Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.

Gdpr

476 vues

Publié le

conférence donnée pour le diplôme en rh d'ichec formation continue

Publié dans : Formation
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Gdpr

  1. 1. Une tempête dans un verre d'eau? ou un opportunité ?
  2. 2. Jacques Folon, Ph.D. Partner & GDPR Director Edge Consulting Professeur ICHEC Me. de Conf. Université de Liège Prof. inv. Université Saint Louis Keynote speaker Derniers livres Le GDPR et la vie privée en questions? (sortie prévue : 25 mai 2018) Le printemps numérique Internet et vie privée, faut-il avoir peur? jacques.folon@edge-consulting.biz linkedin.com/in/folon + 32 475 98 21 15LA PRESENTATION EST A VOTRE DISPOSITION EN CC SUR WWW.SLIDESHARE.NET/FOLON
  3. 3. Commençons par vous rassurer
  4. 4. RASSUREZ-VOUS ! VOUS N'ETES PAS EN RETARD PAR RAPPORT AU GDPR. VOUS AVEZ 25 ANS DE RETARD PAR RAPPORT À LA LOI DE 1992 !!!
  5. 5. LE GDPR LA RUEE VERS L'OR DE CONSULTANTS, D'AVOCATS, DE SPECIALISTES EN SECURITE,… ATTENTION AUX "CERTIFICATION GDPR" ELLES N'EXISTENT PAS (ENCORE)
  6. 6. 6 A.LE GDPR CA FAIT PEUR B.LE GDPR C'EST (PAS BEAUCOUP)DU DROIT C.LE GDPR C'EST COMPLIQUE D.COMMENT ON FAIT? E.LE GDPR CA PEUT ETRE POSITIF F.CONTEXTE DU GDPR G.RAPPEL : QUELQUES DEFINITIONS H.LES 12 GRANDS PRINCIPES >< MARKETING I.Q & A
  7. 7. A. LE GDPR CA FAIT PEUR
  8. 8. A. LE GDPR CA FAIT PEUR
  9. 9. A. LE GDPR CA FAIT PEUR
  10. 10. B. LE GDPR C'EST (PAS BEAUCOUP) DU DROIT DROIT CONTRAT SOUS-TRAITANTS PRIVACY POLICIES RH (CONFIDENTIALITÉ-CODE DE CONDUITE) INFORMATIQUE PRIVACY BY DESIGN/DEFAULT SECURITE DE L'INFORMATION IAM CODE DE CONDUITE ICT DOCUMENTATION DES PROGRAMMES DROIT D'ACCES DROIT A L'OUBLI CC81 ORGANISATION ANALYSE DE RISQUES ARCHIVAGE DIGITAL GESTION DE PROJET CHANGE MANAGEMENT REGISTRE DE TRAITEMENT COMMUNICATION DE CRISE (DATA BREACH) FORMATION
  11. 11. C. LE GDPR C'EST COMPLIQUE ! "REGULATIONSSSSS" !
  12. 12. C.LE GDPR C'EST COMPLIQUE !
  13. 13. C. LE GDPR C'EST COMPLIQUE ! ON COMMENCE PAR QUOI ?
  14. 14. D.Comment on fait? UNE MÉTHODO QUI A FAIT SES PREUVES
  15. 15. COMMENT ON FAIT?
  16. 16. E.LE GDPR CA PEUT ETRE POSITIF MEILLEURE CONNAISSANCE DES PROCESSUS INTERNES
  17. 17. E. LE GDPR CA PEUT ETRE POSITIF INTÉRÊT LEGITIME ?
  18. 18. INTÉRÊT LEGITIME ? CONSIDÉRANT 47 . Les intérêts légitimes d'un responsable du traitement, y compris ceux d'un responsable du traitement à qui les données à caractère personnel peuvent être communiquées, ou d'un tiers peuvent constituer une base juridique pour le traitement, à moins que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent, compte tenu des attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable du traitement. Un tel intérêt légitime pourrait, par exemple, exister lorsqu'il existe une relation pertinente et appropriée entre la personne concernée et le responsable du traitement dans des situations telles que celles où la personne concernée est un client du responsable du traitement ou est à son service. En tout état de cause, l'existence d'un intérêt légitime devrait faire l'objet d'une évaluation attentive, notamment afin de déterminer si une personne concernée peut raisonnablement s'attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l'objet d'un traitement à une fin donnée. Les intérêts et droits fondamentaux de la personne concernée pourraient, en particulier, prévaloir sur l'intérêt du responsable du traitement lorsque des données à caractère personnel sont traitées dans des circonstances où les personnes concernées ne s'attendent raisonnablement pas à un traitement ultérieur. 

