Livre Blanc sur la Mise en. Conformité de la Règlementation Générale sur la Protection des Données en Europe et pour toutes les entreprises ayant une relation commerciale avec les données à caractère personnel des citoyens européens.
White Paper on Implementation. Conformity of the General Data Protection Regulation in Europe and for all companies having a commercial relationship with the personal data of European citizens.
2. Avec une politique
adaptée et les
dispositions légales
2016 2020
€300 Md €729 Md
6.1
millions
d’emploi
10.3
millions
d’emploi
PIB PIB1,99 3,74%%
Source : IDC Europeean Data Market Study
Le Marché Européen de la donnée
4. 20%
15%
15%
10%
10%
10%
5%
5%
5%5%
50%
Part
Exercice des droits
Pilotage du programme
Privacy By Design
Politiques, directives et organisation
Information des personnes et consentement
Encadrement des transferts
Communication, formation, sensibilisation
Amélioration des mesures de sécurité
Registre et principes associés
Contrôles et Audit
10 CHANTIERS RGPD
QUI CONCENTRENT
LES
INVESTISSEMENTS...
Répartition du budget
par chantier
ASSURANCE
+ de 40 Business Units
Près de 300 acteurs
sollicités Pilotage en
central par 4 ETP
BANQUE
~ 50 entités
Plus de 250 acteurs
sollicités Pilotage en
central par 3 ETP
Source : Wavestone
Programme RGPD en chiffres
5. § Le renforcement de mesures destinées à
augmenter le niveau de protection des
individus
Analyse Marché
§ Des innovations technologiques de plus
en plus rapides et disruptives
nécessitant une remise en cause
fréquente des processus et des outils
de l’entreprise
§ Une internationalisation des échanges plus
marquée qu’auparavant, qui nécessite la prise
en compte de règles juridiques plus
nombreuses et parfois, difficilement (voire
non) compatibles entre elles
Les défis numériques de l’UE
6. Solvency IIUDIBCBS 239 Meaningful Use
Nov. 2012
L'agrégation des
données de
risque
Sept. 2013
Identifier les
instruments
médicaux
Nov. 2009
Le Bâle II
Des assurances
Fonds Propres
Début 2011
Programme
d’incitation
financière EHR
Mécanismes de conformité pouvant s’interfacer avec la RGPD
GDPR
Mai 2016
La protection des
données
personnelles
La convergence conformité
7. § GVA veut garantir à tous ces clients que se
conformer aux exigences de cette nouvelle
règlementation apporte un avantage
concurrentiel aux, secteurs publiques,
grands comptes et PME
§ Cette nouvelle offre, est un puissant moyen
d’élargir les fondations économiques,
culturelles et sociétales autour d’une
démarche innovante et originale
§ Bâtir une filière d’excellence EXQUALIBUR,
Excellence qualité au bureau et devenir
ainsi l’acteur de confiance de la protection
des données
Objectif de l’offre
8. RGPD
GDPR
Génération de revenues
§ Amandes de 2% ou 4% sur le CA Global
§ Impact sur l’Image
§ Exigences règlementaires
§ Protection renforcée
§ Gestion des traitements stratégiques
§ Accélérateur pour le cloud
§ Accélérateur pour la sécurité et la
conformité
Fidélisation à la marque et exploration de données pour l'amélioration du service à la clientèle et l'exploitation des données
Valeur ajoutée commerciale
9. § Pour réaliser ce projet de
mise en conformité́ GDPR
dans
les temps, quelles actions
prioritaires retenez-vous ?
§Au plan organisationnel,
comment abordez-vous la
mise en conformité́ GDPR ?
§Précisément, en tant que
RSSI, quels choix avez-vous
adopté pour réaliser la mise
en conformité́ avec l’esprit
des textes du GDPR ?
§Quelle approche proposez-
vous pour aborder la
problématique liée à la
définition des données à
caractère personnel au sein du
Groupe et de l’ensemble de ses
sociétés ?§A l’issue de ce diagnostic
réalisé, avez- vous pu réfléchir
à différents points dont la
capitalisation de l’existant ?
