Gdpr acerta

132 vues

Publié le

CONFÉRENCE DONNÉE POUR ACERTA EN JUIN 2017

Publié dans : Formation
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
132
Sur SlideShare
0
Issues des intégrations
0
Intégrations
3
Actions
Partages
0
Téléchargements
2
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Gdpr acerta

  1. 1. Tenir compte du contexte pour une implémentation réussie du GDPR Jacques Folon Partner Edge Consulting jacques.folon@edge-consulting.biz Maître de conférences Université de Liège Professeur ICHEC Professeur invité Université de Lorraine (Metz) Visiting professor ESC Rennes School of Business
  2. 2. Espérons que votre sécurité ne ressemble jamais à ceci !
  3. 3. Agenda • IMPORTANCE DU CONTEXTE DE L'ORGANISATION • GDPR EN PRATIQUE • LA SECURITE DE L'INFORMATION
  4. 4. LE MONDE CHANGE
  5. 5. Bienvenue au XXIème siècle
  6. 6. LE MONDE CHANGE… VITE ET BRUTALEMENT
  7. 7. RIEN DANS CETTE VIDEO N’EXISTAIT EN 2007 !
  8. 8. CONTRASTE
  9. 9. Source: hIp://school.stagnesoLohemia.org/OldClass5.jpg 1916
  10. 10. Crédit: h;p://www.gutenberg.org/files/15595/15595-h/images/imagep158.jpg 1916
  11. 11. Crédits: h;p://www.spacegrant.nau.edu/stargazer/Classroom%20group.JPG 2016
  12. 12. Crédit: h;p://www.faw.com/Events/images/044-2.jpg 2016
  13. 13. RESISTANCE AU CHANGEMENT
  14. 14. On ne change rien !
  15. 15. internet des objets
  16. 16. today 15 billion connected objects in 2020 50 billon….
  17. 17. http://java.sys-con.com/node/3261583
  18. 18. Quid des données personnelles vis à vis d’IOT?
  19. 19. L’ENTREPRISE CHANGE
  20. 20. CULTURE D’ENTREPRISE
  21. 21. LA CULTURE D’ENTREPRISE CADRE DE LA SECURITE DE L’INFORMATION
  22. 22. IL Y A 20 ANS
  23. 23. LA CULTURE NE PEUT PLUS ETRE IDENTIQUE
  24. 24. DES METIERS DISPARAISSENT
  25. 25. DES ORGANISATIONS DISPARAISSENT
  26. 26. Source: http://fr.slideshare.net/briansolis/official-slideshare-for-whats-the-future-of-business
  27. 27. LES MEDIA SOCIAUX ONT CHANGE NOTRE VIE ET LES COMPORTEMENTS DES COLLABORATEURS
  28. 28. this is what 2.0 means
  29. 29. NOUVEAUX MÉTIERS
  30. 30. DATA ANALYST CHIEF DATA OFFICER COMMUNITY MANAGER RESPONSABLE DE VEILLE E-CRM MANAGER USER CENTRIC DESIGNER PILOTE DE DRONE RESPONSABLE MODELISATION … DPO
  31. 31. LA FORMATION CHANGE
  32. 32. SERIOUS GAMES
  33. 33. Role du DPO dans le cadre de la formation ?
  34. 34. LE RECRUTEMENT A CHANGE
  35. 35. 1980 71 http://img.over-blog.com/600x311/3/35/60/49/Le-Recrutement-2.0.png
  36. 36. 2000 72 http://img.over-blog.com/600x311/3/35/60/49/Le-Recrutement-2.0.png
  37. 37. 2016 73 http://img.over-blog.com/600x311/3/35/60/49/Le-Recrutement-2.0.png
  38. 38. ORGANIGRAMME
  39. 39. Increasing pressure on 
 “traditional” organizations Formal organization/ Hierarchy Social organization / Heterarchy SOURCE: http://fr.slideshare.net/eteigland/building-the-networked-innovative-organization? from_search=14 ou est le DPO?
  40. 40. ERGONOMIE
  41. 41. SOURCE: http://fr.slideshare.net/bradfrostweb/for-a-futurefriendly-web-mobilism-2012
  42. 42. SOURCE: http://fr.slideshare.net/bradfrostweb/for-a-futurefriendly-web-mobilism-2012
  43. 43. COMMANDE & CONTROLE
  44. 44. Fin de la gestion par commande et contrôle ? SOURCE: www.entrepriseglobale.biz Jean-Yves Huwart

