Plan d'action GDPR Luxembourg Ageris Halian

353 vues

Publié le

Quel Plan d'action pour la mise en conformité avec le GDPR pour les organismes du Luxembourg Ageris Halian ?

Publié dans : Technologie
0 commentaire
2 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
353
Sur SlideShare
0
Issues des intégrations
0
Intégrations
5
Actions
Partages
0
Téléchargements
33
Commentaires
0
J’aime
2
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Plan d'action GDPR Luxembourg Ageris Halian

  1. 1. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 1Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Le Règlement européen n°2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données L’impact sur l’organisation et le Plan d’actions Version 2.02 du 12/12/2016 Animateur : Denis Virole / Directeur des Services / Ageris Group Extrait du Workshop réalisé au Luxembourg le 13/12/2016 en partenariat avec HALIAN
  2. 2. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 2Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Introduction Le traitement des DCP doit être conduit pour servir l’humanité Le droit à la protection des DCP n’est pas un droit absolu Il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité Le Règlement respecte tous les droits fondamentaux et observe les libertés et les principes reconnus par la Charte des droits fondamentaux de l’Union Européenne, consacrés par les traités, en particulier le respect de la vie privée et familiale, du domicile et des communications, la protection des DCP, la liberté de pensée, de conscience et de religion, la liberté d’expression et d’information, la liberté d’entreprise, le droit à un recours effectif et accéder à un tribunal impartial, et la diversité culturelle et religieuse
  3. 3. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 3Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com 1. Prendre en compte les évolutions technologiques 2. Prendre en compte les nouveaux usages des technologies de l’information 3. Renforcer les droits des citoyens européens 4. Responsabiliser les dirigeants et les sous- traitants Internet, Mobilité, … Réseaux sociaux, enfants, profilage, … Adulte, enfant, … Entreprise, sous-traitant, … La protection des personnes physiques à l'égard du traitement des DCP est un droit fondamental. L'article 8, paragraphe 1, de la Charte des droits fondamentaux de l'Union européenne et l'article 16, paragraphe 1, du traité sur le fonctionnement de l'Union européenne disposent que toute personne a droit à la protection des données à caractère personnel la concernant. 5. Les mêmes droits pour tous les citoyens de l’Union Européenne Introduction : Les enjeux du nouveau règlement
  4. 4. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 4Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Champ d’application Définitions Principes Chapitre 1: Champ d’application, définitions et principes
  5. 5. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 5Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Chapitre 2: Le renforcement des droits des personnes concernées 1. Le raccourcissement du délai de réponse concernant les droits : d’accès, de rectification et de suppression et droit d’opposition 2. Des informations plus détaillées à fournir pour le RT 7. Le droit pour la personne concernée de ne pas faire l’objet d’une décision fondée sur un traitement automatisé, y compris le profilage 3. Un renforcement du droit d’accès de la personne concernée 6. L’instauration de nouveaux droits: le droit à la limitation du traitement et le droit à la portabilité des données 4. Des modifications terminologiques concernant le droit de rectification et le droit d’opposition de la personne concernée 5. Une nouvelle dénomination concernant le droit de suppression: le droit à l’oubli ou le droit à l’effacement Les droits de recours
  6. 6. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 6Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com La Loi sur la protection des données Les droits Art. 26 de la Loi Le droit d’information de la personne concernée Art. 30 de la Loi Le droit d’opposition Art. 28 de la Loi Le droit d’accès et Communication Art. 28 (4) et 28 (6) de la Loi Le droit de rectification et de suppression Chapitre 2: Le renforcement des droits des personnes concernées
  7. 7. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 7Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Les droits Droits existants mais renforcés par le Règlement Nouveaux droits Droit d’information Art. 13 et 14 Droit d’accès Art. 15 Droit de rectification Art. 16 Droit à l’effacement Art. 17 Droit d’opposition et Profilage Art. 21 et 22 Droit à la limitation du traitement Art. 18 Obligation de notification rectification effacement limitation du T Art. 19 Droit à la portabilité Art. 20 Les droits de recours Droit d'introduire une réclamation auprès d'une autorité de contrôle Art. 77 Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous- traitant Art. 79 Droit à réparation et responsabilité Art. 82 Droit à un recours juridictionnel effectif contre une autorité de contrôle Art. 78 Représentation des personnes concernées Art. 80 Le Règlement européen Chapitre 2: Le renforcement des droits des personnes concernées
  8. 8. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 8Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Lorsque le T = art 6,1 les intérêts légitimes RT Prise de décision automatisée profilage ? L’identité du RT Durée de Conservation Chapitre III: Droits de la personne concernée Section 2: Information et accès aux données à caractère personnel Article 13: Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée T = art 6 Retirer son consentement Introduire une réclamation Conditionne un contrat ? Destinataires Chapitre 2: Le renforcement des droits des personnes concernées 2. Des informations plus détaillées à fournir pour le responsable du traitement L'existence du droit à : • L 'accès aux DCP • La rectification • La imitation du T relatif à la PC • De s'opposer au T • Du droit à la portabilité des DCP Informations concernant une nlle finalité Finalités du T Rectification l'effacement, limitation T ou non au T portabilité
  9. 9. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 9Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Effacement T = art 6.1 les intérêts légitimes RT Introduire une réclamation Catégories de DCP Destinataires Changement de finalité L’identité du RT L'accès aux DCP La rectification Une limitation du T relatif à la PC De s'opposer au T Du droit à la portabilité des DCP T = art 6.1 / art 9.2 Le droit de retirer le consentement Finalités du T Source des DCP accessibles ou non au public Chapitre III: Droits de la personne concernée Section 2: Information et accès aux données à caractère personnel Article 14: Informations à fournir lorsque des DCP n’ont pas été collectées auprès de la personne concernée Chapitre 2: Le renforcement des droits des personnes concernées 2. Des informations plus détaillées à fournir pour le responsable du traitement Durée de Conservation l'existence d'une décision automatisée, / profilage
  10. 10. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 10Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Réclamation auprès de l’autorité de contrôle Réparation du préjudice subit Recours juridictionnel contre une autorité de contrôle Droits de recours pour la PC Recours juridictionnel contre un RT ou un sous traitant Action collective Chapitre 2: Le renforcement des droits des personnes concernées 8. Les droits de recours
  11. 11. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 11Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Chapitre 3: Le responsable du traitement et le sous-traitant: nouvelles obligations 1. La mise en œuvre de mesures techniques et organisationnelles ainsi que de politiques appropriées en matière de protection des DCP par le RT 2. Les responsabilités conjointes des RT 7. L’analyse d’impact relative à la protection des données 3. Les nouvelles obligations du sous traitant 6. Notification d’une violation de DCP à l’autorité de contrôle et communication à la personne concernée le cas échéant 4. La tenue du registre des activités par le RT 5. Enonciation des différentes mesures techniques et organisationnelles à mettre en œuvre
  12. 12. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 12Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Protection des DCP Aide le RT de son obligation de donner suite aux demandes Met à la disposition du RT toutes les informations nécessaires pour apporter la preuve du respect des obligations prévues La pseudonymisation La minimisation des données Pas rendues accessibles à un nombre indéterminé de personnes physiques Définissent de manière transparente leurs obligations respectives Régi par un contrat + des garanties suffisantes Veille à ce que les personnes autorisées à traiter les DCP respectent la confidentialité Supprime toutes les DCP ou les renvoie au RT au terme de la prestation • politiques appropriées en matière de protection • mesures technique et organisationnelle • application d'un code de conduite • certification Ne recrute pas un autre ST sans l'autorisation écrite préalable + régi par un contrat Chapitre 3: Le responsable du traitement et le sous-traitant: nouvelles obligations Notifie la violation de DCP Sur instruction / prend toutes les mesures requises peut exercer les droits Registre
  13. 13. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 13Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com 1. Désignation du DPO 2. La fonction de DPO 3. Les missions Chapitre 4: Le délégué à la protection des données
  14. 14. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 14Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Coordonnées du DPO Désigne un DPO Désigne un DPO Désigne un DPO Désigne un DPO Coordonnées du DPO Service public Chapitre 4: Le délégué à la protection des données
