Livre Blanc sur la Mise en. Conformité de la Règlementation Générale sur la Protection des Données en Europe et pour toutes les entreprises ayant une relation commerciale avec les données à caractère personnel des citoyens européens. White Paper on Implementation. Conformity of the General Data Protection Regulation in Europe and for all companies having a commercial relationship with the personal data of European citizens.

1. Conformité RGPD
Construire le futur de la sécurité des données, un avantage concurrentiel

2. Avec une politique
adaptée et les
dispositions légales
2016 2020
€300 Md €729 Md
6.1
millions
d’emploi
10.3
millions
d’emploi
PIB PIB1,99 3,74%%
Source : IDC Europeean Data Market Study
Le Marché Européen de la donnée

3. La confiance numérique Valeur économique de la donnée
Valeur des produits et services
de la données
72% des internautes
estiment qu’on leur
demande encore trop de
données
255 000 en 2016
50 milliards d’euros en 2016
359 000 en 2020
111 milliards en 2020
Source : IDC Europeean Data Market Study
Le Marché de la donnée

4. 20%
15%
15%
10%
10%
10%
5%
5%
5%5%
50%
Part
Exercice des droits
Pilotage du programme
Privacy By Design
Politiques, directives et organisation
Information des personnes et consentement
Encadrement des transferts
Communication, formation, sensibilisation
Amélioration des mesures de sécurité
Registre et principes associés
Contrôles et Audit
10 CHANTIERS RGPD
QUI CONCENTRENT
LES
INVESTISSEMENTS...
Répartition du budget
par chantier
ASSURANCE
+ de 40 Business Units
Près de 300 acteurs
sollicités Pilotage en
central par 4 ETP
BANQUE
~ 50 entités
Plus de 250 acteurs
sollicités Pilotage en
central par 3 ETP
Source : Wavestone
Programme RGPD en chiffres

5. § Le renforcement de mesures destinées à
augmenter le niveau de protection des
individus
Analyse Marché
§ Des innovations technologiques de plus
en plus rapides et disruptives
nécessitant une remise en cause
fréquente des processus et des outils
de l’entreprise
§ Une internationalisation des échanges plus
marquée qu’auparavant, qui nécessite la prise
en compte de règles juridiques plus
nombreuses et parfois, difficilement (voire
non) compatibles entre elles
Les défis numériques de l’UE

6. Solvency IIUDIBCBS 239 Meaningful Use
Nov. 2012
L'agrégation des
données de
risque
Sept. 2013
Identifier les
instruments
médicaux
Nov. 2009
Le Bâle II
Des assurances
Fonds Propres
Début 2011
Programme
d’incitation
financière EHR
Mécanismes de conformité pouvant s’interfacer avec la RGPD
GDPR
Mai 2016
La protection des
données
personnelles
La convergence conformité

7. § GVA veut garantir à tous ces clients que se
conformer aux exigences de cette nouvelle
règlementation apporte un avantage
concurrentiel aux, secteurs publiques,
grands comptes et PME
§ Cette nouvelle offre, est un puissant moyen
d’élargir les fondations économiques,
culturelles et sociétales autour d’une
démarche innovante et originale
§ Bâtir une filière d’excellence EXQUALIBUR,
Excellence qualité au bureau et devenir
ainsi l’acteur de confiance de la protection
des données
Objectif de l’offre

8. RGPD
GDPR
Génération de revenues
§ Amandes de 2% ou 4% sur le CA Global
§ Impact sur l’Image
§ Exigences règlementaires
§ Protection renforcée
§ Gestion des traitements stratégiques
§ Accélérateur pour le cloud
§ Accélérateur pour la sécurité et la
conformité
Fidélisation à la marque et exploration de données pour l'amélioration du service à la clientèle et l'exploitation des données
Valeur ajoutée commerciale

9. § Pour réaliser ce projet de
mise en conformité́ GDPR
dans
les temps, quelles actions
prioritaires retenez-vous ?
§Au plan organisationnel,
comment abordez-vous la
mise en conformité́ GDPR ?
§Précisément, en tant que
RSSI, quels choix avez-vous
adopté pour réaliser la mise
en conformité́ avec l’esprit
des textes du GDPR ?
§Quelle approche proposez-
vous pour aborder la
problématique liée à la
définition des données à
caractère personnel au sein du
Groupe et de l’ensemble de ses
sociétés ?§A l’issue de ce diagnostic
réalisé, avez- vous pu réfléchir
à différents points dont la
capitalisation de l’existant ?
Sondage métier RGPD

10. Aucune donnée à caractère
personnel n'est collectée au-
delà du strict minimum
nécessaire à chaque finalité du
traitement
Aucune donnée à caractère
personnel n'est conservée au-
delà du strict minimum
nécessaire à chaque finalité du
traitement
Aucune donnée à caractère
personnel n'est traitée au-delà
du strict nécessaire de la
finalité du traitement
Aucune donnée à caractère
personnel n'est divulguée à des
tiers commerciaux
Aucune donnée à personnel
n’est vendue ou louée à des
tiers
Aucune donnée à caractère
personnel n'est conservée sans
encryption
Data Matrix
Framework
Avant de commencer
la mise en conformité
voici les questions
standards à se poser
Analyse des écarts
CNIL / GDPR
Questions
clés à poser
Data Centric

11. § Organisation adaptée
§ La GDPR prévoit pour tout organisme publique et entreprise
de plus de 250 salariés, la désignation d’un délégué
§ Collaboration transversale
§ Métiers, Développeurs, Analystes, Juristes, DSI
§ Déclinaison du programme aux tiers
§ Les sous-traitants pourront être tenus co-responsables
§ Déployer la politique et les procédures
§ Le dispositif repose sur un ensemble de règles de
conformité claires qui nécessites des procédures
adaptées` et partagées au sein de l’organisation, mais
également connues et contrôlées pour s’assurer de leur
application
Méthodes et approches