Sondage métier RGPD
11. § Organisation adaptée
§ La GDPR prévoit pour tout organisme publique et entreprise
de plus de 250 salariés, la désignation d’un délégué
§ Collaboration transversale
§ Métiers, Développeurs, Analystes, Juristes, DSI
§ Déclinaison du programme aux tiers
§ Les sous-traitants pourront être tenus co-responsables
§ Déployer la politique et les procédures
§ Le dispositif repose sur un ensemble de règles de
conformité claires qui nécessites des procédures
adaptées` et partagées au sein de l’organisation, mais
également connues et contrôlées pour s’assurer de leur
application
Méthodes et approches
12. Ayants droits Champs / Obligations Framework
* Lorsque le traitement repose sur le
consentement comme base pour le
traitement légal, ce consentement doit être
donné gratuitement, sans ambiguïté, informé,
spécifique, séparable d'autres documents et
facile à révoquer
* Droits existants:
- Droit d’accès
- Droit d'objection
- Droit de rectification
* Nouveaux droits:
- Droit d'effacer
- Droit de restreindre le traitement
- Droit à la portabilité des données
- Droit de ne pas être soumis à la prise de
décision automatisée
* La confidentialité des données doit être
prise en compte dans tous les projets,
produits, services, processus, systèmes, etc.
dès la phase de développement et pendant
tout le cycle de vie
* Le contrôleur doit effectuer PIA si le
traitement est susceptible de causer un risque
élevé aux droits et libertés des individus
* Mesures de sécurité
* Identification des infractions de données,
analyse de risque et plan d'intervention
* Notification aux autorités de protection
des données, mais aussi à l'individu affecté si
un risque élevé pour les droits et libertés est
impliqué
* Des informations complètes et claires sur
le traitement doivent être fournies par les
contrôleurs aux particuliers
* Assurer et démontrer la conformité avec le
GDPR à tout moment (responsabilisation)
* Mettre en place une gouvernance claire, y
compris la nomination d’un agent de
protection des données (DPD/DPO) et mettre
en place un cadre approprié de surveillance
de la conformité
* Conserver les registres du traitement
* La GDPR s’applique aux traitements de
données à caractère personnel concernant un
Etat membre de l’union par les organisations
dans et en dehors de l’UE
* Aucun transfert de données personnelles
en dehors de l’UE, à moins que certaines
conditions ne soient remplies ou que des
mécanismes soient utilisés (BCR)
* Les contrôleurs doivent inclure dans leurs
contrats la liste élargie de leurs sous-traitants
* Certains aspects du GDPR sont maintenant
directement applicables aux sous-traitants
* Le règlement s’applique au traitement
Données CP*, automaisé, en parie, ou non
automaisé contenues ou appelées à figurer
dans un fichier.
DCP* Données à caractère personnel
Les piliers de la RGPD
13. Du bon sens
Une méthodologie basée sur
les suggestions matures de la
CNIL
Analyse de l’existant
Mener un état des lieux de ses
clients au travers d’un
questionnaire
Sur mesures
Ajuster son dispositif conseil
en fonction des résultats de
l’analyse de l’existant
Une compétence
Formaliser son offre de service au
travers d’une démarche, d’une
méthode (cadre et outils) et sa
politique de servuction
Les points clés de la démarches
15. Obligations (DPO)DPIA - EIVPPrivacy By design
Désigner un Délégué
Etablir les registres et
cartographier les traitements
Constituer et regrouper la
documentation nécessaire
Recueil du consentement
Informations et Notifications
Accomplir les modalités de
transferts hors UE, Règles
Internes, Audit et Contrôles
Evaluer la conformité
Description du contexte du
traitement
Mesures de nature
règlementaire et préventive
Etude des atteintes potentielles
(Source, Scenarios, Menaces,
Réduction)
Validation (Objectif, Plan,
Formalisme)
Organisation (projets, Processus, IT)
Maitrise des données (Stockage,
Anonymisation, Demandes,…)
en environnement de
développement, Qualification,
Production
Gestion des Incidents (DB, ..)
