CONFÉRENCE DONNÉE POUR ACERTA EN JUIN 2017

1. Tenir compte du contexte pour une implémentation réussie
du GDPR
Jacques Folon
Partner
Edge Consulting
jacques.folon@edge-consulting.biz
Maître de conférences
Université de Liège
Professeur
ICHEC
Professeur invité
Université de Lorraine (Metz)
Visiting professor
ESC Rennes School of Business

2. Espérons que votre sécurité
ne ressemble jamais à ceci !

3. Agenda
• IMPORTANCE DU CONTEXTE DE L'ORGANISATION
• GDPR EN PRATIQUE
• LA SECURITE DE L'INFORMATION

4. LE MONDE
CHANGE

5. Bienvenue au XXIème siècle

6. LE MONDE CHANGE… VITE ET BRUTALEMENT

8. RIEN DANS CETTE
VIDEO N’EXISTAIT
EN 2007 !

12. CONTRASTE

13. Source: hIp://school.stagnesoLohemia.org/OldClass5.jpg
1916

14. Crédit: h;p://www.gutenberg.org/files/15595/15595-h/images/imagep158.jpg
1916

15. Crédits: h;p://www.spacegrant.nau.edu/stargazer/Classroom%20group.JPG
2016

16. Crédit: h;p://www.faw.com/Events/images/044-2.jpg
2016

17. RESISTANCE AU
CHANGEMENT

18. On ne change
rien !

20. internet des
objets

23. today 15 billion connected objects
in 2020 50 billon….

24. http://java.sys-con.com/node/3261583

25. Quid des données
personnelles vis à vis d’IOT?

26. L’ENTREPRISE
CHANGE

27. CULTURE
D’ENTREPRISE

28. LA CULTURE D’ENTREPRISE
CADRE DE LA SECURITE DE L’INFORMATION

29. IL Y A 20 ANS

30. LA CULTURE NE PEUT PLUS ETRE IDENTIQUE

31. DES METIERS
DISPARAISSENT

33. DES
ORGANISATIONS
DISPARAISSENT

34. Source: http://fr.slideshare.net/briansolis/official-slideshare-for-whats-the-future-of-business

37. LES MEDIA SOCIAUX
ONT CHANGE NOTRE VIE
ET LES COMPORTEMENTS
DES COLLABORATEURS

40. this is what 2.0 means

41. NOUVEAUX
MÉTIERS

42. DATA ANALYST
CHIEF DATA OFFICER
COMMUNITY MANAGER
RESPONSABLE DE VEILLE
E-CRM MANAGER
USER CENTRIC DESIGNER
PILOTE DE DRONE
RESPONSABLE MODELISATION
…
DPO

43. LA FORMATION
CHANGE

44. SERIOUS GAMES

46. Role du DPO dans le cadre
de la formation ?

47. LE
RECRUTEMENT
A CHANGE

48. 1980
71
http://img.over-blog.com/600x311/3/35/60/49/Le-Recrutement-2.0.png

49. 2000
72
http://img.over-blog.com/600x311/3/35/60/49/Le-Recrutement-2.0.png

50. 2016
73
http://img.over-blog.com/600x311/3/35/60/49/Le-Recrutement-2.0.png

51. ORGANIGRAMME

55. Increasing pressure on
“traditional” organizations
Formal organization/
Hierarchy
Social organization /
Heterarchy
SOURCE: http://fr.slideshare.net/eteigland/building-the-networked-innovative-organization?
from_search=14
ou est le DPO?

56. ERGONOMIE

57. SOURCE: http://fr.slideshare.net/bradfrostweb/for-a-futurefriendly-web-mobilism-2012

58. SOURCE: http://fr.slideshare.net/bradfrostweb/for-a-futurefriendly-web-mobilism-2012

59. COMMANDE
&
CONTROLE

60. Fin de la gestion par commande et contrôle ?
SOURCE: www.entrepriseglobale.biz Jean-Yves Huwart

61. MANAGEMENT BY OBJECTIVES

62. LA FIN DU SILO

65. Communication transversale,
IAM et need to have !!!

66. BRING YOUR
OWN DEVICE

67. ACATAWAD!

68. http://fr.slideshare.net/MicrosoftEntrepreneurs/rdi105-byod-resister-ou-embrasser?qid=d1192010-03b1-49ee-a555-ab31c4e7a1cd&v=default&b=&from_search=4