12. Ayants droits Champs / Obligations Framework
* Lorsque le traitement repose sur le
consentement comme base pour le
traitement légal, ce consentement doit être
donné gratuitement, sans ambiguïté, informé,
spécifique, séparable d'autres documents et
facile à révoquer
* Droits existants:
- Droit d’accès
- Droit d'objection
- Droit de rectification
* Nouveaux droits:
- Droit d'effacer
- Droit de restreindre le traitement
- Droit à la portabilité des données
- Droit de ne pas être soumis à la prise de
décision automatisée
* La confidentialité des données doit être
prise en compte dans tous les projets,
produits, services, processus, systèmes, etc.
dès la phase de développement et pendant
tout le cycle de vie
* Le contrôleur doit effectuer PIA si le
traitement est susceptible de causer un risque
élevé aux droits et libertés des individus
* Mesures de sécurité
* Identification des infractions de données,
analyse de risque et plan d'intervention
* Notification aux autorités de protection
des données, mais aussi à l'individu affecté si
un risque élevé pour les droits et libertés est
impliqué
* Des informations complètes et claires sur
le traitement doivent être fournies par les
contrôleurs aux particuliers
* Assurer et démontrer la conformité avec le
GDPR à tout moment (responsabilisation)
* Mettre en place une gouvernance claire, y
compris la nomination d’un agent de
protection des données (DPD/DPO) et mettre
en place un cadre approprié de surveillance
de la conformité
* Conserver les registres du traitement
* La GDPR s’applique aux traitements de
données à caractère personnel concernant un
Etat membre de l’union par les organisations
dans et en dehors de l’UE
* Aucun transfert de données personnelles
en dehors de l’UE, à moins que certaines
conditions ne soient remplies ou que des
mécanismes soient utilisés (BCR)
* Les contrôleurs doivent inclure dans leurs
contrats la liste élargie de leurs sous-traitants
* Certains aspects du GDPR sont maintenant
directement applicables aux sous-traitants
* Le règlement s’applique au traitement
Données CP*, automaisé, en parie, ou non
automaisé contenues ou appelées à figurer
dans un fichier.
DCP* Données à caractère personnel
Les piliers de la RGPD

13. Du bon sens
Une méthodologie basée sur
les suggestions matures de la
CNIL
Analyse de l’existant
Mener un état des lieux de ses
clients au travers d’un
questionnaire
Sur mesures
Ajuster son dispositif conseil
en fonction des résultats de
l’analyse de l’existant
Une compétence
Formaliser son offre de service au
travers d’une démarche, d’une
méthode (cadre et outils) et sa
politique de servuction
Les points clés de la démarches

14. Obligations
Etablir les registres
Assurer une gouvernance
des données (Audit,
Processus et contrôle) par un
DPO, Démontrer la mise en
conformité n ’importe quand
Privacy By design
La confidentialité des
données doit être prise en
compte dans tous les projets,
produits, services, processus,
systèmes, etc. dès la phase
de développement et
pendant tout le cycle de vie
DPIA
Le contrôleur doit effectuer
une analyse du risque
encouru sur le traitement est
susceptible de causer un
risque élevé au regard des
droits et libertés des
personnes
Approche canonique

15. Obligations (DPO)DPIA - EIVPPrivacy By design
Désigner un Délégué
Etablir les registres et
cartographier les traitements
Constituer et regrouper la
documentation nécessaire
Recueil du consentement
Informations et Notifications
Accomplir les modalités de
transferts hors UE, Règles
Internes, Audit et Contrôles
Evaluer la conformité
Description du contexte du
traitement
Mesures de nature
règlementaire et préventive
Etude des atteintes potentielles
(Source, Scenarios, Menaces,
Réduction)
Validation (Objectif, Plan,
Formalisme)
Organisation (projets, Processus, IT)
Maitrise des données (Stockage,
Anonymisation, Demandes,…)
en environnement de
développement, Qualification,
Production
Gestion des Incidents (DB, ..)
Bonnes Pratiques
Gestion des tiers
Big Data, Architectures
Approche Modélisée

16. L’approche en 6 étapes - CNIL
Par Guillaume VALCIN – Aout 2017 – DRAFT – Non Validé

17. Avant
Désigner un Pilote
Cartographier systèmes
Prioriser les actions
Gérer les risques
Organiser la conformité
Documenter
Pour mesurer concrètement l’impact de la GDPR commencez par recenser
l’ensemble de vos traitement de données, élaborer un registre des traitements
A partir du registre, identifier les actions pour vous conformer aux obligations,
prioriser ces actions au regard des risques que font peser vos traitements
Pour chacun des traitements comportant des risques jugés élevés vous devez
procéder à une analyse d’impact sur la protection des données
Mettre en place les processus internes qui garantissent la prise en compte de la
protection des données à tout moment
Pour prouver la conformité, vous devez constituer et regrouper la
documentation nécessaire, les documents doivent être contrôlés et réactualisés
Le DPD/DPO, remplace le CIL, responsable de l’accompagnement et du
contrôle interne de la protection des données
Méthode

18. Désigner un Pilote
Le DPD/DPO, remplace le CIL, responsable de
l’accompagnement et du contrôle interne de la protection
des données
Vous avez désigné un pilote au sein de votre structure chargé de
mettre en œuvre la conformité (lettre de mission) en lui affectant les
ressources nécessaires
Vous lui avez affecté les moyens humains et financiers nécessaires
pour mettre en œuvre ses missions
CNIL, la méthode, Les jalons clés du succès
Vous avez rencontré les entités qui traitent de données personnelles
Vous avez établi la liste des traitements par finalité
Vous avez identifié tous les acteurs
Vous connaissez tous les flux et les unités de stockage et combien de temps
elles sont conservées
Pour mesurer concrètement l’impact de la GDPR
commencez par recenser l’ensemble de vos traitement
de données, élaborer un registre des traitements
Cartographier
systèmes
A partir du registre, identifier les actions pour vous conformer aux
obligations, prioriser ces actions au regard des risques que font
peser vos traitements
Prioriser les
actions
Vous avez mis en place les premières mesures pour protéger les
personnes contre vos traitements et identifié les traitements à risque
(PbD)
Etapes

