Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.

Le dossier RGPD

242 vues

Publié le

Formation donnée aux DPO de CPAS à Charleroi en septembre 2020

Publié dans : Formation
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Le dossier RGPD

  1. 1. GRAPHICBULB 2 Jacques Folon, Ph.D. Professor Data Privacy Officer GDPR Director CEO jacques.folon@ichec.belinkedin.com/in/folon Trafic, Ichec, JPCR, Reflex, CMI,… SPF Finances, Police fédérale, CIRB, L’Oréal, Province de Hainaut,…
  2. 2. DROIT informatique gestion RGPD
  3. 3. Question existentielle ! Qu’est-ce qui fait partie du RGPD et n’est pas concerné par la sécurité de l’information ? Qu’est-ce qui fait partie de la sécurité de l’information et n’est pas concerné par le RGPD?
  4. 4. Un petit résumé ? TERRITORIALSCOPE Non-EUEstablishedOrganizations Offer goods or ser vices or engaging in monitoring within the EU. PERSONALDATA SENSITIVEDATA ENFORCEMENT LAWFULPROCESSING CONSENT RESPONSIBILITIESOFDATACONTROLLERSANDPROCESSORS RIGHTSOFDATASUBJECTS Transparency Purpose Specificationand Minimization Access and Rectification Automated Decision- Making Rightto Data Portability Rightto Erasure DATABREACHNOTIFICATION DataProtection Officer (DPO) Data Protectionby Design INTERNATIONALDATATRANSFER DataImpact Assessment Recordof Data ProcessingActivities THEPLAYERS Data Subjects DataControllers Data Processors Supervisory Authorities Identified Identifiable Racial or EthnicOrigin Religious or Philosophical Beliefs Health Trade Union Membership Sex Life Political Opinions Biometric Data Genetic Data “Right not to be subject to a decision basedsolely on automatedprocessing, including profiling.” Apersonal databreachis “abr each of security leading to the accidental or unlawful destr uction,loss,alter ation, unauthorized disclosure of,or access to,personal datatransmitted,storedor otherwise processed.” Collection and processing of per sonal datamust be for “specified,explicit and legitimate purposes” – withconsent of datasubject or necessar y for Consent must be freely given,specific, infor med,and unambiguous. Model Contractual Clauses Privacy Shield Binding Corporate Rules (BCRs) Adequate Level of DataProtection If likely to result in ahighprivacy r isk notify datasubjects Notify super visory authorities no later than 72hour s after discovery. Upto 20 million euros or 4%of total annual worldwide turnover . Less serious violations: Upto 10million euros or 2%of total annual worldwide turnover. EUEstablishments Maintain adocumented r egister of all activities involving processing of EU per sonal data. built in starting at the beginning of the design process Designate DPOif core activity involves r egular monitoring or processing large quantities of per sonal data.. For highr isk situations www.teachpr iv acy.com GDPR Workforce awareness trainingbyProf.Daniel J.Solove • performance of a contr act • compliance with alegal obligation • to pr otect aperson’s vital interests • taskin the public interest • legitimate inter ests Effective Judicial Remedies: compensation for mater ial and non-material harm. Fines Security Please askpermissionto reuse or distribute
  5. 5. Exercice introductif Imaginez que l’APD vous annonce sa visite suite à une plainte. Comment et que préparez-
  6. 6. Vous devez être capable de démontrer que vous êtes en règle par rapport au RGPD
  7. 7. Il n’existe pas de certification GDPR NI DPO
  8. 8. Il n’existe pas de certification GDPR NI DPO
  9. 9. 1. Le but: le dossier GDPR 2. DPO or not DPO? 3. Les décisions de la direction 4. La partie visible d’abord 5. La partie risquée d’abord 6. Je ne veux pas être sous-traitant 7. Les DB existantes 8. Les droits des personnes 9. Les mesures techniques 10. Les mesures organisationnelles 11. Les RH 12. Les DPIA 13. Le registre 14. Le Dossier RGPD
  10. 10. But à atteindre • avoir un dossier complet • Obligation de moyen • La sécurité de l’information en fait partie • Et la compliance est comprise dans ISO27002
  11. 11. Principe de transparence ! Le dossier RGPD ne sera jamais fini !
