Conférence donnée pour Technofutur et FEWEB en janvier 2018

1. LE GDPR VA-T-IL TUER LE MARKETING DIGITAL?

2. Jacques Folon, Ph.D.
Partner & GDPR Director
Edge Consulting
Professeur ICHEC
Me. de Conf. Université de Liège
Prof. inv. Université Saint Louis
Keynote speaker
Derniers livres
Le GDPR et la vie privée en questions? (sortie
prévue : 25 mai 2018)
Le printemps numérique
Internet et vie privée, faut-il avoir peur?
jacques.folon@edge-consulting.biz
linkedin.com/in/folon
+ 32 475 98 21 15LA PRESENTATION EST A VOTRE
DISPOSITION EN CC SUR
WWW.SLIDESHARE.NET/FOLON

3. Commençons
par vous
rassurer

4. RASSUREZ-VOUS !
VOUS N'ETES PAS EN RETARD
PAR RAPPORT AU GDPR.
VOUS AVEZ 25 ANS DE
RETARD PAR RAPPORT À LA
LOI DE 1992 !!!

5. LE GDPR
LA RUEE VERS L'OR DE CONSULTANTS,
D'AVOCATS, DE SPECIALISTES EN SECURITE,…
ATTENTION AUX
"CERTIFICATION GDPR"
ELLES N'EXISTENT PAS (ENCORE)

6. 6
A.LE GDPR CA FAIT PEUR
B.LE GDPR C'EST (PAS BEAUCOUP)DU DROIT
C.LE GDPR C'EST COMPLIQUE
D.COMMENT ON FAIT?
E.LE GDPR CA PEUT ETRE POSITIF
F.CONTEXTE DU GDPR
G.RAPPEL : QUELQUES DEFINITIONS
H.LES 12 GRANDS PRINCIPES >< MARKETING
I.Q & A

7. A. LE GDPR CA FAIT PEUR

8. A. LE GDPR CA FAIT PEUR

9. A. LE GDPR CA FAIT PEUR

11. B. LE GDPR C'EST (PAS BEAUCOUP) DU DROIT
DROIT
CONTRAT SOUS-TRAITANTS
PRIVACY POLICIES
RH (CONFIDENTIALITÉ-CODE DE CONDUITE)
INFORMATIQUE
PRIVACY BY DESIGN/DEFAULT
SECURITE DE L'INFORMATION
IAM
CODE DE CONDUITE ICT
DOCUMENTATION DES PROGRAMMES
DROIT D'ACCES
DROIT A L'OUBLI
CC81
ORGANISATION
ANALYSE DE RISQUES
ARCHIVAGE DIGITAL
GESTION DE PROJET
CHANGE MANAGEMENT
REGISTRE DE TRAITEMENT
COMMUNICATION DE CRISE (DATA BREACH)
FORMATION

12. C. LE GDPR C'EST COMPLIQUE !
"REGULATIONSSSSS" !

13. C.LE GDPR C'EST COMPLIQUE !

14. C. LE GDPR C'EST COMPLIQUE !
ON COMMENCE PAR QUOI ?

15. D.Comment on fait?
UNE MÉTHODO QUI A FAIT SES PREUVES

16. COMMENT ON FAIT?

17. E.LE GDPR CA PEUT ETRE POSITIF
MEILLEURE CONNAISSANCE
DES PROCESSUS INTERNES

18. E. LE GDPR CA PEUT ETRE POSITIF
INTÉRÊT LEGITIME ?

19. INTÉRÊT LEGITIME ?
CONSIDÉRANT 47 .
Les intérêts légitimes d'un responsable du traitement, y compris ceux d'un
responsable du traitement à qui les données à caractère personnel peuvent être
communiquées, ou d'un tiers peuvent constituer une base juridique pour le
traitement, à moins que les intérêts ou les libertés et droits fondamentaux de la
personne concernée ne prévalent, compte tenu des attentes raisonnables des
personnes concernées fondées sur leur relation avec le responsable du
traitement. Un tel intérêt légitime pourrait, par exemple, exister lorsqu'il existe une
relation pertinente et appropriée entre la personne concernée et le responsable du
traitement dans des situations telles que celles où la personne concernée est un
client du responsable du traitement ou est à son service.
En tout état de cause, l'existence d'un intérêt légitime devrait faire l'objet d'une
évaluation attentive, notamment afin de déterminer si une personne concernée peut
raisonnablement s'attendre, au moment et dans le cadre de la collecte des
données à caractère personnel, à ce que celles-ci fassent l'objet d'un traitement à
une fin donnée.
Les intérêts et droits fondamentaux de la personne concernée pourraient, en
particulier, prévaloir sur l'intérêt du responsable du traitement lorsque des données à
caractère personnel sont traitées dans des circonstances où les personnes
concernées ne s'attendent raisonnablement pas à un traitement ultérieur.