19. Vous avez désigné un pilote au sein de votre structure chargé de
mettre en œuvre la conformité (lettre de mission) en lui affectant les
ressources nécessaires
Vous lui avez affecté les moyens humains et financiers nécessaires
pour mettre en œuvre ses missions
CNIL, la méthode, Les jalons clés du succès
Votre documentation démontre que vous respectez les
obligations prévues par le règlement général de la protection
des données
Votre documentation démontre que vous respectez les
obligations prévues par le règlement général de la
protection des données
Gérer les risques
Pour chacun des traitements comportant des risques jugés élevés vous
devez procéder à une analyse d’impact sur la protection des données
Organiser la
conformité
Mettre en place les processus internes qui garantissent la prise
en compte de la protection des données à tout moment
Documenter
Pour prouver la conformité, vous devez constituer et regrouper la
documentation nécessaire, les documents doivent être contrôlés et
réactualisés
Etapes

20. Prendre en compte : la protection des données dès la conception d’une application
ou d’un traitement (minimisation, cookies, durée de conservation, mentions légales,
recueil du consentement, CIDT, responsabiliser des acteurs dans la mise en œuvre
Sensibiliser : prévoir un plan de sensibilisation, formation, acculturation sur la
politique et les usages de la protection des données
Traiter : Les demandes des personnes concernées (droit d’accès, d’opposition, de
portabilité, d’altération, retrait du consentement)
Anticiper : les violations des droits et libertés des personnes, prévoir dans certains
cas une notification dans les 72 heures, auprès des autorités et des personnes
concernées
Organiser les processus

21. Les documents sur vos traitements
Le registre des traitements
Les Analyses d’impact (DPIA)
Les procédures d’encadrement des données
Les documents relatifs aux personnes
Les mentions légales
Les modèles de recueil de consentement
Les procédures mises en place pour
l’exercice des droits des personnes
Les documents relatifs aux responsabilités
Les contrats avec les sous-traitants
Les procédures internes en cas d’incident
La preuve des consentements
ASSISTANCE
TECHNIQUE
ASSISTANCE
TECHNIQUE
ASSISTANCE
TECHNIQUE
SYNACK
EN DIRECT
CABINET
PARTENAIRE
CABINET
PARTENAIRE
Documenter

22. Traitement des données
• Le registre de traitement des
données
• Les analyses d’impact sur la
protection des données
• L’encadrement des transferts
Information des personnes
• Les mentions d’information
• Les modèles de recueil du
consentement des personnes
concernées
• Les procédures mises en place
pour l’exercice des droits
Traitement des données
• Le registre de traitement des
données
• Les analyses d’impact sur la
protection des données
• L’encadrement des transferts
Information des personnes
• Les mentions d’information
• Les modèles de recueil du
consentement des personnes
concernées
• Les procédures mises en place
pour l’exercice des droits
Les contrats qui définissent les rôles
et les responsabilités des acteurs
• Les contrats avec les sous-
traitants
• Les procédures internes en cas de
violation des données
• Les preuves que les personnes
concernées ont donné leur
consentement
Livrables

23. Pour que votre conformité se déroule bien, n’en faites pas tout un film
GDPR MOVIE

24. Evaluation de La Mise en Conformité GDPR
catégorie Périmètre Sous-Périmètre Très élevé Elevé Moyen intermédiaire Faible Score
Gouvernance
répondre
Assurance (gestion des enregistrements de données personnelles et
sécurité)
Répondre aux personnes concernées
Répondre et signaler un litige / une enquête réglementaire
Inventaire
Modèles de traitement de données
Inventaire des données personnelles / Sensibles
Inventaire des Systèmes et applications
politique
Gestion des politique
Protection des données personnelles
Gestion des enregistrements
Architecture Intégration du Privacy By default / By Design
Obligations Cartographie des flux
Responsabilité (Accountability)
GRC
DPIA (Analyse d’impact sur les données, groupe de données, et
traitements
Analyse des risques et
remédiation
Programme Analyse des écarts (GAP Analysis)
Très élevé Elevé Moyen intermédiaire Faible Score
Traitement et gestion du cycle de vie de
la donnée
consentement
Structure et Management des consentements
Obtention de la méthodologie et de la couverture
Cartographie et Traitements
Découverte des données
Précision
Limitation des objectifs du traitement
Minimisation des données
Transformation / Transfert
Pseudonymisation/Anonymisation
Limitation du stockage
Contrôle du transfert / BCR
Use / Share Licéité : traitement légal et transparent
Base Légale du traitement des données
Exigences contractuelles
Archivage Gestion de la retention des données
Gestionde l’archivage
Droits des individus Droits des individus
Gestion des
enregistrements
Gestion des enregistrements pour les données personnelles
Cartographie des flux de données
Gestion des enregistrements pour les traitements de données
personnelles
Très élévé Elevé Moyen intermédiaire Faible Score
Sécurité Notifications Notification pour les autorités de régulation (CNIL)
Notification pour les individus impactés
Sécurité des données Encryption de données / Pseudonymisation
Sécurité des données (Serveur, Unité de stockage, …)
Gestion des clées de chiffrement

25. Maturité et plan d’actions
Maturité
Preuve
+
Contrôle des mesures
juridiques et
techniques
labellisation
Protection de la vie
privée + Codes de
conduite
+
Certification
Intégration des DCP
dans les projets
(Privacy By Design)
+
+ EIVP/DPIA
+ Privacy By Design
respect des droits de
la PC
+
Plan d'assurance
Sécurité
+
Adjonction d'outils SSI
(Security By Default)
Registre de traitement
des données
Politique et Cadre de
gouvernance
Faible Moyenne
Pratique de Base prise
en compte par
l'organisme
Forte
Pratique de base mise
en œuvre de façon
partielle
Pratique inexistante
Processus défini,
décrit, adapté à
l'organisme,
généralisé et bien
compris par le
management et par
les exécutants
Processus coordonné
et contrôlé à l'aide
d'indicateurs
permettant de
corriger les défauts
1 2 3 4 5
Mai - 2018Temps
Sensibilisation, Formation, Directions, Métiers
+
Utilisateurs, Nomination du Chef de Projet, CIL/DPO