  15. 15. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 15Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com 1. L’élaboration de codes de conduite 2. La mise en place de mécanismes de certification Chapitre 5: Chapitre 5: Codes de conduite et certification
  16. 16. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 16Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Chapitre 6: Les transferts de données à caractère personnel vers des pays tiers 1. Principe général applicable aux transferts de DCP hors UE 2. La décision d’adéquation 7. Le renforcement de la coopération entre EM lors d’un transfert hors UE 3. Le transfert moyennant des garanties appropriées: BCR, Clauses contractuelles Types, Code de conduite, mécanisme de certification 6. Les obligations du RT lors d’un transfert hors UE 4. Les BCR 5. Dérogations pour des situations particulières
  17. 17. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 17Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Chapitre 7: Les autorités de contrôle 1. Autorité de contrôle et indépendance 2. Missions de l’autorité de contrôle 3. Les pouvoirs de l’autorité de contrôle 4. L’autorité chef de file 5. Le renforcement de la coopération entre les autorités 6. Un Comité européen de la protection des DCP
  18. 18. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 18Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Indépendance Libres de toute influence Aucune activité professionnelle incompatible 1. Autorité de contrôle et indépendance 1. Autorité de contrôle et indépendance 1. Autorité de contrôle et indépendance contribue à l'application cohérente du présent règlement dans l'ensemble de l'Union EM EM Notifie à la Commission les dispositions légales Prévoit qu'une ou plusieurs autorités publiques indépendantes sont chargées de surveiller l'application du règlement, Donne les moyens humains, techniques et financiers Un contrôle financier qui ne menace pas son indépendance Chapitre 7: Les autorités de contrôle 1. Autorité de contrôle et indépendance
  19. 19. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 19Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Chapitre 7: Les autorités de contrôle 2. Missions de l’autorité de contrôle • Conseille, conformément au droit de l'État membre, le parlement national, le gouvernement • Favorise la sensibilisation du Public • Encourage la sensibilisation des RT et des ST • Fournit, sur demande, à toute PC des informations sur l'exercice des droits • Encourage l'élaboration de codes de conduite • Encourage la mise en place de mécanismes de certification ainsi que de labels • Établit et tient à jour une liste en lien avec l'obligation d'effectuer une analyse d'impact • Tient des registres internes des violations • Facilite l'introduction des réclamations • Traite les réclamations • Suit les évolutions • Coopère avec d'autres autorités de contrôle • Contribue aux activités du comité • Contrôle l'application du règlement • Effectue des enquêtes • Examine périodiquement les certifications délivrées • Adopte les clauses contractuelles types visées • Approuve les règles d'entreprise contraignantes • Rédige et publie les critères d'agrément • Procède à l'agrément d'un organisme
  20. 20. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 20Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Pouvoir d'enquête Pouvoir de faire adopter toutes les mesures correctrices Pouvoir consultatif Chapitre 7: Les autorités de contrôle 3. Les pouvoirs de l’autorité de contrôle
  21. 21. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 21Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com 1. Le droit d’introduire une réclamation auprès d’une autorité de contrôle 2. Les droits de recours 3. Les amendes administratives Chapitre 8: Voies de recours, responsabilité et sanctions
  22. 22. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 22Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Règlement européen 1. Amendes administratives pouvant s’élever jusqu’à 10 000 000 euros ou dans le cas d’une entreprise jusqu’à 2% du CA annuel mondial: • relatives au consentement des enfants en lien avec des services de la société de l’information (art. 8); • en matière de traitement ne nécessitant pas d’identification (art. 11); • en matière de protection des données dès la conception et de protection des données par défaut (art. 25); • des règles propres aux responsables conjoints du traitement (art. 26); • en matière de représentants des responsables qui ne sont pas établis dans l’Union (art. 27); • s’imposant dans la relation entre le responsable et le sous-traitant (art. 28); • en matière de traitement effectué sous l'autorité du responsable du traitement et du sous-traitant (art. 29); • relatives à la tenue du registre de toutes les catégories d’activités de traitement (art. 30); • concernant la coopération avec l’autorité de contrôle (art. 31) ; • relatives à la sécurité des traitements (art. 32) ; • relatives à la notification des violations de données à l’autorité de contrôle (art. 33) ; • relatives à la communication des violations de données aux personnes concernées (art. 34) ; • concernant l’analyse d’impact relative à la protection des DCP (art. 35) et la consultation préalable de l’autorité de contrôle (art. 36) ; • concernant la désignation du délégué à la protection des données (art. 37), ses fonctions (art. 38), ses missions (art. 39) ; • en matière de certification (art. 42) et de procédure de certification (art. 43); • des obligations de l’organisme de certification au sens des articles 42 et 43 (b) ; • des obligations de l’organisme chargé de surveiller le respect du code de conduite au sens de l’article 41, § 4 (c). Les montants des amendes administratives Chapitre 8: Voies de recours, responsabilité et sanctions 3. Les amendes administratives
  23. 23. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 23Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Règlement européen 2. Amendes administratives pouvant s’élever jusqu’à 20 000 000 euros ou jusqu’à 4% du CA annuel mondial total : • les principes de base des traitements, en ce compris les conditions du consentement au sens des articles 5 (Principes relatifs au traitement des données à caractère personnel), 6 (licéité du traitement), 7 (conditions applicables au consentement) et 9 (Traitement des catégories particulières de données à caractère personnel) ; • des droits des personnes concernées au sens des articles 12 à 22 du Règlement ; • des règles relatives aux transferts de données à un destinataire d’un pays tiers ou d’une organisation (art. 44 à 49) ; • toutes les obligations mises en place par le droit national conformément au chapitre IX: le chapitre IX laisse aux États membres une certaine marge d’appréciation en matière notamment de traitements des données à caractère personnel et liberté d'expression et d'information (cfr. art 85) ; traitements d’un numéro d’identification national (art 87) etc.; • le non-respect d’une injonction de limitation temporaire ou définitive de traitement ou de suspension du flux de données, prononcée par une autorité de contrôle en vertu des articles 58, § 2 ou lorsque le responsable ne permet pas l’accès en violation de l’article 58, § 1er. Les montants des amendes administratives Chapitre 8: Voies de recours, responsabilité et sanctions 3. Les amendes administratives
  24. 24. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 24Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des DCP et à la libre circulation de ces données Abrogation Directive 2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) Aucune incidence puisque le Règlement n’impose pas d’obligations supplémentaires aux personnes physiques ou morales quant au traitement dans le cadre de la fourniture de services de communications électroniques Loi sur la protection des données de 2002 La Loi va être très certainement modifiée, certaines dispositions vont être abrogées. Abrogation, relation avec les autres textes Evolutions
  25. 25. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 25Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Conclusion Fondamentalement les principes et les obligations que nous connaissons aujourd’hui sont maintenus, le règlement les renforce et en crée de nouveaux Les principales évolutions sont les suivantes : • Création de nouveaux droits pour les PC • La responsabilité des RT est renforcée et le RT doit apporter les preuves de mise en conformité • La responsabilité et les obligations des ST sont renforcées • La sécurité des DCP devient un principe fondamental de la protection de la vie privée • De nouveaux concepts sont à appliquer : EIVP / PIA, Sécurité par défaut, Privacy By Design, … • Les missions du DPO évoluent vers le contrôle • Les amendes administratives ont considérablement augmenté • La coopération entre les autorités de contrôle se renforce • Les autorités de contrôle vont définir des codes de conduite et des certifications / labels Le délai de mise en conformité est fixé à fin mai 2018 : ce délai est cours. Il convient de mettre en œuvre un plan d’actions permettant d’atteindre cet objectif dans les meilleurs délais : 2017 est une année importante pour la mise en conformité
  26. 26. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 26Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Le Plan d’actions
  27. 27. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 27Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com La démarche : • Doit être adaptée au niveau de maturité de l’organisme : une approche progressive par palier doit être mise en oeuvre • Doit impliquer la direction générale de l’organisme pour qu’elle impose la démarche • Doit aborder des aspects « organisationnels » et « techniques » • Nécessite de formaliser des documents (politiques, procédures, …) • Nécessite de désigner un chef de projet pour mener à bien tous les chantiers Le Plan d’actions : La démarche
