Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.
GDPR & DPO : contexte des organisations
		Jacques	Folon	
Partner		
Edge	Consulting	
Maître	de	conférences		
Université	de	...
PROGRAMME DE LA FORMATION
Présentation du programme en 6 jours
JOUR 1
Introduction
Le monde change, le contexte de la sécu...
Espérons que votre sécurité
ne ressemble jamais à ceci !
LE MONDE
CHANGE
Bienvenue au XXIème siècle
LE MONDE CHANGE… VITE ET BRUTALEMENT
RIEN DANS CETTE
VIDEO N’EXISTAIT
EN 2007 !
CONTRASTE
Source:	hIp://school.stagnesoLohemia.org/OldClass5.jpg	
1916
Crédit:	h*p://www.gutenberg.org/files/15595/15595-h/images/imagep158.jpg
1916
Crédits:	h*p://www.spacegrant.nau.edu/stargazer/Classroom%20group.JPG
2016
Crédit:	h*p://www.faw.com/Events/images/044-2.jpg
2016
RESISTANCE AU
CHANGEMENT
On ne change
rien !
internet des
objets
today 15 billion connected objects
in 2020 50 billon….
http://java.sys-con.com/node/3261583
Quid des données
personnelles vis à vis d’IOT?
L’ENTREPRISE
CHANGE
CULTURE
D’ENTREPRISE
LA CULTURE D’ENTREPRISE
CADRE DE LA SECURITE DE L’INFORMATION
IL Y A 20 ANS
LA CULTURE NE PEUT PLUS ETRE IDENTIQUE
DES METIERS
DISPARAISSENT
DES
ORGANISATIONS
DISPARAISSENT
Source: http://fr.slideshare.net/briansolis/official-slideshare-for-whats-the-future-of-business
LES MEDIA SOCIAUX
ONT CHANGE NOTRE VIE
ET LES COMPORTEMENTS
DES COLLABORATEURS
this is what 2.0 means
NOUVEAUX
MÉTIERS
DATA ANALYST
CHIEF DATA OFFICER
COMMUNITY MANAGER
RESPONSABLE DE VEILLE
E-CRM MANAGER
USER CENTRIC DESIGNER
PILOTE DE DRON...
LA FORMATION
CHANGE
SERIOUS GAMES
Role du DPO dans le cadre
de la formation ?
LE
RECRUTEMENT
A CHANGE
1980
71
http://img.over-blog.com/600x311/3/35/60/49/Le-Recrutement-2.0.png
2000
72
http://img.over-blog.com/600x311/3/35/60/49/Le-Recrutement-2.0.png
2016
73
http://img.over-blog.com/600x311/3/35/60/49/Le-Recrutement-2.0.png
ORGANIGRAMME
Increasing pressure on 

“traditional” organizations
Formal organization/
Hierarchy
Social organization /
Heterarchy
SOURC...
ERGONOMIE
SOURCE: http://fr.slideshare.net/bradfrostweb/for-a-futurefriendly-web-mobilism-2012
SOURCE: http://fr.slideshare.net/bradfrostweb/for-a-futurefriendly-web-mobilism-2012
COMMANDE
&
CONTROLE
Fin de la gestion par commande et contrôle ?
SOURCE: www.entrepriseglobale.biz Jean-Yves Huwart

