14. • 60% des citoyens européens se sentent60% des citoyens européens se sentent
concernésconcernés
• La découverte des vols de données se faitLa découverte des vols de données se fait
après-coup!après-coup!
• La protection des données est un risqueLa protection des données est un risque
opérationnel => observé par les investisseursopérationnel => observé par les investisseurs
• La connaissance de ses clients est un atoutLa connaissance de ses clients est un atout
(CRM)(CRM)
La mise en conformité de la sécurité avec la
protection de la vie privée est obligatoire et
indispensable
15. Quels sont les risques?
•Perte de réputation (procès, articles,…)
•Les médias en parlent systématiquement
•Vol de données de clients, d’employés,
d’administrateurs, …
•Perte de confiance des clients
•Sanctions pénales et civiles
•Perte de réputation (procès, articles,…)
•Les médias en parlent systématiquement
•Vol de données de clients, d’employés,
d’administrateurs, …
•Perte de confiance des clients
•Sanctions pénales et civiles
On en parlera !
19. On entend par "données à caractère personnel”:
toute information concernant une personne physique
identifiée ou identifiable,
désignée ci-après "personne concernée";
est réputée identifiable une personne
qui peut être identifiée,
directement ou indirectement,
notamment par référence
à un numéro d'identification ou à un ou plusieurs
Éléments spécifiques, propres à son identité
physique,
physiologique,
psychique, économique, culturelle ou sociale
Donnée personnelleDonnée personnelle
20. Par "traitement",
on entend toute opération ou ensemble
d'opérations effectuées ou non à l'aide de procédés
Automatisés et appliquées à des données à caractère
personnel, telles que la collecte, l'enregistrement,
l'organisation, la conservation, l'adaptation ou
la modification, l'extraction, la consultation, l'utilisation,
la communication par transmission, diffusion ou toute
autre forme de mise à disposition,
le rapprochement ou l'interconnexion, ainsi que
le verrouillage, l'effacement ou la destruction
de données à caractère personnel.
Traitement de données
21. Par "responsable du traitement",
on entend la personne
physique ou morale,
l'association de fait ou l'administration
publique qui, seule ou conjointement
avec d'autres,
détermine les finalités
et les moyens du traitement
de données à caractère personnel.
Responsable de traitement
22. Responsabilités du “responsable de traitement »
1.1. LoyautéLoyauté
2.2. FinalitéFinalité
3.3. ProportionalitéProportionalité
4.4. Exactitude des donnéesExactitude des données
5.5. Conservation non excessiveConservation non excessive
6.6. SecuritéSecurité
7.7. ConfidentialitéConfidentialité
8.8. Finalité expliquée avant le consentementFinalité expliquée avant le consentement
9.9. Information à la personne concernéeInformation à la personne concernée
10.10.Consentement indubitable (opt in)Consentement indubitable (opt in)
11.11.Déclaration à la CNILDéclaration à la CNIL
24. Droits du consommateurDroits du consommateur
6 PRINCIPES:6 PRINCIPES:
1.1. Droit d’accèsDroit d’accès
2.2. Droit deDroit de
rectificationrectification
3.3. Droit de refuserDroit de refuser
le marketingle marketing
directdirect
4.4. Droit de retraitDroit de retrait
5.5. Droit à laDroit à la
sécuritésécurité
6.6. AcceptationAcceptation
préalablepréalable
29. 3030
• ObligatoireObligatoire
• Le propriétaire de laLe propriétaire de la
banque de donnéesbanque de données
doit être capable dedoit être capable de
prouver que l’opt-inprouver que l’opt-in
a bien eu lieu !!a bien eu lieu !!
• Exceptions selon lesExceptions selon les
législationslégislations
OPT IN SUR INTERNET
37. • Sécurité organisationnelleSécurité organisationnelle
– Département sécuritéDépartement sécurité
– Consultant en sécuritéConsultant en sécurité
– Procédure de sécuritéProcédure de sécurité
– Disaster recoveryDisaster recovery
38. • Sécurité techniqueSécurité technique
– Risk analysisRisk analysis
– Back-upBack-up
– Procédure contre incendie, vol, etc.Procédure contre incendie, vol, etc.
– Sécurisation de l’accès au réseau ITSécurisation de l’accès au réseau IT
– Système d’authentification (identity management)Système d’authentification (identity management)
– Loggin and password efficacesLoggin and password efficaces
39. • Sécurité juridiqueSécurité juridique
– Contrats d’emplois et informationContrats d’emplois et information
– Contrats avec les sous-contractantsContrats avec les sous-contractants
– Code de conduiteCode de conduite
– Contrôle des employésContrôle des employés
– Respect complet de la réglementationRespect complet de la réglementation
41. Espérons que la sécurité
de vos données
ne ressemble jamais à ceci !