26. CONNAISSANCE
Périmètre
Responsabilité
Gestion de risque
Coût
Votre S.I. possède de nombreux composants technologiques complexes,
dont beaucoup possèdent les architectures de sécurité propriétaires. Une
connaissance spécialisée de chaque composant est nécessaire pour
garantir une sécurité de sécurité adéquate des systèmes et des
applications
Votre S.I. est seulement aussi fort que son composant le plus faible. Focus
a toujours été sur l'instance / client productif, mais il doit maintenant être
étendu à une dimension holistique pour fournir une plate-forme résiliente
et sécurisée pour le traitement des données personnelles.
Décider quels risques doivent être atténués et Comment est souvent
artisanal - décision en temps utile sur le déploiement de notre outils
publié chaque mois qui affecte le le S.I. et comment prioriser les activités
d'assainissement.
L'automatisation de l'évaluation de l'ensemble du S.I. est coûteuse. Sans
automatisation, il devra être évalué régulièrement, laissant ainsi la brèche
de l’erreur humaine.
Défis techniques

27. Conformité
Contrôle
efficace
Automatisation
Population
Processus
Technologie
Gouvernance de confidentialité des données – Briques principales et facilitateurs
Pour assurer une conformité durable, les projets de gestion d'identification et d'accès devraient se
concentrer sur les trois dimensions: personnes, processus et technologie
Gouvernance
de la vie privée
Politiques, normes et stratégie de sécurité
Technologies
Processus du
cycle de vie des
données privées
Gestion des
accès et
administration
des Processus
Processus de
gestion de la
sécurité
Démontre Affecte
Supporté
par
Fait
appliquer
Appuie
agit
Le modèle de gouvernance soutien les changements et l'application des politiques et contribue à accélérer
l'adoption de contrôles adéquats et efficaces

28. Implémentation RGPD
Outils
Outils
Outils
Outils
Outils
Outils
Outils
Outils
Outils
Outils
Outils
Outils
Outils
Gouvernance, politiques, règles et documentation
Sécurité opérationnelle
Minimisation des données
Protection opérationnelle des données
Surveillance des activités liées aux données
Gestion des incidents et des violations
RTBF / Gestion des consentements
Brouillage : Anonymisation et/ou Masquage
Chiffrement des données
Stockage / Suppression / Archivage
Transfer / Modification / Restitution
Applications
Infrastructures et périphériques
Revues d’architecture
Entrepôts de données
Données structurées
Données non structurées
Outils
Outils
Outils
Outils
Outils
Mise en conformité
RGPD
GAP ANALYSIS
T0 RGPD
Processus métiers
Consentements
Protection des données
Accountability
Privacy By Default
Inventaire/Registre

29. Couche gouvernance
Politiques
Métadonnées
Gestion de la conformité
Couche Gestion des
données
Gestion des
informations sur le cycle
de vie
Couche conformité & Sécu
Sécurité et Vie Privée
Informations légales
Gestions des droits
individus
Politique de
gouvernance
Gouvernance des
données
Découverte des
données et
classification
Accès au données Brouillage
IAM
Filtrage
De contenu
Surveillance
Sur les données
stockées en base et
sur les répertoires
Vulnérabilités
BD, Apps, Infra
Réponse à
Incident
Gestion des
incidents
Reporting
AC/CO
Droits
DCP
LEG
PbD
Données
Sensibles
RSSI, DPO, CPO
Conformité
Juridique
AC : Accountability ; CO : Conformité ; DCP : Données à caractère personnel ; LEG : Légal ; PbD : Privacy By Design
DBA/AdminUtilisateur
RGDP en pratique
Information
Governance
catalog
Information
Analyzer
Identify
Governance
Intelligence
Application
Scanner

30. § Etat des lieux des pratiques
§ Connaitre les couts et les objectifs
§ Privacy By Design : Mesures existantes
§ Evaluation des impacts
DPIA
§ Définir les priorités + paralléliser
les tâches + tâches manquantes
Phase 1 : analyse préalable
Etude d’opportunité
Etat des lieux
Etudes des options (politique et périmètre)
Phase 2 : Mise ne place de la structure de base
Gouvernance de la sécurité
Documentation
Audit Interne et suivi des actions
Formation et sensibilisation
Indicateurs
Phase 3 : Mise ne place des processus
Appréciation des risques
Mise à jour des mesures existantes
Ajout de mesures manquantes
Revue
Phase 4 : Démarrage
Revue
Préparation de l’audit
Audit à blanc
Plan de remédiation
Dépendances
§ Privacy By Design : Nouvelles mesures
Time Line
Cycle de vie PDP

31. DPD/DPO
Chargé de
piloter la mise
en conformité
des traitements
DCP*
Destinataire
Chargé de
recevoir une
communication
des DCP
Ayants
Droits
Directement
concerné par les
données traitées
et couvert par
des droits
Responsable
Commandite les
traitements de
DCP
Sous-Traitant
Met à disposition
tout ou partie des
moyens de
traitements DCP
Autorités
Chargé du
contrôle de
conformité et des
pénalités ou
sanctions
Qui intervient dans
la conformité RGDP ?
RGPD
GDPR
Les acteurs de la RGPD

32. Surveillance et Enregistrement
Email
Applications
Périphériques
Réseaux
Cloud / Big Data
Où sont localisés les DCP Traitement Où vont ces données Politique applicable
Nécessité de suivre les données personnelles tout au long du cycle de vie - à la fois en repos (stockage) et en mouvement (utilisation)
Alerte
• Détection
Notifier
• Conscience
Rapide
• Intention
Chiffrer
• Protection
Bloc
• Protection
Masque
• Dois savoir
Données non
structurées
• Lire
• Écrire
• Copier / coller •
Déplacer
• Impression
• Brûler
• Télécharger
Données structurées
• Voir
• Modifier •
Supprimer • Extraire
Découverte
• Ordinateurs de bureau
• Serveurs
• Stockage
Classification
• Etiquetage
Contenu
• Similitude
• Mot-clé
• Dictionnaire
Contexte
• Serveur
• Application
• Type de fichier
• Utilisateur
L’enchainement
de la classification des données