69. DIGITAL
GENERATION

70. http://sandstormdigital.com/2012/11/08/understanding-digital-natives/

72. GESTION DES
CONNAISSANCES

73. h;p://fr.slideshare.net/brainopera/seducNon-of-the-swarm

74. h;p://fr.slideshare.net/brainopera/seducNon-of-the-swarm

75. Source de l’image: h;p://agiledudes.com/wp-content/uploads/brain-transfer.jpg

76. LES
ORGANISATIONS
CHANGENT …
VITE

81. CHOC DE
VALEURS

82. Les valeurs

84. ET LA SECURITÉ ?

85. IMPORTANCE DES COMPORTEMENTS POUR
ILLUSTRER LES VALEURS

86. RESEAUX
SOCIAUX
INTERNES

88. http://fr.slideshare.net/BusinessGoesSocial/why-enterprise-social-networks-fail-part-one?qid=916adb6a-2ddf-4771-87f1-11582e9cc43a&v=&b=&from_search=1

90. LE MAILLON FAIBLE

91. GDPR

96. GDPR

97. CALENDRIER

98. GDPR

99. TO DO

100. MINI AUDIT PREALABLE

103. INFORMATION DU TOP
103

107. PRÉPARER SA DÉSIGNATION
107

108. PRÉPARER SA DÉSIGNATION
108

109. PRÉPARER SA DÉSIGNATION
109

110. PRÉPARER SA DÉSIGNATION
110

111. RÉDIGER SA DESCRIPTION DE FONCTION
IDENTIFIER LES STAKEHOLDERS INTERNES
IDENTIFIER LES RESISTANCES
INFORMER EN INTERNE SUR SON ROLE
CREER UN RESEAU DE "CORRESPONDANTS"
CREER UN SOUTIEN REEL DE LA HIERARCHIE
111
PRÉPARER SA DÉSIGNATION

116. EXEMPLE DE REGISTRE EN EXCEL
MODELE DE FICHE
PROPOSÉ PAR LA CNIL
116

117. Commencer par un POC
117

125. PRIVACY BY DESIGN

128. DPOAAS

129. communication
de crise

130. Résistance au changement
crainte du contrôle
Imposer ou convaincre ?
Positionnement du DPO
atteinte à l’activité économique
Culture d’entreprise et nationale
Besoins du business
les freins

136. SECURITE DE
L’INFORMATION

137. Privacy VS. Security

138. SECURITE
SOURCE DE L’IMAGE: http://www.techzim.co.zw/2010/05/why-organisations-should-worry-about-security-2/

139. Source : https://www.britestream.com/difference.html.

140. 86
La sécurité des données personnelles
est une obligation légale…

141. Where do one steal data?
• Banks
• Hospitals
• Ministries
• Police
• Newspapers
• Telecoms
• ...
Which devices are stolen?
• USB
• Laptops
• Hard disks
• Papers
• Binders
• Cars

144. SOURCE : UWE | 5 juin 2013| @awtbe | André Blavier & Pascal
Poty

146. ISO 27002

148. «ISO 27002 c’est donner des recommandations pour gérer
la sécurité de l’information à l’intention de ceux qui sont
responsables de définir, d’implémenter ou de maintenir la
sécurité dans leur organisation.
Elle est conçue pour constituer une base commune de
développement de normes de sécurité organisationnelle et
de pratiques efficaces de gestion de la sécurité, et pour
introduire un niveau de confiance dans les relations dans
l’entreprise. »

154. Rappel:
ISO est avant tout un recueil de bonnes pratiques
ISO 27002 est le fil rouge de la sécurité de l’information
Pas de proposition de solutions technique
les autres départements sont concernés
Et le DPO dans tout ça?