Bonnes Pratiques
Gestion des tiers
Big Data, Architectures
Approche Modélisée
16. L’approche en 6 étapes - CNIL
Par Guillaume VALCIN – Aout 2017 – DRAFT – Non Validé
17. Avant
Désigner un Pilote
Cartographier systèmes
Prioriser les actions
Gérer les risques
Organiser la conformité
Documenter
Pour mesurer concrètement l’impact de la GDPR commencez par recenser
l’ensemble de vos traitement de données, élaborer un registre des traitements
A partir du registre, identifier les actions pour vous conformer aux obligations,
prioriser ces actions au regard des risques que font peser vos traitements
Pour chacun des traitements comportant des risques jugés élevés vous devez
procéder à une analyse d’impact sur la protection des données
Mettre en place les processus internes qui garantissent la prise en compte de la
protection des données à tout moment
Pour prouver la conformité, vous devez constituer et regrouper la
documentation nécessaire, les documents doivent être contrôlés et réactualisés
Le DPD/DPO, remplace le CIL, responsable de l’accompagnement et du
contrôle interne de la protection des données
Méthode
18. Désigner un Pilote
Le DPD/DPO, remplace le CIL, responsable de
l’accompagnement et du contrôle interne de la protection
des données
Vous avez désigné un pilote au sein de votre structure chargé de
mettre en œuvre la conformité (lettre de mission) en lui affectant les
ressources nécessaires
Vous lui avez affecté les moyens humains et financiers nécessaires
pour mettre en œuvre ses missions
CNIL, la méthode, Les jalons clés du succès
Vous avez rencontré les entités qui traitent de données personnelles
Vous avez établi la liste des traitements par finalité
Vous avez identifié tous les acteurs
Vous connaissez tous les flux et les unités de stockage et combien de temps
elles sont conservées
Pour mesurer concrètement l’impact de la GDPR
commencez par recenser l’ensemble de vos traitement
de données, élaborer un registre des traitements
Cartographier
systèmes
A partir du registre, identifier les actions pour vous conformer aux
obligations, prioriser ces actions au regard des risques que font
peser vos traitements
Prioriser les
actions
Vous avez mis en place les premières mesures pour protéger les
personnes contre vos traitements et identifié les traitements à risque
(PbD)
Etapes
19. Vous avez désigné un pilote au sein de votre structure chargé de
mettre en œuvre la conformité (lettre de mission) en lui affectant les
ressources nécessaires
Vous lui avez affecté les moyens humains et financiers nécessaires
pour mettre en œuvre ses missions
CNIL, la méthode, Les jalons clés du succès
Votre documentation démontre que vous respectez les
obligations prévues par le règlement général de la protection
des données
Votre documentation démontre que vous respectez les
obligations prévues par le règlement général de la
protection des données
Gérer les risques
Pour chacun des traitements comportant des risques jugés élevés vous
devez procéder à une analyse d’impact sur la protection des données
Organiser la
conformité
Mettre en place les processus internes qui garantissent la prise
en compte de la protection des données à tout moment
Documenter
Pour prouver la conformité, vous devez constituer et regrouper la
documentation nécessaire, les documents doivent être contrôlés et
réactualisés
Etapes
22. Traitement des données
• Le registre de traitement des
données
• Les analyses d’impact sur la
protection des données
• L’encadrement des transferts
Information des personnes
• Les mentions d’information
• Les modèles de recueil du
consentement des personnes
concernées
• Les procédures mises en place
pour l’exercice des droits
Traitement des données
• Le registre de traitement des
données
• Les analyses d’impact sur la
protection des données
• L’encadrement des transferts
Information des personnes
• Les mentions d’information
• Les modèles de recueil du
consentement des personnes
concernées
• Les procédures mises en place
pour l’exercice des droits
Les contrats qui définissent les rôles
et les responsabilités des acteurs
• Les contrats avec les sous-
traitants
• Les procédures internes en cas de
violation des données
• Les preuves que les personnes
concernées ont donné leur
consentement
Livrables
24. Evaluation de La Mise en Conformité GDPR
catégorie Périmètre Sous-Périmètre Très élevé Elevé Moyen intermédiaire Faible Score
Gouvernance
répondre
Assurance (gestion des enregistrements de données personnelles et
sécurité)
Répondre aux personnes concernées
Répondre et signaler un litige / une enquête réglementaire
Inventaire
Modèles de traitement de données
Inventaire des données personnelles / Sensibles
Inventaire des Systèmes et applications
politique
Gestion des politique
Protection des données personnelles
