Sensibilisation du personnel de Belgomedia au GDPR / RGPD. Qu'est-ce que le Règlement Général pour la Protection des Données ? Quand et comment s'applique-t-il ? Définitions, grands principes, livrables, etc.

1. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 1
GDPR
Quatre lettres qui font peur.
Vraiment ?

2. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 2
Plan de la présentation
1. GDPR, c’est quoi ?
2. Quand le GDPR s’applique-t-il ?
3. Données à caractère personnel
4. Traitement, responsable et registre
5. Le GDPR, ça fait peur !
6. Du droit (un peu), de l’informatique,
et de l’organisation (beaucoup !)
7. Les grands principes du GDPR (en 9 points)
8. Les livrables (documentation !)
9. Quelques conseils et réflexions
10. Questions / réponses

3. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 3
1. GDPR , c’est quoi ?
• GDPR = General Data Protection Regulation, ou
Règlement Général pour la protection des Données
(RGPD)
• Règlement européen (UE 2016/679) (pas une directive);
• publié au Journal Officiel le 27 avril 2016;
• directement applicable dans les 28 états membres dès le
25 mai 2018.
• Un cadre harmonisé et des compétences extra-
territoriales.

4. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 4
Contexte
« Personal data is the new oil of the internet
and the new currency of the digital world. »
(Meglena Kuneva, Commissaire Européenne
à la Protection des Consommateurs, 31 mars 2009)

5. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 5
Contexte

6. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 6
Contexte

7. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 7
2. Quand le GDPR
s’applique-t-il ?

8. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 8
Champ d’application matériel
Le GDPR s’applique dès qu’a lieu un traitement de
données à caractère personnel, automatisé en tout ou en
partie, ainsi qu’à tout traitement non automatisé de données
à caractère personnel contenues ou appelées à figurer dans
un fichier.
(NDLR : voir l’article 2 du GDPR, paragraphes 2 à 4 pour les exclusions et
particularités)

9. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 9
Champ d’application
territorial
Le règlement s’applique dans les cas suivants :
1. Traitement de données à caractère personnel effectué dans le cadre des activités
d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de
l’Union, que le traitement ait lieu ou non dans l’Union.
2. Traitement par un responsable de traitement ou un sous-traitant qui n’est pas établi dans
l’Union, mais le traitement concerne des personnes physiques se trouvant sur le territoire de
l’Union et est lié à une des situations suivantes :
• offre de biens ou de services à des personnes concernées dans l’Union, qu’un paiement soit
exigé ou non desdites personnes;
• suivi du comportement de ces personnes (exemple : utilisation de cookies sur Internet), dans
la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union.
3. Le responsable du traitement n’est pas établi dans l’Union mais dans un lieu où le droit d’un Etat
membre s’applique en vertu du droit international public.

10. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 10
3. Données à caractère
personnel
Toute information identifiant directement ou indirectement
une personne physique (ex. nom, no d’immatriculation, no de
téléphone, photographie, date de naissance, commune de
résidence, empreinte digitale…).
Pour déterminer si une personne est identifiable, il convient de
considérer l’ensemble des moyens en vue de permettre son
identification dont dispose ou auxquels peut avoir accès le
responsable du traitement ou toute autre personne.
La personne à laquelle se rapportent des données à caractère
personnel qui font l’objet d’un traitement est appelée
« Personne concernée ».

11. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 11

12. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 12
4. Traitement,
responsable
et registre

13. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 13
Traitement de données
Toute opération ou ensemble d’opérations
effectuées ou non à l’aide de procédés automatisés
et appliquées à des données à caractère personnel, telles que :
• collecte
• enregistrement
• organisation
• conservation
• l’adaptation ou la
modification,
• l’extraction,
• la consultation,
• la communication par
transmission, diffusion
ou toute autre forme de
mise à disposition,
• le rapprochement ou
l’interconnexion
• le verrouillage,
l’effacement ou la
destruction, …

14. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 14
Responsable de traitement
Le responsable de traitement est
• la personne physique ou morale,
l’autorité publique, le service ou un autre
organisme qui,
• seul ou conjointement avec d’autres,
• détermine les finalités et les moyens
du traitement de données à caractère
personnel.

15. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 15
Sous-traitant
Le sous-traitant est
• la personne physique ou morale,
l’autorité publique, le service ou un autre
organisme qui
• traite des données à caractère
personnel
• pour le compte du responsable de
traitement.

16. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 16
Registre de traitement
• Documentation !
• A la disposition de l’autorité de contrôle (« Autorité de
Protection des Données », qui remplace la « Commission
de la Protection de la Vie Privée, en Belgique)
• Tenu à jour
• Principe d’ACCOUNTABILITY !

17. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 17
Registre de traitement
Pour chaque traitement de données à caractère personnel :
• Nom et coordonnées du responsable, de son
représentant, du DPO, du resp. conjoint (le cas échéant);
• Finalités;
• Catégories de personnes concernées et de données;
• Catégories de destinataires + transferts vers pays tiers (!)
• Délais prévus pour l’effacement des données;
• Mesures de sécurité techniques et organisationnelles; …

18. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 18
5. Le GDPR
ça fait PEUR !

19. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 19
Sanctions et amendes
• Injonctions
• Amendes administratives lourdes :
jusque 20 MILLIONS €
ou 4% du C.A. mondial du groupe
• Engagement de la responsabilité
personnelle des décideurs dans
l’entreprise
• ==> Armes de dissuasion massive

20. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 20

21. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 21
Votre réputation

22. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 22
Rassurez-vous…
En retard par rapport au GDPR ?
Seulement en retard
de 26 ans par rapport
à la loi de 1992 !

23. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 23
Rassurez-
vous…

24. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 24
Du droit (un peu),
de l’informatique,
et de l’organisation
(beaucoup !)

25. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 25
• DROIT
• Contrats sous-traitants
• Privacy Policy
• RH (confidentialité -
code de conduite)
• INFORMATIQUE
• Privacy by design /
default
• Sécurité des S.I.
• I.A.M.
• Code de conduite ICT
• Documentation
• Droit d’accès
• Droit à l’oubli
• CCT 81
• ORGANISATION
• Analyse de risques
• Archivage digital
• Gestion de projet
• Change Management
• Registre de traitement
• Communication de
crise (data breach)
• Formation

26. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 26
7. Les grands
principes du GDPR
A. Six conditions de collecte et de traitement
B. Tout commence par le consentement
C. Responsabilité - Accountability
D. Droits de la personne concernée
E. Privacy by design / Privacy by Default
F. Sécurité des données
G. Notification en cas de violation des données
H. Analyse de risque (PIA - Privacy impact assessment)
I. DPO / DPPM

27. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 27
7.a. Six conditions de collecte
et de traitement
1. Traitement licite, loyal et transparent
2. Finalité de traitement déterminée, explicite et légitime
3. Minimisation des données (adéquates, pertinentes et
limitées à ce qui est nécessaire au regard des finalités
pour lesquelles elles sont traitées)
4. Données exactes et tenues à jour
5. Limitation de la conservation
6. Intégrité et confidentialité (sécurité !)

28. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 28
7.b. Consentement
• = toute manifestation de volonté
• libre, spécifique, éclairée
• et UNIVOQUE
• par laquelle la personne concernée accepte,
A. par une déclaration OU
B. par un acte positif explicite
• que des donnée à caractère personnel la concernant
fassent l’objet d’un traitement déterminé.

29. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 29
• Le consentement doit pouvoir être retiré aussi
facilement qu’il a été donné.
• Le responsable de traitement doit, à tout moment, être en
mesure de prouver le recueil du consentement (requête
d’une personne concernée, contrôle de l’APD).

30. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 30
Une règle !

31. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 31
Cinq exceptions
Le traitement est nécessaire…
1. à l’exécution d’un contrat ou de mesures précontractuelles
(prises à la demande de la personne concernée !);
2. au respect d’une obligation légale à laquelle le responsable de
traitement est soumis;
3. à la sauvegarde des intérêts vitaux (de la personne concernée
ou d’une autre personne physique);
4. à l’exécution d’une mission d’intérêt public;
5. (aux fins des intérêts légitimes du responsable de traitement).

32. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 32
Intérêt légitime

33. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 33
7.c. Accountability

34. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 34

35. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 35
Le responsable de traitement doit, à
tout moment, être en mesure :
• de démontrer qu’il respecte les
6 conditions de collecte et de
traitement (voir 7.a.)
• de prouver, le cas échéant, que
la personne concernée à
donné son consentement au
traitement

36. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 36
Principale tâche :
DOCUMENTATION !

37. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 37
7.d. Droits de la personne
concernée
• Transparence
• Information lors de la collecte
• Accès
• Rectification
• Effacement
• Limitation du traitement
• Portabilité
• Opposition au profilage

38. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 38
Transparence / information

39. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 39

40. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 40
• Exercice du droit à la liberté d’expression
et d’information
• Obligations légales (==> comptabilité !)
• Constatation, exercice ou défense de
droits en justice
• (etc… article 17 § 3)

41. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 41
7.e. Privacy by Design /
Privacy by Default

42. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 42
Privacy by Design
• Le logiciel de traitement des données à caractère
personnel a été conçu dans le respect des règles du
GDPR.
• Mesures techniques et organisationnelles appropriées.
• Pseudonymisation
• Minimisation

43. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 43
Compte tenu :
• de l’état des connaissances;
• des coûts de mise en œuvre;
• de la nature;
• de la portée;
• du contexte;
• des finalités du traitement;
• des risques (probabilité, gravité) pour les
droits et libertés des personnes physiques.

44. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 44
Privacy by Default
Mesures techniques et organisationnelles appropriées pour
garantir, par défaut :
• Minimisation des données traitées au regard de chaque
finalité;
• Limitation de la durée de conservation, de l’étendue du
traitement, de l’accessibilité;
• Protection des données à caractère personnel !

45. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 45
Data
Life Cycle
Sécurité stockage ?
Intégrité ? Accès ?
Disponibilité ?
Confidentialité ?
Respect des 6 conditions de
collecte ? Minimisation ?
Analyse de risque ?
Base légale du
traitement ?
Sous-traitants ?
Privacy Policy ?
QUI ?
Consentement ?
Transparence ? Confiance ?
Pays tiers ?
Confidentialité ?
Pérennité ?
Intégrité ?
Délai de rétention ?
Obligation de
conservation ?

46. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 46
7.f. Sécurité des données

47. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 47

48. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 48

49. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 49

50. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 50
Source:https://www.slideshare.net/SolarWinds/solarwinds-federal-cybersecurity-survey

51. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 51

52. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 52
La sécurité des données est l’affaire de tous !

53. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 53
Bruce Schneier (US), cryptologue, spécialiste en sécurité informatique

54. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 54

55. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 55
Ne pas oublier :
• Plan de sécurité de l’information
• Archivage
• Destruction des données
• ISO 2700x
• Audit de sécurité
• Test de pénétration, etc.

56. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 56
Pouvoir identifier les fuites !

57. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 57
7.g. Notification vol/perte

58. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 58
72 heures
après avoir pris connaissance de la violation
de données à caractère personnel
Notification à l’A.P.D. :
au plus tard

59. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 59
Communication à l’APD,
et après ?
+
Avertir les personnes concernées ?

60. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 60
7.h. Privacy Impact
Assessment

61. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 61
• Si risque élevé pour les droits et libertés des personnes
concernées
• … compte tenu de la nature, de la portée, du contexte et
des finalités du traitement;
• (+ cas particuliers prévus par GDPR ou APD);
• Utile même quand pas nécessaire;
• Permet de se poser les bonnes questions;
• BON SENS !

62. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 62
7.i. DPO / DPPM
• DPO : Data Protection Officer (ou Délégué à la Protection des
Données)
• Associé à toutes les questions relatives à la protection des
données à caractère personnel
• Informer et conseiller !
• Contrôle / audit
• Personne de contact (APD et personnes concernées)
• Ne reçoit pas d’instructions / Fonction protégée
• Possible conflit d’intérêt !
• Interne ou DPOaaS ou mutualisation
• DPPM : Data Protection Project Manager (conformité + application)

63. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 63
Quatre fonctions différentes
GDPR Sécurité de l’information
Conseil Data Protection Officer (DPO)
Information Security Advisor
(ISA)
Mise en œuvre
Chef de Projet GDPR (DPPM)
ou correspondant GDPR
dans les départements
Responsable de la sécurité des
systèmes d’information (RSSI)
On ne peut pas être à la fois au conseil et à la mise en œuvre
(les deux domaines étant intimement liés)

64. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 64
8. Les livrables
• Registre de traitement
• Plan de sécurité
• Politique d’archivage
• Identity & Access Management
• Contrats de sous-traitance
• Décisions prises
• Formations
• Best Practices internes
• CCT 81
• Privacy Policy

65. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 65
9. Conseils & Réflexions

66. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 66

67. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 67

68. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 68
https://amiunique.org

69. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 69
https://haveibeenpwned.com

70. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 70
• - 16 ans : consentement du titulaire de la responsabilité
parentale !
• Le responsable de traitement doit s’efforcer de vérifier,
raisonnablement, que le consentement est bien donné ou
autorisé par le responsable parental, compte tenu des
moyens technologiques disponibles.

71. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 71

72. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 72

73. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 73

74. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 74
Plus d’infos…
http://gdpr-blog.belgomedia.local
(uniquement sur réseau local de Belgomedia)

75. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 75
« GDPR compliance is
a continuous process »
(Magnus Valmot, CEO de Ardoq AS, Norvège)

76. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 76
Questions ?

77. « GDPR, quatre lettres qui font peur. Vraiment ? » - Avril 2018 - Didier Hamers 77
Sources
• https://www.slideshare.net/FOLON/marketing-et-gdpr
• https://www.eugdpr.org/the-regulation.html
• General Data Protection Regulation, Codex, Dirk De Bot, Editor, Politeia,
2016, 311 p.
• https://www.slideshare.net/SolarWinds/solarwinds-federal-cybersecurity-
survey
• https://www.slideshare.net/DragonBe/privacy-by-design-82454527
• https://www.slideshare.net/mactvdp/training-privacy-by-design
• https://fr.slideshare.net/MarcAntoineLedieuAvo/grdp-responsabilit-et-
garanties-de-conformit-des-traitements-ledieu-avocats