  19. 19. E. LE GDPR CA PEUT ETRE POSITIF POUR VÉRIFIER LA LÉGALITÉ DES PROCESS
  20. 20. F. CONTEXTE 21
  21. 21. Data breaches
  22. 22. Disastrous data breaches
  23. 23. So it is a real threat !
  24. 24. En deux mots… 27 • Le GDPR est un règlement européen concernant la protection des données personnelles • Il s'impose aux entreprises et au secteur public
  25. 25. 28 MAY 2018
  26. 26. G. RAPPEL QUELQUES DEFINITIONS… 29
  27. 27. UNE DONNÉE PERSONNELLE ? 30 toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle
  28. 28. TRAITEMENT DE DONNEES 31 . toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utili sation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction; 

  29. 29. RESPONSABLE DE TRAITEMENT 32 . la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre; 

  30. 30. SOUS-TRAITANT 33 . la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement; 

  31. 31. VIOLATION DE DONNEES 34 une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données; CONSÉQUENCES: NOTIFICATION PUBLIQUE !!
  32. 32. H. Les 12 grands principes du GDPR 35 1. Responsabilité - « accountability » 2. Droit de la personne concernée (client, employé, citoyen) 3. Privacy by design 4. Sécurité des données 5. Notification des vols/pertes de données 6. Sanctions importantes 7. Gestion des accès aux données (IAM) 8. Licéité des traitements (réglementation ou consentement) 9. Registre des traitements 10.Analyse de risques et PIA 11.Formation 12.Data privacy officer
  33. 33. 1/ ACCOUNTABILITY 36
  34. 34. ACCOUNTABILITY ?
  35. 35. PRINCIPALE TÂCHE DO-CU-MEN-TA-TION
  36. 36. EN PRATIQUE: L'APD débarque suite à une plainte, une dénonciation, d'un consommateur, d'un concurrent… Que faites-vous? Que pouvez-vous leur montrer? Qu'avez-vous préparé? Comment se préparer? Quel type de plainte? Quid vol de données? … c'est ça l'accountability
  37. 37. 2. DROIT DE LA PERSONNE CONCERNEE
  38. 38. 2/ DROIT DE LA PERSONNE 43 TRANSPARENCE INFORMATIONS LORS DE LA COLLECTE DROIT D'ACCES DROIT DE RECTIFICATION DROIT A L'EFFACEMENT DROIT A LA LIMITATION DU TRAITEMENT PORTABILITE DROIT D'OPPOSITION AU PROFILAGE
  39. 39. RIGHT TO ACCESS
  40. 40. Ca a l'air simple… Droits d'accès à… tout Depuis longtemps Dans toutes les bases de données Preuve du consentement De tout ce qui dépend du RDT Imaginez un ministère, un annonceur multi-marques et donc nécessité de programmes de détection de développement ou pas… analyse de risques
  41. 41. DROIT A L'OUBLI, VRAIMENT ?
  42. 42. 3/ PRIVACY BY DESIGN 47
  43. 43. INFORMATION LIFECYCLE
  44. 44. Look at the entire data lifecycle
  45. 45. 1.CREATE OR
  46. 46. BALANCE TEST NEEDED
  47. 47. PRIVACY POLICY OR REGULATION OR …
  48. 48. CONSENT & EVIDENCES
  49. 49. SENSITIVE DATA IF THENOR
  50. 50. 2.STORE • SECURITY • ENCRYPTION • AUTHENTICATION • AVAILABILITY • CONFIDENTIALITY • IAM
  51. 51. 3. USE
  52. 52. 4. SHARE
  53. 53. 4. SHARE
  54. 54. 5.ARCHIVE
  55. 55. 6. DESTROY
  56. 56. 4/SECURITE DE L'INFORMATION 61
  57. 57. Mesures techniques et organisationnelles
  58. 58. What are the threats?
  59. 59. DON'T FORGET THE HUMAN
  60. 60. Concrètement ca veut dire quoi?
  61. 61. ÊTES VOUS CAPABLE D'IDENTIFIER LES FUITES ?
  62. 62. Ne pas oublier Plan de sécurité de l'information Archivage Destruction des données ISO 2700X audit de sécurité Test de pénétration, …
  63. 63. 5/ NOTIFICATION DES VOLS/PERTES 68
  64. 64. Préparer la communication de crise 1/ dans quels cas doit-on prévenir l'APD? 2/ Si on prévient l'APD et après?
  65. 65. 6/ SANCTIONS 70
