démarches
14. Obligations
Etablir les registres
Assurer une gouvernance
des données (Audit,
Processus et contrôle) par un
DPO, Démontrer la mise en
conformité n ’importe quand
Privacy By design
La confidentialité des
données doit être prise en
compte dans tous les projets,
produits, services, processus,
systèmes, etc. dès la phase
de développement et
pendant tout le cycle de vie
DPIA
Le contrôleur doit effectuer
une analyse du risque
encouru sur le traitement est
susceptible de causer un
risque élevé au regard des
droits et libertés des
personnes
Approche canonique
15. Obligations (DPO)DPIA - EIVPPrivacy By design
Désigner un Délégué
Etablir les registres et
cartographier les traitements
Constituer et regrouper la
documentation nécessaire
Recueil du consentement
Informations et Notifications
Accomplir les modalités de
transferts hors UE, Règles
Internes, Audit et Contrôles
Evaluer la conformité
Description du contexte du
traitement
Mesures de nature
règlementaire et préventive
Etude des atteintes potentielles
(Source, Scenarios, Menaces,
Réduction)
Validation (Objectif, Plan,
Formalisme)
Organisation (projets, Processus, IT)
Maitrise des données (Stockage,
Anonymisation, Demandes,…)
en environnement de
développement, Qualification,
Production
Gestion des Incidents (DB, ..)
Bonnes Pratiques
Gestion des tiers
Big Data, Architectures
Approche Modélisée
16. L’approche en 6 étapes - CNIL
Par Guillaume VALCIN – Aout 2017 – DRAFT – Non Validé
17. Avant
Désigner un Pilote
Cartographier systèmes
Prioriser les actions
Gérer les risques
Organiser la conformité
Documenter
Pour mesurer concrètement l’impact de la GDPR commencez par recenser
l’ensemble de vos traitement de données, élaborer un registre des traitements
A partir du registre, identifier les actions pour vous conformer aux obligations,
prioriser ces actions au regard des risques que font peser vos traitements
Pour chacun des traitements comportant des risques jugés élevés vous devez
procéder à une analyse d’impact sur la protection des données
Mettre en place les processus internes qui garantissent la prise en compte de la
protection des données à tout moment
Pour prouver la conformité, vous devez constituer et regrouper la
documentation nécessaire, les documents doivent être contrôlés et réactualisés
Le DPD/DPO, remplace le CIL, responsable de l’accompagnement et du
contrôle interne de la protection des données
Méthode
18. Désigner un Pilote
Le DPD/DPO, remplace le CIL, responsable de
l’accompagnement et du contrôle interne de la protection
des données
Vous avez désigné un pilote au sein de votre structure chargé de
mettre en œuvre la conformité (lettre de mission) en lui affectant les
ressources nécessaires
Vous lui avez affecté les moyens humains et financiers nécessaires
pour mettre en œuvre ses missions
CNIL, la méthode, Les jalons clés du succès
Vous avez rencontré les entités qui traitent de données personnelles
Vous avez établi la liste des traitements par finalité
Vous avez identifié tous les acteurs
Vous connaissez tous les flux et les unités de stockage et combien de temps
elles sont conservées
Pour mesurer concrètement l’impact de la GDPR
commencez par recenser l’ensemble de vos traitement
de données, élaborer un registre des traitements
Cartographier
systèmes
A partir du registre, identifier les actions pour vous conformer aux
obligations, prioriser ces actions au regard des risques que font
peser vos traitements
Prioriser les
actions
Vous avez mis en place les premières mesures pour protéger les
personnes contre vos traitements et identifié les traitements à risque
(PbD)
Etapes
19. Vous avez désigné un pilote au sein de votre structure chargé de
mettre en œuvre la conformité (lettre de mission) en lui affectant les
ressources nécessaires
Vous lui avez affecté les moyens humains et financiers nécessaires
pour mettre en œuvre ses missions
CNIL, la méthode, Les jalons clés du succès
Votre documentation démontre que vous respectez les
obligations prévues par le règlement général de la protection
des données
Votre documentation démontre que vous respectez les
obligations prévues par le règlement général de la
protection des données
Gérer les risques
Pour chacun des traitements comportant des risques jugés élevés vous
devez procéder à une analyse d’impact sur la protection des données
Organiser la
conformité
Mettre en place les processus internes qui garantissent la prise