  45. 45. MANAGEMENT BY OBJECTIVES
  46. 46. LA FIN DU SILO
  47. 47. Communication transversale, IAM et need to have !!!
  48. 48. BRING YOUR OWN DEVICE
  49. 49. ACATAWAD!
  50. 50. http://fr.slideshare.net/MicrosoftEntrepreneurs/rdi105-byod-resister-ou-embrasser?qid=d1192010-03b1-49ee-a555-ab31c4e7a1cd&v=default&b=&from_search=4
  51. 51. DIGITAL GENERATION
  52. 52. http://sandstormdigital.com/2012/11/08/understanding-digital-natives/
  53. 53. GESTION DES CONNAISSANCES
  54. 54. h;p://fr.slideshare.net/brainopera/seducNon-of-the-swarm
  55. 55. h;p://fr.slideshare.net/brainopera/seducNon-of-the-swarm
  56. 56. Source de l’image: h;p://agiledudes.com/wp-content/uploads/brain-transfer.jpg
  57. 57. LES ORGANISATIONS CHANGENT … VITE
  58. 58. CHOC DE VALEURS
  59. 59. Les valeurs
  60. 60. ET LA SECURITÉ ?
  61. 61. IMPORTANCE DES COMPORTEMENTS POUR ILLUSTRER LES VALEURS
  62. 62. RESEAUX SOCIAUX INTERNES
  63. 63. http://fr.slideshare.net/BusinessGoesSocial/why-enterprise-social-networks-fail-part-one?qid=916adb6a-2ddf-4771-87f1-11582e9cc43a&v=&b=&from_search=1
  64. 64. LE MAILLON FAIBLE
  65. 65. GDPR
  66. 66. GDPR
  67. 67. CALENDRIER
  68. 68. GDPR
  69. 69. TO DO
  70. 70. MINI AUDIT PREALABLE
  71. 71. INFORMATION DU TOP 103
  72. 72. PRÉPARER SA DÉSIGNATION 107
  73. 73. PRÉPARER SA DÉSIGNATION 108
  74. 74. PRÉPARER SA DÉSIGNATION 109
  75. 75. PRÉPARER SA DÉSIGNATION 110
  76. 76. RÉDIGER SA DESCRIPTION DE FONCTION IDENTIFIER LES STAKEHOLDERS INTERNES IDENTIFIER LES RESISTANCES INFORMER EN INTERNE SUR SON ROLE CREER UN RESEAU DE "CORRESPONDANTS" CREER UN SOUTIEN REEL DE LA HIERARCHIE 111 PRÉPARER SA DÉSIGNATION
  77. 77. EXEMPLE DE REGISTRE EN EXCEL MODELE DE FICHE PROPOSÉ PAR LA CNIL 116
  78. 78. Commencer par un POC 117
  79. 79. PRIVACY BY DESIGN
  80. 80. DPOAAS
  81. 81. communication de crise
  82. 82. Résistance au changement crainte du contrôle Imposer ou convaincre ? Positionnement du DPO atteinte à l’activité économique Culture d’entreprise et nationale Besoins du business les freins
  83. 83. SECURITE DE L’INFORMATION
  84. 84. Privacy VS. Security
  85. 85. SECURITE SOURCE DE L’IMAGE: http://www.techzim.co.zw/2010/05/why-organisations-should-worry-about-security-2/
  86. 86. Source : https://www.britestream.com/difference.html.
  87. 87. 86 La sécurité des données personnelles est une obligation légale…
  88. 88. Where do one steal data? • Banks • Hospitals • Ministries • Police • Newspapers • Telecoms • ... Which devices are stolen? • USB • Laptops • Hard disks • Papers • Binders • Cars
  89. 89. SOURCE : UWE | 5 juin 2013| @awtbe | André Blavier & Pascal Poty
  90. 90. ISO 27002
  91. 91. «ISO 27002 c’est donner des recommandations pour gérer la sécurité de l’information à l’intention de ceux qui sont responsables de définir, d’implémenter ou de maintenir la sécurité dans leur organisation. Elle est conçue pour constituer une base commune de développement de normes de sécurité organisationnelle et de pratiques efficaces de gestion de la sécurité, et pour introduire un niveau de confiance dans les relations dans l’entreprise. »
  92. 92. Rappel: ISO est avant tout un recueil de bonnes pratiques ISO 27002 est le fil rouge de la sécurité de l’information Pas de proposition de solutions technique les autres départements sont concernés Et le DPO dans tout ça?
  93. 93. http://jchambon.fr/professionnel/PAF/PME-PMI/s5-diaporama/images/ iso27002.png
  94. 94. http://www.randco.fr/img/iso27002.jpg
  95. 95. Pour que ca marche ....
  96. 96. Elle ne permet pas de définir quelles sont les mesures de sécurité à mettre en oeuvre en fonction du contexte de l’entreprise. Il y a trois limites: 1.Il est aberrant d'imaginer qu'il faille mettre en œuvre l'ensemble des mesures de sécurité décrites dans la norme (pour des questions de coût et de besoins réels). Il faut démarrer la démarche par une analyse des enjeux et des risques. 2.Le seconde limite est liée au cycle de normes ISO, en effet une évolution de norme prend environ 5 ans. Dans le domaine des technologies de l'information, les menaces potentielles et les mesures de sécurité liées évoluent plus rapidement que cela. 3.Enfin la troisième limite est son hétérogénéité, certains domaines sont Les limites d’ISO 27002