20. E. LE GDPR CA PEUT ETRE POSITIF
POUR
VÉRIFIER LA LÉGALITÉ DU MARKETING

21. F. CONTEXTE
21

24. Data breaches

25. Disastrous data breaches

26. So it is a real threat !

27. En deux mots…
27
• Le GDPR est un règlement européen
concernant la protection des données
personnelles
• Il s'impose aux entreprises et au secteur
public

28. 28
MAY 2018

29. G. RAPPEL QUELQUES DEFINITIONS…
29

30. UNE DONNÉE PERSONNELLE ?
30
toute information se rapportant à une personne physique identifiée ou
identifiable (ci-après dénommée «personne concernée»);
est réputée être une «personne physique identifiable» une personne physique
qui peut être identifiée, directement ou indirectement, notamment par
référence à un identifiant, tel qu'un nom, un numéro d'identification, des
données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments
spécifiques propres à son identité physique, physiologique, génétique,
psychique, économique, culturelle

31. TRAITEMENT DE DONNEES
31
. toute opération ou tout ensemble d'opérations effectuées ou non à
l'aide de procédés automatisés et appliquées à des données ou des
ensembles de données à caractère personnel, telles que la collecte,
l'enregistrement, l'organisation, la structuration, la conservation,
l'adaptation ou la modification, l'extraction, la consultation, l'utili
sation, la communication par transmission, la diffusion ou toute autre
forme de mise à disposition, le rapprochement ou l'interconnexion, la
limitation, l'effacement ou la destruction;

32. RESPONSABLE DE TRAITEMENT
32
. la personne physique ou morale, l'autorité publique, le service
ou un autre organisme qui, seul ou conjointement avec d'autres,
détermine les finalités et les moyens du traitement; lorsque les
finalités et les moyens de ce traitement sont déterminés par le
droit de l'Union ou le droit d'un État membre, le responsable du
traitement peut être désigné ou les critères spécifiques
applicables à sa désignation peuvent être prévus par le droit de
l'Union ou par le droit d'un État membre;

33. SOUS-TRAITANT
33
. la personne physique ou morale, l'autorité publique, le
service ou un autre organisme qui traite des données à
caractère personnel pour le compte du responsable du
traitement;

34. VIOLATION DE DONNEES
34
une violation de la sécurité entraînant, de manière accidentelle
ou illicite, la destruction, la perte, l'altération, la divulgation
non autorisée de données à caractère personnel transmises,
conservées ou traitées d'une autre manière, ou l'accès non
autorisé à de telles données;
CONSÉQUENCES:
NOTIFICATION PUBLIQUE !!

35. H. Les 12 grands principes du GDPR
Vont-ils tuer le marketing digital?
35
1. Responsabilité - « accountability »
2. Droit de la personne concernée (client, employé, citoyen)
3. Privacy by design
4. Sécurité des données
5. Notification des vols/pertes de données
6. Sanctions importantes
7. Gestion des accès aux données (IAM)
8. Licéité des traitements (réglementation ou consentement)
9. Registre des traitements
10.Analyse de risques et PIA
11.Formation
12.Data privacy officer

36. 1/ ACCOUNTABILITY
36

37. ACCOUNTABILITY ?

38. PRINCIPALE TÂCHE
DO-CU-MEN-TA-TION

39. EN PRATIQUE:
L'APD débarque suite à une plainte, une
dénonciation, d'un consommateur, d'un
concurrent…
Que faites-vous?
Que pouvez-vous leur montrer?
Qu'avez-vous préparé?
Comment se préparer?
Quel type de plainte?
Quid vol de données?
…
c'est ça l'accountability

41. 2. DROIT DE LA PERSONNE CONCERNEE

43. 2/ DROIT DE LA PERSONNE
43
TRANSPARENCE
INFORMATIONS LORS DE LA COLLECTE
DROIT D'ACCES
DROIT DE RECTIFICATION
DROIT A L'EFFACEMENT
DROIT A LA LIMITATION DU TRAITEMENT
PORTABILITE
DROIT D'OPPOSITION AU PROFILAGE

44. RIGHT TO ACCESS

45. Ca a l'air simple…
Droits d'accès à… tout
Depuis longtemps
Dans toutes les bases de données
Preuve du consentement
De tout ce qui dépend du RDT
Imaginez un ministère, un annonceur multi-marques
et donc
nécessité de programmes de détection
de développement
ou pas…
analyse de risques

46. DROIT A L'OUBLI, VRAIMENT ?

47. 3/ PRIVACY BY DESIGN
47

48. INFORMATION LIFECYCLE

49. Look at the entire data lifecycle

50. 1.CREATE
OR

51. BALANCE TEST NEEDED

52. PRIVACY POLICY OR REGULATION OR …

53. CONSENT & EVIDENCES

54. SENSITIVE DATA
IF THENOR

55. 2.STORE
• SECURITY
• ENCRYPTION
• AUTHENTICATION
• AVAILABILITY
• CONFIDENTIALITY
• IAM

56. 3. USE

57. 4. SHARE

58. 4. SHARE

59. 5.ARCHIVE

60. 6. DESTROY

61. 4/SECURITE DE L'INFORMATION
61

62. Mesures techniques et organisationnelles

63. What are the threats?

64. DON'T FORGET THE HUMAN

65. Concrètement ca veut dire quoi?

66. ÊTES VOUS CAPABLE D'IDENTIFIER LES FUITES ?