en compte de la protection des données à tout moment
Documenter
Pour prouver la conformité, vous devez constituer et regrouper la
documentation nécessaire, les documents doivent être contrôlés et
réactualisés
Etapes
20. Pour que votre conformité se déroule bien, n’en faites pas tout un film
GDPR MOVIE
21. Maturité et plan d’actions
Maturité
Preuve
+
Contrôle des mesures
juridiques et
techniques
labellisation
Protection de la vie
privée + Codes de
conduite
+
Certification
Intégration des DCP
dans les projets
(Privacy By Design)
+
+ EIVP/DPIA
+ Privacy By Design
respect des droits de
la PC
+
Plan d'assurance
Sécurité
+
Adjonction d'outils SSI
(Security By Default)
Registre de traitement
des données
Politique et Cadre de
gouvernance
Faible Moyenne
Pratique de Base prise
en compte par
l'organisme
Forte
Pratique de base mise
en œuvre de façon
partielle
Pratique inexistante
Processus défini,
décrit, adapté à
l'organisme,
généralisé et bien
compris par le
management et par
les exécutants
Processus coordonné
et contrôlé à l'aide
d'indicateurs
permettant de
corriger les défauts
1 2 3 4 5
Mai - 2018Temps
Sensibilisation, Formation, Directions, Métiers
+
Utilisateurs, Nomination du Chef de Projet, CIL/DPO
22. CONNAISSANCE
Périmètre
Responsabilité
Gestion de risque
Coût
Votre S.I. possède de nombreux composants technologiques complexes,
dont beaucoup possèdent les architectures de sécurité propriétaires. Une
connaissance spécialisée de chaque composant est nécessaire pour
garantir une sécurité de sécurité adéquate des systèmes et des
applications
Votre S.I. est seulement aussi fort que son composant le plus faible. Focus
a toujours été sur l'instance / client productif, mais il doit maintenant être
étendu à une dimension holistique pour fournir une plate-forme résiliente et
sécurisée pour le traitement des données personnelles.
Décider quels risques doivent être atténués et Comment est souvent
artisanal - décision en temps utile sur le déploiement de notre outils publié
chaque mois qui affecte le le S.I. et comment prioriser les activités
d'assainissement.
L'automatisation de l'évaluation de l'ensemble du S.I. est coûteuse. Sans
automatisation, il devra être évalué régulièrement, laissant ainsi la brèche
de l’erreur humaine.
Défis techniques
23. Conformité
Contrôle
efficace
Automatisation
Population
Processus
Technologie
Gouvernance de confidentialité des données – Briques principales et facilitateurs
Pour assurer une conformité durable, les projets de gestion d'identification et d'accès devraient se
concentrer sur les trois dimensions: personnes, processus et technologie
Gouvernance
de la vie privée
Politiques, normes et stratégie de sécurité
Technologies
Processus du
cycle de vie des
données privées
Gestion des
accès et
administration
des Processus
Processus de
gestion de la
sécurité
Démontre Affecte
Supporté
par
Fait
appliquer
Appuie
agit
Le modèle de gouvernance soutien les changements et l'application des politiques et contribue à accélérer
l'adoption de contrôles adéquats et efficaces
24. Implémentation RGPD
Outils
Outils
Outils
Outils
Outils
Outils
Outils
Outils
Outils
Outils
Outils
Outils
Outils
Gouvernance, politiques, règles et documentation
Sécurité opérationnelle
Minimisation des données
Protection opérationnelle des données
Surveillance des activités liées aux données
Gestion des incidents et des violations
RTBF / Gestion des consentements
Brouillage : Anonymisation et/ou Masquage
Chiffrement des données
Stockage / Suppression / Archivage
Transfer / Modification / Restitution
Applications
Infrastructures et périphériques
Revues d’architecture
Entrepôts de données
Données structurées
Données non structurées
Outils
Outils
Outils
Outils
Outils
Mise en conformité
RGPD
GAP ANALYSIS
T0 RGPD
Processus métiers
Consentements
Protection des données
Accountability
Privacy By Default
Inventaire/Registre
25. Couche gouvernance
Politiques
Métadonnées
Gestion de la conformité
Couche Gestion des
données
Gestion des
informations sur le cycle
de vie
Couche conformité & Sécu
Sécurité et Vie Privée
Informations légales
Gestions des droits
individus
Politique de
gouvernance
Gouvernance des
données
Découverte des
données et
classification
Accès au données Brouillage
IAM
Filtrage
De contenu
Surveillance
Sur les données
stockées en base et
sur les répertoires
Vulnérabilités
BD, Apps, Infra
Réponse à