MANAGEMENT BY OBJECTIVES
LA FIN DU SILO
Communication transversale,
IAM et need to have !!!
BRING YOUR
OWN DEVICE
ACATAWAD!
http://fr.slideshare.net/MicrosoftEntrepreneurs/rdi105-byod-resister-ou-embrasser?qid=d1192010-03b1-49ee-a555-ab31c4e7a1cd...
DIGITAL
GENERATION
http://sandstormdigital.com/2012/11/08/understanding-digital-natives/
GESTION DES
CONNAISSANCES
h*p://fr.slideshare.net/brainopera/seducLon-of-the-swarm
h*p://fr.slideshare.net/brainopera/seducLon-of-the-swarm
Source	de	l’image:	h*p://agiledudes.com/wp-content/uploads/brain-transfer.jpg
LES
ORGANISATIONS
CHANGENT …
VITE
CHOC DE
VALEURS
Les valeurs
ET LA SECURITÉ ?
IMPORTANCE DES COMPORTEMENTS POUR
ILLUSTRER LES VALEURS
RESEAUX
SOCIAUX
INTERNES
http://fr.slideshare.net/BusinessGoesSocial/why-enterprise-social-networks-fail-part-one?qid=916adb6a-2ddf-4771-87f1-11582...
SECURITE DE
L’INFORMATION
Privacy VS. Security
SECURITE
SOURCE DE L’IMAGE: http://www.techzim.co.zw/2010/05/why-organisations-should-worry-about-security-2/
Source : https://www.britestream.com/difference.html.
86
La sécurité des données personnelles
est une obligation légale…
Where do one steal data?
• Banks
• Hospitals
• Ministries
• Police
• Newspapers
• Telecoms
• ...
Which devices are stolen?...
LE MAILLON FAIBLE
SOURCE	:	UWE	|	5	juin	2013|	@awtbe	|	André	Blavier	&	Pascal	
Poty
ISO 27002
«ISO 27002 c’est donner des recommandations pour gérer
la sécurité de l’information à l’intention de ceux qui sont
respons...
Rappel:
ISO est avant tout un recueil de bonnes pratiques
ISO 27002 est le fil rouge de la sécurité de l’information
Pas de...
http://jchambon.fr/professionnel/PAF/PME-PMI/s5-diaporama/images/
iso27002.png
http://www.randco.fr/img/iso27002.jpg
Pour que ca marche ....
Elle ne permet pas de définir quelles sont les mesures de sécurité
à mettre en oeuvre en fonction du contexte de l’entrepr...
EXEMPLE
8 Sécurité liée aux ressources humaines        

    8.1 Avant le recrutement    

        8.1.1 Rôles et responsa...
LE DRH ET SON PC…
Les employés partagent des
informations
Les consultants
Les sous-traitants
Les auditeurs externes
Les comptables
Le personnel d’entretien
LES CONTRATS OUBLIES
On ne sait jamais qui sera derrière le PC
Nécessité que le responsable de sécurité soit informé
Attentions aux changements...
GDPR
CONTEXTE
GDPR
GDPR
TO DO
En	quoi	le	GDPR	va	influencer	la	vie	des	entreprises	
	des	citoyens	et	des	consommateurs
132
A.CONTEXTE
B.QUELQUES DEFINITIONS
C.LES 12 GRANDS PRINCIPES
D.LES CONSEQUENCES DU GDPR
E.METHODOLOGIE
F.Q & A
A : CONTEXTE
133
En deux mots…
134
• Le GDPR est un règlement européen
concernant la protection des données
personnelles
• Il s'impose aux ...
135
MAY 2018
B : QUELQUES DEFINITIONS…
136
UNE DONNÉE PERSONNELLE ?
137
toute information se rapportant à une personne physique identifiée ou
identifiable (ci-après ...
TRAITEMENT DE DONNEES
138
. toute opération ou tout ensemble d'opérations effectuées ou non à
l'aide de procédés automatis...
RESPONSABLE DE TRAITEMENT
139
. la personne physique ou morale, l'autorité publique, le service
ou un autre organisme qui,...
SOUS-TRAITANT
140
. la personne physique ou morale, l'autorité publique, le
service ou un autre organisme qui traite des d...
VIOLATION DE DONNEES
141
une violation de la sécurité entraînant, de manière accidentelle
ou illicite, la destruction, la ...
C : Les 12 grands principes du GDPR
142
1. Responsabilité	-	«	accountability	»	
2. Droit	du	citoyen	et	du	collaborateur	(R...
1/ ACCOUNTABILITY
143
2/ DROIT DE LA PERSONNE
144
TRANSPARENCE
INFORMATIONS LORS DE LA COLLECTE
DROIT D'ACCES
DROIT DE RECTIFICATION
DROIT A L'E...
3/ PRIVACY BY DESIGN
145
4/SECURITE DE L'INFORMATION
146
5/ NOTIFICATION DES VOLS/PERTES
147
6/ SANCTIONS
148
7/ IAM (GESTION DES ACCÈS)
149
8/ LICEITE
150
9/ REGISTRE DES TRAITEMENTS
151
10/ ANALYSE DE RISQUES /PIA
152
11/ FORMATIONS
153
12/ DATA PRIVACY OFFICER
154
D : LES CONSEQUENCES DU GDPR
155
MODIFICATION DE L'ORGANISATION
156
Degré de maturité de la plupart des organisations aujourd’hui
157
3/10
• Prise de conscience et de connaissance du GDPR
• ...
Deux approches possibles
158
• Irréaliste d’être conforme à 100%
• Incertain (que va-t-on découvrir?)
Viser la Mise en Con...
E : METHODOLOGIE
159
Méthodologie Mise en Conformité
(ET AUSSI POUR LES CLIENTS DU CIRB)
160
METHODOLOGIE
1. Evaluation Préalable
2. Identifica...
Plan d’implémentation type
161
Jun Jul Aoû Sep Oct Nov Dec Jan Fév Mar Avr May Jun
Gestion de Projet
Démarrage Projet
Gest...
Résistance au changement
crainte du contrôle
Imposer ou convaincre ?
Positionnement du DPO
atteinte à l’activité économiqu...
Vous contrôlez quoi ?
CONTRÔLE DES COLLABORATEURS
161
SOURCE DE L’IMAGE: http://blog.loadingdata.nl/2011/05/chinese-privacy-protection-to-top-
a...
L’EMPLOYEUR PEUT-IL TOUT CONTROLER?
VERS LE CONTREMAÎTRE ELECTRONIQUE
• Contremaître traditionnel
– personne repérable, chargée de contrôler la présence physi...
Les emails
• Ne sont pas de la correspondance
• L’employeur peut-il les ouvrir ?
• Emails privés avec adresse privée ?
• E...
Usage d’internet
• Que faire en cas d’usage illégal ?
• Crime (pédophilie, etc.) ?
• Racisme, sexisme?
• Atteinte au droit...
Le code de conduite
• Activités illégales
• Activités non autorisées durant certaines heures
• Activités autorisées avec m...
Contrôle des employés : équilibre
CC 81
! Principe de finalité
! Principe de proportionnalité
! Information
! Individualisation
! sanctions