42. Contrôle des employés : équilibreContrôle des employés : équilibre
• Protection de la vie
privée des travailleurs
ET
• Les prérogatives de
l’employeur tendant à
garantir le bon
déroulement du travail
44. Les 4 finalitésLes 4 finalités
1.1. Prévention de faits illégaux, de faits contraires auxPrévention de faits illégaux, de faits contraires aux
bonnes mœurs ou susceptibles de porter atteinte à labonnes mœurs ou susceptibles de porter atteinte à la
dignité d’autruidignité d’autrui
2.2. La protection des intérêts économiques,La protection des intérêts économiques,
commerciaux et financiers de l’entreprise auxquelscommerciaux et financiers de l’entreprise auxquels
est attaché un caractère de confidentialité ainsi queest attaché un caractère de confidentialité ainsi que
la lutte contre les pratiques contrairesla lutte contre les pratiques contraires
45. Les 4 finalitésLes 4 finalités
33 La sécurité et/ou le fonctionnement technique deLa sécurité et/ou le fonctionnement technique de
l’ensemble des systèmes informatiques en réseau del’ensemble des systèmes informatiques en réseau de
l’entreprise, en ce compris le contrôle des coûts yl’entreprise, en ce compris le contrôle des coûts y
afférents, ainsi que la protection physique desafférents, ainsi que la protection physique des
installations de l’entrepriseinstallations de l’entreprise
4 Le respect de bonne foi des principes et règles4 Le respect de bonne foi des principes et règles
d’utilisation des technologies en réseau fixés dansd’utilisation des technologies en réseau fixés dans
l’entreprisel’entreprise
47. • Diffuser vers des tiers des informations confidentielles relatives XXX, à ses partenaires commerciaux, aux autresDiffuser vers des tiers des informations confidentielles relatives XXX, à ses partenaires commerciaux, aux autres
travailleurs, aux sociétés liées ou à ses procédés techniques ;travailleurs, aux sociétés liées ou à ses procédés techniques ;
• Diffuser à des tiers toute donnée personnelle dont XXXest responsable de traitement, sauf autorisation formelle deDiffuser à des tiers toute donnée personnelle dont XXXest responsable de traitement, sauf autorisation formelle de
XXX ;XXX ;
• Copier, diffuser, télécharger, vendre, distribuer des oeuvres protégées par le droit de la propriété intellectuelle, sansCopier, diffuser, télécharger, vendre, distribuer des oeuvres protégées par le droit de la propriété intellectuelle, sans
avoir obtenu toutes les autorisations des ayants droit;avoir obtenu toutes les autorisations des ayants droit;
• Copier ou télécharger des programmes informatiques sans en avoir reçu l’autorisation préalable du départementCopier ou télécharger des programmes informatiques sans en avoir reçu l’autorisation préalable du département
informatique ;informatique ;
• Participer à tout jeu, concours, loterie, tombola, jeu de casino, ainsi que transmettre les adresses des sitesParticiper à tout jeu, concours, loterie, tombola, jeu de casino, ainsi que transmettre les adresses des sites
concernés, tout comme participer à toute action de marketing, de marketing viral, ou à toute enquête quelle qu’elleconcernés, tout comme participer à toute action de marketing, de marketing viral, ou à toute enquête quelle qu’elle
soit, avec ou sans possibilité de gain ;soit, avec ou sans possibilité de gain ;
• Transmettre des messages non professionnels reçus de tiers à d’autres travailleurs, transmettre tout message nonTransmettre des messages non professionnels reçus de tiers à d’autres travailleurs, transmettre tout message non
professionnel reçu d’un autre travailleur soit à des tiers soit à d’autres travailleurs, transmettre tout messageprofessionnel reçu d’un autre travailleur soit à des tiers soit à d’autres travailleurs, transmettre tout message
professionnel à des tiers ou à d’autres travailleurs dans le but de nuire à XXX ou à un autre travailleur ;professionnel à des tiers ou à d’autres travailleurs dans le but de nuire à XXX ou à un autre travailleur ;
• Transmettre à un tiers ou à un autre travailleur tout message ayant un contenu pornographique, érotique, raciste,Transmettre à un tiers ou à un autre travailleur tout message ayant un contenu pornographique, érotique, raciste,
révisionniste, pédophile, discriminatoire, sexiste, ou plus généralement contraire aux bonnes mœurs ou à touterévisionniste, pédophile, discriminatoire, sexiste, ou plus généralement contraire aux bonnes mœurs ou à toute
réglementation ou législation belge ou comprenant un hyperlien vers un site proposant ce type de contenu ;réglementation ou législation belge ou comprenant un hyperlien vers un site proposant ce type de contenu ;