Incident
Gestion des
incidents
Reporting
AC/CO
Droits
DCP
LEG
PbD
Données
Sensibles
RSSI, DPO, CPO
Conformité
Juridique
AC : Accountability ; CO : Conformité ; DCP : Données à caractère personnel ; LEG : Légal ; PbD : Privacy By Design
DBA/AdminUtilisateur
RGDP en pratique
Information
Governance
catalog
Information
Analyzer
Identify
Governance
Intelligence
Application
Scanner
26. Etat des lieux des pratiques
Connaitre les couts et les objectifs
Privacy By Design : Mesures existantes
Evaluation des impacts
DPIA
Définir les priorités + paralléliser
les tâches + tâches manquantes
Phase 1 : analyse préalable
Etude d’opportunité
Etat des lieux
Etudes des options (politique et périmètre)
Phase 2 : Mise ne place de la structure de base
Gouvernance de la sécurité
Documentation
Audit Interne et suivi des actions
Formation et sensibilisation
Indicateurs
Phase 3 : Mise ne place des processus
Appréciation des risques
Mise à jour des mesures existantes
Ajout de mesures manquantes
Revue
Phase 4 : Démarrage
Revue
Préparation de l’audit
Audit à blanc
Plan de remédiation
Dépendances
Privacy By Design : Nouvelles mesures
Time Line
Cycle de vie PDP
27. DPD/DPO
Chargé de
piloter la mise
en conformité
des traitements
DCP*
Destinataire
Chargé de
recevoir une
communication
des DCP
Ayants
Droits
Directement
concerné par les
données traitées
et couvert par
des droits
Responsable
Commandite les
traitements de
DCP
Sous-Traitant
Met à disposition
tout ou partie des
moyens de
traitements DCP
Autorités
Chargé du
contrôle de
conformité et des
pénalités ou
sanctions
Qui intervient dans
la conformité RGDP ?
RGPD
GDPR
Les acteurs de la RGPD
28. Surveillance et Enregistrement
Email
Applications
Périphériques
Réseaux
Cloud / Big Data
Où sont localisés les DCP Traitement Où vont ces données Politique applicable
Nécessité de suivre les données personnelles tout au long du cycle de vie - à la fois en repos (stockage) et en mouvement (utilisation)
Alerte
• Détection
Notifier
• Conscience
Rapide
• Intention
Chiffrer
• Protection
Bloc
• Protection
Masque
• Dois savoir
Données non
structurées
• Lire
• Écrire
• Copier / coller •
Déplacer
• Impression
• Brûler
• Télécharger
Données structurées
• Voir
• Modifier •
Supprimer • Extraire
Découverte
• Ordinateurs de bureau
• Serveurs
• Stockage
Classification
• Etiquetage
Contenu
• Similitude
• Mot-clé
• Dictionnaire
Contexte
• Serveur
• Application
• Type de fichier
• Utilisateur
L’enchainement
de la classification des données
29. Indice Libellé Données
4 Secret
Informations nominatives :
- Informations de santé : pathologie, antécédents familiaux, observation médicale,
- situations ou comportements à risques
- Informations relatives aux infractions, condamnations ou mesures de sûreté (infractions, condamnations, mesures de sécurité)
- Informations relatives à des suspicions de fraudes ou d’infractions
- Origines raciales ou ethniques, opinions politiques, philosophiques, religieuses, appartenances syndicales des personnes, la vie sexuelle
Informations non nominatives :
- Informations liées à l’organisation et à la stratégie de l’organisme, dont la révélation aurait un impact négatif sur la conduite de ses missions
- Informations liées aux mécanismes de fraudes et aux failles ou vulnérabilités de sécurité, dont la révélation pourrait être exploitée pour nuire aux
missions de l’organisme
3 Confidentiel
Toute information nominative ne rentrant pas dans la classe « secret » et notamment :
- NIR, Etat-civil, identité, données d’identification (nom, prénom, adresse, photographie, date, lieu de naissance),
- Appréciation sur les difficultés sociales des personnes
- Informations d’ordre économique et financière (revenus, situation financière)
- Vie personnelle : habitude de vie, situation familiale et sociale
- Vie professionnelle : CV, Situation professionnelle, Scolarité, formation, Distinction
- Informations biométriques : contour de la main, empreintes digitales, réseaux veineux, iris de l’œil, reconnaissance faciale, reconnaissance vocale,
autre procédé
2 Restreint
- Données de localisation (déplacement, données GPS, GSM, etc) par satellite, par téléphone mobile ou autre
(adresse IP, logs, etc)
- Identifiants des terminaux, Identifiants de connexions, Information d’horodatage…
- procédures, description de processus, instructions, Intranet
- enregistrements non nominatifs (dates, heures, actions, états, etc.)
