Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.

GDPR DAY ONE Ichec

147 vues

Publié le

Cours donné à l'ichec formation continue en septembre 2018

Publié dans : Formation
  • Soyez le premier à commenter

GDPR DAY ONE Ichec

  1. 1. Trois choses avant de commencer ! Jacques Folon, Ph.D. Partner & GDPR Director Edge Consulting DPO Professeur ICHEC Me. de Conf. Université de Liège Prof. inv. Université Saint Louis Keynote speaker Derniers livres publiés 50 nuances de liberté Le printemps numérique Internet et vie privée, faut-il avoir peur? jacques.folon@ichec.be linkedin.com/in/folon + 32 475 98 21 15
  2. 2. 1 le contexte du GDPR
  3. 3. 2 Etre cer3fié GDPR ?
  4. 4. 3. Une applica3on en cadeau de bienvenue CADEAU https://gdprfolder.eu
  5. 5. Commençons par vous rassurer
  6. 6. RASSUREZ-VOUS ! VOUS N'ETES PAS EN RETARD PAR RAPPORT AU GDPR. VOUS AVEZ 25 ANS DE RETARD PAR RAPPORT À LA LOI DE 1992 !!!
  7. 7. LE GDPR LA RUEE VERS L'OR DE CONSULTANTS, D'AVOCATS, DE SPECIALISTES EN SECURITE,… ATTENTION AUX "CERTIFICATION GDPR" ELLES N'EXISTENT PAS (ENCORE)
  8. 8. !9 A.LE GDPR CA FAIT PEUR B.LE GDPR C'EST (PAS BEAUCOUP) DU DROIT C.LE GDPR C'EST COMPLIQUE D.LE GDPR CA PEUT ETRE POSITIF E.CONTEXTE DU GDPR F.LES 12 GRANDS PRINCIPES G.CONCLUSION: LE DOSSIER GDPR
  9. 9. A. LE GDPR CA FAIT PEUR
  10. 10. A. LE GDPR CA FAIT PEUR: class action possible
  11. 11. A. LE GDPR CA FAIT PEUR
  12. 12. B. LE GDPR C'EST (PAS BEAUCOUP) DU DROIT DROIT CONTRAT SOUS-TRAITANTS PRIVACY POLICIES RH (CONFIDENTIALITÉ-CODE DE CONDUITE) INFORMATIQUE PRIVACY BY DESIGN/DEFAULT SECURITE DE L'INFORMATION IAM CODE DE CONDUITE ICT DOCUMENTATION DES PROGRAMMES DROIT D'ACCES DROIT A L'OUBLI CC81 ORGANISATION ANALYSE DE RISQUES ARCHIVAGE DIGITAL GESTION DE PROJET CHANGE MANAGEMENT REGISTRE DE TRAITEMENT COMMUNICATION DE CRISE (DATA BREACH) FORMATION
  13. 13. CODES DE CONDUITES ET CERTIFICATIONS !14
  14. 14. C. LE GDPR C'EST COMPLIQUÉ ! "RÉGLEMENTATIONSSSSS" !
  15. 15. C.LE GDPR C'EST COMPLIQUE !
  16. 16. C. LE GDPR C'EST COMPLIQUE ! ON COMMENCE PAR QUOI ? 1/ANALYSE PRÉALABLE 2/PLAN D'ACTIONS DE MISE EN CONFORMITÉ
  17. 17. D.LE GDPR CA PEUT ETRE POSITIF BONNE CONNAISSANCE DES PROCESSUS INTERNES
  18. 18. E. LE GDPR CA PEUT ETRE POSITIF POUR VÉRIFIER LA LÉGALITÉ DES PROCESS
  19. 19. E. CONTEXTE !20
  20. 20. VOLS & PERTES DE DONNÉES
  21. 21. VOLS & PERTES DE DONNÉES
  22. 22. C'EST UNE VRAIE MENACE !
  23. 23. Objectif du GDPR
  24. 24. territoire concerné
  25. 25. En deux mots… !27 • Le GDPR est un règlement européen concernant la protection des données personnelles • Il s'impose aux entreprises et au secteur public
  26. 26. !28 MAY 2018
  27. 27. G. RAPPEL QUELQUES DEFINITIONS… !29
  28. 28. UNE DONNÉE PERSONNELLE ? !30 toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle
  29. 29. TRAITEMENT DE DONNEES !31 . toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utili- sation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction; 

