Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractère personnel, qu'est ce qui attend les entreprises et comment se conformer ? - #ACSS2019
Le 10 Juin 2018, l’Algérie promulguait la loi sur la protection des données à caractère personnel. Pour les entreprises, cette loi induit un changement de paradigme dans la protection des données personnelles et induit un profond changement dans leur organisation, où la protection des données personnelles devra désormais faire partie intégrante de leur stratégie (privacy by design, cartographies des données et des processus de
traitement , etc.).
Cela suscite de nombreuses réflexions, notamment : Sommes nous prêts à adapter nos activités pour se
conformer aux nouvelles exigences?, sommes-nous contient de ce qui nous attend en terme de charge det ravail et d'investissements?, avons nous les personnes pour le faire? par où commencer ? et surtout quelles
démarches adopter?
Un spécialiste de la sécurité des SI vient d'entamer cette mission dans son entreprise et propose de partager
avec nous son approche et la démarche adoptée.
Rabah HACHICHI - Spécialiste Cyber Securité et Data Protection - BNP PARIBAS EL DJAZAIR
Similaire à Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractère personnel, qu'est ce qui attend les entreprises et comment se conformer ? - #ACSS2019
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper Guillaume Valcin
Similaire à Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractère personnel, qu'est ce qui attend les entreprises et comment se conformer ? - #ACSS2019 (20)
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractère personnel, qu'est ce qui attend les entreprises et comment se conformer ? - #ACSS2019
1. Loi 18-07 du 10 juin 2018 :
La Protection des Données à Caractère Personel,
Qu’est ce qui attend les entreprises?
Comment s’y conformer?
Rabah HACHICHI
Spécialiste Cybersécurité & Data Protection
Mail : hachichi@gmail.com
Mobile : +213 770 618916
1
2. Agenda
Mise en œuvre d'un programme de mise en conformité à la loi 18-07 2
La loi 18-07 du 10 juin 2018, L’autorité nationale de PDP,
Qu’est ce qui attend les entreprises?
Contexte01
Analyse et gestion du changement, A propos du RGPD européen,
Comment s’y conformer? Processus de mise en conformité.
Approche adoptée02
Domaines à traiter
Plan de remédiatition03
Conclusion04
4. La loi n°18-07 du 10 juin 2018
relative à la protection des personnes physiques
dans le traitement des données à caractère personnel
(publiée sur le JORA n° 34 du 10 juin 2018)
Accompagner la transformation digitale des entreprises.
Cadrer la collecte massive des données liée au développement des réseaux sociaux et de
la société connectée.
Suivre la progression du marketing comportemental et Data analytics.
S’aligner avec les règles internationales dans le domaine et anticiper les opportunités et
perspectives économiques,
Faire face aux risques de violation, divulgation et d’utilisation contraire à l’étique des
données à caractères personnel.
Adapter la réglementation aux réalités économiques du moment et aux risques
émergents,
Mise en œuvre d'un programme de mise en conformité à la loi 18-07 4
5. Mise en œuvre d'un programme de mise en conformité à la loi 18-07 5
Données à caractère personnel (TITRE I, Art. 3)
DONNÉES
PERSONNELLES
Nom
Adresse IP
N° téléphone
Identifiants
Photographie
Date de
naissance
N° AbonnéN° Abonné
Matricule
Données
de santé
Données
Biométrique
s
Données à caractère personnel
Abonnés
Salariés
Candidats
Sous-traitants
Prestataires
Fournisseurs
Prospects
Personnes concernées
Dispositions Générales
6. Autorité Nationale de Protection des Données Personnelles
(TITRE III, Art. 22 à 31)
6
1. Délivrer les autorisations et de recevoir les déclarations relatives aux
traitements;
2. Informer les personnes concernées et les responsables de traitement;
3. Conseiller les personnes et entités qui ont recours aux traitements;
4. Recevoir les réclamations, les recours et les plaintes;
5. Autoriser les transferts transfrontaliers des données à caractère personnel;
6. Ordonner les modifications nécessaires;
7. Ordonner la fermeture de données, leur retrait ou destruction ;
8. Présenter toute suggestion susceptible de simplifier et d’améliorer le cadre
législatif et réglementaire;
9. Publier les autorisations accordées et les avis émis dans le registre national;
10. Développer des relations de coopération avec les autorités étrangères
similaires;
11. Prononcer des sanctions administratives;
12. Elaborer des normes dans le domaine de la protection des données personnel;
13. Elaborer des règles de bonne conduite et de déontologie.
Art. 25 : Missions de l’autorité de protection des données personnelles
Mise en œuvre d'un programme de mise en conformité à la loi 18-07
7. Qu’est ce qui attend les entreprises?
La loi s’applique à tout organisme public ou privé amené à traiter des données
personnelles, ainsi qu’à ses sous-traitants.
les personnes effectuant une activité de traitement des données à caractère
personnel doivent se conformer aux dispositions de la loi dans un délai
maximum d’un an à compter de la date d’installation de l’autorité nationale.