  12. 12. 1. Le but: le dossier GDPR 2. DPO or not DPO? 3. Les décisions de la direction 4. La partie visible d’abord 5. La partie risquée d’abord 6. Je ne veux pas être sous-traitant 7. Les DB existantes 8. Les droits des personnes 9. Les mesures techniques 10. Les mesures organisationnelles 11. Les RH 12. Les DPIA 13. Le registre 14. Le Dossier RGPD
  13. 13. Jacques Folon - 2019
  14. 14. Les autres rôles et fonctions 1 0 - 0 9 - 2 0 ROLE RGPD INFOSEC CONSEIL DPO CONSEIL => DPO (RN) OPÉRATIONNEL CHEF DE PROJET RSSI
  15. 15. • Soutien de la direction • Description de fonction • Certification ? • Plan d’actions • Chef de projet • Correspondants RGPD • Avis et recommandations à la direction • Rapport annuel (Analyse-bilan-plan)
  16. 16. LE GDPR CA PEUT ETRE POSITIF MEILLEURE CONNAISSANCE DES PROCESSUS INTERNES
  17. 17. 1. Le but: le dossier GDPR 2. DPO or not DPO? 3. Les décisions de la direction 4. La partie visible d’abord 5. La partie risquée d’abord 6. Je ne veux pas être sous-traitant 7. Les DB existantes 8. Les droits des personnes 9. Les mesures techniques 10. Les mesures organisationnelles 11. Les RH 12. Les DPIA 13. Le registre 14. Le Dossier RGPD
  18. 18. • Le DPO ne décide pas ! • QUID DU RSSI? • Décisions à prendre • Acter les décisions • Quid en cas de désaccord? • Exemples de décisions
  19. 19. 1. Le but: le dossier GDPR 2. DPO or not DPO? 3. Les décisions de la direction 4. La partie visible d’abord 5. La partie risquée d’abord 6. Je ne veux pas être sous-traitant 7. Les DB existantes 8. Les droits des personnes 9. Les mesures techniques 10. Les mesures organisationnelles 11. Les RH 12. Les DPIA 13. Le registre 14. Le Dossier RGPD
  20. 20. • Le site Internet • Double opt-in • Conservation des accords (contrat, consentement) • Cookies • Marketing digital • La collecte des données papier • Bulletins d’inscriptions • Privacy policies (plusieurs !!!) • Collaboration DPO – ICT – RSSI nécessaire
  21. 21. CONSENTEMENT ET PREUVE NOT ONLY CONTRAT INTÉRÊT LÉGITIME CONSENTEMENT
  22. 22. 1. Le but: le dossier GDPR 2. DPO or not DPO? 3. Les décisions de la direction 4. La partie visible d’abord 5. La partie risquée d’abord 6. Je ne veux pas être sous-traitant 7. Les DB existantes 8. Les droits des personnes 9. Les mesures techniques 10. Les mesures organisationnelles 11. Les RH 12. Les DPIA 13. Le registre 14. Le Dossier RGPD
  23. 23. • Données sensibles • RH • Secrets d’affaires • Identifier les départements à risques • On commence par sécuriser les worst case • Procédure en cas de
  24. 24. 1. Le but: le dossier GDPR 2. DPO or not DPO? 3. Les décisions de la direction 4. La partie visible d’abord 5. La partie risquée d’abord 6. Je ne veux pas être sous-traitant 7. Les DB existantes 8. Les droits des personnes 9. Les mesures techniques 10. Les mesures organisationnelles 11. Les RH 12. Les DPIA 13. Le registre 14. Le Dossier RGPD
  25. 25. • Vous avez des sous- traitants ? • Audit (gratuite ou payante) • Sous-traitants • Données • Finalités • DPIA • Si pas d’accords quant au statut? • Vous êtes sous-traitant?