33. Indice Libellé Données
4 Secret
Informations nominatives :
- Informations de santé : pathologie, antécédents familiaux, observation médicale,
- situations ou comportements à risques
- Informations relatives aux infractions, condamnations ou mesures de sûreté (infractions, condamnations, mesures de sécurité)
- Informations relatives à des suspicions de fraudes ou d’infractions
- Origines raciales ou ethniques, opinions politiques, philosophiques, religieuses, appartenances syndicales des personnes, la vie sexuelle
Informations non nominatives :
- Informations liées à l’organisation et à la stratégie de l’organisme, dont la révélation aurait un impact négatif sur la conduite de ses missions
- Informations liées aux mécanismes de fraudes et aux failles ou vulnérabilités de sécurité, dont la révélation pourrait être exploitée pour nuire aux
missions de l’organisme
3 Confidentiel
Toute information nominative ne rentrant pas dans la classe « secret » et notamment :
- NIR, Etat-civil, identité, données d’identification (nom, prénom, adresse, photographie, date, lieu de naissance),
- Appréciation sur les difficultés sociales des personnes
- Informations d’ordre économique et financière (revenus, situation financière)
- Vie personnelle : habitude de vie, situation familiale et sociale
- Vie professionnelle : CV, Situation professionnelle, Scolarité, formation, Distinction
- Informations biométriques : contour de la main, empreintes digitales, réseaux veineux, iris de l’œil, reconnaissance faciale, reconnaissance vocale,
autre procédé
2 Restreint
- Données de localisation (déplacement, données GPS, GSM, etc) par satellite, par téléphone mobile ou autre
(adresse IP, logs, etc)
- Identifiants des terminaux, Identifiants de connexions, Information d’horodatage…
- procédures, description de processus, instructions, Intranet
- enregistrements non nominatifs (dates, heures, actions, états, etc.)
- informations personnelles que le salarié a identifié explicitement comme telles dans le système d’information - Données de connexion
1 Public Informations ayant vocation à être publiées : éditoriaux, publication Extranet, statistiques publiables, campagnes de communication, etc.
Cartographie des DCP

34. Attributs Acteurs
Conformité Juriste Risque Data Officer Data Domain Manager SSI
Evaluation des impacts
Réglementaire & Juridique C C I A R
Financier C C I A R
Métier C I CA R
Médiatique C C I CA R
Evaluation des impacts pour l’individu
Préjudice potentiel C I A R
Caractère identifiant C C R A
Evaluation des impacts en terme de fraude (pour la banque ou l’individu)
Sensible Fraude C I A R
RACI de la classification
R : Responsible (réalise) A : Accountable (responsable) C : Consulted (consulté) I : Informed (informé)
Des acteurs additionnels peuvent dans certains cas être impliqués pour traiter notamment des spécificités propres à certaines classes de
données

35. Trois évènements peuvent induire le déclenchement de la procédure de classification :
1. l’identification d’une donnée pertinente dans le cadre d’un projet ou d’une revue
2. lors de l’alimentation de nouvelles données au sein du dictionnaire des données de la
gouvernance data management,
3. lors d’une évolution du contexte règlementaire RGPD/GDPR
Déclenchement de la
classification
le déclenchement de la procédure intervenant sur la classification :
1. Contrôle annuel organiser avec les acteurs de la classification, contrôle par échantillon,
du niveau de sensibilité des attributs des nouvelles données.

36. La formule ci-dessus synthétise l’ensemble des attributs nécessaires à la classification sécurité des
données.
• Sensible à la fraude (SF)
Attributs relatifs aux impacts
Attributs relatifs à l’impact pour l’individu
Impacts sur l’activité (IA)
• Impacts financiers (IF)
• Impacts médiatiques (IM)
• Impacts juridiques/réglementaires (IJR)
• Préjudice potentiel client (PP)
• Caractère identifiant (CI)
Attribut relatif à la fraude
Impact vie
Privée
Classification sécurité
=
MAX (IA, IF, IM, IJR)
Avec: IJR ≥ Impact vie
privé
Attributs DPIA des données

37. Classification des données à l’unité ou pour un groupe de donnée, les règles suivantes s’appliquent :
1 - La classification d’une donnée à l’unité s’établit au travers de l’attribut
« Classification Sécurité » dans le dictionnaire de données chapeau du SI.
Cet attribut reflète ainsi le niveau de sensibilité d’une donnée quelques que soit le volume (nombre
d’occurrence) et peut être utilisé en l’état.
2 - La classification d’un groupe de données est par défaut équivalent à l’attribut « Classification
Sécurité » le plus élevé, sauf si :
- cas 1 - ce groupe contient une donnée susceptible d’induire un préjudice potentiel important
(respectivement maximal) pour l’individu associée à une donnée à caractère identifiant fort (ex : nom
prénom, courriel, IBAN), alors cet ensemble sera considéré comme confidentiel (respectivement secret) ;
- cas 2 - ce groupe contient plus d’une donnée «sensibles». Il convient alors de se référer à la liste de
groupes de données spécifiques constituée sur la base de scénarios.
Classification des données

38. Faible Modéré Sérieux Extrême
Financier x ≤ 50KE 50KE < x ≤ 250KE 250KE < x ≤ 1ME x > 1ME
Médiatique Pas d’impact
Impact local de faible
amplitude
Impact régional ou national
limité
Retentissement national ou
international
Commercial
Impact interne sans
visibilité externe
Faible impact clientèle et
visibilité externe
Visibilité externe importante
ou non-respect d’obligations
contractuelles
Interruption d’activité
significative
Réglementaire et
juridique
Pas d’impact
Pas de risque pénal. Autres
risques limités
Risque pénal limité. Risque
de sanctions réglementaires
Risque pénal de grande
ampleur. Risque de retrait
d’agrément
Matrice de risque
Si les objectifs de sécurité ne sont pas atteints, l’estimation du préjudice sur chaque critère CIDT
s’exprime suivant la matrice de risque présentée ci-dessous :

39. Caractère identifiant (cf. V-C) ®
Niveau 1 Niveau 2 Niveau 3 Niveau 4
← Préjudice potentiel (c.f. V-D)
Négligeable 1 - Faible 1 - Faible 2 - Modéré 2 - Modéré
Limité 1 - Faible 1 - Faible 2 - Modéré 2 - Modéré
Important 1 - Faible 2 - Modéré 3 - Sérieux 3 - Sérieux
Maximale 2 - Modéré 3 - Sérieux 4 - Extrême 4 - Extrême
La matrice ci-dessous, issue et adaptée de l’outillage proposé par la
CNIL, permet d’estimer les impacts pour une personne physique
dans le cadre d’une divulgation de ses données personnelles.
Commission Nationale Informatique & Liberté : https://www.cnil.fr/fr/etude-dimpacts-sur-la-vie-privee-suivez-la-methode-de-la-cnil
Analyse d’impact CNIL