  28. 28. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 28Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Le Plan d’actions : 2 objectifs 1 Augmenter la maturité 2 respecter le délai : Mai 2018 M A T U R I T E 6/7 Processus continuellement optimisé, l'amélioration des processus est dynamique, institutionnalisée et tient compte de l'évolution du contexte 5 Processus coordonné et contrôlé à l'aide d'indicateurs permettant de corriger les défauts constatés 4 Processus défini, décrit, adapté à l'organisme, généralisé et bien compris par le management et par les exécutants 3 Pratiques de base mises en œuvre, avec un engagement relatif de l'organisme vis- à-vis des PC 2 Pratique de base mises en œuvre de manière informelle et réactive à l'initiative de ceux qui estiment en avoir besoin 1 Pratique inexistante ou incomplète et le besoin n'est pas reconnu. TEMPS
  29. 29. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 29Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Le Plan d’actions : La démarche / Identifier les acteurs Chef de projet
  30. 30. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 30Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Le Plan d’actions : La démarche / Identifier les fonctions DPO / CISO DPO CISO Information Conseil RT Sur les obligations RT L’identification des DCP et T Les droits des PC Validation de l’EIVP Les enjeux Les périmètres La validation des risques résiduels MOA Evènements redoutés Vulnérabilités métiers Menaces Vulnérabilités IT MOE / ST Source de risques Niveau de risques Sensibilisation formation Tous Veille Réglementaire Réglementaire hors DCP et technique Contrôle MOA MOE ST La conformité au Règlement et à la PPDCP La conformité au Référentiel SSI Coopère avec l’autorité de contrôle AC : CNPD ANSSI pour le Luxembourg fonction publique Point de Contact Pour l’AC et les PC Pour les ST, voir les MOE et MOA
  31. 31. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 31Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Situation effective Pratique inexistante ou incomplète et le besoin n'est pas reconnu. Pratique de base mises en œuvre de manière informelle et réactive à l'initiative de ceux qui estiment en avoir besoin Pratiques de base mises en œuvre, avec un engagement relatif de l'organisme vis-à- vis des PC Processus défini, décrit, adapté à l'organisme, généralisé et bien compris par le management et par les exécutants Processus coordonné et contrôlé à l'aide d'indicateurs permettant de corriger les défauts constatés Processus continuellement optimisé : l'amélioration des processus est dynamique, institutionnalisée et tient compte de l'évolution du contexte 6 Labellisation Certification 5 Code de conduite 4 Contrôle des mesures juridiques 3 Respect des droits de la PC + Relations avec l’autorité de Ctl + Contrats 2 Politique Générale de protection de la VP Noti. Viol DCP Registre1 Sensibilisation DG + Directions métiers Le Plan d’actions : Les mesures juridiques
  32. 32. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 32Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Situation effective Pratique inexistante ou incomplète et le besoin n'est pas reconnu. Pratique de base mises en œuvre de manière informelle et réactive à l'initiative de ceux qui estiment en avoir besoin Pratiques de base mises en œuvre, avec un engagement relatif de l'organisme vis-à- vis des PC Processus défini, décrit, adapté à l'organisme, généralisé et bien compris par le management et par les exécutants Processus coordonné et contrôlé à l'aide d'indicateurs permettant de corriger les défauts constatés Processus continuellement optimisé : l'amélioration des processus est dynamique, institutionnalisée et tient compte de l'évolution du contexte 6 Produits certifiés 5 Système de management 4 Ctl des mesures techniques 3 EIVP Security by design + PAS 2 Politiques de Sécurité SI Organisation Security by default Sécurité périphérique 1 Sensibilisation Sécurité en profondeur Le Plan d’actions : Les mesures organisationnelles et techniques
  33. 33. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 33Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Situation effective Pratique inexistante ou incomplète et le besoin n'est pas reconnu. Pratique de base mises en œuvre de manière informelle et réactive à l'initiative de ceux qui estiment en avoir besoin Pratiques de base mises en œuvre, avec un engagement relatif de l'organisme vis-à- vis des PC Processus défini, décrit, adapté à l'organisme, généralisé et bien compris par le management et par les exécutants Processus coordonné et contrôlé à l'aide d'indicateurs permettant de corriger les défauts constatés Processus continuellement optimisé : l'amélioration des processus est dynamique, institutionnalisée et tient compte de l'évolution du contexte 6 Labellisation Certification 5 Code de conduite 4 Contrôle des mesures juridiques 3 Respect des droits de la PC + Relations avec l’autorité de Ctl + Contrats 2 Politique Générale de protection de la VP Organisation Noti. Viol DCP Registre1 Sensibilisation DG + Directions métiers Le Plan d’actions : Les mesures juridiques / Sensibilisation du RT
  34. 34. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 34Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Analyses et commentaires d’AGERIS Group Le montant des sanctions administratives a considérablement augmenté, ce qui démontre la volonté des autorités compétentes de renforcer la protection de la vie privée des citoyens européens et de pousser les organismes à se mettre en conformité avec la législation. Il est fort probable (en tout les cas il faut le souhaiter) que la médiatisation des actions engagées par une autorité de contrôle et cette augmentation du montant des actions deviennent dissuasives et poussent les responsables d’organismes à engager les démarches nécessaires de mise en conformité. Une sensibilisation sur ces risques juridiques, médiatiques, …. est à engager en interne pour pousser à la mise en œuvre de la gouvernance adéquate et renforcer les démarche de mise en conformité. Le Plan d’actions : Les mesures juridiques / Sensibilisation du RT
  35. 35. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 35Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Loi de 2002 Application actuelle Règlement européen Application le 25 mai 2018 Obligations du RT Prendre toutes précautions utiles au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des DCP et notamment empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés puissent y avoir accès. • Mise en place de mesures techniques et organisationnelles nécessaires au respect des DCP: « privacy by design », « privacy by default ». • Véritable «responsabilisation» / principe «d’accountability»: obligation de démontrer la conformité au nouveau Règlement à tout moment. • Suppression des obligations déclaratives dès lors que pas de risques pour la vie privée. Obligations du ST Doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité. Aucune responsabilité en cas de non-respect de cette obligation. Seul le RT est responsable. • Le ST ne devra pas recruter un autre ST sans l’autorisation écrite préalable, spécifique ou générale du RT; • La relation entre le RT et le ST devra être régie par un contrat (le Règlement détaille ce que doit contenir le contrat entre le RT et le ST); • Lorsqu’un ST recrute un autre ST, ce dernier sera soumis aux mêmes obligations que le ST. Communication de la violation de DCP à l’autorité de contrôle Uniquement pour les fournisseurs de services de communications électroniques accessibles au public sur les réseaux publics de communication dans l’UE. Notification à l’autorité de contrôle dans les meilleurs délais et si possible dans les 72 heures au plus tard après en avoir pris connaissance. Communication à la PC de la violation des DCP la concernant Egalement pour les fournisseurs de services de communications électroniques. Communication à la PC (sauf dans certains cas). EIVP EIVP concernant les traitements de DCP sensibles. Mais aucune spécifications. Une EIVP devra être effectuée par le RT avec l’aide du DPO dans 3 cas : • Evaluation systématique et approfondie d’aspects personnels concernant des personnes physiques qui est fondée sur un traitement automatisé y compris le profilage, • Le traitement à grande échelle de catégories particulières de données visées à l’article 9 et 10 (biométrie, santé etc.). • La surveillance systématique à grande échelle d’une zone accessible au public Introduction : Plan d’actions / La sensibilisation du RT
  36. 36. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 36Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique. Ce contrat ou cet autre acte juridique prévoit, notamment, que le ST : Agit sur instruction du RT Assure la sécurité et la confidentialité des données Aide et conseil le RT Démontre le respect du règlement Ne traite les DCP que sur instruction documentée du RT Veille à ce que les personnes autorisées à traiter les DCP s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité Prend toutes les mesures requises en vertu de l'article 32 (sécurité du traitement) Aide le RT, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s'acquitter de son obligation de donner suite aux demandes Aide le RT à garantir le respect des obligations prévues aux articles 32 à 36 Supprime toutes les DCP ou les renvoie au RT au terme de la prestation de services relatifs au T, et détruit les copies existantes Met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations et pour permettre la réalisation d'audits et contribuer à ces audits L'application d'un code de conduite approuvé ou d'un mécanisme de certification approuvé pour démontrer l'existence des garanties suffisantes Le Plan d’actions : Les mesures juridiques / Sensibilisation du RT