Gestion des enregistrements
Architecture Intégration du Privacy By default / By Design
Obligations Cartographie des flux
Responsabilité (Accountability)
GRC
DPIA (Analyse d’impact sur les données, groupe de données, et
traitements
Analyse des risques et
remédiation
Programme Analyse des écarts (GAP Analysis)
Très élevé Elevé Moyen intermédiaire Faible Score
Traitement et gestion du cycle de vie de
la donnée
consentement
Structure et Management des consentements
Obtention de la méthodologie et de la couverture
Cartographie et Traitements
Découverte des données
Précision
Limitation des objectifs du traitement
Minimisation des données
Transformation / Transfert
Pseudonymisation/Anonymisation
Limitation du stockage
Contrôle du transfert / BCR
Use / Share Licéité : traitement légal et transparent
Base Légale du traitement des données
Exigences contractuelles
Archivage Gestion de la retention des données
Gestionde l’archivage
Droits des individus Droits des individus
Gestion des
enregistrements
Gestion des enregistrements pour les données personnelles
Cartographie des flux de données
Gestion des enregistrements pour les traitements de données
personnelles
Très élévé Elevé Moyen intermédiaire Faible Score
Sécurité Notifications Notification pour les autorités de régulation (CNIL)
Notification pour les individus impactés
Sécurité des données Encryption de données / Pseudonymisation
Sécurité des données (Serveur, Unité de stockage, …)
Gestion des clées de chiffrement
25. Maturité et plan d’actions
Maturité
Preuve
+
Contrôle des mesures
juridiques et
techniques
labellisation
Protection de la vie
privée + Codes de
conduite
+
Certification
Intégration des DCP
dans les projets
(Privacy By Design)
+
+ EIVP/DPIA
+ Privacy By Design
respect des droits de
la PC
+
Plan d'assurance
Sécurité
+
Adjonction d'outils SSI
(Security By Default)
Registre de traitement
des données
Politique et Cadre de
gouvernance
Faible Moyenne
Pratique de Base prise
en compte par
l'organisme
Forte
Pratique de base mise
en œuvre de façon
partielle
Pratique inexistante
Processus défini,
décrit, adapté à
l'organisme,
généralisé et bien
compris par le
management et par
les exécutants
Processus coordonné
et contrôlé à l'aide
d'indicateurs
permettant de
corriger les défauts
1 2 3 4 5
Mai - 2018Temps
Sensibilisation, Formation, Directions, Métiers
+
Utilisateurs, Nomination du Chef de Projet, CIL/DPO
26. CONNAISSANCE
Périmètre
Responsabilité
Gestion de risque
Coût
Votre S.I. possède de nombreux composants technologiques complexes,
dont beaucoup possèdent les architectures de sécurité propriétaires. Une
connaissance spécialisée de chaque composant est nécessaire pour
garantir une sécurité de sécurité adéquate des systèmes et des
applications
Votre S.I. est seulement aussi fort que son composant le plus faible. Focus
a toujours été sur l'instance / client productif, mais il doit maintenant être
étendu à une dimension holistique pour fournir une plate-forme résiliente
et sécurisée pour le traitement des données personnelles.
Décider quels risques doivent être atténués et Comment est souvent
artisanal - décision en temps utile sur le déploiement de notre outils
publié chaque mois qui affecte le le S.I. et comment prioriser les activités
d'assainissement.
L'automatisation de l'évaluation de l'ensemble du S.I. est coûteuse. Sans
automatisation, il devra être évalué régulièrement, laissant ainsi la brèche
de l’erreur humaine.
Défis techniques
30. § Etat des lieux des pratiques
§ Connaitre les couts et les objectifs
§ Privacy By Design : Mesures existantes
§ Evaluation des impacts
DPIA
§ Définir les priorités + paralléliser
les tâches + tâches manquantes
Phase 1 : analyse préalable
Etude d’opportunité
Etat des lieux
Etudes des options (politique et périmètre)
Phase 2 : Mise ne place de la structure de base
Gouvernance de la sécurité
Documentation
Audit Interne et suivi des actions
Formation et sensibilisation
Indicateurs
Phase 3 : Mise ne place des processus
Appréciation des risques
Mise à jour des mesures existantes
Ajout de mesures manquantes
Revue
Phase 4 : Démarrage
Revue
Préparation de l’audit
Audit à blanc
Plan de remédiation
Dépendances
§ Privacy By Design : Nouvelles mesures
Time Line
Cycle de vie PDP
32. Surveillance et Enregistrement
Email
Applications
Périphériques
Réseaux
Cloud / Big Data
Où sont localisés les DCP Traitement Où vont ces données Politique applicable
Nécessité de suivre les données personnelles tout au long du cycle de vie - à la fois en repos (stockage) et en mouvement (utilisation)
Alerte
• Détection
Notifier
• Conscience
Rapide
• Intention
Chiffrer
• Protection
Bloc
• Protection
Masque
• Dois savoir
Données non
structurées
• Lire
• Écrire
• Copier / coller •
Déplacer
• Impression
• Brûler
• Télécharger