40. Niveau Description Définition Exemples
4
Donnée identifiant directement un
individu ou indirectement au
moyen des annuaires / références
publics
Les données qui permettent d’identifier
directement un individu ou indirectement
en croisant avec un annuaire public
Nom prénom / courriel / adresse
Numéro de téléphone / adresse
IP
3
Donnée identifiant indirectement
un individu au moyen des
informations croisées avec des
fichiers tiers
Les données qui permettent d’identifier un
individu en croisant avec un fichier tiers
L’IBAN ou le numéro de carte
bancaire sont des numéros
utilisés par beaucoup
d’entreprises
2
Donnée identifiant indirectement
un individu au moyen des
références internes
Les données qui permettent d’identifier un
individu en croisant avec un fichier interne
Identifiant RP, le numéro
identifiant télématique, et plus
généralement tout identifiant
désignant un individu
1
Donnée « attachée » à un individu
et n’identifiant pas l’individu
Les données attachées à un individu mais
qui ne permettent pas à elles seules,
d’identifier un individu. Par contre,
plusieurs données de ce type associées
peuvent identifier un individu.
Date de naissance, le sexe, le
nombre d’enfants, le code postal
0
Donnée « non attachée » à un
individu
Toutes les autres données. Ce sont les
données non attachées à un individu, qui
ne permettent en aucun cas d’identifier un
individu.
Cours de bourse
Modèle de contrat
Adresse d’une agence
Niveau de criticité des données
Caractère identifiant
d’une donnée (PDP)

41. Négligeable Limitée Importante Maximale
Les individus concernés ne seront pas
impactées ou pourraient connaître quelques
désagréments, qu’elles surmonteront sans
difficulté.
Les individus concernés
pourraient connaître des désagréments
significatifs, qu’elles pourront surmonter
malgré quelques difficultés.
Les individus concernés pourraient connaître
des conséquences significatives, qu’elles
devraient pouvoir
surmonter, mais avec des difficultés réelles et
significatives.
Les individus concernés
pourraient connaître des conséquences
significatives, voire irrémédiables, qu’elles
pourraient ne pas surmonter.
Matrice d’impact CNIL
V-D - Matrice d’évaluation du préjudice potentiel pour un individu
Une estimation précise du niveau de préjudice peut s’avérer dans certain cas plus complexe et la définition
seule peut ne pas être suffisante. Afin d’analyse plus finement le préjudice pour l’individu, la CNIL préconise la
prise en compte des impacts corporels, matériels et moraux selon les trois matrices suivantes :
Cette matrice est proposée par la CNIL et permet d’évaluer le préjudice potentiel pour l’individu en cas de défaut
de protection des données qui lui sont rattachées :

42. Négligeable Limitée Importante Maximale
- Absence de prise en charge
adéquate d’une personne non autonome (mineur,
personne sous tutelle)
- Absence de prise en charge adéquate d’une personne non
autonome (mineur, personne sous tutelle)
- Affection physique mineure (ex. : maladie bénigne suite au
non-respect de contre-indications)
- Absence de prise en charge causant un préjudice minime
mais réel (ex : handicap)
- Diffamation donnant lieu à des représailles physiques ou
psychiques.
- Affection physique grave causant un préjudice à long
terme (ex. : aggravation de l’état de santé suite à une
mauvaise prise en charge, ou au non-respect de contre-
indications)
- Altération de l’intégrité corporelle par exemple à la suite
d’une agression, d’un accident domestique, de travail, etc.
- Affection physique de longue durée ou permanente (ex. :
suite au non-respect d’une contre-indication)
- Décès (ex. : meurtre, suicide,
accident mortel)
- Altération définitive de
l’intégrité physique
Négligeable Limitée Importante Maximale
- Simple contrariété par rapport à l’information reçue ou
demandée
- Peur de perdre le contrôle de ses données
- Sentiment d’atteinte à la vie privée sans préjudice réel ni
objectif (ex : intrusion commerciale)
- Perte de temps pour paramétrer ses données
- Non-respect de la liberté d’aller et venir en ligne du fait du
refus d’accès à un site commercial (ex : alcool du fait d’un
âge erroné)
- Refus de continuer à utiliser les systèmes d’information
(whistleblowing, réseaux sociaux)
- Affection psychologique mineure mais objective
(diffamation, réputation)
- Difficultés relationnelles avec
l’entourage personnel ou professionnel (ex. : image,
réputation ternie, perte de
reconnaissance)
- Sentiment d’atteinte à la vie privée sans préjudice
irrémédiable
- Intimidation sur les réseaux sociaux
- Affection psychologique grave (ex. : dépression,
développement d’une phobie)
- Sentiment d’atteinte à la vie privée et de préjudice
irrémédiable
- Sentiment de vulnérabilité à la suite d’une assignation en
justice
- Sentiment d’atteinte aux droits fondamentaux (ex. :
discrimination, liberté d’expression)
- Victime de chantage
- Cyberbullying et harcèlement moral
- Affection psychologique de
longue durée ou permanente
- Sanction pénale
- Enlèvement
- Perte de lien familial
- Impossibilité d’ester en justice
- Changement de statut administratif et / ou perte
d’autonomie juridique (tutelle)
Matrice d’impact CNIL
Evaluation du préjudice corporel
Evaluation du préjudice Moral