  37. 37. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 37Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Devoirs Droits Respecte le Règlement engage sa responsabilité Définit des règles Informe les personnels sur: Les risques Les règles Les dispositifs de surveillance Les éventuels contrôles Les niveaux de responsabilité individuelle Met en place les dispositifs de protection Valide les risques résiduels Contractualise avec le ST Répond aux demandes des PC Analyse / Contrôle Informe l’autorité de contrôle des violations de DCP Droit de connaitre : • Les règles • Les responsabilités • Les dispositifs de surveillance • Les contrôles Droit d’exercer les droits de la personne concernée Respecte les lois et les règles Devoir de loyauté Informe le RT des éventuels incidents Définit des règles Met en place des dispositifs de surveillance Met en place des dispositifs de contrôle Engage la responsabilité des utilisateurs Engage la responsabilité du sous traitant Le Plan d’actions : Les mesures juridiques / Sensibilisation des collaborateurs
  38. 38. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 38Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Situation effective Pratique inexistante ou incomplète et le besoin n'est pas reconnu. Pratique de base mises en œuvre de manière informelle et réactive à l'initiative de ceux qui estiment en avoir besoin Pratiques de base mises en œuvre, avec un engagement relatif de l'organisme vis-à- vis des PC Processus défini, décrit, adapté à l'organisme, généralisé et bien compris par le management et par les exécutants Processus coordonné et contrôlé à l'aide d'indicateurs permettant de corriger les défauts constatés Processus continuellement optimisé : l'amélioration des processus est dynamique, institutionnalisée et tient compte de l'évolution du contexte 6 Labellisation Certification 5 Code de conduite 4 Contrôle des mesures juridiques 3 Respect des droits de la PC + Relations avec l’autorité de Ctl + Contrats 2 Politique Générale de protection de la VP Organisation Noti. Viol DCP Registre1 Sensibilisation DG + Directions métiers Plan d’actions / Politique / Notification violation de DCP / Registre
  39. 39. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 39Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com La Politique de protection de la Vie Privée Objectifs de la Politique Domaine d’application de la Politique • Définitions • Rôles et responsabilités des acteurs impactés dans la protection de la vie privée • Le Responsable des traitements • Sa responsabilité Protection des données dès la conception et par défaut Responsables conjoints du traitement Registre des traitements Le DPO • La désignation du DPO • Les missions du DPO • Les fonctions du DPO • Relais DPO • Fin de mission/remplacement du DPO Les autres acteurs impliqués dans les traitements • Acteurs Internes • Les Directions métiers et les RDPO • Le RSSI • La Direction des systèmes d’Information • Responsable de la Sécurité des biens et des personnes Acteurs externes • Sous-traitants externes • Destinataires et tiers autorisés Le Plan d’actions : Les mesures juridiques / Politique de protection de la VP
  40. 40. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 40Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com La Politique Principes relatifs aux traitements des données à caractère personnel • Licéité des traitements • Règles applicables au consentement des personnes • Traitements portant sur des données particulières • Traitement comportant des données sensibles • Traitement comportant des données perçues comme sensibles • Règles complémentaires sur ces types de traitements Droits des personnes Transparence des informations et des communications et modalités d’exercice des droits Présentation générale des droits : d’accès, de rectification, de suppression, de limitation et d’opposition de la personne concernée • Cas particulier du droit de rectification de la personne concernée • Cas particulier du droit à l’oubli ou droit à l’effacement • Cas particulier du droit à la limitation du traitement • Obligation de notification en cas de rectification, limitation ou effacement • Cas particulier du droit à la portabilité des données • Cas particulier du droit d’opposition • Profilage ou décision individuelle automatisée Sécurité des données Sécurité du traitement Etude d’Impact sur la Vie Privée Le Plan d’actions : Les mesures juridiques / Politique de protection de la VP
  41. 41. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 41Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com La Politique Notification à la Commission de contrôle d’une violation de données Communication à la personne d’une violation de données à caractère personnel Code de conduite et certification • Code de conduite • Labellisation Culture protection de la vie privée • Sensibilisation des nouveaux arrivés • Formation • Ateliers Veille juridique et technologique Contrôle de conformité et revue de Direction Contrôle de la Commission de contrôle • Mesures en cas de manquements Modifications Pérennité de la politique de gestion des données à caractère personnel Communication et mise en œuvre de la politique de gestion des données à caractère personnel Le Plan d’actions : Les mesures juridiques / Sensibilisation des collaborateurs
  42. 42. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 42Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Directives Règles Registre des T de DCP Déclarer tous les traitements au DPO Mettre à jour le registre des T Rendre accessible le registre des T Vérifier régulièrement le registre des T Garantie de licéité des T Agir avec loyauté et transparence lors de la collecte des DCP Démontrer que le consentement des PC est respecté Respecter les finalités déterminées lors de la collecte des DCP Limiter les informations collectées dans les formulaires papiers ou numériques au strict nécessaire Limiter la conservation des données au strict nécessaire Traitements de DCP sensibles ou perçues comme sensibles Respecter le cadre légal relatif au T des DCP sensibles Interdire/ réglementer le traitement des données relatives aux condamnations pénales et aux infractions Limiter l’accès aux DCP aux seuls professionnels habilités Interdire l’usage du NIR comme identifiant unique ? Limiter l’accès et l’usage des données bancaires au strict nécessaire Limiter l’accès aux données sur les difficultés sociales des personnes aux seules personnes habilitées Réaliser des évaluations d’impact sur la vie privée des PC par les T de DCP sensibles. Limiter l’usage des zones de commentaires a des informations d’ordre général Respect des droits des PC S’assurer que les mentions légales sont conformes aux obligations Permettre aux PC d’exercer leurs droits : • d’accès • de rectification • d’opposition • à l’oubli • à la limitation du T de leurs DCP Notifier aux destinataires les modifications apportées aux DCP suite aux demandes des PC Interdire/Réglementer le profilage ou les décisions individuelles automatisées d’une PC Sécurité des DCP Appliquer les mesures de sécurité définies dans la Politique de Sécurité des SI (PSSI) Violation de DCP Formaliser la notification de violation de DCP Communiquer à la personne concernée la violation de ses DCP Renforcement de la culture protection de la vie privée Sensibiliser tous les agents à la culture « protection des DCP » Informatique et Libertés Former les agents sur la mise en œuvre de la politique de protection des DCP Evolution de la politique Assurer une veille juridique et technologique sur le domaine informatique et libertés Contrôler régulièrement la mise en œuvre des directives de la politique Réviser régulièrement la politique Le Plan d’actions : Les mesures juridiques / Politique de protection de la VP
  43. 43. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 43Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Remontée d’incident : • Perte de Confidentialité DCP • Perte d’Intégrité de DCP • Perte de Disponibilité de DCP • … Le texte européen prévoit une notification à l’autorité de contrôle dans les meilleurs délais et si possible dans les 72 heures au plus tard après en avoir pris connaissance. Cette notification n’est pas ici cantonnée à un acteur en particulier mais à tous les acteurs dès lors qu’une atteinte aux DCP est intervenue. • Description de la nature de la violation de DCP, • Communication du nom et coordonnées du DPO, • Description des conséquences probables de la violation, • Description des mesures prises ou celles que le RT propose de prendre. Et l’article 34 du Règlement prévoit la communication à la PC dans les meilleurs délais. Cette disposition prévoit trois cas dans lesquels la communication n’est pas nécessaire: • Le RT a mis en place le chiffrement etc. • Le RT a pris des mesures ultérieures garantissant le respect des droits et libertés afin qu’une nouvelle violation ne soit plus susceptible de se matérialiser, • La communication exigerait des efforts disproportionnés. Le Plan d’actions : Les mesures juridiques / La notification de violation de DCP
  44. 44. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 44Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com disposer d’une organisation permettant de détecter et de traiter les événements susceptibles d’affecter les libertés et la VP des PC Définir les rôles et responsabilités ainsi que les procédures de remontées d’informations et de réaction, en cas de violation de DCP. Établir un annuaire des personnes en charges de gérer les violations de DCP. Élaborer un plan de réaction en cas de violation de DCP pour chaque risque élevé, le tenir à jour et le tester périodiquement. Tester le plan au moins une fois tous les deux ans. Permettre de qualifier les violations de DCP selon leur impact sur les libertés et la vie privée des PC Tenir à jour un inventaire des violations de DCP. Consigner le contexte des violations de DCP, leurs effets, les mesures prises pour y remédier… Étudier la possibilité d’améliorer les mesures de sécurité en fonction des violations de DCP qui ont eu lieu La notification des PC décrit au minimum la nature de la violation de DCP et les points de contact auprès desquels des informations supplémentaires peuvent être obtenues La notification faite à l’autorité nationale compétente décrit les conséquences de la violation de DCP, et les mesures proposées ou prises par le fournisseur pour y remédier Il est important d’être en capacité de recueillir, conserver et présenter des preuves lorsqu’une action en justice est engagée suite à un incident Le Plan d’actions : Les mesures juridiques / La notification de violation de DCP