Données structurées
• Voir
• Modifier •
Supprimer • Extraire
Découverte
• Ordinateurs de bureau
• Serveurs
• Stockage
Classification
• Etiquetage
Contenu
• Similitude
• Mot-clé
• Dictionnaire
Contexte
• Serveur
• Application
• Type de fichier
• Utilisateur
L’enchainement
de la classification des données
33. Indice Libellé Données
4 Secret
Informations nominatives :
- Informations de santé : pathologie, antécédents familiaux, observation médicale,
- situations ou comportements à risques
- Informations relatives aux infractions, condamnations ou mesures de sûreté (infractions, condamnations, mesures de sécurité)
- Informations relatives à des suspicions de fraudes ou d’infractions
- Origines raciales ou ethniques, opinions politiques, philosophiques, religieuses, appartenances syndicales des personnes, la vie sexuelle
Informations non nominatives :
- Informations liées à l’organisation et à la stratégie de l’organisme, dont la révélation aurait un impact négatif sur la conduite de ses missions
- Informations liées aux mécanismes de fraudes et aux failles ou vulnérabilités de sécurité, dont la révélation pourrait être exploitée pour nuire aux
missions de l’organisme
3 Confidentiel
Toute information nominative ne rentrant pas dans la classe « secret » et notamment :
- NIR, Etat-civil, identité, données d’identification (nom, prénom, adresse, photographie, date, lieu de naissance),
- Appréciation sur les difficultés sociales des personnes
- Informations d’ordre économique et financière (revenus, situation financière)
- Vie personnelle : habitude de vie, situation familiale et sociale
- Vie professionnelle : CV, Situation professionnelle, Scolarité, formation, Distinction
- Informations biométriques : contour de la main, empreintes digitales, réseaux veineux, iris de l’œil, reconnaissance faciale, reconnaissance vocale,
autre procédé
2 Restreint
- Données de localisation (déplacement, données GPS, GSM, etc) par satellite, par téléphone mobile ou autre
(adresse IP, logs, etc)
- Identifiants des terminaux, Identifiants de connexions, Information d’horodatage…
- procédures, description de processus, instructions, Intranet
- enregistrements non nominatifs (dates, heures, actions, états, etc.)
- informations personnelles que le salarié a identifié explicitement comme telles dans le système d’information - Données de connexion
1 Public Informations ayant vocation à être publiées : éditoriaux, publication Extranet, statistiques publiables, campagnes de communication, etc.
Cartographie des DCP
34. Attributs Acteurs
Conformité Juriste Risque Data Officer Data Domain Manager SSI
Evaluation des impacts
Réglementaire & Juridique C C I A R
Financier C C I A R
Métier C I CA R
Médiatique C C I CA R
Evaluation des impacts pour l’individu
Préjudice potentiel C I A R
Caractère identifiant C C R A
Evaluation des impacts en terme de fraude (pour la banque ou l’individu)
Sensible Fraude C I A R
RACI de la classification
R : Responsible (réalise) A : Accountable (responsable) C : Consulted (consulté) I : Informed (informé)
Des acteurs additionnels peuvent dans certains cas être impliqués pour traiter notamment des spécificités propres à certaines classes de
données
35. Trois évènements peuvent induire le déclenchement de la procédure de classification :
1. l’identification d’une donnée pertinente dans le cadre d’un projet ou d’une revue
2. lors de l’alimentation de nouvelles données au sein du dictionnaire des données de la
gouvernance data management,
3. lors d’une évolution du contexte règlementaire RGPD/GDPR
Déclenchement de la
classification
le déclenchement de la procédure intervenant sur la classification :
1. Contrôle annuel organiser avec les acteurs de la classification, contrôle par échantillon,
du niveau de sensibilité des attributs des nouvelles données.
36. La formule ci-dessus synthétise l’ensemble des attributs nécessaires à la classification sécurité des
données.
• Sensible à la fraude (SF)
Attributs relatifs aux impacts
Attributs relatifs à l’impact pour l’individu
Impacts sur l’activité (IA)
• Impacts financiers (IF)
• Impacts médiatiques (IM)
• Impacts juridiques/réglementaires (IJR)
• Préjudice potentiel client (PP)
• Caractère identifiant (CI)
Attribut relatif à la fraude
Impact vie
Privée
Classification sécurité
=
MAX (IA, IF, IM, IJR)
Avec: IJR ≥ Impact vie
privé
Attributs DPIA des données
37. Classification des données à l’unité ou pour un groupe de donnée, les règles suivantes s’appliquent :
1 - La classification d’une donnée à l’unité s’établit au travers de l’attribut
« Classification Sécurité » dans le dictionnaire de données chapeau du SI.
Cet attribut reflète ainsi le niveau de sensibilité d’une donnée quelques que soit le volume (nombre
d’occurrence) et peut être utilisé en l’état.