67. Ne pas oublier
Plan de sécurité de l'information
Archivage
Destruction des données
ISO 2700X
audit de sécurité
Test de pénétration, …

68. 5/ NOTIFICATION DES VOLS/PERTES
68

69. Préparer la communication de crise
1/ dans quels cas doit-on prévenir l'APD?
2/ Si on prévient l'APD et après?

70. 6/ SANCTIONS
70

71. 7/ Identity Access Management
(GESTION DES ACCÈS)
71

72. GESTION DES PROFILS
NEED TO HAVE ACCESS !!
La question qui tue:
puis-je voir votre procédure de gestion des profils et la documentation quant aux besoins d'accès?

73. 8/ LICEITE
73

74. Consentement - B2B - Intérêt légitime

75. Consentement pour quelle finalité ?
Privacy policy?
Preuve du consentement?

76. Cookies

77. VOUS AVEZ UNE BASE DE DONNEES
MAIS POUVEZ-VOUS PROUVER QUE
VOUS AVEZ LES CONSENTEMENTS?

78. DONNEES PUBLIQUES ?

79. 9/ REGISTRE DES TRAITEMENTS
79

80. UNE FICHE BIEN UTILE
NOM ET COORDONNEES DU RESPONSABLE DE
TRAITEMENT
FINALITES DU TRAITEMENT
CATÉGORIES DE PERSONNES CONCERNEES
CATEGORIE DE DESTINATAIRES
PAYS TIERS
DELAIS D'EFFACEMENT
MESURES DE SECURITE TECHNIQUES ET
ORGANISATIONELLES

81. MÉTHODOLOGIE
Proof Of Concept
RDT ou SST ?
Attention=> log de non conformité
lien vers les consentement, les
décisions, les sources
Le registre sert à se défendre !

82. 10/ ANALYSE DE RISQUES /PIA
82

83. Quand ?
Utile même si pas indispensable
Permet de se poser les bonnes
questions
Bon sens

84. 11/ FORMATIONS
84

85. Différents types de formation
Pas (encore) de formation "certifiante"
Sensibilisation de la direction (1h00)
Formation de base du personnel (2h00)
Quelques formation externes plus approfondies
3/5 jours Technofutur
6 jours ICHEC Formation continue
Un an Infosafe/Datasafe (ICHEC-UNAMUR-CRIDS)
…
Formation pour registre (1/2 jour)
Formation privacy by design (1 jour)
Formation DPO/chef de projet GDPR

86. 12/ DATA PRIVACY OFFICER
86

87. 4 fonctions différentes !!
GDPR Sécurité de l’information
Conseil Data Privacy Officer (DPO) Information Security Advisor
(ISA)
Mise en œuvre Chef de projet GDPR ou
correspondant GDPR dans les
divers départements
Responsable de la sécurité
des systèmes d’information
(RSSI)

88. Indépendance
rapporter à >< hiérarchie
description de fonction
conflit d'intérêt
interne ou DPOaaS
mutualisation

89. Final tips

90. Final tips

91. Conclusion

92. Last words

93. CONCLUSION

94. 94

95. SOURCES
• https://www.slideshare.net/TrishMcGinity/csa-privacy-by-design-amp-gdpr-austin-chambers-11417?
qid=b15cffa4-6e24-40ca-8c3b-7230dd1cae30&v=&b=&from_search=1#
• https://www.slideshare.net/mactvdp/training-privacy-by-design?qid=c5022dbe-afbd-4905-
aba4-1a92b1382de1&v=&b=&from_search=3
• `https://ico.org.uk/for-organisations/guide-to-data-protection/privacy-by-design/
• https://www.bdb-law.co.uk/blogs/no-blogs/conducting-a-privacy-impact-assessment-the-what-the-why-and-the-
how/
• https://www.slideshare.net/DragonBe/privacy-by-design-82454527?qid=2ba69b5e-bf28-40f4-b1ec-
fc8328355fec&v=&b=&from_search=4
• https://www.slideshare.net/markieturbo/advantages-of-privacy-by-design-in-ioe?qid=f2e5fc34-f946-4fd4-bace-
c3fc244a8b7e&v=&b=&from_search=8
• https://www.slideshare.net/feyeleanor/dont-ask-dont-tell-the-virtues-of-privacy-by-design?qid=1b0459a2-
a969-467b-947d-6a0e3304f432&v=&b=&from_search=14
• https://www.slideshare.net/kristyngreenwood/privacy-by-design-white-papaer?qid=1b0459a2-
a969-467b-947d-6a0e3304f432&v=&b=&from_search=17