  45. 45. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 45Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Le nom et les coordonnées du RT et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du DPO RT: Mr. Thierry RAMARD, 16 rue de Pont-à-Mousson, 57000 Metz. DPO: Justine Bertaud, 16 rue de Pont-à-Mousson, 57000 Metz. Les finalités du T Gestion de clientèle, gestion du personnel, dispositif de vidéosurveillance ayant pour finalité la sécurité des biens et des personnes, dispositif biométrique reposant sur un stockage des gabarits en base mis en œuvre pour contrôler l’accès aux locaux, appareils et applications informatiques utilisés sur les lieux de travail. Une description des catégories de PC et des catégories de DCP Les salariés, les clients de l’entreprise etc. Nom, prénom, date de naissance, adresse postale, adresse courriel, relevé d’identité bancaire etc. Les catégories de destinataires auxquels les DCP personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales Les personnes gérant la sécurité d’accès aux locaux, les personnes gérant le restaurant d’entreprise, les personnes chargées de la gestion du personnel (RH par ex.), les instances représentatives du personnel etc. Les transferts de DCP vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’art. 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées. Binding Corporate Rules (BCR), Clause contractuelle type (CCT), pays assurant un niveau de protection suffisant. Les délais prévus pour l’effacement des différentes catégories de données 1 mois pour la vidéosurveillance, le temps de la période d’emploi de la personne concernée (après possibilité d’archivage) etc. Une description générale des mesures de sécurité techniques et organisationnelles Contrôle d’accès, habilitation, cloisonner les DCP, réduire les vulnérabilités des logiciels, lutte contre les codes malveillants, chiffrer les DCP, anonymiser les DCP, contrôler l’accès physique aux locaux, prévenir les risques (incendie, inondation etc.) etc. Le Plan d’actions : Les mesures juridiques / Le Registre
  46. 46. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 46Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Situation effective Pratique inexistante ou incomplète et le besoin n'est pas reconnu. Pratique de base mises en œuvre de manière informelle et réactive à l'initiative de ceux qui estiment en avoir besoin Pratiques de base mises en œuvre, avec un engagement relatif de l'organisme vis-à- vis des PC Processus défini, décrit, adapté à l'organisme, généralisé et bien compris par le management et par les exécutants Processus coordonné et contrôlé à l'aide d'indicateurs permettant de corriger les défauts constatés Processus continuellement optimisé : l'amélioration des processus est dynamique, institutionnalisée et tient compte de l'évolution du contexte 6 Labellisation Certification 5 Code de conduite 4 Contrôle des mesures juridiques 3 Respect des droits de la PC + Relations avec l’autorité de Ctl + Contrats 2 Politique Générale de protection de la VP Organisation Noti. Viol DCP Registre1 Sensibilisation DG + Directions métiers Le Plan d’actions : Les mesures juridiques / Le Respect des droits de la PC
  47. 47. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 47Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Analyses et commentaires d’AGERIS Group Le raccourcissement des délais de réponse impose de revoir les procédures internes pour respecter ce délai qui peut paraitre court. Les modalités de réponse se précisent, il est important d’en tenir compte pour éviter tout litige avec la personne exerçant ses droits. Concernant les informations complémentaires à fournir au moment de la collecte des DCP, il convient de revoir toutes les mentions légales des formulaires papiers et numériques. Enfin, concernant les informations à fournir aux PC souhaitant y accéder, il convient de revoir les procédures de conservation de toutes les informations susceptibles d’être demandées. La prise en compte de ces éléments dès la phase de conception d’un nouveau projet est nécessaire (voir chapitre relatif au « Privacy By Design ») Règlement européen Application le 25 mai 2018 Délai de réponse aux demandes de droit des PC 1 mois (prolongation de deux mois compte tenu de la complexité et du nombre de demandes) L’exercice des droits Possibilité d’exercer ses droits par voie électronique (lorsque cela est possible et lorsque le RT les a collectées par ce vecteur). Les mentions d’informations 13 mentions d’informations obligatoires lorsque les DCP ont été collectées directement auprès de la personne; 14 lorsqu’elles ont été collectées indirectement. La réponse à une demande au droit d’accès 9 mentions obligatoires à fournir Nouveaux droits Le droit à la portabilité de ses DCP Le droit à la limitation du T. Le Plan d’actions : Les mesures juridiques / Le Respect des droits de la PC
  48. 48. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 48Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com 1. La garantie de licéité des traitements Objectif : S’engager à mettre en œuvre tous les moyens pour garantir la licéité des T en conformité avec les obligations légales en vigueur (art. 5 et 6 du Règlement n°2016/679). Respect des droits de la PC 2. T de DCP sensibles ou perçues comme sensibles Objectif : S’engager à appliquer des procédures et des moyens spécifiques aux T des DCP sensibles ou perçues comme sensible afin de limiter les risques pour les PC et de respecter les obligations légales concernant leurs T . 3. Respect des droits des PC Objectif : S’engager à informer les PC des droits dont elles disposent légalement et à mettre en œuvre tous les moyens leur permettant de les exercer. Le Plan d’actions : Les mesures juridiques / Le Respect des droits de la PC
  49. 49. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 49Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Situation effective Pratique inexistante ou incomplète et le besoin n'est pas reconnu. Pratique de base mises en œuvre de manière informelle et réactive à l'initiative de ceux qui estiment en avoir besoin Pratiques de base mises en œuvre, avec un engagement relatif de l'organisme vis-à- vis des PC Processus défini, décrit, adapté à l'organisme, généralisé et bien compris par le management et par les exécutants Processus coordonné et contrôlé à l'aide d'indicateurs permettant de corriger les défauts constatés Processus continuellement optimisé : l'amélioration des processus est dynamique, institutionnalisée et tient compte de l'évolution du contexte 6 Labellisation Certification 5 Code de conuite 4 Contrôle des mesures juridiques 3 Respect des droits de la PC + Relations avec l’autorité de Ctl + Contrats 2 Politique Générale de protection de la VP Organisation Noti. Viol DCP Registre1 Sensibilisation DG + Directions métiers Le Plan d’actions : Les mesures juridiques / Le Contrôle
  50. 50. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 50Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Contrôle de la Commission Des Déclarations Du Registre Du Bilan Contrôle des mesures Les actions transverses • L’organisation de protection de la VP • Le comité de suivi, validation • La politique de protection de la VP • Les contrats avec le ST • La communication de la politique PDCP aux personnes qui doivent l’appliquer. • L’Intégration de la protection de la VP dans les projets • La supervision de la protection de la VP Sur les éléments La Minimisation des DCP La Gestion de la durée de conservation des DCP Le respect des droits de la PC concernées Le consentement des PC L’exercice du droit d’opposition L’exercice du droit d’accès direct L’exercice du droit de rectification Le Cloisonnement des DCP Le Chiffrement des DCP Pseudonynimisation des DCP Sur les sources de risques L’éloignement des sources de risques Le marquage des documents contenant des DCP La gestion des personnes qui ont un accès légitime Le contrôle de l’accès logique des personnes La gestion des tiers qui ont un accès légitime aux DCP La lutte contre les codes malveillants Le contrôle de l’accès physique des personnes La protection contre les sources de risques non humaines Sur les supports La réduction des vulnérabilités : • des logiciels • des matériels • des canaux informatiques • des personnes • des documents papier Sur les impacts Sauvegarder les DCP Protéger les archives de DCP Contrôler l’intégrité des DCP Tracer l’activité sur le SI Gérer les violations de DCP Contrôle des PIA Du contexte du PIA Des mesures du PIA De l’analyse des risques Des décisions Le Plan d’actions : Les mesures juridiques / Le Contrôle
  51. 51. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 51Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Situation effective Pratique inexistante ou incomplète et le besoin n'est pas reconnu. Pratique de base mises en œuvre de manière informelle et réactive à l'initiative de ceux qui estiment en avoir besoin Pratiques de base mises en œuvre, avec un engagement relatif de l'organisme vis-à- vis des PC Processus défini, décrit, adapté à l'organisme, généralisé et bien compris par le management et par les exécutants Processus coordonné et contrôlé à l'aide d'indicateurs permettant de corriger les défauts constatés Processus continuellement optimisé : l'amélioration des processus est dynamique, institutionnalisée et tient compte de l'évolution du contexte 6 Labellisation Certification 5 Code de conduite 4 Contrôle des mesures juridiques 3 Respect des droits de la PC + Relations avec l’autorité de Ctl + Contrats 2 Politique Générale de protection de la VP Organisation Noti. Viol DCP Registre1 Sensibilisation DG + Directions métiers Le Plan d’actions : Les mesures juridiques / Code de conduite