  26. 26. 1. Le but: le dossier GDPR 2. DPO or not DPO? 3. Les décisions de la direction 4. La partie visible d’abord 5. La partie risquée d’abord 6. Je ne veux pas être sous-traitant 7. Les DB existantes 8. Les droits des personnes 9. Les mesures techniques 10. Les mesures organisationnelles 11. Les RH 12. Les DPIA 13. Le registre 14. Le Dossier RGPD
  27. 27. • Inventaire • Responsable (pour droit d’accès) • Shadow IT • Mise en conformité • Quantité vs qualité • Que met-on dans le dossier
  28. 28. 1. Le but: le dossier GDPR 2. DPO or not DPO? 3. Les décisions de la direction 4. La partie visible d’abord 5. La partie risquée d’abord 6. Je ne veux pas être sous-traitant 7. Les DB existantes 8. Les droits des personnes 9. Les mesures techniques 10. Les mesures organisationnelles 11. Les RH 12. Les DPIA 13. Le registre 14. Le Dossier RGPD
  29. 29. 1 0 - 0 9 - 2 0
  30. 30. Imaginez une demande Que fait-on ? Qui contacter? Comment répondre? Qui répond? Est-on certain de répondre en un mois?
  31. 31. PROTÉGEZ LES DONNÉES DE VOS CLIENTS ET MONTREZ LEUR QUE VOUS LE FAITES 3 8 TRANSPARENCE INFORMATIONS LORS DE LA COLLECTE DROIT D'ACCES DROIT DE RECTIFICATION DROIT A L'EFFACEMENT DROIT A LA LIMITATION DU TRAITEMENT PORTABILITE DROIT D'OPPOSITION AU PROFILAGE
  32. 32. 1. Le but: le dossier GDPR 2. DPO or not DPO? 3. Les décisions de la direction 4. La partie visible d’abord 5. La partie risquée d’abord 6. Je ne veux pas être sous-traitant 7. Les DB existantes 8. Les droits des personnes 9. Les mesures techniques 10. Les mesures organisationnelles 11. Les RH 12. Les DPIA 13. Le registre 14. Le Dossier RGPD
  33. 33. • Certification? • Plan de sécurité? • Analyse de risques • Il faut une référence • Voir DPIA CNIL • Déclaration vs. Réalité • IAM ?
  34. 34. 5 Politiques de sécurité de l’information 6 Organisation de la sécurité de l’information 7 La sécurité des ressources humaines 8 Gestion des actifs 9 Contrôle d’accès 10 Cryptographie 11 Sécurité physique et environnementale 12 Sécurité liée à l’exploitation 13 Sécurité des communications56 14 Acquisition, développement et maintenance des systèmes d’information 15 Relations avec les fournisseurs 72 16 Gestion des incidents liés à la sécurité de l’information 17 Aspects de la sécurité de l’information dans la gestion de la continuité de l’activité 18 Conformité Normes ISO 27002
  35. 35. • Norme ISO 27001 et 27002 concernant les systèmes de management de la sécurité de l’information • Norme ISO 29100 (Privacy Framework) • Norme ISO 29134 sur les DPIA • Norme ISO 29151 sur les bonnes pratiques en matière de vie privée • Norme ISO 27018 sur les données personnelles et le cloud public • Norme ISO 29191 sur la cryptographie • Norme ISO 20889 sur les techniques d’anonymisation • Le guide Afnor sur la protection des données et les normes volontaires • Plusieurs documents concernent la protection des données au sein du Toolkit réalisé par l’ISO 27K Forum • Mapping between GDPR and ISO 27K qui met en relation les articles du RGPD avec la norme ISO 27002 • Le mapping entre la norme 27552 et le GDPR (annexe C de la norme 27552) • Mapping entre norme ISO 27552 et ISO 29100 (annexe D de la norme ISO 27552 • Mapping entre