Au-delà des obligations légales, Il est primordiale de préparer son entreprise à
ce nouveau cadre, il s’agit d’une opportunité d’améliorer la sécurité des données
personnelles que nous manipulons.
Les principes de licéité, loyauté, transparence et responsabilité dans la gestion
des données personnelles , constituent le fondement de la confiance entre
acteurs économiques et citoyens.
7Mise en œuvre d'un programme de mise en conformité à la loi 18-07
9. Analyse et gestion du changement
De nouveaux droits pour les citoyens et de nouvelles obligations aux entreprises.
Accompagner une évolution majeure dans les mentalités.
L’autorité de régulation, pivot central dans le dispositif.
Des sanctions à la hauteur des enjeux.
L'auto-contrôle sous surveillance.
S’adapter aux nouveaux contextes et perspectives économiques,
Revue de la gouvernance et des organisations des organismes concernés :
- Responsable de traitements,
- Dispositif et structures ‘Data’ pour la gestion des données,
- Nouvelles politiques, revue des procédures internes et des contrats.
9Mise en œuvre d'un programme de mise en conformité à la loi 18-07
10. A propos du RGPD européen
Le règlement RGPD est applicable dans nos territoires dès lors que :
- Que nous hébergeons des traitements dont le responsable est établi sur le territoire
de l’UE,
- Que nous comptons fournir des biens et des services aux résidents européens.
Un projet de mise en conformité PDP peut induire des délais et des coûts à
étaler sur plusieurs exercices, il est souhaitable d’anticiper :
- Inventaire, catégorisation fiabilisation et contrôle qualité données.
- Lancer le processus de mise en conformité à la loi 18-07.
En profitant du retour d’expérience, des méthodes et outils mis en œuvre lors
des projets de mise en conformité RGPD.
10Mise en œuvre d'un programme de mise en conformité à la loi 18-07
11. Comment s’y conformer ?
Sur la base d’une étude technico-juridique de la loi 18-07 et en l’absence de
l’autorité de régulation (en charge de mettre en œuvre les orientations et guides
d’application), il a été adopté une méthode par une approche par les risques basée
sur le retour d’expérience de projets similaires de mise en conformité à la
réglementation européenne RGPD :
(Ci-dessous l’approche proposée par le CNIL),
11Mise en œuvre d'un programme de mise en conformité à la loi 18-07
12. Processus de mise en conformité
12
Survey & Assessment
Désignation de pilote,
Périmètre et étude existant,
Cartographie des données,
Entretiens des parties.
Etabissement état actuel.
Diagnostic GapAnalysis
Définition de l’état désiré.
Définition des domaines
prioritaires
Analyse des risques et des
écarts.
Estimation des charges.
Remediation plan
Etablissement Roadmap.
Validation et engagement du
management.
MEP gouvernance Data.
MEP Planning des Chantiers.
Plan de remédiation
MEO du plan de remédiation
MEP processus de Suivi &
Contrôles.
Documentation
Formation / Sensibilisation
des équipes.
Mise en œuvre d'un programme de mise en conformité à la loi 18-07
14. Treize domaines à traiter,
1. Gouvernance Data.
2. Notification de Confidentialité.
3. Droits des personnes concernés.
4. Gestion du Consentement.
5. Gestion des périodes de rétention.
6. Gestion de la qualité des données.
7. Gestion des tiers (Sous-Traitants).
14
8. Transfert de données vers un pays
étranger.
9. Mesures de Sécurité Informatique.
10. Infraction aux Données Personnelles.
11. Formation & Sensibilisation.
12. Procédures préalables aux traitements.
13. Privacy By Design (DPIA).
Mise en œuvre d'un programme de mise en conformité à la loi 18-07
15. 1. Gouvernance Data
15
Désignation d’acteurs Data :
- Responsables de traitement et vis-à-vis.
- Acteurs de mise en conformité à la loi.
- Acteurs de fiabilisation des données.
- Acteurs de contrôles de la qualité des données.
Engagement de la direction dans le processus Data.