  52. 52. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 52Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Les associations (AFCDP, ADPL etc.) ou des organismes représentant des RT ou ST peuvent élaborer des Codes de conduite Objectifs: L’élaboration d’un Code de conduite a pour objectif d’encourager la bonne application du Règlement européen relatif à la protection des DCP en prenant en compte la spécificité des différents secteurs de T et des besoins spécifiques des micro, petites et moyennes entreprises. Ce que doit contenir le Code: le traitement loyal et transparent; • les intérêts légitimes poursuivis par les RT dans les contextes spécifiques; • la collecte des DCP; la pseudonymisation des DCP; • les informations communiquées au public et aux personnes concernées; • l’exercice des droits des personnes concernées; • les informations communiquées aux enfants et la protection dont bénéficient les enfants; • les mesures et les procédures concernant la sécurité du traitement; • la notification aux autorités de contrôle des violations de DCP; le transfert de DCP vers des pays tiers; • les procédures extrajudiciaires et autres procédures de règlement des litiges Une fois que le Code de conduite est approuvé par l’autorité de contrôle, celle-ci l’enregistre et le publie. La réalisation de Codes de conduite Le Plan d’actions : Les mesures juridiques / Le Code de conduite
  53. 53. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 53Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Situation effective Pratique inexistante ou incomplète et le besoin n'est pas reconnu. Pratique de base mises en œuvre de manière informelle et réactive à l'initiative de ceux qui estiment en avoir besoin Pratiques de base mises en œuvre, avec un engagement relatif de l'organisme vis-à- vis des PC Processus défini, décrit, adapté à l'organisme, généralisé et bien compris par le management et par les exécutants Processus coordonné et contrôlé à l'aide d'indicateurs permettant de corriger les défauts constatés Processus continuellement optimisé : l'amélioration des processus est dynamique, institutionnalisée et tient compte de l'évolution du contexte 6 Labellisation Certification 5 Code de conduite 4 Contrôle des mesures juridiques 3 Respect des droits de la PC + Relations avec l’autorité de Ctl + Contrats 2 Politique Générale de protection de la VP Organisation Noti. Viol DCP Registre1 Sensibilisation DG + Directions métiers Le Plan d’actions : Les mesures juridiques / Labellisation Certification
  54. 54. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 54Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com L'idée de base est la capacité à s'appuyer sur un tiers pour considérer qu'une partie des ressources du SI (hébergeant des DCP) que l'on met en œuvre répond à des exigences de sécurité à notre convenance; • Je (ou une instance extérieure) définis des objectifs de sécurité, des moyens de les vérifier et des niveaux d'assurance de l'atteinte de ces objectifs; • Des composantes sont réalisées avec un objectif de conformité à ces définitions • Des tiers en lesquels j'ai "confiance" garantissent cette conformité • Intérêts direct : • Ne pas avoir à analyser soi-même la façon dont la sécurité est assurée au sein d'une des composantes • Technique d'interfaçage avec des composants achetés • Technique d'interfaçage entre partie d'un SI (par exemple entre filiales d'un groupe ou entre partenaires commerciaux) • Mécanique permettant de coopérer sans avoir à "inspecter" l'autre • Intérêt indirect : • Formalisme utilisable éventuellement de façon privée • Écueils : • Nécessité de formaliser les règles • Nécessité de mettre en place des diapositifs récurrents d’audit et contrôles Le Plan d’actions : Les mesures juridiques / La Certification
  55. 55. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 55Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Exigences relatives à la politique de protection des DCP Exigences relatives au DPO Exigences relatives à l’analyse de la conformité Exigences relatives au contrôle de la conformité dans le temps Exigences relatives à la gestion des réclamations et à l’exercice du droit des PC Exigences relatives à la journalisation des évènements de sécurité Exigences relatives à la gestion des violations de DCP Exigences relatives à la formation Le Plan d’actions : Les mesures juridiques / La Labellisation / Certification
  56. 56. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 56Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Devenir organisme de certification Comment ? Il faut obtenir un agrément de la part de l’autorité de contrôle de son Etat ou par un organisme national d’accréditation désigné. Pour cela, il faut prouver que les tâches et les missions n’entrainent pas de conflits d’intérêts; Prouver son expertise en matière de protection des DCP; Le respect de certains critères, La mise en place de procédures en vue de la délivrance, de l’examen périodique et du retrait d’une certification, de labels et de marques pour traiter les violations de la certification ou la manière dont la certification a été appliquée par un RT ou un ST. Quels pouvoirs ? Délivrer ou retirer une certification initialement délivrée à une entreprise. Les organismes de certification doivent communiquer à l’autorité de contrôle les raisons de la délivrance ou du retrait de la certification à l’entreprise Durée 5 ans Comment devenir organisme de certification ? Le Plan d’actions : Les mesures juridiques / La Certification
  57. 57. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 57Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Situation effective Pratique inexistante ou incomplète et le besoin n'est pas reconnu. Pratique de base mises en œuvre de manière informelle et réactive à l'initiative de ceux qui estiment en avoir besoin Pratiques de base mises en œuvre, avec un engagement relatif de l'organisme vis-à- vis des PC Processus défini, décrit, adapté à l'organisme, généralisé et bien compris par le management et par les exécutants Processus coordonné et contrôlé à l'aide d'indicateurs permettant de corriger les défauts constatés Processus continuellement optimisé : l'amélioration des processus est dynamique, institutionnalisée et tient compte de l'évolution du contexte 6 Produits certifiés 5 Système de management 4 Ctl des mesures techniques 3 EIVP Security by design + PAS 2 Politiques de Sécurité SI Organisation Security by default Sécurité périphérique 1 Sensibilisation Sécurité en profondeur Le Plan d’actions : Les mesures organisationnelles et techniques
  58. 58. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 58Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com 1. Participer à la sensibilisation du personnel 8.La manipulation des outils supportant des DCP 2.Identifier les T Evaluer la sensibilité des DCP au DPO Exprimer les évènements redoutés Participer au PIA 7.La manipulation des DCP, documents 3.Habilitation et choix des personnes affectées aux taches sensibles sur les T de DCP 6. Comportements généraux à l’intérieur et à l’extérieur des établissements 4.Identification et gestion des personnels stratégiques traitant les DCP 5. Management de la conformité et sécurité lors de sous-traitance 9.Contrôle Le Plan d’actions : Les mesures organisationnelles et techniques / La sensibilisation
  59. 59. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 59Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Situation effective Pratique inexistante ou incomplète et le besoin n'est pas reconnu. Pratique de base mises en œuvre de manière informelle et réactive à l'initiative de ceux qui estiment en avoir besoin Pratiques de base mises en œuvre, avec un engagement relatif de l'organisme vis-à- vis des PC Processus défini, décrit, adapté à l'organisme, généralisé et bien compris par le management et par les exécutants Processus coordonné et contrôlé à l'aide d'indicateurs permettant de corriger les défauts constatés Processus continuellement optimisé : l'amélioration des processus est dynamique, institutionnalisée et tient compte de l'évolution du contexte 6 Produits certifiés 5 Système de management 4 Ctl des mesures techniques 3 EIVP Security by design + PAS 2 Politiques de Sécurité SI Organisation Security by default Sécurité périphérique 1 Sensibilisation Sécurité en profondeur Le Plan d’actions : Les mesures organisationnelles et techniques / Politique de sécurité
  60. 60. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 60Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Le renforcement de la sécurité La mise en œuvre de politiques : • Les règles fonctionnelles et organisationnelles structurant la protection des DCP • L’engagement de la direction et les responsabilités métiers,, DSI, SSI • Les enjeux, responsabilités et missions de la SSI / PDCP Plans de Sécurité Guides et manuels Chartes utilisateurs Procédures • La mise en œuvre architecturale des règles fonctionnelles et la définition des procédures , consignes et règles de sécurité opérationnelles et de management Politique de Sécurité Système d’Information Charte éthique pour la sécurité de l’information et la protection de la VP Politique générale de sécurité de l’information Protection des DCP Directives protection des DCP Le Plan d’actions : Les mesures organisationnelles et techniques / Politique de sécurité
  61. 61. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 61Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Article 27 Représentants des RT des ST qui ne sont pas établis dans l'Union Lorsque l'article 3, paragraphe 2, s'applique, le RT ou le ST désigne par écrit un représentant dans l'Union. Le représentant est établi dans un des États membres dans lesquels se trouvent les personnes physiques dont les DCP font l'objet d'un T lié à l'offre de biens ou de services, ou dont le comportement fait l'objet d'un suivi. Le représentant est mandaté par le RT ou le ST pour être la personne à qui, notamment, les autorités de contrôle et les PC doivent s'adresser, en plus ou à la place du RT ou du ST, pour toutes les questions relatives au traitement, aux fins d'assurer le respect du présent règlement. 5La désignation d'un représentant par le RT ou le ST est sans préjudice d'actions en justice qui pourraient être intentées contre le RT ou le ST . Le Plan d’actions : Les mesures organisationnelles et techniques : le Représentant