3 La sécurité et/ou le fonctionnement technique de l’ensemble
des systèmes informatiques en réseau de l’entreprise, en ce
...
Bref vous ne pouvez pas
accepter d’être
complètement coincé
ou…
Sinon votre sécurité ce sera ça…
LA PEUR EST
PRESENTE
NOUS SOMMES FACE A UN NOUVEAU MONDE QUI CHANGE
RAPIDEMENT
ET QUI NECESSITE QUE NOUS CHANGIONS ENSEMBLE
processus complexe
191
BONNE CHANCE A TOUS
190
Introduction au GDPR
Introduction au GDPR
Introduction au GDPR
Introduction au GDPR
Introduction au GDPR
Introduction au GDPR
Introduction au GDPR
Introduction au GDPR
Introduction au GDPR
Introduction au GDPR
Introduction au GDPR
Introduction au GDPR
Introduction au GDPR
Introduction au GDPR
Introduction au GDPR
Introduction au GDPR
Introduction au GDPR
Introduction au GDPR
Introduction au GDPR
Introduction au GDPR
Introduction au GDPR
Introduction au GDPR
Introduction au GDPR
Introduction au GDPR
Introduction au GDPR
Introduction au GDPR
Introduction au GDPR
Introduction au GDPR
Introduction au GDPR
Introduction au GDPR
Introduction au GDPR
Introduction au GDPR
Introduction au GDPR
Introduction au GDPR
Introduction au GDPR
Introduction au GDPR
Introduction au GDPR
Introduction au GDPR
Introduction au GDPR
Introduction au GDPR
Introduction au GDPR
Introduction au GDPR
Introduction au GDPR
Introduction au GDPR
Introduction au GDPR
Introduction au GDPR
Introduction au GDPR
Introduction au GDPR
Introduction au GDPR
Introduction au GDPR
Introduction au GDPR
Introduction au GDPR
Introduction au GDPR
Introduction au GDPR
Prochain SlideShare
Chargement dans…5
×