  66. 66. 7/ Identity Access Management (GESTION DES ACCÈS) 71
  67. 67. GESTION DES PROFILS NEED TO HAVE ACCESS !! La question qui tue: puis-je voir votre procédure de gestion des profils et la documentation quant aux besoins d'accès?
  68. 68. 8/ LICEITE 73 8.1 LA LEGISLATION (SECTEUR PUBLIC)
  69. 69. 8. LICEITE 8.2 CONSENTEMENT (ET PREUVE)
  70. 70. Consentement pour quelle finalité ? Privacy policy? Preuve du consentement?
  71. 71. Consentement - B2B - Intérêt légitime
  72. 72. Cookies
  73. 73. VOUS AVEZ UNE BASE DE DONNEES MAIS POUVEZ-VOUS PROUVER QUE VOUS AVEZ LES CONSENTEMENTS?
  74. 74. DONNEES PUBLIQUES ?
  75. 75. 9/ REGISTRE DES TRAITEMENTS 80
  76. 76. UNE FICHE BIEN UTILE NOM ET COORDONNEES DU RESPONSABLE DE TRAITEMENT FINALITES DU TRAITEMENT CATÉGORIES DE PERSONNES CONCERNEES CATEGORIE DE DESTINATAIRES PAYS TIERS DELAIS D'EFFACEMENT MESURES DE SECURITE TECHNIQUES ET ORGANISATIONELLES
  77. 77. MÉTHODOLOGIE Proof Of Concept RDT ou SST ? Attention=> log de non conformité lien vers les consentement, les décisions, les sources Le registre sert à se défendre !
  78. 78. 10/ ANALYSE DE RISQUES /PIA 83
  79. 79. Quand ? Utile même si pas indispensable Permet de se poser les bonnes questions Bon sens
  80. 80. 11/ FORMATIONS 85
  81. 81. Différents types de formation Pas (encore) de formation "certifiante" Sensibilisation de la direction (1h00) Formation de base du personnel (2h00) Quelques formation externes plus approfondies 3/5 jours Technofutur 6 jours ICHEC Formation continue Un an Infosafe/Datasafe (ICHEC-UNAMUR-CRIDS) … Formation pour registre (1/2 jour) Formation privacy by design (1 jour) Formation DPO/chef de projet GDPR
  82. 82. 12/ DATA PRIVACY OFFICER 87
  83. 83. 4 fonctions différentes !! GDPR Sécurité de l’information Conseil Data Privacy Officer (DPO) Information Security Advisor (ISA) Mise en œuvre Chef de projet GDPR ou correspondant GDPR dans les divers départements Responsable de la sécurité des systèmes d’information (RSSI)
  84. 84. Indépendance rapporter à >< hiérarchie description de fonction conflit d'intérêt interne ou DPOaaS mutualisation
  85. 85. DELIVRABLE : LE DOSSIER GDPR • REGISTRE DE TRAITEMENT • PLAN DE SECURITE • POLITIQUE D'ARCHIVAGE • IAM • DECISIONS PRISES • CONTRATS SOUS-TRAITANCE • FORMATIONS • BEST PRACTICES INTERNES • CC 81 • Possibilité de le réaliser online
  86. 86. Final tips
  87. 87. Final tips
  88. 88. Conclusion
  89. 89. Last words
  90. 90. Vous devez le faire…
  91. 91. CONCLUSION
  92. 92. 97
  93. 93. SOURCES • https://www.slideshare.net/TrishMcGinity/csa-privacy-by-design-amp-gdpr-austin-chambers-11417? qid=b15cffa4-6e24-40ca-8c3b-7230dd1cae30&v=&b=&from_search=1# • https://www.slideshare.net/mactvdp/training-privacy-by-design?qid=c5022dbe-afbd-4905- aba4-1a92b1382de1&v=&b=&from_search=3 • `https://ico.org.uk/for-organisations/guide-to-data-protection/privacy-by-design/ • https://www.bdb-law.co.uk/blogs/no-blogs/conducting-a-privacy-impact-assessment-the-what-the-why-and-the- how/ • https://www.slideshare.net/DragonBe/privacy-by-design-82454527?qid=2ba69b5e-bf28-40f4-b1ec- fc8328355fec&v=&b=&from_search=4 • https://www.slideshare.net/markieturbo/advantages-of-privacy-by-design-in-ioe?qid=f2e5fc34-f946-4fd4-bace- c3fc244a8b7e&v=&b=&from_search=8 • https://www.slideshare.net/feyeleanor/dont-ask-dont-tell-the-virtues-of-privacy-by-design?qid=1b0459a2- a969-467b-947d-6a0e3304f432&v=&b=&from_search=14 • https://www.slideshare.net/kristyngreenwood/privacy-by-design-white-papaer?qid=1b0459a2- a969-467b-947d-6a0e3304f432&v=&b=&from_search=17

×