Mise en place de mécanismes de contrôle et d’audit,
Mise en œuvre d'un programme de mise en conformité à la loi 18-07
16. 2. Notification de Confidentialité
(TITRE IV, Chapitre 1er, Art. 32 et 33)
16
Du droit à l’information
Mise en œuvre d'un programme de mise en conformité à la loi 18-07
17. 3. Droits des personnes concernés (TITRE IV, Art. 32 à 37)
17
Du droit de rectification Interdiction de la prospection directe
Mise en œuvre d'un programme de mise en conformité à la loi 18-07
18. 18
Du droit d’accès Du droit d’opposition
3. Droits des personnes concernés (TITRE IV, Art. 32 à 37)
Mise en œuvre d'un programme de mise en conformité à la loi 18-07
19. 4. Gestion du Consentement (TITRE II, Art. 7 et 8)
19
De l’accord préalable et de la qualité des données
Mise en œuvre d'un programme de mise en conformité à la loi 18-07
20. 5. Gestion des périodes de rétention (TITRE II, Art. 9)
20
De l’accord préalable et de la qualité des données
Mise en œuvre d'un programme de mise en conformité à la loi 18-07
21. 6. Gestion de la qualité des données (TITRE II, Art. 9)
21
De l’accord préalable et de la qualité des données
Mise en œuvre d'un programme de mise en conformité à la loi 18-07
22. 7. Gestion des tiers (Sous-traitants) (TITRE V, Art. 39 à 41)
22
De la confidentialité et de la sécurité du traitement
Mise en œuvre d'un programme de mise en conformité à la loi 18-07
23. 8. Transfert de données vers un pays étrangers
(TITRE V, Art. 44 et 45)
23
Du transfert de données vers un pays étranger
Mise en œuvre d'un programme de mise en conformité à la loi 18-07
24. 9. Mesures de Sécurité Informatique (TITRE V, Art. 38)
Mise en œuvre d'un programme de mise en conformité à la loi 18-07 24
De la confidentialité et de la sécurité du traitement
25. 10. Infraction aux Données Personnelles
(TITRE VI : Des Dispositions Administratives et Pénales)
Mise en œuvre d'un programme de mise en conformité à la loi 18-07 25
Des procédures administratives Des règles de procédure
Des dispositions pénales
26. 11. Formation et Sensibilisation
Mise en œuvre d'un programme de mise en conformité à la loi 18-07 26
Sensibilisation PDP
Meilleure façon de comprendre les enjeux de protection
des données personnelles et d’éviter les infractions à la
réglementation PDP.
La sensibilisation doit définir le rôle de chaque acteur
dans l’entreprise et les obligations vis-à-vis de la collecte
et de l’utilisation de données.
A généraliser pour les nouveaux salariés de l’entreprise
Formations PDP
Non obligatoire mais essentielle pour réussir dans les
meilleures conditions la mise en conformité au PDP et
pour s’imprégner de la culture de protection de données
personnelles et la maitrise des méthodes de gestion des
risques.
En e-learning et en présentielles, certifiantes pour les
professionnelles du PDP.
Variantes locale à développer rapidement.
27. Mise en œuvre d'un programme de mise en conformité à la loi 18-07 27
12. Procédures préalables au traitement
(TITRE II, Art. 13 à 21)
La déclaration L’autorisation
28. 13. Privacy By Design (DPIA)
Mise en œuvre d'un programme de mise en conformité à la loi 18-07 28
DPIA : Data Protection Impact Assessment
Il s’agit d’une évaluation d’impact et analyse des risques
portant sur la sécurité des données (condition d’accès,
disparition de données, impact sur la vie privée…), pour
faciliter la mise en place de mesures techniques
efficaces pour protéger les données personnelles.
Privacy By Design
Respect de la vie privée dès la conception.
Consiste en la mise en place de contrôles de protection
des données personnelles dans les systèmes à toutes les
étapes de leur développement, incluant l’analyse, le
design, la mise en œuvre, la vérification, la sortie, la
maintenance et la mise hors service.
Concept non abordé par la loi algérienne, il est
néanmoins obligatoire dans le RGPD, européen.
30. Conclusion
Anticipation pour une meilleure maitrise du dispositif.
Optimisation des efforts et des dépenses liés à la conformité PDP.
Se mettre à bon niveau de sécurité et profiter des cas d’opportunités Business.
Maitriser la gestion des données personnelles, les fiabiliser et se préparer à
mieux rentabiliser celles-ci.
Se conformer à la réglementation, maitriser et réduire les risques de violation de
données à caractère personnel à un niveau acceptable.
Mise en œuvre d'un programme de mise en conformité à la loi 18-07 30