Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.

Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018

680 vues

Publié le

Sensibilisation GDPR et RGPD. PME/Administrations/Universités. Slides de la présentation réalisée pour la LME, Hainaut développement et l'IDEA pour 82 participants. Merci à eux :)

Publié dans : Direction et management

Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018

  1. 1. David Blampain 17 ans : Expériences eBusiness / Web / ICT / Sécurité  6 ans en Sécurité de l’information Certified ISO/IEC 27005 : Risk Manager Certified ISO/IEC 27001 : Lead Implementer Certified ISO/IEC 27032 : Lead Cyber Security Manager Certified DPO : Data Protection Officer : GDPR / number in demand Condorcet : Gradué/Bac Marketing Warocqué-UMons : Licence/Master en Gestion d’Entreprise Solvay-Bruxelles ULB : Ex. Master en Marketing & Advertising HEC-Liège ULG : Ex. Master en Intelligence Stratégique (Sécurité ; Veille ; Influence) Et des milliers d’heures de lecture. Merci aux instituteurs et professeurs du monde entier ! 29/01/2018 : Brunch Info : LME : Mons - Belgique Sensibilisation des PME/Administrations/Universités Chez Hainaut Développement https://be.linkedin.com/in/davidblampainClic !
  2. 2. Tout savoir sur le : « RGPD »/ GDPR Tout Savoir… La grosse blague du jour RGPD/GDPR Un peu d’humour 
  3. 3. © www.david-blampain.com « General Data Protection Regulation » « Règlement général sur la protection des données » • Texte de référence européen. • Règlement, lois & co et « aie la tête ». • Considère 173 Points (Raisons) avant les articles. • 99 Articles sur 11 chapitres. • Publié le 4 mai 2016. • Rentré en vigueur le 24 mai 2016. • Dispositions applicables dans les 28 pays de l’UE le 25/05/2018. • On est donc dans du Légal et de l’Obligatoire
  4. 4. TOP 3 © www.david-blampain.com Privacy By Design Co- Responsabilité Obligation de rendre des comptes Induit le Security by Design
  5. 5. Prix Moyenne Votre genre ? 0.0004 € Votre boulot ? 0.06 € Votre GSM ? 0.004 € Votre historique de navigation ? 0.0015 € Votre mail ? 0.055 € Votre santé ? 0.19 € Prix Votre genre ? Votre boulot ? Votre GSM ? Votre historique de navigation ? Votre mail ? Votre santé ? © Source PECB Canada 2017 Civil, Ethnique, Age,… A lire : http://trends.levif.be/economie/high-tech/donnees-personnelles-les-citoyens-pourraient-les-vendre/article-normal-790223.htm l "GAFA" (Google, Apple, Facebook, Amazon)
  6. 6. © www.david-blampain.com Sources : https://blog.booker.com/the-booker-blog/it-s-critical-to-capture-customer-data
  7. 7. © www.david-blampain.com Cfr: SMSI : Système de Management de la Sécurité de l’Information est un des moyens de protéger vos données. Données Processus Actif Primaire Actif Secondaire Texte Mémo Numérique Date/heure Monétaire … Biométrie Génétique … DONNEES Prénom Nom Date et lieu de naissance Numéro de ID Plaque immatriculation Photo / Vidéo Info pro IBAN Vie perso (Du cookie à… 1. Donnée d’identité (DCP) 2. Donnée « sensibles » : (DCPS) Races, religions, vie, philo, politique, syndical, sexuel, médicale, génétique, infractions, mineurs,… Clients, donateurs, membres,…
  8. 8.  Loi nationale sur la protection de la vie privée : 8/12/1992 ! C’est pas nouveau… merci.  = Protéger les informations en fonction de leurs natures, leurs sensibilités, des risques et des moyens disponibles. ( Before ) Selon l’état de l’art. ( Now ) Le RGPD n’apporte rien de nouveau en terme de sécurité mais : 1. Augmente les droits des personnes. (Individus ; Consommateurs ; BtoB ; Enfants) 2. Attention : Papiers ET Données informatiques. 3. Signale enfin de matière claire que les sous-traitants doivent également respecter le RGPD !!! Avec un principe de « Responsable/Contractor et sous-traitant/Processor ». 4. VOUS Impose nottement trois choses de base au niveau de l’existant :  Protéger (Modèle CIA par exemple) les informations relatives aux données (DCP et DCPS)  Intégration du Privacy by design et en découle le Security by design Compliance … induit Auditabilité © www.david-blampain.com
  9. 9. © www.david-blampain.com LégalHumai n TechniqueSMSI Gouvernance (10 à 30%) (10%) (20 à 30%) (40%) S: Etude Wavestone France + Expérience personnelle ???