la norme ISO 27552, 27018 et 29151 (annexe E de la norme ISO 27552) • Il ne faudra pas négliger d’effectuer une veille concernant les évolutions des normes et codes of practices réalisés dans le cadre de l’ISO. A titre d’exemple, un certain nombre de travaux sont en cours et seront publiés postérieurement : • ISO/IEC 27555 — Information technology — Security techniques — Establishing a PII deletion concept in organizations • ISO/IEC AWI 27556 Information technology -- User-centric framework for the handling of personally identifiable information (PII) based on privacy preferences • ISO 31700: concernera le privacy by design des produits et services au • Les autres normes ISO et documents utiles
  36. 36. Les trois éléments de la gouvernance • Politique de sécurité • Plan de sécurité • Mesures de securité 1 0 - 0 9 - 2 0
  37. 37. Exemples • https://cirb.brussels/fr/fichiers/gouvernance- protection-des-donnees • https://www.autoriteprotectiondonnees.be/sites/p rivacycommission/files/documents/Richtsnoeren_ CBPL_V%202%200%20FR_TRA.pdf • https://www.ssi.gouv.fr/guide/pssi-guide- delaboration-de-politiques-de-securite-des- systemes-dinformation/ Gouvernance de la sécurité 1 0 - 0 9 - 2 0
  38. 38. PRIVACY BY DESIGN MEANS THINK PRIVACY FIRST !
  39. 39. • Privacy by design? • Il faut documenter ! • Comment faire? • Comment le démontrer? • Comment convaincre les développeurs?
  40. 40. PRIVACY BY DESIGN ??
  41. 41. NO THERE ARE SOME BENEFITS
  42. 42. WHAT DOES IT MEANS ? IT IS FROM THE START TO THE END OF THE PROCESS
  43. 43. BUT DON'T FORGET… IT'S AN ITERATIVE PROCESS
  44. 44. DATA QUALITY IS ESSENTIAL
  45. 45. INFORMATION LIFECYCLE
  46. 46. Look at the entire data lifecycle
  47. 47. 1.CREATE OR
  48. 48. BALANCE TEST NEEDED
  49. 49. PRIVACY POLICY OR REGULATION OR …
  50. 50. CONSENT & EVIDENCES
  51. 51. No proven consent or regulation means…
  52. 52. SENSITIVE DATA IF THENOR
  53. 53. PRIVACY IMPACT ASSESMENT
  54. 54. 2.STORE • SECURITY • ENCRYPTION • AUTHENTICATION • AVAILABILITY • CONFIDENTIALITY • IAM
  55. 55. 3. USE
  56. 56. 4. SHARE
  57. 57. 4. SHARE
  58. 58. 5.ARCHIVE
  59. 59. 6. DESTROY
  60. 60. Final tips
  61. 61. Final tips
  62. 62. Some IBM advices
  63. 63. Customer identity
  64. 64. SSO + IAM
  65. 65. Encryption + in transit encryption !
  66. 66. Mobile device management
  67. 67. Processors & subcontractors
  68. 68. Monitor discrepancies
  69. 69. Could you detect data leaks?
  70. 70. Limit retention
  71. 71. Last words
  72. 72. Identity Access Management (GESTION DES ACCÈS) 8 1
  73. 73. 8 2 Quelles sont les questions à se poser?? • Les personnes sont-elles ce qu’elles disent être?? • Sont-elles des membres réels de notre communauté ? • Ont-elles reçu les autorisations nécessaires ? • Le respect de leurs données personnelles est-il mis en place?
  74. 74. 8 3 Exemples de questions • Quel mot type de mot de passe donner? • Quelles sont les activités autorisées? • Quelles sont les activités interdites? • A quelle catégorie de personne cette nouvelle identité doit-elle être attachée? • A quel moment du processus d’entrée les autorisations doivent- elles être données? • Quelles modalités de contrôle sont mises en place?