  62. 62. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 62Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Informer Conseiller le RT / ST dans la MEO des T Registre ? Contrôler le respect Conseil pour l’EIVP Pont de contact Coopère avec l’AC Le Plan d’actions : Les mesures organisationnelles et techniques : le DPO
  63. 63. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 63Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com L’organisation Voie Hiérarchique Voie Fonctionnelle Protection des DCP Voie Fonctionnelle SSI Comité de pilotage et suivi PDCP Managers Relais Direction Générale Le Plan d’actions : Les mesures organisationnelles et techniques : le DPO
  64. 64. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 64Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com • Dès que l’on sort de l’étape « best practices auto justifiées-sécurité informatique / by default » sous responsabilité des maîtrises d’œuvre (et que l’on cherche l’adhésion des métiers,) les besoins de sécurité classifiés doivent être à l’origine de la formalisation des exigences de sécurité adaptées, (règles, obligations et interdits). • Or ces exigences de sécurité (règles, obligations et interdits) sont susceptibles d’être ressentis comme des contraintes allant à l’encontre d’objectifs de productivité du métier • Certaines interdictions ou obligations techniques ou comportementales brident les services que veulent mettre en œuvre certaines directions de projet • La prise en compte native de la sécurité dans les projets est identifiée comme un facteur potentiel de ralentissement • Dans tous les cas il y a plusieurs divergences d’analyse potentielles : • Entre la maitrise d’ouvrage et le DPO • Entre la maîtrise d’ouvrage en charge du projet et la maîtrise d’œuvre • Entre la maîtrise d’ouvrage , la maîtrise d’œuvre d’une part et la SSI d’autre part • Entre la maîtrise d’œuvre et la SSI • Entre le DPO et le RSSI L’arbitre ne pourra se prononcer avec raison que si les mesures « divergence « peuvent être adossées à des besoins, des enjeux ou a MINIMA À DES RISQUES Besoin d’arbitrage Arbitre Entre la maîtrise d’ouvrage en charge du projet et la maîtrise d’œuvre Direction / Comité de pilotage / Entre la MOA, la Maitrise d’œuvre d’une part et la SSI / DPO d’autre part Direction / Comité de pilotage Entre SSI et DSI Direction / Comité de pilotage Validation / Homologation RT Le Plan d’actions : Les mesures organisationnelles et techniques / Le Comité de validation
  65. 65. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 65Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Contexte Evènements redoutés Menaces Risques Mesures Un « risque accepté » est caractérisé par la conjonction des 3 éléments suivants : 1. connaissance de l’existence d’un risque associé à une défaillance de sécurité par les décideurs métiers; 2. mesure du risque par les intervenants autorisés, en fonction d’un référentiel (critères, calcul et seuils d’impact, etc.) opposable ; 3. arbitrage et autorisation d’assumer les conséquences du risque, en tenant compte des mesures de réduction, selon les principes de délégation en vigueur. L’instance de décision locale désignée par le RT doit réunir toutes les parties prenantes (un représentant de la direction, les représentants Métier ou leur maîtrise d’ouvrage, les dépositaires des ressources, les tiers subissant des impacts collatéraux…) afin d’évaluer le risque dans son ensemble. Risques Résiduels Validation ? Le Plan d’actions : Les mesures organisationnelles et techniques / Le Comité de validation
  66. 66. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 66Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com • La pseudonymisation et le chiffrement des données à caractère personnel; • des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement; • des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique; • une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. Le Plan d’actions : Les mesures organisationnelles et techniques / Security by default
  67. 67. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 67Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Objectif : faire perdre le caractère identifiant des données à caractère personnel (DCP). Une « véritable » anonymisation implique nécessairement une perte (irréversible) d’information. Dans certains cas, le simple fait d’effacer ou de noircir une partie des données peut suffire à atteindre l’objectif souhaité. La « pseudonymisation » peut être définie comme le remplacement d'un nom par un pseudonyme. C’est le processus par lequel les DCP perdent leur caractère identifiant (de manière directe). Les DCP restent liées à la même personne dans tous les dossiers et systèmes informatiques sans que l’identité ne soit révélée. Elle peut être opérée avec ou sans la possibilité de retour vers les noms ou identités (pseudonymisation réversible ou irréversible). Recommandations : supprimer une partie suffisante des DCP Si ce n’est pas possible, déterminer les solutions qui satisfont le mieux possible les besoins fonctionnels. Recommandations : s’il est nécessaire que des personnes habilitées puissent vérifier que des données pseudonymisées correspondent à des données originales qu’ils ont en leur possession, pratiquer une double pseudonymisation avec deux clés secrètes détenues par deux organismes différents ; Utiliser uniquement des DCP pseudonymisées ou des données fictives pour les phases de développement et de test. Dans certains cas, il est conseillé d’appliquer une double pseudonymisation : c’est l’application d’une seconde fonction de pseudonymisation sur la donnée pseudonymisée au moyen de la première fonction de pseudonymisation . Ces deux fonctions doivent utiliser des secrets différents qui sont détenus par des organismes distincts. Le Plan d’actions : Les mesures organisationnelles et techniques / Security by default /
  68. 68. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 68Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com WEB public DMZ DMZ DMZ Applicatif Métier stratégique Poste de travail Composant d’intendance (administration et sécurité) Deuxième niveau de Firewall Premier niveau de Firewall Le risque est donc de se perméabiliser : . De l’intérieur, si les sas applicatif ne sont pas à jour, si les postes de travail ne sont pas à jour et ne respectent pas les règles d’implémentation, si les administrateurs et utilisateurs ne respectent pas ces règles. . De l’extérieur, si les Firewall ne sont pas à jour. Le Plan d’actions : Les mesures organisationnelles et techniques / EIVP /Security by default / la sécurité périphérique
  69. 69. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 69Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Situation effective Pratique inexistante ou incomplète et le besoin n'est pas reconnu. Pratique de base mises en œuvre de manière informelle et réactive à l'initiative de ceux qui estiment en avoir besoin Pratiques de base mises en œuvre, avec un engagement relatif de l'organisme vis-à- vis des PC Processus défini, décrit, adapté à l'organisme, généralisé et bien compris par le management et par les exécutants Processus coordonné et contrôlé à l'aide d'indicateurs permettant de corriger les défauts constatés Processus continuellement optimisé : l'amélioration des processus est dynamique, institutionnalisée et tient compte de l'évolution du contexte 6 Produits certifiés 5 Système de management 4 Ctl des mesures techniques 3 EIVP Security by design + PAS 2 Politiques de Sécurité SI Security by default Sécurité périphérique 1 Sensibilisation Sécurité en profondeur Le Plan d’actions : Les mesures organisationnelles et techniques / EIVP /Security by design
  70. 70. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 70Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Etapes de la méthode Maîtrise d’Ouvrage Maîtrise d’Œuvre 1.1. Description générale Approuve Consultée Informée Réalise Informé1.2. Description détaillée 2.1. Mesures de nature juridique 2.2. Mesures traitant les risques Consulté 3.2. Événements redoutés Réalise3.3. Menaces Consultée 3.4. Risques 4.1. Évaluation Réalise Informé 4.2 Objectifs Consultée 4.3 Plan d’actions Réalise Consulté 4.4 Validation formelle Réalise Informées Consulté Informé Le Plan d’actions : Les mesures organisationnelles et techniques / EIVP /Security by design
  71. 71. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 71Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Accès illégitime aux DCP Impacts corporels Impacts matériels Impacts moraux Modification non désirée des DCP Impacts corporels Impacts matériels Impacts moraux Disparition des DCP Impacts corporels Impacts matériels Impacts moraux Le Plan d’actions : Les mesures organisationnelles et techniques / EIVP /Security by design / Etude d’impact
  72. 72. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 72Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Menaces Sources humaines internes agissant accidentellement agissant de manière délibérée Sources humaines externes agissant accidentellement agissant de manière délibérée Sources non humaines internes externes Vraisemblance Vraisemblance Vraisemblance Événements redoutés Accès illégitime aux DCP Modification non désirée des DCP Disparition des DCP Vulnérabilités Matériels Logiciels Canaux informatiques Personnes Documents papier Canaux papier Le Plan d’actions : Les mesures organisationnelles et techniques / EIVP /Security by design / Evaluation de la vraisemblance