2 - La classification d’un groupe de données est par défaut équivalent à l’attribut « Classification
Sécurité » le plus élevé, sauf si :
- cas 1 - ce groupe contient une donnée susceptible d’induire un préjudice potentiel important
(respectivement maximal) pour l’individu associée à une donnée à caractère identifiant fort (ex : nom
prénom, courriel, IBAN), alors cet ensemble sera considéré comme confidentiel (respectivement secret) ;
- cas 2 - ce groupe contient plus d’une donnée «sensibles». Il convient alors de se référer à la liste de
groupes de données spécifiques constituée sur la base de scénarios.
Classification des données
38. Faible Modéré Sérieux Extrême
Financier x ≤ 50KE 50KE < x ≤ 250KE 250KE < x ≤ 1ME x > 1ME
Médiatique Pas d’impact
Impact local de faible
amplitude
Impact régional ou national
limité
Retentissement national ou
international
Commercial
Impact interne sans
visibilité externe
Faible impact clientèle et
visibilité externe
Visibilité externe importante
ou non-respect d’obligations
contractuelles
Interruption d’activité
significative
Réglementaire et
juridique
Pas d’impact
Pas de risque pénal. Autres
risques limités
Risque pénal limité. Risque
de sanctions réglementaires
Risque pénal de grande
ampleur. Risque de retrait
d’agrément
Matrice de risque
Si les objectifs de sécurité ne sont pas atteints, l’estimation du préjudice sur chaque critère CIDT
s’exprime suivant la matrice de risque présentée ci-dessous :
39. Caractère identifiant (cf. V-C) ®
Niveau 1 Niveau 2 Niveau 3 Niveau 4
← Préjudice potentiel (c.f. V-D)
Négligeable 1 - Faible 1 - Faible 2 - Modéré 2 - Modéré
Limité 1 - Faible 1 - Faible 2 - Modéré 2 - Modéré
Important 1 - Faible 2 - Modéré 3 - Sérieux 3 - Sérieux
Maximale 2 - Modéré 3 - Sérieux 4 - Extrême 4 - Extrême
La matrice ci-dessous, issue et adaptée de l’outillage proposé par la
CNIL, permet d’estimer les impacts pour une personne physique
dans le cadre d’une divulgation de ses données personnelles.
Commission Nationale Informatique & Liberté : https://www.cnil.fr/fr/etude-dimpacts-sur-la-vie-privee-suivez-la-methode-de-la-cnil
Analyse d’impact CNIL
40. Niveau Description Définition Exemples
4
Donnée identifiant directement un
individu ou indirectement au
moyen des annuaires / références
publics
Les données qui permettent d’identifier
directement un individu ou indirectement
en croisant avec un annuaire public
Nom prénom / courriel / adresse
Numéro de téléphone / adresse
IP
3
Donnée identifiant indirectement
un individu au moyen des
informations croisées avec des
fichiers tiers
Les données qui permettent d’identifier un
individu en croisant avec un fichier tiers
L’IBAN ou le numéro de carte
bancaire sont des numéros
utilisés par beaucoup
d’entreprises
2
Donnée identifiant indirectement
un individu au moyen des
références internes
Les données qui permettent d’identifier un
individu en croisant avec un fichier interne
Identifiant RP, le numéro
identifiant télématique, et plus
généralement tout identifiant
désignant un individu
1
Donnée « attachée » à un individu
et n’identifiant pas l’individu
Les données attachées à un individu mais
qui ne permettent pas à elles seules,
d’identifier un individu. Par contre,
plusieurs données de ce type associées
peuvent identifier un individu.
Date de naissance, le sexe, le
nombre d’enfants, le code postal
0
Donnée « non attachée » à un
individu
Toutes les autres données. Ce sont les
données non attachées à un individu, qui
ne permettent en aucun cas d’identifier un
individu.
Cours de bourse
Modèle de contrat
Adresse d’une agence
Niveau de criticité des données
Caractère identifiant
d’une donnée (PDP)
41. Négligeable Limitée Importante Maximale
Les individus concernés ne seront pas
impactées ou pourraient connaître quelques
désagréments, qu’elles surmonteront sans
difficulté.
Les individus concernés
pourraient connaître des désagréments
significatifs, qu’elles pourront surmonter
malgré quelques difficultés.
Les individus concernés pourraient connaître
des conséquences significatives, qu’elles
devraient pouvoir
surmonter, mais avec des difficultés réelles et
significatives.
Les individus concernés
pourraient connaître des conséquences
significatives, voire irrémédiables, qu’elles
pourraient ne pas surmonter.