• Consulter des sites Internet ayant un contenu pornographique, érotique, raciste, révisionniste, pédophile,Consulter des sites Internet ayant un contenu pornographique, érotique, raciste, révisionniste, pédophile,
discriminatoire, sexiste, ou plus généralement contraire aux bonnes mœurs ou à toute réglementation ou législationdiscriminatoire, sexiste, ou plus généralement contraire aux bonnes mœurs ou à toute réglementation ou législation
belge ;belge ;
• Participer à des chaînes de lettres, quel qu’en soit le contenu ;Participer à des chaînes de lettres, quel qu’en soit le contenu ;
• Participer à des forums de discussion, des chat, des newsgroup, des mailing-list non professionnels ;Participer à des forums de discussion, des chat, des newsgroup, des mailing-list non professionnels ;
• Participer directement ou indirectement à des envois d’emails non sollicités ;Participer directement ou indirectement à des envois d’emails non sollicités ;
• Utiliser l’adresse email d’un autre travailleur pour envoyer un message professionnel ou privé ;Utiliser l’adresse email d’un autre travailleur pour envoyer un message professionnel ou privé ;
• Effectuer toute activité considérée par la loi belge comme relevant de la criminalité informatique, ou contraire à laEffectuer toute activité considérée par la loi belge comme relevant de la criminalité informatique, ou contraire à la
législation concernant la protection des données personnelles et en particulier, à titre d’exemples, tenter d’avoir accèslégislation concernant la protection des données personnelles et en particulier, à titre d’exemples, tenter d’avoir accès
à des données dont l’accès n’est pas autorisé ou copier des données personnelles pour les transmettre à des tiers ;à des données dont l’accès n’est pas autorisé ou copier des données personnelles pour les transmettre à des tiers ;
• Diffuser vers des tiers des informations confidentielles relatives XXX, à ses partenaires commerciaux, aux autresDiffuser vers des tiers des informations confidentielles relatives XXX, à ses partenaires commerciaux, aux autres
travailleurs, aux sociétés liées ou à ses procédés techniques ;travailleurs, aux sociétés liées ou à ses procédés techniques ;
• Diffuser à des tiers toute donnée personnelle dont XXXest responsable de traitement, sauf autorisation formelle deDiffuser à des tiers toute donnée personnelle dont XXXest responsable de traitement, sauf autorisation formelle de
XXX ;XXX ;
• Copier, diffuser, télécharger, vendre, distribuer des oeuvres protégées par le droit de la propriété intellectuelle, sansCopier, diffuser, télécharger, vendre, distribuer des oeuvres protégées par le droit de la propriété intellectuelle, sans
avoir obtenu toutes les autorisations des ayants droit;avoir obtenu toutes les autorisations des ayants droit;
• Copier ou télécharger des programmes informatiques sans en avoir reçu l’autorisation préalable du départementCopier ou télécharger des programmes informatiques sans en avoir reçu l’autorisation préalable du département
informatique ;informatique ;
• Participer à tout jeu, concours, loterie, tombola, jeu de casino, ainsi que transmettre les adresses des sitesParticiper à tout jeu, concours, loterie, tombola, jeu de casino, ainsi que transmettre les adresses des sites
concernés, tout comme participer à toute action de marketing, de marketing viral, ou à toute enquête quelle qu’elleconcernés, tout comme participer à toute action de marketing, de marketing viral, ou à toute enquête quelle qu’elle
soit, avec ou sans possibilité de gain ;soit, avec ou sans possibilité de gain ;
• Transmettre des messages non professionnels reçus de tiers à d’autres travailleurs, transmettre tout message nonTransmettre des messages non professionnels reçus de tiers à d’autres travailleurs, transmettre tout message non
professionnel reçu d’un autre travailleur soit à des tiers soit à d’autres travailleurs, transmettre tout messageprofessionnel reçu d’un autre travailleur soit à des tiers soit à d’autres travailleurs, transmettre tout message
professionnel à des tiers ou à d’autres travailleurs dans le but de nuire à XXX ou à un autre travailleur ;professionnel à des tiers ou à d’autres travailleurs dans le but de nuire à XXX ou à un autre travailleur ;
• Transmettre à un tiers ou à un autre travailleur tout message ayant un contenu pornographique, érotique, raciste,Transmettre à un tiers ou à un autre travailleur tout message ayant un contenu pornographique, érotique, raciste,
révisionniste, pédophile, discriminatoire, sexiste, ou plus généralement contraire aux bonnes mœurs ou à touterévisionniste, pédophile, discriminatoire, sexiste, ou plus généralement contraire aux bonnes mœurs ou à toute