  97. 97. EXEMPLE 8 Sécurité liée aux ressources humaines        
     8.1 Avant le recrutement    
         8.1.1 Rôles et responsabilités
         8.1.2 Sélection
         8.1.3 Conditions d’embauche
     8.2 Pendant la durée du contrat    
         8.2.1 Responsabilités de la direction
         8.2.2 Sensibilisation, qualification et formations en matière de sécurité de l’information
         8.2.3 Processus disciplinaire
     8.3 Fin ou modification de contrat    
         8.3.1 Responsabilités en fin de contrat
         8.3.2 Restitution des biens
         8.3.3 Retrait des droits d’accès
  98. 98. LE DRH ET SON PC…
  99. 99. Les employés partagent des informations
  100. 100. Les consultants Les sous-traitants Les auditeurs externes Les comptables Le personnel d’entretien LES CONTRATS OUBLIES
  101. 101. On ne sait jamais qui sera derrière le PC Nécessité que le responsable de sécurité soit informé Attentions aux changements de profils
  102. 102. Vous contrôlez quoi ?
  103. 103. CONTRÔLE DES COLLABORATEURS 161 SOURCE DE L’IMAGE: http://blog.loadingdata.nl/2011/05/chinese-privacy-protection-to-top- american/
  104. 104. L’EMPLOYEUR PEUT-IL TOUT CONTROLER?
  105. 105. VERS LE CONTREMAÎTRE ELECTRONIQUE • Contremaître traditionnel – personne repérable, chargée de contrôler la présence physique du salarié sur son lieu de travail et en activité • Contremaître électronique – chargé du contrôle de la présence physique : les badges d ’accès… • Contremaître virtuel – pouvant tout exploiter sans que le salarié en ait toujours conscience et permettant, le cas échéant, d ’établir le profil professionnel, intellectuel ou psychologique du salarié ➨ Développement des chartes d ’information
  106. 106. Les emails • Ne sont pas de la correspondance • L’employeur peut-il les ouvrir ? • Emails privés avec adresse privée ? • Emails privés avec adresse professionnelle • Emails professionnels ? 169
  107. 107. Usage d’internet • Que faire en cas d’usage illégal ? • Crime (pédophilie, etc.) ? • Racisme, sexisme? • Atteinte au droit d’auteur? • Criminalité informatique? • Espionnage industriel ? • Concurrence déloyale ? 170
  108. 108. Le code de conduite • Activités illégales • Activités non autorisées durant certaines heures • Activités autorisées avec modération • Différence entre code de conduite et application de la CC 81 171
  109. 109. Contrôle des employés : équilibre
  110. 110. CC 81 ! Principe de finalité ! Principe de proportionnalité ! Information ! Individualisation ! sanctions
 

  111. 111. 3 La sécurité et/ou le fonctionnement technique de l’ensemble des systèmes informatiques en réseau de l’entreprise, en ce compris le contrôle des coûts y afférents, ainsi que la protection physique des installations de l’entreprise 4 Le respect de bonne foi des principes et règles d’utilisation des technologies en réseau fixés dans l’entreprise 1. Prévention de faits illégaux, de faits contraires aux bonnes mœurs ou susceptibles de porter atteinte à la dignité d’autrui 2. La protection des intérêts économiques, commerciaux et financiers de l’entreprise auxquels est attaché un caractère de confidentialité ainsi que la lutte contre les pratiques contraires Les 4 finalités
  112. 112. Bref vous ne pouvez pas accepter d’être complètement coincé ou…
  113. 113. Sinon votre sécurité ce sera ça…
  114. 114. LA PEUR EST PRESENTE
  115. 115. NOUS SOMMES FACE A UN NOUVEAU MONDE QUI CHANGE RAPIDEMENT ET QUI NECESSITE QUE NOUS CHANGIONS ENSEMBLE
  116. 116. processus complexe 191
  117. 117. BONNE CHANCE A TOUS
  118. 118. QUESTIONS ?

×