43. Négligeable Limitée Importante Maximale
- Perte de temps pour réitérer des démarches ou pour
attendre de les réaliser
- Réception de courriers non
sollicités (ex. : spams)
- Réutilisation de données publiées sur des sites Internet à
des fins de publicité ciblée (information des réseaux sociaux
réutilisation pour un mailing papier)
- Publicité ciblée pour des produits de consommation
courants.
- Paiements non prévus (ex. :
amendes attribuées de manière
erronée), frais supplémentaires
(ex. : agios, frais d’avocat), défauts de paiement
- Refus d’accès à des services
administratifs ou prestations
commerciales
- Opportunités de confort perdues (ex. : annulation de
loisirs, d’achats, de vacances, fermeture d’un compte en
ligne)
- Promotion professionnelle manquée
- Compte à des services en ligne bloqué (ex. : jeux,
administration)
- Réception de courriers ciblés non sollicités susceptible de
nuire à la réputation des personnes concernées
- Élévation de coûts (ex. :
augmentation du prix d’assurance)
- Données non mises à jour (ex. : poste antérieurement
occupé)
- Traitement de données erronées créant par exemple des
dysfonctionnements de comptes (bancaires, clients, auprès
d’organismes sociaux, etc.)
- Publicité ciblée en ligne sur un aspect vie privée que la
personne souhaitait garder confidentiel (ex : publicité
grossesse, traitement pharmaceutique)
- Profilage imprécis ou abusif
- Difficultés financières non temporaires (ex. : obligation de
contracter un prêt)
- Opportunités ciblées, uniques et non récurrentes, perdues
(ex. : prêt immobilier, refus d’études, de stages ou d’emploi,
interdiction d’examen)
- Interdiction bancaire
- Dégradation de biens
- Perte de logement
- Perte d’emploi
- Séparation ou divorce
- Perte financière à la suite d’une escroquerie (ex. : après
une tentative de phishing)
- Bloqué à l’étranger
- Perte de données clientèle
- Péril financier
- Dettes importantes
- Impossibilité de travailler
- Impossibilité de se reloger
- Perte de preuves dans le cadre d’un contentieux
- Perte d’accès à une infrastructure vitale (eau, électricité)
Matrice d’impact CNIL
Evaluation du préjudice Materiel

44. IDM : Rôles et autorisations
IAM : Gestion des accès GRC
Brouillage et chiffrement
Violation des données
Surveillance des données
Comment s'assurer que les informations
personnelles et l'information système
sont correctement protégées?
Il existe plusieurs façons qui peuvent
conduire à accéder aux données
personnelles dans un environnement
applicatif, outre l'accès transactionnel de
l'application. Nous nous assurons de les
vérifier tous ....
Complexité sur les données

45. Cadre Organisationnel Cadre IT & Sécurité Cadre Juridique
ü Classification des
données
ü Privacy By Design Init
ü Evaluation des impacts
ü Procédures de
notification
ü Mentions légales
ü Gestion du consentement
ü Transfrontalier
ü Licéité & PII/DFS
ü DPO & Registre
ü Politiques & Exigences
ü Gouvernance/Pilotage
ü Communication/Edu
Gestion IT de la RGPD

46. Cadre IT & Sécurité
DPIA Toolbox
Architecture Toolbox
Data Management Toolbox
ü Classification des
données
ü Privacy By Design Init
ü Evaluation des impacts
ü Procédures de
notification
Notification Toolbox
Data Processing Toolbox
La RGPD dans la sécurité

47. Gestion des patrimoines
ü Recenser
ü Identifier
ü Protéger
ü Réagir
Data Centric Security
Centre de réponse aux
incidents
Gestion des risques
Centre de sécurité
Opérationnel
Expertise
Métiers, Conformité, Juristes, Sécurité
Découverte de données et
classification
Hiérarchiser, Evaluer les risques
Mettre en œuvre les mesures
Documentation : Cartographie,
Formalisme, Recommandations d’Audit,
Recommandations du contrôle interne
Anticiper une violation
Réagir face à une violation
La boite à outils PDP
*PDP : Protection des données

48. Etude d’impact
sur la vie privée
Définition des
mesures
techniques
(chiffrement,
Anonymisation,
masquage,…)
Approbation du
PIA par le DPO
et Spécification
des exigences
Révision de
l’architecture
vie privée
Documentation sur
les finalités, étendue
du traitement,
stockage, exigences
d'accessibilité
Enregistrement
des
évènements
Réévaluation
continue du
traitement
Le processus de
gestion du
changement
comprend
l'évaluation de la
sécurité et la
signature
Test fonctionnel
de sécurité de
pré-production
Évaluation de la
sécurité post-
production
Traitement
de gestion
des correctifs
Métriques
et rapports
Signature de
sécurité
fonctionnelle par
sécurité
responsable
Planning &
exigences
Design &
Architecture
Recette
TMA
Production MaintenanceDéveloppement
Privacy By design
Protection standard
Sécurité
Applicative
Privacy by
Design
La SDLC Privacy by Design

49. Chaine de création de valeur
Des données
Collection
transmission
Préparation
Stockage
L'information est soumise par
les utilisateurs, fournis par des
organismes publics, captée sur
le Web à l'aide de courtiers de
données, capturés par des
sondes...
Utilisation du réseau de
télécommunications ou de
fournisseur de services de téléphonie
mobile
dans des centres de données
localisées ou utilisant des
services cloud
Testez et vérifiez l'exactitude;
intégration dans un ensemble
unique de données intelligibles
grande analyse de données: analyse statistique, visualisation et autres techniques de reporting et d'analyse, y compris la
construction automatisée de modèles analytiques connus sous le nom de machine learning
La chaine de valeur
des données

50. Classification
DPIA
Registre
Identification
Authentification
Habilitation
Traçabilité
Masquage
Contrôle Chiffrement
Brouillage
Nettoyage logs
Nettoyage SGBD
Limitation
Eliminer les textes clairs
Contrôle : export, dump, reporting
*Brouillage:
Masquage, Pseudonymisation
anonymisation, Tokenisation
*Limitation:
Eliminer
Les données
pas nécessaires
Classification
Licéité
Justification
Création
Traitement
Sauvegarde
Partage/Transfert
Archivage
Suppression
Scanner
Marquer
Classifier
Analyse
Protection Client
Limitation
Dépendances
Relations
Monitoring
Le cycle de vie PDP

51. Assurer la protection des données
Brouillage des données
Mise à l’épreuve des
données brouilléesDonnées de production
Anonymisation
Pseudonymisation
Encryption
Inintelligible
Intelligible
Indéchiffrable
IPP
DFS
Confidentielle