réglementation ou législation belge ou comprenant un hyperlien vers un site proposant ce type de contenu ;réglementation ou législation belge ou comprenant un hyperlien vers un site proposant ce type de contenu ;
• Consulter des sites Internet ayant un contenu pornographique, érotique, raciste, révisionniste, pédophile,Consulter des sites Internet ayant un contenu pornographique, érotique, raciste, révisionniste, pédophile,
discriminatoire, sexiste, ou plus généralement contraire aux bonnes mœurs ou à toute réglementation ou législationdiscriminatoire, sexiste, ou plus généralement contraire aux bonnes mœurs ou à toute réglementation ou législation
belge ;belge ;
• Participer à des chaînes de lettres, quel qu’en soit le contenu ;Participer à des chaînes de lettres, quel qu’en soit le contenu ;
• Participer à des forums de discussion, des chat, des newsgroup, des mailing-list non professionnels ;Participer à des forums de discussion, des chat, des newsgroup, des mailing-list non professionnels ;
• Participer directement ou indirectement à des envois d’emails non sollicités ;Participer directement ou indirectement à des envois d’emails non sollicités ;
• Utiliser l’adresse email d’un autre travailleur pour envoyer un message professionnel ou privé ;Utiliser l’adresse email d’un autre travailleur pour envoyer un message professionnel ou privé ;
• Effectuer toute activité considérée par la loi belge comme relevant de la criminalité informatique, ou contraire à laEffectuer toute activité considérée par la loi belge comme relevant de la criminalité informatique, ou contraire à la
législation concernant la protection des données personnelles et en particulier, à titre d’exemples, tenter d’avoir accèslégislation concernant la protection des données personnelles et en particulier, à titre d’exemples, tenter d’avoir accès
à des données dont l’accès n’est pas autorisé ou copier des données personnelles pour les transmettre à des tiers ;à des données dont l’accès n’est pas autorisé ou copier des données personnelles pour les transmettre à des tiers ;
48. sanctionssanctions
• Dans le RTDans le RT
• CohérentesCohérentes
• LégalesLégales
• Zone griseZone grise
• RéellesRéelles
• ObjectivesObjectives
• SyndicatsSyndicats
49. Sécurité et sélectionSécurité et sélection
• Screening des CVScreening des CV
• Avant engagementAvant engagement
• Final checkFinal check
• AntécédentsAntécédents
• Quid médiasQuid médias
sociaux, Facebook,sociaux, Facebook,
googling, etc?googling, etc?
• Tout est-il permis?Tout est-il permis?
51. Securité: à retenirSecurité: à retenir
• Top downTop down
• Obligation légaleObligation légale
• Risque ou opportunité?Risque ou opportunité?
• Sécurité juridiqueSécurité juridique
• Sécurité organisationelleSécurité organisationelle
• Sécurité informatiqueSécurité informatique
• Contrôle des employésContrôle des employés
54. Procédure et méthodologieProcédure et méthodologie
• Décision stratégique à haut niveauDécision stratégique à haut niveau
• Réflexion et décision quant à la procédure de mise en place et sesRéflexion et décision quant à la procédure de mise en place et ses
implications en terme d’organisation et en particulier:implications en terme d’organisation et en particulier:
– Change managementChange management
– Identity managementIdentity management
– Security managementSecurity management
• Désignation d’un chef de projet interneDésignation d’un chef de projet interne
• Analyse et adaptation des procédures de collecte de donnéesAnalyse et adaptation des procédures de collecte de données
• Analyse et adaptation des bases de données existantesAnalyse et adaptation des bases de données existantes
• Régler la situation actuelleRégler la situation actuelle
• Établissement de règles pour le futurÉtablissement de règles pour le futur
• Procédures de contrôle et d’auditProcédures de contrôle et d’audit
55. Aspects stratégiquesAspects stratégiques
Il faut gagner la confiance des consommateursIl faut gagner la confiance des consommateurs
• Le respect de la vie privée peut être un incitant àLe respect de la vie privée peut être un incitant à
repenser l’organisationrepenser l’organisation
• L’obligation légale de sécurité peut être un moyen deL’obligation légale de sécurité peut être un moyen de
penser une sécurité globalepenser une sécurité globale
• Le respect de la vie privée est un excellent outilLe respect de la vie privée est un excellent outil
marketing à partir du moment où la loi n’est pasmarketing à partir du moment où la loi n’est pas
encore respectée.encore respectée.
56. Alors quand un patron pense à ses données ilAlors quand un patron pense à ses données il
est zen ?est zen ?
71. Chargé
de cours
Partner Auteur
Blog www.privacybelgium.be
http://be.linkedin.com/in/folon
www.edge-consulting.biz
Jacques.folon@edge-consulting.biz
Administrateur