Matrice d’impact CNIL
V-D - Matrice d’évaluation du préjudice potentiel pour un individu
Une estimation précise du niveau de préjudice peut s’avérer dans certain cas plus complexe et la définition
seule peut ne pas être suffisante. Afin d’analyse plus finement le préjudice pour l’individu, la CNIL préconise la
prise en compte des impacts corporels, matériels et moraux selon les trois matrices suivantes :
Cette matrice est proposée par la CNIL et permet d’évaluer le préjudice potentiel pour l’individu en cas de défaut
de protection des données qui lui sont rattachées :
42. Négligeable Limitée Importante Maximale
- Absence de prise en charge
adéquate d’une personne non autonome (mineur,
personne sous tutelle)
- Absence de prise en charge adéquate d’une personne non
autonome (mineur, personne sous tutelle)
- Affection physique mineure (ex. : maladie bénigne suite au
non-respect de contre-indications)
- Absence de prise en charge causant un préjudice minime
mais réel (ex : handicap)
- Diffamation donnant lieu à des représailles physiques ou
psychiques.
- Affection physique grave causant un préjudice à long
terme (ex. : aggravation de l’état de santé suite à une
mauvaise prise en charge, ou au non-respect de contre-
indications)
- Altération de l’intégrité corporelle par exemple à la suite
d’une agression, d’un accident domestique, de travail, etc.
- Affection physique de longue durée ou permanente (ex. :
suite au non-respect d’une contre-indication)
- Décès (ex. : meurtre, suicide,
accident mortel)
- Altération définitive de
l’intégrité physique
Négligeable Limitée Importante Maximale
- Simple contrariété par rapport à l’information reçue ou
demandée
- Peur de perdre le contrôle de ses données
- Sentiment d’atteinte à la vie privée sans préjudice réel ni
objectif (ex : intrusion commerciale)
- Perte de temps pour paramétrer ses données
- Non-respect de la liberté d’aller et venir en ligne du fait du
refus d’accès à un site commercial (ex : alcool du fait d’un
âge erroné)
- Refus de continuer à utiliser les systèmes d’information
(whistleblowing, réseaux sociaux)
- Affection psychologique mineure mais objective
(diffamation, réputation)
- Difficultés relationnelles avec
l’entourage personnel ou professionnel (ex. : image,
réputation ternie, perte de
reconnaissance)
- Sentiment d’atteinte à la vie privée sans préjudice
irrémédiable
- Intimidation sur les réseaux sociaux
- Affection psychologique grave (ex. : dépression,
développement d’une phobie)
- Sentiment d’atteinte à la vie privée et de préjudice
irrémédiable
- Sentiment de vulnérabilité à la suite d’une assignation en
justice
- Sentiment d’atteinte aux droits fondamentaux (ex. :
discrimination, liberté d’expression)
- Victime de chantage
- Cyberbullying et harcèlement moral
- Affection psychologique de
longue durée ou permanente
- Sanction pénale
- Enlèvement
- Perte de lien familial
- Impossibilité d’ester en justice
- Changement de statut administratif et / ou perte
d’autonomie juridique (tutelle)
Matrice d’impact CNIL
Evaluation du préjudice corporel
Evaluation du préjudice Moral
43. Négligeable Limitée Importante Maximale
- Perte de temps pour réitérer des démarches ou pour
attendre de les réaliser
- Réception de courriers non
sollicités (ex. : spams)
- Réutilisation de données publiées sur des sites Internet à
des fins de publicité ciblée (information des réseaux sociaux
réutilisation pour un mailing papier)
- Publicité ciblée pour des produits de consommation
courants.
- Paiements non prévus (ex. :
amendes attribuées de manière
erronée), frais supplémentaires
(ex. : agios, frais d’avocat), défauts de paiement
- Refus d’accès à des services
administratifs ou prestations
commerciales
- Opportunités de confort perdues (ex. : annulation de
loisirs, d’achats, de vacances, fermeture d’un compte en
ligne)
- Promotion professionnelle manquée
- Compte à des services en ligne bloqué (ex. : jeux,
administration)
- Réception de courriers ciblés non sollicités susceptible de
nuire à la réputation des personnes concernées
- Élévation de coûts (ex. :
augmentation du prix d’assurance)
- Données non mises à jour (ex. : poste antérieurement
occupé)
- Traitement de données erronées créant par exemple des
dysfonctionnements de comptes (bancaires, clients, auprès
d’organismes sociaux, etc.)