Introduction au GDPR

256 vues

Publié le

Cours donné à Ichec Formation Continue en octobre 2017

Publié dans : Formation
  • Soyez le premier à commenter

Introduction au GDPR

  1. 1. GDPR & DPO : contexte des organisations Jacques Folon Partner Edge Consulting Maître de conférences Université de Liège Professeur ICHEC Professeur invité Université de Lorraine (Metz) Visiting professor ESC Rennes School of Business
  2. 2. PROGRAMME DE LA FORMATION Présentation du programme en 6 jours JOUR 1 Introduction Le monde change, le contexte de la sécurité en entreprise La sécurité ISO 27002 Principes de base du GDPRE
  3. 3. Espérons que votre sécurité ne ressemble jamais à ceci !
  4. 4. LE MONDE CHANGE
  5. 5. Bienvenue au XXIème siècle
  6. 6. LE MONDE CHANGE… VITE ET BRUTALEMENT
  7. 7. RIEN DANS CETTE VIDEO N’EXISTAIT EN 2007 !
  8. 8. CONTRASTE
  9. 9. Source: hIp://school.stagnesoLohemia.org/OldClass5.jpg 1916
  10. 10. Crédit: h*p://www.gutenberg.org/files/15595/15595-h/images/imagep158.jpg 1916
  11. 11. Crédits: h*p://www.spacegrant.nau.edu/stargazer/Classroom%20group.JPG 2016
  12. 12. Crédit: h*p://www.faw.com/Events/images/044-2.jpg 2016
  13. 13. RESISTANCE AU CHANGEMENT
  14. 14. On ne change rien !
  15. 15. internet des objets
  16. 16. today 15 billion connected objects in 2020 50 billon….
  17. 17. http://java.sys-con.com/node/3261583
  18. 18. Quid des données personnelles vis à vis d’IOT?
  19. 19. L’ENTREPRISE CHANGE
  20. 20. CULTURE D’ENTREPRISE
  21. 21. LA CULTURE D’ENTREPRISE CADRE DE LA SECURITE DE L’INFORMATION
  22. 22. IL Y A 20 ANS
  23. 23. LA CULTURE NE PEUT PLUS ETRE IDENTIQUE
  24. 24. DES METIERS DISPARAISSENT
  25. 25. DES ORGANISATIONS DISPARAISSENT
  26. 26. Source: http://fr.slideshare.net/briansolis/official-slideshare-for-whats-the-future-of-business
  27. 27. LES MEDIA SOCIAUX ONT CHANGE NOTRE VIE ET LES COMPORTEMENTS DES COLLABORATEURS
  28. 28. this is what 2.0 means
  29. 29. NOUVEAUX MÉTIERS
  30. 30. DATA ANALYST CHIEF DATA OFFICER COMMUNITY MANAGER RESPONSABLE DE VEILLE E-CRM MANAGER USER CENTRIC DESIGNER PILOTE DE DRONE RESPONSABLE MODELISATION … DPO
  31. 31. LA FORMATION CHANGE
  32. 32. SERIOUS GAMES
  33. 33. Role du DPO dans le cadre de la formation ?
  34. 34. LE RECRUTEMENT A CHANGE
  35. 35. 1980 71 http://img.over-blog.com/600x311/3/35/60/49/Le-Recrutement-2.0.png
  36. 36. 2000 72 http://img.over-blog.com/600x311/3/35/60/49/Le-Recrutement-2.0.png
  37. 37. 2016 73 http://img.over-blog.com/600x311/3/35/60/49/Le-Recrutement-2.0.png
  38. 38. ORGANIGRAMME
  39. 39. Increasing pressure on 
 “traditional” organizations Formal organization/ Hierarchy Social organization / Heterarchy SOURCE: http://fr.slideshare.net/eteigland/building-the-networked-innovative-organization? from_search=14 ou est le DPO?
  40. 40. ERGONOMIE
  41. 41. SOURCE: http://fr.slideshare.net/bradfrostweb/for-a-futurefriendly-web-mobilism-2012
  42. 42. SOURCE: http://fr.slideshare.net/bradfrostweb/for-a-futurefriendly-web-mobilism-2012
  43. 43. COMMANDE & CONTROLE
  44. 44. Fin de la gestion par commande et contrôle ? SOURCE: www.entrepriseglobale.biz Jean-Yves Huwart