155. http://jchambon.fr/professionnel/PAF/PME-PMI/s5-diaporama/images/
iso27002.png

157. http://www.randco.fr/img/iso27002.jpg

158. Pour que ca marche ....

159. Elle ne permet pas de définir quelles sont les mesures de sécurité
à mettre en oeuvre en fonction du contexte de l’entreprise. Il y a
trois limites:
1.Il est aberrant d'imaginer qu'il faille mettre en œuvre l'ensemble des
mesures de sécurité décrites dans la norme (pour des questions de coût
et de besoins réels). Il faut démarrer la démarche par une analyse des
enjeux et des risques.
2.Le seconde limite est liée au cycle de normes ISO, en effet une
évolution de norme prend environ 5 ans. Dans le domaine des
technologies de l'information, les menaces potentielles et les mesures
de sécurité liées évoluent plus rapidement que cela.
3.Enfin la troisième limite est son hétérogénéité, certains domaines sont
Les limites d’ISO 27002

160. EXEMPLE
8 Sécurité liée aux ressources humaines
8.1 Avant le recrutement
8.1.1 Rôles et responsabilités
8.1.2 Sélection
8.1.3 Conditions d’embauche
8.2 Pendant la durée du contrat
8.2.1 Responsabilités de la direction
8.2.2 Sensibilisation, qualification et
formations en matière de sécurité de
l’information
8.2.3 Processus disciplinaire
8.3 Fin ou modification de contrat
8.3.1 Responsabilités en fin de contrat
8.3.2 Restitution des biens
8.3.3 Retrait des droits d’accès

161. LE DRH ET SON PC…

163. Les employés partagent des
informations

164. Les consultants
Les sous-traitants
Les auditeurs externes
Les comptables
Le personnel d’entretien
LES CONTRATS OUBLIES

166. On ne sait jamais qui sera derrière le PC
Nécessité que le responsable de sécurité soit informé
Attentions aux changements de profils

167. Vous contrôlez quoi ?

169. CONTRÔLE DES COLLABORATEURS
161
SOURCE DE L’IMAGE: http://blog.loadingdata.nl/2011/05/chinese-privacy-protection-to-top-
american/

170. L’EMPLOYEUR PEUT-IL TOUT CONTROLER?

171. VERS LE CONTREMAÎTRE ELECTRONIQUE
• Contremaître traditionnel
– personne repérable, chargée de contrôler la présence physique du salarié sur son lieu de
travail et en activité
• Contremaître électronique
– chargé du contrôle de la présence physique : les badges d ’accès…
• Contremaître virtuel
– pouvant tout exploiter sans que le salarié en ait toujours conscience et permettant, le cas
échéant, d ’établir le profil professionnel, intellectuel ou psychologique du salarié
➨ Développement des chartes d ’information

172. Les emails
• Ne sont pas de la correspondance
• L’employeur peut-il les ouvrir ?
• Emails privés avec adresse privée ?
• Emails privés avec adresse professionnelle
• Emails professionnels ?
169

173. Usage d’internet
• Que faire en cas d’usage illégal ?
• Crime (pédophilie, etc.) ?
• Racisme, sexisme?
• Atteinte au droit d’auteur?
• Criminalité informatique?
• Espionnage industriel ?
• Concurrence déloyale ? 170

174. Le code de conduite
• Activités illégales
• Activités non autorisées durant certaines heures
• Activités autorisées avec modération
• Différence entre code de conduite et application de la CC 81
171

175. Contrôle des employés : équilibre

176. CC 81
! Principe de finalité
! Principe de proportionnalité
! Information
! Individualisation
! sanctions

177. 3 La sécurité et/ou le fonctionnement technique de l’ensemble
des systèmes informatiques en réseau de l’entreprise, en ce
compris le contrôle des coûts y afférents, ainsi que la
protection physique des installations de l’entreprise
4 Le respect de bonne foi des principes et règles d’utilisation des
technologies en réseau fixés dans l’entreprise
1. Prévention de faits illégaux, de faits contraires aux bonnes
mœurs ou susceptibles de porter atteinte à la dignité d’autrui
2. La protection des intérêts économiques, commerciaux et
financiers de l’entreprise auxquels est attaché un caractère
de confidentialité ainsi que la lutte contre les pratiques
contraires
Les 4 finalités

179. Bref vous ne pouvez pas
accepter d’être
complètement coincé
ou…

180. Sinon votre sécurité ce sera ça…

181. LA PEUR EST
PRESENTE

183. NOUS SOMMES FACE A UN NOUVEAU MONDE QUI CHANGE
RAPIDEMENT
ET QUI NECESSITE QUE NOUS CHANGIONS ENSEMBLE

185. processus complexe
191

188. BONNE CHANCE A TOUS

190. QUESTIONS ?