  73. 73. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 73Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Gravité 4. Maximal 3. Important 2. Limitée 1. Négligeable Cartographie des risques 1. Négligeable 2. Limitée 3. Important 4. Maximal Vraisemblance Accès illégitime aux DCP Un schéma tel que ci-dessous peut être utilisé pour présenter la cartographie des risques Accès illégitime aux DCP Le Plan d’actions : Les mesures organisationnelles et techniques / EIVP /Security by design / Evaluation du n) du risque
  74. 74. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 74Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com 4. Décision 4.1 Evaluation Non Oui 4.2 Objectifs 4.3 Plan d’actions 4.4 Validation Fin d’Etude d’impact sur la vie privée Décision : la validation de l’étude d’impact sur la vie privée L’Objectif est de décider d’accepter ou non la manière dont l’étude a été gérée et les risques résiduels. Source : – CNIL http://www.cnil.fr Le Plan d’actions : Les mesures organisationnelles et techniques / EIVP /Security by design / la validation
  75. 75. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 75Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Appliquer les principes de défense en profondeur à l’architecture matérielle et logicielle des centres informatiques. La sécurisation d’une architecture doit être assurée mais de façon distribuée, tout au long de la chaîne de liaison, en prenant en compte l’ensemble des composants de l’architecture (réseau, système, applicatif) Le principe de défense en profondeur doit être respecté, en particulier par la mise en œuvre successive de « zones démilitarisées » (DMZ), d’environnements de sécurité en zone d’hébergement, de machines virtuelles ou physiques dédiées, de réseaux locaux virtuels (VLAN) appropriés, d’un filtrage strict des flux applicatifs et d’administration. Les premiers niveaux de défense protègent les ressources de niveaux inférieurs contre les attaques à large spectre Les niveaux inférieurs assurent la protection contre les attaques ciblées sur un objectif précis Le Plan d’actions : Les mesures organisationnelles et techniques / EIVP /Security by design / la sécurité en profondeur
  76. 76. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 76Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Le Plan d’Assurance Sécurité est un document contractuel décrivant l’ensemble des dispositions spécifiques mises en œuvre pour garantir le respect des exigences de sécurité du donneur d’ordre, le RT . Il doit être annexé au contrat Le Plan d’actions : Les mesures organisationnelles et techniques / le PAS
  77. 77. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 77Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com N° d’exigences N° Maturité Localisation DCP Santé Non sensibles Certifié ou Agrée Non Certifié Agréé Non Certifié Agréé Certifié Non certifié Non certifié Territoire national Territoire national Interdit par la France Territoire national Territoire national En dehors de l’UE PAS ++++ PAS +++++ PAS ++++++ PAS + PAS ++ PAS +++ Le Plan d’actions : Les mesures organisationnelles et techniques / le PAS
  78. 78. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 78Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Situation effective Pratique inexistante ou incomplète et le besoin n'est pas reconnu. Pratique de base mises en œuvre de manière informelle et réactive à l'initiative de ceux qui estiment en avoir besoin Pratiques de base mises en œuvre, avec un engagement relatif de l'organisme vis-à- vis des PC Processus défini, décrit, adapté à l'organisme, généralisé et bien compris par le management et par les exécutants Processus coordonné et contrôlé à l'aide d'indicateurs permettant de corriger les défauts constatés Processus continuellement optimisé : l'amélioration des processus est dynamique, institutionnalisée et tient compte de l'évolution du contexte 6 Produits certifiés 5 Système de management 4 Ctl des mesures techniques 3 EIVP Security by design + PAS 2 Politiques de Sécurité SI Security by default Sécurité périphérique 1 Sensibilisation Sécurité en profondeur Le Plan d’actions : Les mesures organisationnelles et techniques / Contrôle des mesures techniques
  79. 79. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 79Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Le Plan d’actions : Les mesures organisationnelles et techniques / Contrôle des mesures techniques
  80. 80. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 80Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Situation effective Pratique inexistante ou incomplète et le besoin n'est pas reconnu. Pratique de base mises en œuvre de manière informelle et réactive à l'initiative de ceux qui estiment en avoir besoin Pratiques de base mises en œuvre, avec un engagement relatif de l'organisme vis-à- vis des PC Processus défini, décrit, adapté à l'organisme, généralisé et bien compris par le management et par les exécutants Processus coordonné et contrôlé à l'aide d'indicateurs permettant de corriger les défauts constatés Processus continuellement optimisé : l'amélioration des processus est dynamique, institutionnalisée et tient compte de l'évolution du contexte 6 Produits certifiés 5 Système de management 4 Ctl des mesures techniques 3 EIVP Security by design + PAS 2 Politiques de Sécurité SI Security by default Sécurité périphérique 1 Sensibilisation Sécurité en profondeur
  81. 81. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 81Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Pourquoi mettre en œuvre un Système de Management de Sécurité des DCP ? Pour protéger, dans la durée, les DCP et les systèmes d’information qui les hébergent Pour renforcer la confiance (vis-à-vis PC /des clients / usagers et des fournisseurs ou en interne). Pour améliorer les processus et l’organisation interne en matière de protection de DCP Un SMSI – Système de Management de la Sécurité de l’Information est un ensemble d’éléments interactifs permettant à un organisme d’établir une politique et des objectifs en matière de sécurité de l’information, d’appliquer la politique, d’atteindre ces objectifs et de contrôler l’atteinte de ces objectifs. Le SMSI est établi, documenté, mis en œuvre et entretenu. Son efficacité est mesurée par rapport aux objectifs de l’entité, et cette mesure permet d’améliorer en permanence le SMSI. Le SMSI est cohérent avec les autres systèmes de management de l’entité, notamment avec les systèmes de management de la qualité, de la sécurité des conditions de travail, et de l’environnement. L’existence d’un SMSI dans l’organisme permet de renforcer la confiance dans le mode de gestion de la sécurité de l’information » Le Plan d’actions : Les mesures organisationnelles et techniques / Contrôle des mesures techniques
  82. 82. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 82Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Situation effective Pratique inexistante ou incomplète et le besoin n'est pas reconnu. Pratique de base mises en œuvre de manière informelle et réactive à l'initiative de ceux qui estiment en avoir besoin Pratiques de base mises en œuvre, avec un engagement relatif de l'organisme vis-à- vis des PC Processus défini, décrit, adapté à l'organisme, généralisé et bien compris par le management et par les exécutants Processus coordonné et contrôlé à l'aide d'indicateurs permettant de corriger les défauts constatés Processus continuellement optimisé : l'amélioration des processus est dynamique, institutionnalisée et tient compte de l'évolution du contexte 6 Produits certifiés 5 Système de management 4 Ctl des mesures techniques 3 EIVP Security by design + PAS 2 Politiques de Sécurité SI Security by default Sécurité périphérique 1 Sensibilisation Sécurité en profondeur
  83. 83. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 83Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com La certification permet d’attester par une tierce partie indépendante et impartiale qu’un produit atteint, à un instant donné, un niveau de sécurité représenté par les services de sécurité qu’il offre et sa résistance à un niveau d’attaques donné : en France, quel que soit le type d’évaluation, la certification s’appuie systématiquement, outre des vérifications de conformité, sur des tests d’intrusion pour déterminer le niveau de sécurité réellement atteint par le produit. La certification permet de répondre principalement à trois types d’objectifs. 1. Il peut s’agir d’objectifs règlementaires, tels que l’application de Règlements ou de directives européennes ou nationales. 2. L’objectif peut être aussi contractuel, au travers de donneurs d’ordres publics ou privés qui exigent contractuellement la certification de produits avant leur usage. 3. Enfin des entreprises peuvent souhaiter se démarquer en certifiant leurs produits (objectif commercial). Le Plan d’actions : Les mesures organisationnelles et techniques / les produits certifiés
  84. 84. Règlementeuropéenpourlaprotectiondespersonnesphysiques àl'égarddutraitementdesDCP 84Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com La mise en conformité au règlement européen est imposé dans un délai court fin mai 2018) : il convient de démarrer dans les meilleurs délais la démarche de mise en conformité La démarche : • Doit être adaptée au niveau de maturité de l’organisme : une approche progressive par palier doit être mise en oeuvre • Doit impliquer la direction générale de l’organisme pour qu’elle impose la démarche • Doit aborder des aspects « juridiques » et « techniques » • Nécessite de formaliser des documents (politiques, procédures, …) puis de les mettre en apllication • Nécessite de désigner un chef de projet pour mener à bien tous les chantiers Le délai de mise en conformité est fixé à fin mai 2018 : ce délai est court. Il convient de mettre en œuvre un plan d’actions permettant d’atteindre cet objectif dans les meilleurs délais : 2017 est une année importante pour la mise en conformité Plan d’actions : Conclusion

×