  10. 10. 1. Humain : Dream team : DPO ou pas ? / Expert Sécurité / Management / Direction / Juridique / Informatique / Fournisseurs / Ressources Humaines. 2. SMSI : Mettre en place éventuellement un système de Management de la Sécurité de l’Information. (Idéal). (10 à 30%) 3. Légal : Mettre en Place une revue légale avec un juriste/avocat. (10%) 4. Gouvernance : Mettre en Place une bonne gestion/gouvernance de vos données. (20 à 30%) 5. Technique : Mettre en Place des mitigations et solutions techniques. (40%) © www.david-blampain.com 5 Piliers/Domaines à manager
  11. 11. PILIER 1 © www.david-blampain.com A la question : Qui gère ? = Comité de pilotage avec DPO Administrateur(trice) délégué  DPO et/ou Conseiller en sécurité Expert externe/interne Informatique Legal RH Marketing Communication + Expert(s) externe(s) …
  12. 12. PILIER 2  Processus visant à protéger les données d’une entités ou des entités déterminées. Elle englobe toutes les aspects internes et externes liée à une activité données (Economique, Public, Social, Militaire,…)  Son but est de protéger les données ou des informations tant d’un point de vue organisationnelle, physique que virtuelle (Cyber).  Elle englobe la sûreté, la sécurité informatique, les systèmes et réseau, les technologies de la communication ou toutes choses ayant un rapport avec de l’information.  Elle traite de la Confidentialité, de l’intégrité et la disponibilité. (CIA+A) © www.david-blampain.com + ISO27001 A la question : Comment Protéger mes données ? Je réalise un SMSI
  13. 13. PILIER 2  La mise en place d’une stratégie de sécurité par objectifs et contrôles (1) (EXEMPLE)  Un plan de sécurité des systèmes d’information (1)  Sensibiliser, former et évaluer le personnel sur sa compréhension des enjeux (2)  Un audit des systèmes d’information (+focus données en plus) (3)  L’utilisation de modèles et standards internationaux (ISO)  Les plans complémentaires : de continuité d’activité ; de traitement des risques ; de traitement des incidents (!). … © www.david-blampain.com A la question : Comment Protéger mes données ? Je réalise un SMSI
  14. 14. PILIER 2 © www.david-blampain.com + PECB + ISO 27001 Première Partie (Instruction) Objet, Champ et périmètres, date, dispositions, formation, pilotage, organisation, application, contrôle, traitement des incidents. Deuxième partie Troisième partie Annexes et documentations 1. Politique de sécurité de l’information2. Organisation de la sécurité de l’information3. Sécurité des ressources humaines4. Classification de l'information5. Contrôles d'accès6. Cryptographie7. Sécurité physique et environnementale8. Sécurité liées à l'exploitation9. Sécurité des communications10. Acquisition, développement et maintenance des systèmes d'information 11. Relations avec les fournisseurs12. Gestion des incidents liés à la sécurité de l'information13. Aspects de la sécurité de l'information dans la gestion de la continuité d'activité 14. Conformité … RGPD / Lois
  15. 15. DOMAINE 4  Etablir un Registre des données à caractère personnelle. (EXEMPLE)  Rechercher les données, les classifier et les localiser et leur attribuer un propriétaire.  Privacy by Design (Cerise sur le gâteau : Security by Design).  Les workflows des données (avec parcours…).  Test sur les données (si possible).  Analyse d’impacts (PIA)  Contexte  Mesures  Risques  Décision. (EXEMPLE)  Avoir un DPO interne / externe ou pas.  Quid du conseiller en sécurité de l’information ?  Conscientiser le top et middle management et votre personnel.  Auditer vos fournisseurs !  Quelle autorité de contrôle en fonction du pays (CNIL, CPVP,…) ?  … © www.david-blampain.com + Sources CPVP
  16. 16. 6 étapes vs 13 étapes Sources : https://www.cnil.fr/ et CPVP 1. CONSCIENTISATION 2. REGISTRE DE DONNÉES 3. COMMUNICATION 4. DROITS DE LA PERSONNE CONCERNÉE 5. DEMANDE D’ACCÈS 6. FONDEMENT LÉGAL POUR LE TRAITEMENT DE DONNÉES À CARACTÈRE PERSONNEL 7. CONSENTEMENT 8. ENFANTS 9. FUITES DE DONNÉES 10. LA PROTECTION DES DONNÉES DÈS LA CONCEPTION ET L’ANALYSE D’IMPACT RELATIVE À LA PROTECTION DES DONNÉES 11. DÉLÉGUÉ À LA PROTECTION DES DONNÉES 12. AU NIVEAU INTERNATIONAL 13. CONTRATS EXISTANTS