52. Configurations Journalisation
Conditions des
journaux
Console
Des journaux
Base de données
Des logs enregistrés
Suivi des données
Défis des clients:
• Conformité aux règles de confidentialité des données
• Conformité aux normes de l'industrie
• Surveiller l'accès aux données classifiées, par exemple
Informations sur les actifs de l'entreprise ou les données
sur les salaires
• Comment surveiller les actions des utilisateurs sur un
besoin de savoir-faire
• Comment gérer les journaux de données?
La gestion des logs

53. Pas de risque
pour les droits
et libertés
Risque pour les
droits et
libertés
Risques élevés
pour les droits
et libbertés
Documentation interne
& Devoir pour le sous-
traitant d’aviser le
responsable
Notifier
Les autorités
Notifier
l’ayant droit
En cours
- Délai (max 72h)
- Peut être en
plusieurs phases
Sans délai
1) Faits entourant la
violation
(2) Effets
(3) Actions correctives
(1) Nature de la violation
(catégories et nombres de
personnes concernées et dossiers
concernés
(2) Coordonnées DPO
(3) Conséquences de la violation
(4) Actions correctives
(1) Nature de la violation
(2) Coordonnées DPO
(3) Conséquences de la
violation (4) Mesures
correctives
Violation
De données
Déclencheur Obligations Limites Contenu
La gestion des violations

54. Quoi
Quand
Retrait
Enregistrements
§ Particulièrement donné, spécifique, informé et sans ambiguïté
§ Action positive de l'individu
§ Ne peut pas être impliqué
§ Un consentement clairement distinctif lorsqu'il est donné par une déclaration écrite qui
§ Concerne d'autres questions
§ Des règles spécifiques s'appliquent aux enfants
§ Dans une forme intelligible et facilement accessible avec un langage clair et clair
Peut être donné sous la forme d'une déclaration écrite (manuelle ou électronique) ou dans une action claire affirmative:
§ Téléchargement d'une application
§ Passer à un nouvel écran pendant un voyage client numérique
§ Lors d'une identification biométrique sur un smartphone
§ En répondant "OUI" au téléphone ou en cochant une case
§ Mélanger le consentement avec l'acceptation des termes généraux
§ Mélanger le consentement à l'exécution du service
§ Silence, boîtes pré-cochées ou inactivité
Avant le traitement des données
§ Les individus doivent être informés de leur droit de se retirer à tout moment
§ Le retrait du consentement doit être aussi simple que le consentement
§ Le retrait n'affecte pas la licéité du traitement fondé sur le consentement avant le retrait
Les contrôleurs de données doivent conserver les consignes de tous les consentements obtenus / retirés de façon continue
(par exemple les journaux pour le consentement électronique, le consentement personnel, le script téléphonique, etc.)
Le Consentement

55. Le DPO, le référent RGPD/PDP
Par Guillaume VALCIN – Aout 2017
Je viens d’un endroit ou si vous voyez un serpent, vous le tuez.
Chez Général Motors si vous voyez un serpent, la première chose à faire
et d’engager un spécialiste en serpent – H. Ross PEROT

56. Avez-vous besoin d’un DPO ?
• Ce n'est pas toujours obligatoire. Cela dépend du type et de la
quantité de données que vous collectez, que le traitement soit votre
activité principale et si vous le faites à grande échelle.
Vous êtes une autorité publique ou un organisme Public
Entreprise de moins de 250 salariés
Traitement exigeant un suivi régulier et systématique a grande échelle de données sensibles
Traitement exigeant un suivi régulier et systématique a grande échelle des personnes
concernées
OUI
OUI
NON
OUI

57. Le marché des profils
Data Scientist Chief Data Officier Chief Technologie Officer
1 2 3
67% 16% 13%
Des recherches

58. Informer / Sensibiliser
Animer le cadre légal
Responsabiliser / Alerter
Analyser/Investiguer
Auditer/Contrôler
Documenter/ Prouver
Arbitrer / Communiquer
Rapporter / Présenter
Veiller avec la CNPD
Savoir faire
Positionnement
hiérarchique
Assurer son
implication
Fournir les ressources
nécessaires
Facilité l’accès aux
données
Formation continue
Intégration Conflit d’intérêt
Secret Professionnel
Master PDP
Droit numérique
Gestion des risques
PDP (CNIL/EU95)
Savoir
Aucun Diplôme
Faire Savoir
Technologies IT
Savoir Etre
Métier
Indépendance
Objectivité /Probité
Intégrité / résistanceReporter / Notifier
Conseiller
Anatomie DPO AFCDP

59. Communiquer
Animer un réseau
Informer/Conseiller
Coopérer avec les CNPD
Aux juristes
Contrôler la conformité
Conseiller les DPIA
Missions
Positionnement
efficace
Assurer son
implication
Pas responsable
En cas d’échec
Facilité l’accès aux
traitements<
Dans un état membre
Connaissance activité
Expertise législations
Protection des données
Savoir
Aucun Diplôme
Faire Savoir
Maitrise des traitements
Savoir Etre
IT & Sécurité
Indépendance
implication
Aux Experts (IT/COM)
Traducteur
Direction
Fournir les ressources
IndépendanceAccès aux traitements
Conflit d’intérêt
Facilité l’accès aux
Données
Formulaire en ligne
Le 25 mai 2018
réaliser l’inventaire des traitements
évaluer ses pratiques et mettre en place des procédures
identifier les risques
établir une politique de protection des données personnelles
sensibiliser les opérationnels et la direction
Protection
Anatomie DPO CNIL

60. DPO 2017
Technique
Juridique
Communication
Organisation
30%
20%
40%
10%
Paysage des CIL en France :
§ profil technique à 47%,
§ profil juridique à 19%
§ profil administratif à 10%
Information :
Anatomie DPO

61. Contacter GVA
<
Adresse
Nos bureaux
40 bis rue du Pdt
Wilson
Informations
GVA Conseil
A la croisée de la
sécurité
d'aujourd'hui et
de demain
Contact
07 70 48 53 28
Guillaume.valcin@laposte.net

62. Fin
Construire le futur de la sécurité des données, un avantage concurrentiel