- informations personnelles que le salarié a identifié explicitement comme telles dans le système d’information - Données de connexion
1 Public Informations ayant vocation à être publiées : éditoriaux, publication Extranet, statistiques publiables, campagnes de communication, etc.
Cartographie des DCP
30. IDM : Rôles et autorisations
IAM : Gestion des accès GRC
Brouillage et chiffrement
Violation des données
Surveillance des données
Comment s'assurer que les informations
personnelles et l'information système
sont correctement protégées?
Il existe plusieurs façons qui peuvent
conduire à accéder aux données
personnelles dans un environnement
applicatif, outre l'accès transactionnel de
l'application. Nous nous assurons de les
vérifier tous ....
Complexité sur les données
31. Cadre Organisationnel Cadre IT & Sécurité Cadre Juridique
Classification des
données
Privacy By Design Init
Evaluation des impacts
Procédures de
notification
Mentions légales
Gestion du consentement
Transfrontalier
Licéité & PII/DFS
DPO & Registre
Politiques & Exigences
Gouvernance/Pilotage
Communication/Edu
Gestion IT de la RGPD
32. Cadre IT & Sécurité
DPIA Toolbox
Architecture Toolbox
Data Management Toolbox
Classification des
données
Privacy By Design Init
Evaluation des impacts
Procédures de
notification
Notification Toolbox
Data Processing Toolbox
La RGPD dans la sécurité
33. Gestion des patrimoines
Recenser
Identifier
Protéger
Réagir
Data Centric Security
Centre de réponse aux
incidents
Gestion des risques
Centre de sécurité
Opérationnel
Expertise
Métiers, Conformité, Juristes, Sécurité
Découverte de données et
classification
Hiérarchiser, Evaluer les risques
Mettre en œuvre les mesures
Documentation : Cartographie,
Formalisme, Recommandations d’Audit,
Recommandations du contrôle interne
Anticiper une violation
Réagir face à une violation
La boite à outils PDP
*PDP : Protection des données
34. Etude d’impact
sur la vie privée
Définition des
mesures
techniques
(chiffrement,
Anonymisation,
masquage,…)
Approbation du
PIA par le DPO
et Spécification
des exigences
Révision de
l’architecture
vie privée
Documentation sur
les finalités, étendue
du traitement,
stockage, exigences
d'accessibilité
Enregistrement
des
évènements
Réévaluation
continue du
traitement
Le processus de
gestion du
changement
comprend
l'évaluation de la
sécurité et la
signature
Test fonctionnel
de sécurité de
pré-production
Évaluation de la
sécurité post-
production
Traitement
de gestion
des correctifs
Métriques
et rapports
Signature de
sécurité
fonctionnelle par
sécurité
responsable
Planning &
exigences
Design &
Architecture
Recette
TMA
Production MaintenanceDéveloppement
Privacy By design
Protection standard
Sécurité
Applicative
Privacy by
Design
La SDLC Privacy by Design
35. Chaine de création de valeur
Des données
Collection
transmission
Préparation
Stockage
L'information est soumise par
les utilisateurs, fournis par des
organismes publics, captée sur
le Web à l'aide de courtiers de
données, capturés par des
sondes...