  17. 17. Explication générale Cliquez sur le + pour ouvrir une catégorie. Les titres de colonne en rouge indiquent une information à mentionner obligatoirement en vertu du RGPD. Les traitements dont la date de commencement est le 24/05/2018 ont déjà été réalisés avant l'application du RGPD. Cliquez sur le titre de colonne pour filtrer les traitements. Comment compléter ce registre ? Ce registre n'a pas été conçu comme un pur outil administratif, mais plutôt comme un outil d'accompagnement afin d'encadrer l'organisation au niveau des différents points d'attention du RGPD concernant les traitements de données à caractère personnel. Complétez le registre de gauche à droite. Partez des processus opérationnels et identifiez ensuite les traitements de données à caractère personnel au sein de ces processus. Si un processus opérationnel comprend plusieurs traitements de données, il convient de les reprendre sur des lignes distinctes dans le registre lorsqu'ils ont une finalité ou un fondement juridique distincts. Si un traitement n'est plus réalisé, introduisez une date de fin et biffez le traitement. Pour les traitements déjà réalisés avant le 25/05/2018, complétez comme date de commencement le 24/05/2018. Si une colonne n'est pas d'application pour un traitement déterminé, complétez "s.o". DOMAINE 4 © Sources CPVP + SMALS processus opérationnel/traitement identification du processus opérationnel nom, propriétaire du processus (dans la colonne ci-dessous, on reprend le nom du traitement en fonction de la lisibilité de la version électronique du registre) description fonctionnelle du traitement identification et information au sujet du traitement numéro , , description fonctionnelle, , finalité, fondement du traitement, type de traitement et description fonctionnelle données utilisées et personnes concernées détails sur les données traitées et sur les personnes concernées dont les données sont traitées catégorie fonctionnelle, catégorie sensible de traitement de données, catégorie de personne concernée, niveau de classification, délai de conservation, source authentique sous-traitant identification du sous-traitant (externe à l'organisation) impliqué dans le traitement nom, n° du contrat de traitement de données échange de données informations au sujet d'un éventuel échange de données avec des tierces parties. catégorie(s) de données, catégorie(s) de destinataires, pays tiers/organisation internationale, documents garanties appropriées technologie description de la technologie, des applications et du logiciel employés pour le traitement. risque & mesures de sécurité informations quant au risque et mesures de sécurité du traitement de données risque, description des mesures de sécurité, documentation des mesures de sécurité, AIPD (DPIA) droits des personnes concernées renvoi vers les documents qui déterminent les procédures de respect des droits des personnes concernées. statut information sur le statut du traitement : date de début, date de fin et traitement de remplacement remarque indiquez d'éventuel(le)s remarques/points d'attention concernant l'activité de traitement. type de traitement normal --> si aucun des types ci-dessous Évaluation ou appréciation de personnes dont le profilage et l'établissement de prévisions Décisions automatisées avec des conséquences juridiques ou des conséquences intrinsèques comparables Surveillance systématique (suivre, surveiller et contrôler la personne concernée) (enregistrement des sons, des images ou enregistrement vidéo) Traitements de données à grande échelle ou traitements qui ont des conséquences pour un grand nombre d'acteurs concernés Combinaison ou couplage de collectes de données que les personnes concernées ne peuvent raisonnablement pas prévoir Traitement de données impliquant que les personnes concernées ne puissent pas exercer un droit, ne puissent pas recourir à un service ou ne puissent pas conclure de contrat Utilisation de nouvelles technologies ou application de moyens techniques et organisationnels surveillance systématique à grande échelle d'une zone accessible au public.