  45. 45. MANAGEMENT BY OBJECTIVES
  46. 46. LA FIN DU SILO
  47. 47. Communication transversale, IAM et need to have !!!
  48. 48. BRING YOUR OWN DEVICE
  49. 49. ACATAWAD!
  50. 50. http://fr.slideshare.net/MicrosoftEntrepreneurs/rdi105-byod-resister-ou-embrasser?qid=d1192010-03b1-49ee-a555-ab31c4e7a1cd&v=default&b=&from_search=4
  51. 51. DIGITAL GENERATION
  52. 52. http://sandstormdigital.com/2012/11/08/understanding-digital-natives/
  53. 53. GESTION DES CONNAISSANCES
  54. 54. h*p://fr.slideshare.net/brainopera/seducLon-of-the-swarm
  55. 55. h*p://fr.slideshare.net/brainopera/seducLon-of-the-swarm
  56. 56. Source de l’image: h*p://agiledudes.com/wp-content/uploads/brain-transfer.jpg
  57. 57. LES ORGANISATIONS CHANGENT … VITE
  58. 58. CHOC DE VALEURS
  59. 59. Les valeurs
  60. 60. ET LA SECURITÉ ?
  61. 61. IMPORTANCE DES COMPORTEMENTS POUR ILLUSTRER LES VALEURS
  62. 62. RESEAUX SOCIAUX INTERNES
  63. 63. http://fr.slideshare.net/BusinessGoesSocial/why-enterprise-social-networks-fail-part-one?qid=916adb6a-2ddf-4771-87f1-11582e9cc43a&v=&b=&from_search=1
  64. 64. SECURITE DE L’INFORMATION
  65. 65. Privacy VS. Security
  66. 66. SECURITE SOURCE DE L’IMAGE: http://www.techzim.co.zw/2010/05/why-organisations-should-worry-about-security-2/
  67. 67. Source : https://www.britestream.com/difference.html.
  68. 68. 86 La sécurité des données personnelles est une obligation légale…
  69. 69. Where do one steal data? • Banks • Hospitals • Ministries • Police • Newspapers • Telecoms • ... Which devices are stolen? • USB • Laptops • Hard disks • Papers • Binders • Cars
  70. 70. LE MAILLON FAIBLE
  71. 71. SOURCE : UWE | 5 juin 2013| @awtbe | André Blavier & Pascal Poty
  72. 72. ISO 27002
  73. 73. «ISO 27002 c’est donner des recommandations pour gérer la sécurité de l’information à l’intention de ceux qui sont responsables de définir, d’implémenter ou de maintenir la sécurité dans leur organisation. Elle est conçue pour constituer une base commune de développement de normes de sécurité organisationnelle et de pratiques efficaces de gestion de la sécurité, et pour introduire un niveau de confiance dans les relations dans l’entreprise. »
  74. 74. Rappel: ISO est avant tout un recueil de bonnes pratiques ISO 27002 est le fil rouge de la sécurité de l’information Pas de proposition de solutions technique les autres départements sont concernés Et le DPO dans tout ça?
  75. 75. http://jchambon.fr/professionnel/PAF/PME-PMI/s5-diaporama/images/ iso27002.png
  76. 76. http://www.randco.fr/img/iso27002.jpg
  77. 77. Pour que ca marche ....
  78. 78. Elle ne permet pas de définir quelles sont les mesures de sécurité à mettre en oeuvre en fonction du contexte de l’entreprise. Il y a trois limites: 1.Il est aberrant d'imaginer qu'il faille mettre en œuvre l'ensemble des mesures de sécurité décrites dans la norme (pour des questions de coût et de besoins réels). Il faut démarrer la démarche par une analyse des enjeux et des risques. 2.Le seconde limite est liée au cycle de normes ISO, en effet une évolution de norme prend environ 5 ans. Dans le domaine des technologies de l'information, les menaces potentielles et les mesures de sécurité liées évoluent plus rapidement que cela. 3.Enfin la troisième limite est son hétérogénéité, certains domaines sont Les limites d’ISO 27002
  79. 79. EXEMPLE 8 Sécurité liée aux ressources humaines        
     8.1 Avant le recrutement    
         8.1.1 Rôles et responsabilités
         8.1.2 Sélection
         8.1.3 Conditions d’embauche
     8.2 Pendant la durée du contrat    
         8.2.1 Responsabilités de la direction
         8.2.2 Sensibilisation, qualification et formations en matière de sécurité de l’information
         8.2.3 Processus disciplinaire
     8.3 Fin ou modification de contrat    
         8.3.1 Responsabilités en fin de contrat
         8.3.2 Restitution des biens
         8.3.3 Retrait des droits d’accès
  80. 80. LE DRH ET SON PC…
  81. 81. Les employés partagent des informations
  82. 82. Les consultants Les sous-traitants Les auditeurs externes Les comptables Le personnel d’entretien LES CONTRATS OUBLIES
  83. 83. On ne sait jamais qui sera derrière le PC Nécessité que le responsable de sécurité soit informé Attentions aux changements de profils
  84. 84. GDPR
  85. 85. CONTEXTE
  86. 86. GDPR
  87. 87. GDPR
  88. 88. TO DO
  89. 89. En quoi le GDPR va influencer la vie des entreprises des citoyens et des consommateurs
  90. 90. 132 A.CONTEXTE B.QUELQUES DEFINITIONS C.LES 12 GRANDS PRINCIPES D.LES CONSEQUENCES DU GDPR E.METHODOLOGIE F.Q & A
  91. 91. A : CONTEXTE 133
  92. 92. En deux mots… 134 • Le GDPR est un règlement européen concernant la protection des données personnelles • Il s'impose aux entreprises et au secteur public
  93. 93. 135 MAY 2018
  94. 94. B : QUELQUES DEFINITIONS… 136
  95. 95. UNE DONNÉE PERSONNELLE ? 137 toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle
  96. 96. TRAITEMENT DE DONNEES 138 . toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utili sation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction; 