Utilisation du réseau de
télécommunications ou de
fournisseur de services de téléphonie
mobile
dans des centres de données
localisées ou utilisant des
services cloud
Testez et vérifiez l'exactitude;
intégration dans un ensemble
unique de données intelligibles
grande analyse de données: analyse statistique, visualisation et autres techniques de reporting et d'analyse, y compris la
construction automatisée de modèles analytiques connus sous le nom de machine learning
La chaine de valeur
des données
37. Assurer la protection des données
Brouillage des données
Mise à l’épreuve des
données brouilléesDonnées de production
Anonymisation
Pseudonymisation
Encryption
Inintelligible
Intelligible
Indéchiffrable
IPP
DFS
Confidentielle
38. Configurations Journalisation
Conditions des
journaux
Console
Des journaux
Base de données
Des logs enregistrés
Suivi des données
Défis des clients:
• Conformité aux règles de confidentialité des données
• Conformité aux normes de l'industrie
• Surveiller l'accès aux données classifiées, par exemple
Informations sur les actifs de l'entreprise ou les données
sur les salaires
• Comment surveiller les actions des utilisateurs sur un
besoin de savoir-faire
• Comment gérer les journaux de données?
La gestion des logs
39. Pas de risque
pour les droits
et libertés
Risque pour les
droits et
libertés
Risques élevés
pour les droits
et libbertés
Documentation interne
& Devoir pour le sous-
traitant d’aviser le
responsable
Notifier
Les autorités
Notifier
l’ayant droit
En cours
- Délai (max 72h)
- Peut être en
plusieurs phases
Sans délai
1) Faits entourant la
violation
(2) Effets
(3) Actions correctives
(1) Nature de la violation
(catégories et nombres de
personnes concernées et dossiers
concernés
(2) Coordonnées DPO
(3) Conséquences de la violation
(4) Actions correctives
(1) Nature de la violation
(2) Coordonnées DPO
(3) Conséquences de la
violation (4) Mesures
correctives
Violation
De données
Déclencheur Obligations Limites Contenu
La gestion des violations
40. Le DPO, le référent
RGPD/PDP
Par Guillaume VALCIN – Aout 2017
Je viens d’un endroit ou si vous voyez un serpent, vous le tuez.
Chez Général Motors si vous voyez un serpent, la première chose à faire
et d’engager un spécialiste en serpent – H. Ross PEROT
41. Le marché des profils
Data Scientist Chief Data Officier Chief Technologie Officer
1 2 3
67% 16% 13%
Des recherches
42. Informer / Sensibiliser
Animer le cadre légal
Responsabiliser / Alerter
Analyser/Investiguer
Auditer/Contrôler
Documenter/ Prouver
Arbitrer / Communiquer
Rapporter / Présenter
Veiller avec la CNPD
Savoir faire
Positionnement
hiérarchique
Assurer son
implication
Fournir les ressources
nécessaires
Facilité l’accès aux
données
Formation continue
Intégration Conflit d’intérêt
Secret Professionnel
Master PDP
Droit numérique
Gestion des risques
PDP (CNIL/EU95)
Savoir
Aucun Diplôme
Faire Savoir
Technologies IT
Savoir Etre
Métier
Indépendance
Objectivité /Probité
Intégrité / résistanceReporter / Notifier
Conseiller
Anatomie DPO AFCDP
43. Communiquer
Animer un réseau
Informer/Conseiller
Coopérer avec les CNPD
Aux juristes
Contrôler la conformité
Conseiller les DPIA
Missions
Positionnement
efficace
Assurer son
implication
Pas responsable
En cas d’échec
Facilité l’accès aux
traitements<
Dans un état membre
Connaissance activité
Expertise législations
Protection des données
Savoir
Aucun Diplôme
Faire Savoir
Maitrise des traitements
Savoir Etre
IT & Sécurité
Indépendance
implication
Aux Experts (IT/COM)
Traducteur
Direction
Fournir les ressources
IndépendanceAccès aux traitements
Conflit d’intérêt
Facilité l’accès aux
Données
Formulaire en ligne
Le 25 mai 2018
réaliser l’inventaire des traitements
évaluer ses pratiques et mettre en place des
procédures
identifier les risques
établir une politique de protection des données
personnelles
sensibiliser les opérationnels et la direction
Protection
Anatomie DPO CNIL
45. Contacter GVA
<
Adresse
Nos bureaux
40 bis rue du Pdt
Wilson
Informations
GVA Conseil
A la croisée de la
sécurité
d'aujourd'hui et
de demain
Contact
07 70 48 53 28
Guillaume.valcin@laposte.net