  75. 75. 1. Le but: le dossier GDPR 2. DPO or not DPO? 3. Les décisions de la direction 4. La partie visible d’abord 5. La partie risquée d’abord 6. Je ne veux pas être sous-traitant 7. Les DB existantes 8. Les droits des personnes 9. Les mesures techniques 10. Les mesures organisationnelles 11. Les RH 12. Les DPIA 13. Le registre 14. Le Dossier RGPD
  76. 76. LE MAILLON FAIBLE…
  77. 77. • Il y en a aussi dans la 27002 • Inventaire physique • RH • Formation • Charte informatique • Clauses de confidentialité • CC 81
  78. 78. COMMUNICATION DE CRISE 8 7
  79. 79. • le registre des incidents les décisions de la direction les raisons des choix les transferts à l’APD Le non transfert les droits d’accès …
  80. 80. 1. Le but: le dossier GDPR 2. DPO or not DPO? 3. Les décisions de la direction 4. La partie visible d’abord 5. La partie risquée d’abord 6. Je ne veux pas être sous-traitant 7. Les DB existantes 8. Les droits des personnes 9. Les mesures techniques 10. Les mesures organisationnelles 11. Les RH 12. Les DPIA 13. Le registre 14. Le Dossier RGPD
  81. 81. • Un bon partenaire • Principe de transparence • CC 81 • Clauses de confidentialité • Charte informatique • Quid des syndicats? • Données sensibles
  82. 82. 1. Le but: le dossier GDPR 2. DPO or not DPO? 3. Les décisions de la direction 4. La partie visible d’abord 5. La partie risquée d’abord 6. Je ne veux pas être sous-traitant 7. Les DB existantes 8. Les droits des personnes 9. Les mesures techniques 10. Les mesures organisationnelles 11. Les RH 12. Les DPIA 13. Le registre 14. Le Dossier RGPD
  83. 83. • Outil de la CNIL • Comment faire? • Qui autour de la table? • On commence par quoi? • Actualisation?
  84. 84. 1. Le but: le dossier GDPR 2. DPO or not DPO? 3. Les décisions de la direction 4. La partie visible d’abord 5. La partie risquée d’abord 6. Je ne veux pas être sous-traitant 7. Les DB existantes 8. Les droits des personnes 9. Les mesures techniques 10. Les mesures organisationnelles 11. Les RH 12. Les DPIA 13. Le registre 14. Le Dossier RGPD
  85. 85. 9/ REGISTRE DES TRAITEMENTS 9 4
  86. 86. • Quel format choisir? • Comment faire? • Anticiper les simultanéités • Log de non-conformité • Méthode de classement • Il faut retrouver les preuves!
  87. 87. 1. Le but: le dossier GDPR 2. DPO or not DPO? 3. Les décisions de la direction 4. La partie visible d’abord 5. La partie risquée d’abord 6. Je ne veux pas être sous-traitant 7. Les DB existantes 8. Les droits des personnes 9. Les mesures techniques 10. Les mesures organisationnelles 11. Les RH 12. Les DPIA 13. Le registre 14. Le Dossier RGPD
  88. 88. PRINCIPALE TÂCHE DO-CU-MEN-TA-TION
  89. 89. 99 COMMENT DÉMONTRER QU’ON EST EN RÈGLE? COMMENT RASSURER SES CLIENTS
  90. 90. Exemple gdprfolder.eu
  91. 91. https://gdprfolder.eu © 2018 GDPRFOLDER.EU SPRL All Rights Reserved. 02 03 04 05 01 NOUVELLES LOIS NATIONALES JURISPRUDENCE NATIONALE ET EUROPÉENNE NOUVELLES PROCÉDURES ADLINISTRATIVES RECOMMANDATIONS DES AUTORITÉS DE PROTECTION DES DONNÉES NOUVELLES DIRECTIVES EUROPÉENNES Mises à jour permanentes Le GDPR n’en finit pas d’évoluer !
  92. 92. JUST DO IT

×