  18. 18. © www.david-blampain.com + Sources CPVP https://www.privacycommission.be/ A lire https://www.digitalwallonia.be/gdpr/
  19. 19. Domaine 4 : Le PIA C’est pas NOUVEAU !!! : C’est une Analyse de risques Privacy Impact Assessment : DPIA Sources : http://copes.fr/Presentation/Blog/1038 Sources : https://www.cnil.fr/
  20. 20. DOMAINE 4 © Sources CNIL + G9 «analyse d’impact sur la vie privée» Une AIPD/DPIA est un processus dont l’objet est de décrire le traitement, d’en évaluer la nécessité ainsi que la proportionnalité et d’aider à gérer les risques pour les droits et libertés des personnes physiques liés au traitement de leurs données à caractère personnel, en les évaluant et en déterminant les mesures nécessaires pour y faire face. une AIPD/DPIA est un processus qui vise à assurer la conformité aux règles et à pouvoir en apporter la preuve.
  21. 21. © Sources CNIL PIA : MODÈLE
  22. 22. Et Votre Maturité ! Exemple
  23. 23. 6 étapes : Franchir les étapes Sources : https://www.cnil.fr/ Sources : www.mil.be Sources : https://mg.ambafrance.org
  24. 24. Sources : Merci à la www.CNIL.fr : C’est Clair
  25. 25. Sources : Merci à la www.CNIL.fr : C’est Clair
  26. 26. DOMAINE 5 Avoir la preuve physique ou informatique de l’accord de la personne (Logs & co) Mettre en place des formulaires avec plusieurs cases à cocher (Traitement / Partage / Profiling) Mettre en place une recherche des données (Manuelle ou automatique) Prévoir les envois de données sur demandes. Prévoir les changements ou modification, mais aussi la suppression Advitam. (Sauf Lois) Développer des systèmes qui vérifient l’âge. Développer des systèmes qui demandent l’autorisation aux parents. Détecter, rapporter et analyser les fuites des DCP Crypter, anonymiser, pseudonimisation des données … © www.david-blampain.com + Sources CPVP
  27. 27. DOMAINE 5 © www.david-blampain.com + Sources https://cnpd.public.lu/  Je suis développeur d’applications.  Je suis propriétaire/créateur/entrepreneur d’une application.  Quelles sont mes obligations concernant le Règlement Général Protection des données ? Exemple :  Le Privacy by Design (c’est quoi) et c’est pas nouveau… Idée développée durant les années 1990 Exemple : Collecter uniquement des informations avec un réel besoin.
  28. 28. ACTE BONUS Article 7 Mesures Techniques & co Check possible si audit Quelques exemples de preuves Conditions applicables au consentement. => Article: 4 (Définitions) => Raison: 32 (Le consentement devrait être donné par un acte positif clair…), 33, 42, 43 => administrative fine: Art. 83 (5) lit a Mettre en place des procédures pour obtenir le consentement. Librement et sans ambiguïté Formulaire de consentement Prouver que les formulaires fonctionnent Développer des boxes formulaire opt-in Développement pour le consentement via téléphone Avoir le consentement écris des utilisateurs Procédure pour permettre les objections Mettre en place des procédures pour les demandes opt-out, voir de restriction comme le profiling ou le traitement. Du responsable au sous- traitant Développement pour permettre les objections Disposer des logs et des enregistrements (Virtuel et/ou papier) Répondre aux objections
  29. 29. ACTE MALUS Les violations des dispositions suivantes font l'objet, conformément au paragraphe 2, d'amendes administratives pouvant s'élever jusqu'à 10 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu: Les violations des dispositions suivantes font l'objet, conformément au paragraphe 2, d'amendes administratives pouvant s'élever jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu Exemples : (8) non respect pour les enfants ; (11) non respect du fait qu’on a pas besoin d’identifier… (25) responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées. Exemple : (5) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités
  30. 30. https://www.iso.org/fr/home.html https://www.privacycommission.be http://www.ccb.belgium.be/fr http://www.eugdpr.org/ http://www.cnil.fr
  31. 31. ACTE FINAL Source : http://camthao.us/News/332/what-will-the-warrior-guardian-of-the-future-look-like https://be.linkedin.com/in/davidblampain

×