- Publicité ciblée en ligne sur un aspect vie privée que la
personne souhaitait garder confidentiel (ex : publicité
grossesse, traitement pharmaceutique)
- Profilage imprécis ou abusif
- Difficultés financières non temporaires (ex. : obligation de
contracter un prêt)
- Opportunités ciblées, uniques et non récurrentes, perdues
(ex. : prêt immobilier, refus d’études, de stages ou d’emploi,
interdiction d’examen)
- Interdiction bancaire
- Dégradation de biens
- Perte de logement
- Perte d’emploi
- Séparation ou divorce
- Perte financière à la suite d’une escroquerie (ex. : après
une tentative de phishing)
- Bloqué à l’étranger
- Perte de données clientèle
- Péril financier
- Dettes importantes
- Impossibilité de travailler
- Impossibilité de se reloger
- Perte de preuves dans le cadre d’un contentieux
- Perte d’accès à une infrastructure vitale (eau, électricité)
Matrice d’impact CNIL
Evaluation du préjudice Materiel
45. Cadre Organisationnel Cadre IT & Sécurité Cadre Juridique
ü Classification des
données
ü Privacy By Design Init
ü Evaluation des impacts
ü Procédures de
notification
ü Mentions légales
ü Gestion du consentement
ü Transfrontalier
ü Licéité & PII/DFS
ü DPO & Registre
ü Politiques & Exigences
ü Gouvernance/Pilotage
ü Communication/Edu
Gestion IT de la RGPD
47. Gestion des patrimoines
ü Recenser
ü Identifier
ü Protéger
ü Réagir
Data Centric Security
Centre de réponse aux
incidents
Gestion des risques
Centre de sécurité
Opérationnel
Expertise
Métiers, Conformité, Juristes, Sécurité
Découverte de données et
classification
Hiérarchiser, Evaluer les risques
Mettre en œuvre les mesures
Documentation : Cartographie,
Formalisme, Recommandations d’Audit,
Recommandations du contrôle interne
Anticiper une violation
Réagir face à une violation
La boite à outils PDP
*PDP : Protection des données
51. Assurer la protection des données
Brouillage des données
Mise à l’épreuve des
données brouilléesDonnées de production
Anonymisation
Pseudonymisation
Encryption
Inintelligible
Intelligible
Indéchiffrable
IPP
DFS
Confidentielle
52. Configurations Journalisation
Conditions des
journaux
Console
Des journaux
Base de données
Des logs enregistrés
Suivi des données
Défis des clients:
• Conformité aux règles de confidentialité des données
• Conformité aux normes de l'industrie
• Surveiller l'accès aux données classifiées, par exemple
Informations sur les actifs de l'entreprise ou les données
sur les salaires
• Comment surveiller les actions des utilisateurs sur un
besoin de savoir-faire
• Comment gérer les journaux de données?
La gestion des logs
54. Quoi
Quand
Retrait
Enregistrements
§ Particulièrement donné, spécifique, informé et sans ambiguïté
§ Action positive de l'individu
§ Ne peut pas être impliqué
§ Un consentement clairement distinctif lorsqu'il est donné par une déclaration écrite qui
§ Concerne d'autres questions
§ Des règles spécifiques s'appliquent aux enfants
§ Dans une forme intelligible et facilement accessible avec un langage clair et clair
Peut être donné sous la forme d'une déclaration écrite (manuelle ou électronique) ou dans une action claire affirmative:
§ Téléchargement d'une application
§ Passer à un nouvel écran pendant un voyage client numérique
§ Lors d'une identification biométrique sur un smartphone
§ En répondant "OUI" au téléphone ou en cochant une case
§ Mélanger le consentement avec l'acceptation des termes généraux
§ Mélanger le consentement à l'exécution du service
§ Silence, boîtes pré-cochées ou inactivité
Avant le traitement des données
§ Les individus doivent être informés de leur droit de se retirer à tout moment
§ Le retrait du consentement doit être aussi simple que le consentement
§ Le retrait n'affecte pas la licéité du traitement fondé sur le consentement avant le retrait
Les contrôleurs de données doivent conserver les consignes de tous les consentements obtenus / retirés de façon continue
(par exemple les journaux pour le consentement électronique, le consentement personnel, le script téléphonique, etc.)
Le Consentement
55. Le DPO, le référent RGPD/PDP
Par Guillaume VALCIN – Aout 2017
Je viens d’un endroit ou si vous voyez un serpent, vous le tuez.
Chez Général Motors si vous voyez un serpent, la première chose à faire
et d’engager un spécialiste en serpent – H. Ross PEROT