  97. 97. RESPONSABLE DE TRAITEMENT 139 . la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre; 

  98. 98. SOUS-TRAITANT 140 . la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement; 

  99. 99. VIOLATION DE DONNEES 141 une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données; CONSÉQUENCES: NOTIFICATION PUBLIQUE !!
  100. 100. C : Les 12 grands principes du GDPR 142 1. Responsabilité - « accountability » 2. Droit du citoyen et du collaborateur (RH) 3. Privacy by design 4. Sécurité des données 5. Notification des vols/pertes de données 6. Sanctions importantes 7. Gestion des accès aux données (IAM) 8. Licéité des traitements (réglementation ou consentement) 9. Registre des traitements 10.Analyse de risques et PIA 11.Formation 12.Data privacy officer
  101. 101. 1/ ACCOUNTABILITY 143
  102. 102. 2/ DROIT DE LA PERSONNE 144 TRANSPARENCE INFORMATIONS LORS DE LA COLLECTE DROIT D'ACCES DROIT DE RECTIFICATION DROIT A L'EFFACEMENT DROIT A LA LIMITATION DU TRAITEMENT PORTABILITE DROIT D'OPPOSITION AU PROFILAGE
  103. 103. 3/ PRIVACY BY DESIGN 145
  104. 104. 4/SECURITE DE L'INFORMATION 146
  105. 105. 5/ NOTIFICATION DES VOLS/PERTES 147
  106. 106. 6/ SANCTIONS 148
  107. 107. 7/ IAM (GESTION DES ACCÈS) 149
  108. 108. 8/ LICEITE 150
  109. 109. 9/ REGISTRE DES TRAITEMENTS 151
  110. 110. 10/ ANALYSE DE RISQUES /PIA 152
  111. 111. 11/ FORMATIONS 153
  112. 112. 12/ DATA PRIVACY OFFICER 154
  113. 113. D : LES CONSEQUENCES DU GDPR 155
  114. 114. MODIFICATION DE L'ORGANISATION 156
  115. 115. Degré de maturité de la plupart des organisations aujourd’hui 157 3/10 • Prise de conscience et de connaissance du GDPR • Plan de Mise en Conformité au GDPR? • Désignation d’un DPO? • Sécurité de l’Information conforme aux normes ISO 2700X? • Formation du Personnel? • Registre des Traitements des données personnelles? • Analyse de Risques? • Privacy Impact Assessments? • Conformité aux règles d’Archivage Digital? • Restriction des accès aux données personnelles? • Procédures de Réponse aux data subjects? • Procédure de Communication en matière de Data Breach? • Adaptation des Contrats des sous-traitants? • Adaptation des Contrats clients? • Démontrer la conformité? • …
  116. 116. Deux approches possibles 158 • Irréaliste d’être conforme à 100% • Incertain (que va-t-on découvrir?) Viser la Mise en Conformité Totale Se concentrer sur le respect des Principes Clé • Sensibiliser • Convaincre • Faire percoler dans toute l'organisation • Mitiger les risques principaux ✓ Approche pragmatique ✓ Rythme soutenable
  117. 117. E : METHODOLOGIE 159
  118. 118. Méthodologie Mise en Conformité (ET AUSSI POUR LES CLIENTS DU CIRB) 160 METHODOLOGIE 1. Evaluation Préalable 2. Identification des Domaines à Risque 3. Inventaire des Applications et Services 4. Registre des Traitements 5. Plan d’Action de Mise en Œuvre 6. Mise en Conformité Administrative et Organisationnelle 7. Résolution des Non-conformités 8. Installation des Processus Continus 9. Programme de Formation Permanente Préparation Implémentation Pérennisation
