RGPD_Afterwork

171 vues

Publié le

0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
171
Sur SlideShare
0
Issues des intégrations
0
Intégrations
8
Actions
Partages
0
Téléchargements
13
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

RGPD_Afterwork

  1. 1. Les impacts du RGPD 18.10.2016 © UDITIS SA @SDroxler AfterWork Neuchâtel, Beau-Rivage
  2. 2. Scénario Qui sont les acteurs ? De quoi parle-t-on ? Où cela se passe-t-il ? Que se passe-t-il ? Pourquoi est- ce important ? Comment agir ?
  3. 3. Acteurs / Rôles DataProtectionAuthority • CH = Prép. à la protection des données Met en œuvre les lois et règlements Datacontroller • CH = Maître du fichier Décide pourquoi & comment les infos sont traitées DataProcessor • CH = ? (sous-traitant) Traite les données pour le compte du data controller Datasubject • CH = Personne concernée Individu dont les données sont traitées
  4. 4. De quoi parle-t-on ? Nom + Prénom Genre Age, date de naissance Etat civil Nationalité(s) Langue(s) parlée(s) Identifiants personnels …. Données personnelles Race ou origine ethnique Opinions politiques Croyances religieuses ou philosophiques Santé / orientation sexuelle Mesures pénales, sociales, administratives Données biométriques et génétiques Social Security Numbers Financial information Driver’s licence number Medical records Données sensibles
  5. 5. De quoi parle-t-on ? Salaire Fonction Evaluations et statistiques de performance Rente invalidité, pensions Business & Personal adresses, email, phone numbers Internal identification numbers … Historique d’achats Statistiques d’interactions (nb de visites sur un site web ou physique) Information sur des opportunités, prospects Anciens clients Participants à des études de marchés Enregistrements téléphoniques Bénéficiaires de rentes ou autres pensions versées par l’Etat Déclarations fiscales ou autres données détenues par l’Etat + Données Clients Données RH
  6. 6. De quoi parle-t-on ? Données personnelles Données sensibles RH Clients Requièrent une protection particulière Traitement interdit sauf si: - Consentement explicite + base légale - Protègent un intérêt vital de la personne - Rendues publiques par la personne - Nécessaires pour démarche légale
  7. 7. Où cela se passe-t-il ? Droit humain Traitement P.I. strictement réglementé Droit du consommateur Usage commercial P.I. acceptable Droit humain LPD en cours de révision Modèle complet Modèle sectoriel Modèle «hybride»
  8. 8. Sources de lois Constitution fédérale (Art 13) Loi fédérale sur la protection des données (LPD) Code civil (Art 28ss) protection de la personnalité Code des obligations (Art 328 ss) protection personnalité du travailleur Ordonnance Loi sur le travail (OLT3) Code pénal (Art 179ss) infractions contre le secret ou le domaine privé Droit cantonal
  9. 9. Sources de lois Health Insurance Portability & Accountability Act (HIPAA 1996) Children Online Privacy Protection Act (COPPA 1998) Fair & Accurate Credit Transaction (FACTA) Payment Card Industry Data Security Standards (PCI DSS) … State laws
  10. 10. Sources de lois Data Protection Directive (95/46/EC) E-Privacy Directive (+ amendement) Data Protection Directive (2006/24/EC) Data Retention Directive General Data Protection Rule
  11. 11. Que se passe-t-il ? Data Protection Directive vs General Data Protection Rule
  12. 12. Que se passe-t-il ? Objectifs RGPD: Renforcer les droits des personnes concernées Préciser les exigences en matière de protection de l’information Obliger les organisations à protéger les données
  13. 13. Pourquoi est-ce important ? 18.10.2016 © UDITIS SA – S. Droxler
  14. 14. Privacy Notice Choice Security Availability Integrity Use Access Confidentiality Protection de l’information vs Sécurité des données
  15. 15. «You can have security without privacy, but you cannot have privacy without security.»
  16. 16. Business just wants to do business
  17. 17. 49% 22% 21% 8% 46% 23% 21% 10% Hackers Publication accidentelle Perte de laptop / DD Fraude interne Principales causes de pertes de données (nombre d’incidents) 2014 2015 Source: Internet Security Threat Report 2015, Symantec 54 %
  18. 18. Privacy Notice Choice Security Availability Integrity Use Access Confidentiality Protection de l’information vs Sécurité des données
  19. 19. 8 Impacts importants du RGPD 18.10.2016 © UDITIS SA – S. Droxler