  30. 30. RESPONSABLE DE TRAITEMENT !32 . la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre; 

  31. 31. SOUS-TRAITANT !33 . la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement; 

  32. 32. VIOLATION DE DONNEES !34 une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données; CONSÉQUENCES: NOTIFICATION PUBLIQUE !!
  33. 33. F. Les 12 grands principes du GDPR !35 1. Responsabilité - « accountability » 2. Droit de la personne concernée (client, employé, citoyen) 3. Privacy by design 4. Sécurité des données 5. Notification des vols/pertes de données 6. Sanctions importantes 7. Gestion des accès aux données (IAM) 8. Licéité des traitements (réglementation ou consentement) 9. Registre des traitements 10.Analyse de risques et PIA 11.Formation 12.Data privacy officer
  34. 34. 1/ RESPONSABILITÉ !36
  35. 35. RESPONSABILITÉ
  36. 36. PRINCIPALE TÂCHE DO-CU-MEN-TA-TION
  37. 37. 2. DROIT DE LA PERSONNE CONCERNEE
  38. 38. 2/ DROIT DE LA PERSONNE !41 TRANSPARENCE INFORMATIONS LORS DE LA COLLECTE DROIT D'ACCES DROIT DE RECTIFICATION DROIT A L'EFFACEMENT DROIT A LA LIMITATION DU TRAITEMENT PORTABILITE DROIT D'OPPOSITION AU PROFILAGE
  39. 39. Ca a l'air simple… Droits d'accès à… tout Depuis longtemps Dans toutes les bases de données Preuve du consentement De tout ce qui dépend du RDT Imaginez un ministère, un annonceur multi-marques et donc nécessité de programmes de détection de développement ou pas… analyse de risques
  40. 40. DROIT A L'OUBLI, VRAIMENT ?
  41. 41. PRIVACY POLICY OR REGULATION OR …
  42. 42. INFORMATIONS A FOURNIR (1) !45
  43. 43. INFORMATIONS A FOURNIR (2) !46
  44. 44. INFORMATIONS A FOURNIR (3) !47
  45. 45. INFORMATIONS A FOURNIR (4) !48
  46. 46. INFORMATIONS A FOURNIR (5) !49
  47. 47. INFORMATIONS A FOURNIR (6) !50
  48. 48. CONSENTEMENT !51 «consentement» de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement; NB: IL FAUT GARDER LA PREUVE DU CONSENTEMENT
  49. 49. Un clic et c'est un contrat attention vous devez garder la preuve du contrat QQ principes des T&C on line
  50. 50. Le seul lecteur important est le juge !
  51. 51. Trouver le bon conseiller pour vos Conditions générales de vente et privacy policy !
  52. 52. 3/ PRIVACY BY DESIGN !57
  53. 53. Ca a l'air simple… Droits d'accès à… tout Depuis longtemps Dans toutes les bases de données Preuve du consentement De tout ce qui dépend du RDT Imaginez un ministère, un annonceur multi-marques et donc nécessité de programmes de détection de développement ou pas… analyse de risques
  54. 54. INFORMATION LIFECYCLE
  55. 55. Look at the entire data lifecycle
  56. 56. 1.CREATE OR
  57. 57. BALANCE TEST NEEDED
  58. 58. PRIVACY POLICY OR REGULATION OR …
  59. 59. CONSENT & EVIDENCES
  60. 60. SENSITIVE DATA IF THENOR
  61. 61. 2.STORE • SECURITY • ENCRYPTION • AUTHENTICATION • AVAILABILITY • CONFIDENTIALITY • IAM
  62. 62. 3. USE
  63. 63. 4. SHARE
  64. 64. 4. SHARE
  65. 65. 5.ARCHIVE
  66. 66. 6. DESTROY
  67. 67. 4/SECURITE DE L'INFORMATION !72
  68. 68. LE MAILLON FAIBLE…
  69. 69. LE MAILLON FAIBLE
  70. 70. SECURITE SOURCE DE L’IMAGE: http://www.techzim.co.zw/2010/05/why-organisations-should-worry-about- security-2/
  71. 71. Source : https://www.britestream.com/difference.html.