  119. 119. Plan d’implémentation type 161 Jun Jul Aoû Sep Oct Nov Dec Jan Fév Mar Avr May Jun Gestion de Projet Démarrage Projet Gestion du Changement Sensibilisation du Personnel Formation GDPR pour les Personnes Critiques Mise en Conformité Préparation Evaluation Préalable Identification des Domaines à Risque Inventaire des Applications et Services Implémentation Registre des Traitements Plan d’Action de Mise en Œuvre Mise en Conformité Administrative et Organisationnelle Résolution des Non-conformités Pérennisation Installation des Processus Continus Programme de Formation Permanente Data Privacy Officer Mise en place du DPO et gestion par le DPO
  120. 120. Résistance au changement crainte du contrôle Imposer ou convaincre ? Positionnement du DPO atteinte à l’activité économique Culture d’entreprise et nationale Besoins du business les freins
  121. 121. Vous contrôlez quoi ?
  122. 122. CONTRÔLE DES COLLABORATEURS 161 SOURCE DE L’IMAGE: http://blog.loadingdata.nl/2011/05/chinese-privacy-protection-to-top- american/
  123. 123. L’EMPLOYEUR PEUT-IL TOUT CONTROLER?
  124. 124. VERS LE CONTREMAÎTRE ELECTRONIQUE • Contremaître traditionnel – personne repérable, chargée de contrôler la présence physique du salarié sur son lieu de travail et en activité • Contremaître électronique – chargé du contrôle de la présence physique : les badges d ’accès… • Contremaître virtuel – pouvant tout exploiter sans que le salarié en ait toujours conscience et permettant, le cas échéant, d ’établir le profil professionnel, intellectuel ou psychologique du salarié ➨ Développement des chartes d ’information
  125. 125. Les emails • Ne sont pas de la correspondance • L’employeur peut-il les ouvrir ? • Emails privés avec adresse privée ? • Emails privés avec adresse professionnelle • Emails professionnels ? 169
  126. 126. Usage d’internet • Que faire en cas d’usage illégal ? • Crime (pédophilie, etc.) ? • Racisme, sexisme? • Atteinte au droit d’auteur? • Criminalité informatique? • Espionnage industriel ? • Concurrence déloyale ? 170
  127. 127. Le code de conduite • Activités illégales • Activités non autorisées durant certaines heures • Activités autorisées avec modération • Différence entre code de conduite et application de la CC 81 171
  128. 128. Contrôle des employés : équilibre
  129. 129. CC 81 ! Principe de finalité ! Principe de proportionnalité ! Information ! Individualisation ! sanctions
 

  130. 130. 3 La sécurité et/ou le fonctionnement technique de l’ensemble des systèmes informatiques en réseau de l’entreprise, en ce compris le contrôle des coûts y afférents, ainsi que la protection physique des installations de l’entreprise 4 Le respect de bonne foi des principes et règles d’utilisation des technologies en réseau fixés dans l’entreprise 1. Prévention de faits illégaux, de faits contraires aux bonnes mœurs ou susceptibles de porter atteinte à la dignité d’autrui 2. La protection des intérêts économiques, commerciaux et financiers de l’entreprise auxquels est attaché un caractère de confidentialité ainsi que la lutte contre les pratiques contraires Les 4 finalités
  131. 131. Bref vous ne pouvez pas accepter d’être complètement coincé ou…
  132. 132. Sinon votre sécurité ce sera ça…
  133. 133. LA PEUR EST PRESENTE
  134. 134. NOUS SOMMES FACE A UN NOUVEAU MONDE QUI CHANGE RAPIDEMENT ET QUI NECESSITE QUE NOUS CHANGIONS ENSEMBLE
  135. 135. processus complexe 191
  136. 136. BONNE CHANCE A TOUS
  137. 137. 190

×