  20. 20. 1) Extra territorialité Applicable aux établissements avec siège en Europe ou offrant des prestations/produits à des résidents de l’UE ou Traitant des données de résidents de l’UE
  21. 21. 2) Nouvelles obligations pour les sous-traitants Data processors doivent Pseudonymiser / encrypter les données perso. Assurer confidentialité/intégrité/disponibilité/ résilience des systèmes et processus Etre à même de restaurer rapidement l’accès en cas d’incident technique Tester et évaluer régulièrement leurs mesures organisationnelles
  22. 22. 3) Précisions pour les maîtres de fichiers Data controllers doivent Sélectionner soigneusement leurs sous-traitants Réaliser des P.I.A si nécessaire et implémenter les mesures de sécurité adéquates Assurer les droits des personnes concernées Notifier DPA en cas de violation de lasécurité des données
  23. 23. 4) Nouvelle obligation d’annoncer Incidents de sécurité Data processor Data controller • (+ Data subject) Data Protection Authority
  24. 24. 5) La responsabilisation est reine ! Mesures appropriées Adopter des processus de traitement détaillés Implémenter les mesures de sécurité adaptées Privacy by Design / Privacy by Default Appointer un Data Privacy Officer (DPO)
  25. 25. 6) Droits des personnes concernées Renforcement + augmentation Droits d’accès / correction / destruction données Consentement explicite Droit à l’oubli Droit à la portabilité des données Mesures limitant le profiling
  26. 26. 7) L’export de données personnelles Cross-border Data transfers Précisions pour BCRs Dérogations pour situations spécifiques ….
  27. 27. 8) En cas de non conformité Sanctions lourdes 10 mios EUR ou 2% du CA mondial n-1  Incapacité à protéger les données, à implémenter des mesures de sécurité, à notifier correctement un incident de sécurité 20 mios EUR ou 4% du CA mondial n-1  Non obtention du consentement, manquement vis-à-vis des droits des personnes concernées ou des exigences en matières de transferts internationaux, récidive
  28. 28. Comment agir ? 18.10.2016 © UDITIS SA – S. Droxler
  29. 29. Désignation d’un Data Privacy Officer Obligatoire pour Organisations du secteur public Entreprises pratiquant la surveillance / profiling «systématique» et «à large échelle» de données personnelles Entités traitant des données sensibles
  30. 30. Réduire les risques en cas de perte / vol Mesures «Privacy» Pseudonymisation et/ou encryption Privacy by Design / Default Code de conduite Certifications
  31. 31. Réduire les risques en cas de perte / vol Mesures «Security» Archivage des données «mortes»
  32. 32. Réduire les risques en cas de perte / vol Mesures «Security» Archivage des données «mortes» Plan de sécurité cohérent
  33. 33. Réduire les risques en cas de perte / vol Mesures «Security» Archivage des données «mortes» Plan de sécurité cohérent Data Centric Security
  34. 34. En pratique
  35. 35. Synthèse 18.10.2016 © UDITIS SA – S. Droxler
  36. 36. Message clé pour la Direction / Conseil admin. Les règles de l’UE en matière de protection de l’information deviennent très strictes. Sécurité de l’information = obligation légale. Une meilleure gouvernance de l’information contribue au succès de l’Entreprise.
  37. 37. Road Map UDITIS 05-201806-201712-2016 RGPD Sensibilisation DPO Consultations DPO mandats (Etudes d’impacts, conseil privacy & sécurité, processus organisationnels, documents, …) PRIVACY
  38. 38. Appel à contribution DPO externe • Veille juridique • Bonnes pratiques • Gouvernance • Processus, règlements • Contrôles sécurité • Gestion incidents … • Contrats• Notices • Demandes, litiges Clients Employés Tiers et affiliés Lois, Normes Interne DPO • Notice • Politiques • P.I.A • .. DPO
  39. 39. Road Map 05-2018 Know your Data Retrouver la visibilité sur ses données Data Loss Prevention Prévenir la fuite d’informations sensibles Data Protection Protéger les données les plus sensibles grâce à l’encryption, l’anonymisation, la pseudonymisation TECHNOS 06-201712-2016 RGPD Sensibilisation DPO Consultations DPO mandats (Etudes d’impacts, conseil privacy & sécurité, processus organisationnels, documents, …) PRIVACY Gouvernance de l’information (Alignement risques business <-> contrôles sécurité) Sensibilisation des collaborateurs Cybercriminalité + Protection de l’information NIST Framework (Pilote) SECURITY

×