  72. 72. QUELLES SONT LES MENACES?
  73. 73. ÊTES VOUS CAPABLE D'IDENTIFIER LES FUITES ?
  74. 74. Ne pas oublier Plan de sécurité de l'information Archivage Destruction des données ISO 2700X audit de sécurité Test de pénétration, …
  75. 75. 86 La sécurité des données personnelles est une obligation légale…
  76. 76. 5/ NOTIFICATION DES VOLS/PERTES !82
  77. 77. Préparer la communication de crise 1/ dans quels cas doit-on prévenir l'APD? 2/ Si on prévient l'APD et après?
  78. 78. 6/ SANCTIONS !84
  79. 79. 7/ Identity Access Management (GESTION DES ACCÈS) !85
  80. 80. GESTION DES PROFILS NEED TO HAVE ACCESS !! La question qui tue: puis-je voir votre procédure de gestion des profils et la documentation quant aux besoins d'accès?
  81. 81. 8. LICEITE CONSENTEMENT (ET PREUVE)
  82. 82. Consentement pour quelle finalité ? Privacy policy? Preuve du consentement?
  83. 83. Cookies
  84. 84. VOUS AVEZ UNE BASE DE DONNEES MAIS POUVEZ-VOUS PROUVER QUE VOUS AVEZ LES CONSENTEMENTS?
  85. 85. 9/ REGISTRE DES TRAITEMENTS !91
  86. 86. REGISTRE DES TRAITEMENTS !92
  87. 87. UNE FICHE BIEN UTILE NOM ET COORDONNEES DU RESPONSABLE DE TRAITEMENT FINALITES DU TRAITEMENT CATÉGORIES DE PERSONNES CONCERNEES CATEGORIE DE DESTINATAIRES PAYS TIERS DELAIS D'EFFACEMENT MESURES DE SECURITE TECHNIQUES ET ORGANISATIONELLES
  88. 88. MÉTHODOLOGIE Proof Of Concept RDT ou SST ? Attention=> log de non conformité lien vers les consentement, les décisions, les sources Le registre sert à se défendre !
  89. 89. 10/ ANALYSE DE RISQUES /PIA !96
  90. 90. 11/ FORMATIONS !97
  91. 91. 12/ DATA PRIVACY OFFICER !99
  92. 92. 4 missions différentes !! GDPR Sécurité de l’information Conseil Data Privacy Officer (DPO) Information Security Advisor (ISA) Mise en œuvre Chef de projet GDPR ou correspondant GDPR dans les divers départements Responsable de la sécurité des systèmes d’information (RSSI)
  93. 93. DELIVRABLE : LE DOSSIER GDPR • REGISTRE DE TRAITEMENT • PLAN DE SECURITE • POLITIQUE D'ARCHIVAGE • IAM • DECISIONS PRISES • CONTRATS SOUS-TRAITANCE • FORMATIONS • BEST PRACTICES INTERNES • CC 81
  94. 94. ARBORESCENCE DU QUESTIONNAIRE
  95. 95. CONCLUSION
  96. 96. BONNE CHANCE A TOUS
  97. 97. !107
  98. 98. SOURCES • https://www.slideshare.net/TrishMcGinity/csa-privacy-by-design-amp-gdpr-austin-chambers-11417? qid=b15cffa4-6e24-40ca-8c3b-7230dd1cae30&v=&b=&from_search=1# • https://www.slideshare.net/mactvdp/training-privacy-by-design?qid=c5022dbe-afbd-4905- aba4-1a92b1382de1&v=&b=&from_search=3 • `https://ico.org.uk/for-organisations/guide-to-data-protection/privacy-by-design/ • https://www.bdb-law.co.uk/blogs/no-blogs/conducting-a-privacy-impact-assessment-the-what-the-why-and-the- how/ • https://www.slideshare.net/DragonBe/privacy-by-design-82454527?qid=2ba69b5e-bf28-40f4-b1ec- fc8328355fec&v=&b=&from_search=4 • https://www.slideshare.net/markieturbo/advantages-of-privacy-by-design-in-ioe?qid=f2e5fc34-f946-4fd4-bace- c3fc244a8b7e&v=&b=&from_search=8 • https://www.slideshare.net/feyeleanor/dont-ask-dont-tell-the-virtues-of-privacy-by-design?qid=1b0459a2- a969-467b-947d-6a0e3304f432&v=&b=&from_search=14 • https://www.slideshare.net/kristyngreenwood/privacy-by-design-white-papaer?qid=1b0459a2- a969-467b-947d-6a0e3304f432&v=&b=&from_search=17 •

×