Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.
Expert sécurité, réseau et services informatiques
Version :
Date :
Diffusion :
RGPD/ LPD : Sécuriser l’accès aux données
p...
Kyos SARL
Kyos en quelques mots
• Expert sécurité, réseau et services informatiques :
‒ une offre de service cohérente,
‒ ...
Expert sécurité, réseau et services informatiques
Agenda
Approche Juridique :
Obligations & Sanctions : quelles sont les n...
Obligations & Sanctions:
Quelles sont les nouveautés
de la LPD révisée et du RGPD
Genève, 22 novembre 2017
Sylvain Métille...
Le cadre légal
22.11.2017
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la
conformité.
Révisions des régimes suisses et européens
• Loi fédérale sur la protection des données
(LPD) du 19 juin 1992
• 21 décembr...
Champs du RGPD et entreprises suisses (1)
• Le RGPD s’applique aux traitements effectués dans le cadre des activités de
re...
Champs du RGPD et entreprises suisses (2)
• Techniquement: si le RGPD s’applique et que l’entreprise suisse n’a pas
d’étab...
Ce qui reste
22.11.2017
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la
conformité.
Révision de la LPD – Les principes restent
• Bonne foi
• Proportionnalité
• Information (renforcée)
• Exactitude
• Finalit...
Révision de la LPD – La méthode reste
• La violation des principes ou le traitement contre la volonté de la personne
conce...
Les droits
22.11.2017
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la
conformité.
Quoi de neuf? – Les droits
• Un peu plus de droits pour les personnes concernées
– Des règles sur l’accès aux données post...
Quoi de neuf? – Les droits
• Mais: plusieurs absences / suppressions de droit, notamment:
– Pas de droit à la portabilité
...
Les obligations
22.11.2017
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la
conformité.
Quoi de neuf? – Les obligations
• Quelques formalités en moins
• Mais de nouvelles obligations
– Une information renforcée...
Quoi de neuf? – Disparitions de certaines formalités
• Disparition de l’obligation des personnes privées d’annoncer et de ...
Quoi de neuf? – Les obligations
1) Un devoir d’information étendu (et «proactif») en
cas de traitement de données personne...
Quoi de neuf? – Les obligations: une information accrue
22.11.2017
RGPD/ LPD : Sécuriser l’accès aux données personnelles,...
Quoi de neuf? – Les obligations
2) Un devoir de tenir un registre des activités de traitement (art. 11
P-LPD)
– A charge d...
Quoi de neuf? – Les obligations
• RGPD: Contenu du registre du responsable du traitement:
- Nom et coordonnées du responsa...
Quoi de neuf? – Les obligations
3) Un devoir d’annonce des failles de sécurité (art. 22 P-LPD)
– Le sous-traitant doit ann...
Quoi de neuf? – Les obligations
4) Une obligation de mener une analyse d’impact préalable
(art. 20s P-LPD)
– A charge du r...
Quoi de neuf? – Les obligations
Analyse d’impact obligatoire sous l’angle du
RGPD si au moins deux critères réunis
• Évalu...
Quoi de neuf? – Les obligations
5) Protection des données dès la conception
et par défaut (art. 6 P-LPD)
– A charge du res...
Les sanctions
22.11.2017
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la
conformité.
Quoi de neuf? – Les sanctions
• Un nouveau régime de sanctions est prévu
– Sanction pénale de l’individu concerné
– Pas d’...
Quoi de neuf? – Les sanctions
• Le cadre pénal est renforcé (art. 54ss P-LPD)
– Sanctions renforcées (amende max. 250’000....
Quoi de neuf? – Le PFPDT
• Pouvoirs renforcés mais limités du PFPDT
– Enquête contre un organe fédéral ou une personne pri...
La mise en conformité
22.11.2017
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la
conformité.
Niveau d’exigence
Rien
Politique de
traitement,
quelques principes
Directive 95/46,
LPD
RGPD,
LPD révisée
…
22.11.2017
RGP...
Mise en conformité
• Je ne panique pas!
• Quel est le cadre de mes obligations (LPD et/ou RGPD)?
• Quelles données je trai...
Conclusion
22.11.2017
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la
conformité.
Conclusion
• Les principes demeurent, mais l’idéal à atteindre devient la norme à respecter.
• Le responsable du traitemen...
Sylvain Métille
Dr, avocat, chargé de
cours à l’Université
Av. Auguste Tissot 2bis
CP 851
1001 Lausanne
T 021 310 73 10
F ...
Expert sécurité, réseau et services informatiques
Agenda
Proposition Technologique
- Approche Juridique
- Proposition Tech...
UN seul utilisateur à privilège peut tout remettre en cause
Company confidential – © Copyright WALLIX 2017
Nomination parm...
AUDIT & CONFORMITE
Mise à disposition d’une
solution contribuantà la
conformitéaux
réglementations internes
et externes pa...
Healthcare
Financial
Industry
Nous sommes tous concernés
Company confidential – © Copyright WALLIX 2017
Kyos SARL
Wallix Admin Bastion
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
...
Kyos SARL
RGPD et LPD rappels de point clés
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la...
Kyos SARL
Démonstration
22.11.2017
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformi...
Kyos SARL
Et sans la solution wallix ?
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conf...
Kyos SARL
La solution Wallix dans l’écosystème Kyos
22.11.2017
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un ...
Expert sécurité, réseau et services informatiques
Agenda
Conclusions et discussion ouverte
- Approche Juridique
- Proposit...
Kyos SARL
Conclusions
• On pourrait encore passer des heures sur la loi et le WAB
• Le WAB apporte un réel gain de temps e...
Expert sécurité, réseau et services informatiques
Contact us
Kyos SARL
Chemin Frank-Thomas, 32
1208 Genève
Tel. : +41 22 5...
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité
Prochain SlideShare
Chargement dans…5
×

RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité

579 vues

Publié le

Le 22.11.2017, Kyos a organisé une matinée sécurité sur Genève autour du thème "RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité."

En savoir plus :
--------------------
A la veille de l’entrée en vigueur du RGPD et de la LPD révisée, vous êtes certainement familier avec la notion de Protection des Données Personnelles, seulement face à l’envergure de ce chantier de mise en conformité, vous ne savez par où commencer.

Publié dans : Technologie
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (2019 Update) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://soo.gd/irt2 } ......................................................................................................................... Download Full EPUB Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download Full doc Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download PDF EBOOK here { https://soo.gd/irt2 } ......................................................................................................................... Download EPUB Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download doc Ebook here { https://soo.gd/irt2 } ......................................................................................................................... ......................................................................................................................... ................................................................................................................................... eBook is an electronic version of a traditional print book THIS can be read by using a personal computer or by using an eBook reader. (An eBook reader can be a software application for use on a computer such as Microsoft's free Reader application, or a book-sized computer THIS is used solely as a reading device such as Nuvomedia's Rocket eBook.) Users can purchase an eBook on diskette or CD, but the most popular method of getting an eBook is to purchase a downloadable file of the eBook (or other reading material) from a Web site (such as Barnes and Noble) to be read from the user's computer or reading device. Generally, an eBook can be downloaded in five minutes or less ......................................................................................................................... .............. Browse by Genre Available eBooks .............................................................................................................................. Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, ......................................................................................................................... ......................................................................................................................... .....BEST SELLER FOR EBOOK RECOMMEND............................................................. ......................................................................................................................... Blowout: Corrupted Democracy, Rogue State Russia, and the Richest, Most Destructive Industry on Earth,-- The Ride of a Lifetime: Lessons Learned from 15 Years as CEO of the Walt Disney Company,-- Call Sign Chaos: Learning to Lead,-- StrengthsFinder 2.0,-- Stillness Is the Key,-- She Said: Breaking the Sexual Harassment Story THIS Helped Ignite a Movement,-- Atomic Habits: An Easy & Proven Way to Build Good Habits & Break Bad Ones,-- Everything Is Figureoutable,-- What It Takes: Lessons in the Pursuit of Excellence,-- Rich Dad Poor Dad: What the Rich Teach Their Kids About Money THIS the Poor and Middle Class Do Not!,-- The Total Money Makeover: Classic Edition: A Proven Plan for Financial Fitness,-- Shut Up and Listen!: Hard Business Truths THIS Will Help You Succeed, ......................................................................................................................... .........................................................................................................................
       Répondre 
    Voulez-vous vraiment ?  Oui  Non
    Votre message apparaîtra ici
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (Unlimited) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://soo.gd/qURD } ......................................................................................................................... Download Full EPUB Ebook here { https://soo.gd/qURD } ......................................................................................................................... Download Full doc Ebook here { https://soo.gd/qURD } ......................................................................................................................... Download PDF EBOOK here { https://soo.gd/qURD } ......................................................................................................................... Download EPUB Ebook here { https://soo.gd/qURD } ......................................................................................................................... Download doc Ebook here { https://soo.gd/qURD } ......................................................................................................................... ......................................................................................................................... ................................................................................................................................... eBook is an electronic version of a traditional print book THIS can be read by using a personal computer or by using an eBook reader. (An eBook reader can be a software application for use on a computer such as Microsoft's free Reader application, or a book-sized computer THIS is used solely as a reading device such as Nuvomedia's Rocket eBook.) Users can purchase an eBook on diskette or CD, but the most popular method of getting an eBook is to purchase a downloadable file of the eBook (or other reading material) from a Web site (such as Barnes and Noble) to be read from the user's computer or reading device. Generally, an eBook can be downloaded in five minutes or less ......................................................................................................................... .............. Browse by Genre Available eBooks .............................................................................................................................. Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, ......................................................................................................................... ......................................................................................................................... .....BEST SELLER FOR EBOOK RECOMMEND............................................................. ......................................................................................................................... Blowout: Corrupted Democracy, Rogue State Russia, and the Richest, Most Destructive Industry on Earth,-- The Ride of a Lifetime: Lessons Learned from 15 Years as CEO of the Walt Disney Company,-- Call Sign Chaos: Learning to Lead,-- StrengthsFinder 2.0,-- Stillness Is the Key,-- She Said: Breaking the Sexual Harassment Story THIS Helped Ignite a Movement,-- Atomic Habits: An Easy & Proven Way to Build Good Habits & Break Bad Ones,-- Everything Is Figureoutable,-- What It Takes: Lessons in the Pursuit of Excellence,-- Rich Dad Poor Dad: What the Rich Teach Their Kids About Money THIS the Poor and Middle Class Do Not!,-- The Total Money Makeover: Classic Edition: A Proven Plan for Financial Fitness,-- Shut Up and Listen!: Hard Business Truths THIS Will Help You Succeed, ......................................................................................................................... .........................................................................................................................
       Répondre 
    Voulez-vous vraiment ?  Oui  Non
    Votre message apparaîtra ici
  • DOWNLOAD THAT BOOKS INTO AVAILABLE FORMAT (2019 Update) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download Full EPUB Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download Full doc Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download PDF EBOOK here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download EPUB Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download doc Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... ......................................................................................................................... ................................................................................................................................... eBook is an electronic version of a traditional print book that can be read by using a personal computer or by using an eBook reader. (An eBook reader can be a software application for use on a computer such as Microsoft's free Reader application, or a book-sized computer that is used solely as a reading device such as Nuvomedia's Rocket eBook.) Users can purchase an eBook on diskette or CD, but the most popular method of getting an eBook is to purchase a downloadable file of the eBook (or other reading material) from a Web site (such as Barnes and Noble) to be read from the user's computer or reading device. Generally, an eBook can be downloaded in five minutes or less ......................................................................................................................... .............. Browse by Genre Available eBooks .............................................................................................................................. Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, ......................................................................................................................... ......................................................................................................................... .....BEST SELLER FOR EBOOK RECOMMEND............................................................. ......................................................................................................................... Blowout: Corrupted Democracy, Rogue State Russia, and the Richest, Most Destructive Industry on Earth,-- The Ride of a Lifetime: Lessons Learned from 15 Years as CEO of the Walt Disney Company,-- Call Sign Chaos: Learning to Lead,-- StrengthsFinder 2.0,-- Stillness Is the Key,-- She Said: Breaking the Sexual Harassment Story That Helped Ignite a Movement,-- Atomic Habits: An Easy & Proven Way to Build Good Habits & Break Bad Ones,-- Everything Is Figureoutable,-- What It Takes: Lessons in the Pursuit of Excellence,-- Rich Dad Poor Dad: What the Rich Teach Their Kids About Money That the Poor and Middle Class Do Not!,-- The Total Money Makeover: Classic Edition: A Proven Plan for Financial Fitness,-- Shut Up and Listen!: Hard Business Truths that Will Help You Succeed, ......................................................................................................................... .........................................................................................................................
       Répondre 
    Voulez-vous vraiment ?  Oui  Non
    Votre message apparaîtra ici

RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité

  1. 1. Expert sécurité, réseau et services informatiques Version : Date : Diffusion : RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité Maître Sylvain Métille – HDC Philippe Guerber - Wallix Eric Lederrey – Kyos Raphael Jendrysiak – Kyos Restreinte 1.0 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  2. 2. Kyos SARL Kyos en quelques mots • Expert sécurité, réseau et services informatiques : ‒ une offre de service cohérente, ‒ une forte proximité et réactivité, ‒ des solutions sur mesure. • Implanté à Genève depuis novembre 2002 • Société autofinancée • 38 employés • Fusion par absorption avec la société Spacecom, spécialiste réseau, en juin 2013 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  3. 3. Expert sécurité, réseau et services informatiques Agenda Approche Juridique : Obligations & Sanctions : quelles sont les nouveautés de la LPD révisée et du RGPD ? Maître Sylvain Métille – HDC - Approche Juridique - Proposition Technologique - Conclusion et discussion ouverte RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  4. 4. Obligations & Sanctions: Quelles sont les nouveautés de la LPD révisée et du RGPD Genève, 22 novembre 2017 Sylvain Métille email: metille@hdclegal.ch Twitter: @smetille
  5. 5. Le cadre légal 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  6. 6. Révisions des régimes suisses et européens • Loi fédérale sur la protection des données (LPD) du 19 juin 1992 • 21 décembre 2016: mise en consultation de l’avant-projet de révision totale de la LPD • 3573 pages de commentaires formulés durant la consultation. • 15 septembre 2017: publication du projet par le Conseil fédéral • Le Parlement se prononcera en 2018 • Entrée en vigueur prévue début 2019 • Premier projet en janvier 2012 (plus de 4 ans de négociations, près de 4.000 amendements devant le Parlement européen) • Texte final publié au JO en mai 2016 • Suppression des législations nationales au profit d’un règlement européen commun, mais: – faculté pour les états membres de garder une couche nationale dans des domaines réduits par exemple en droit du travail – les règles e-Privacy (cookies, etc.) restent en place • Entrée en vigueur du RGPD: 25 mai 2018 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  7. 7. Champs du RGPD et entreprises suisses (1) • Le RGPD s’applique aux traitements effectués dans le cadre des activités de responsable du traitement ou de sous-traitant établis sur le territoire de l’UE, qu’ils aient ou non lieu dans l’UE (critère de l’établissement) • Mais aussi aux traitements effectués par des responsable du traitement ou des sous- traitants non établis sur le territoire de l’UE dès lorsqu’ils visent des personnes se trouvant sur le territoire de l’UE dans le cadre des activités suivantes (critère du ciblage): - Offre à ceux-ci de biens ou de services (ex: services e-commerce clairement orientés vers des consommateurs situés au sein de l’UE); ou - Suivi de leur comportement au sein de l’UE (ex: publicité en ligne sur Internet) 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  8. 8. Champs du RGPD et entreprises suisses (2) • Techniquement: si le RGPD s’applique et que l’entreprise suisse n’a pas d’établissement au sein de l’UE, nécessité pour l’entreprise de nommer un représentant au sein de l’UE. Sauf: - Si traitement occasionnel sans données sensibles ou relatives à des condamnations/infractions impliquées - S’il s’agit d’un organisme ou d’une autorité public - Si les Etats membres de l’UE via leur couche nationale décident de changer la donne. Illustration avec la récente loi allemande données personnelles remaniée (publiée en juillet) : "(6) The contracting states of the European Economic Area and Switzerland shall have equal status with the Member States of the European Union with regard to processing for purposes in accordance with Article 2 of Regulation (EU) 2016/679. Other states shall be regarded as third countries." 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  9. 9. Ce qui reste 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  10. 10. Révision de la LPD – Les principes restent • Bonne foi • Proportionnalité • Information (renforcée) • Exactitude • Finalité • Sécurité • Protection des données par défaut (nouveau) • Protection des données dès la conception (nouveau) 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  11. 11. Révision de la LPD – La méthode reste • La violation des principes ou le traitement contre la volonté de la personne concernée est une atteinte – L’atteinte est illicite sauf motif justificatif • Le responsable du traitement est responsable de traiter les données de manière conforme au droit • La personne concernée doit se défendre contre toute atteinte • Le PFPDT pourra ouvrir des enquêtes en cas de soupçons (et plus seulement en cas d’erreurs de système) 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  12. 12. Les droits 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  13. 13. Quoi de neuf? – Les droits • Un peu plus de droits pour les personnes concernées – Des règles sur l’accès aux données post-mortem (art. 16 P-LPD) – Mention du droit à l’effacement (art. 28 al. 2 let. c P-LPD – «Droit à l’oubli») – Des procédures civiles judiciaires gratuites (révision du CPC) – Droit d’être informé et de faire valoir son point de vue en cas de décision individuelle automatisée (art. 19 P-LPD) 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  14. 14. Quoi de neuf? – Les droits • Mais: plusieurs absences / suppressions de droit, notamment: – Pas de droit à la portabilité  Message du 15 septembre 2017 (p. 43): «Le Conseil fédéral juge opportun d’attendre les résultats des expériences au sein de l’Union européenne avant d’envisager d’introduire un droit à la portabilité des données en Suisse.» – Pas de protection des données personnelles de personnes morales  Message du 15 septembre 2017 (p. 68): «(…) les textes de protection des données de l’Union européenne et du Conseil de l’Europe ainsi que la majorité des législations étrangères ne prévoient pas une telle protection. » – Pas de renversement du fardeau de la preuve ni d’action collective (class action)  Message du 15 septembre 2017 (pp. 42-43): renvoi à une motion plus générale actuellement à l’étude, «Le Conseil fédéral estime qu’il n’est pas opportun de prévoir un régime spécial, en introduisant dans la LPD un système d’exercice collectif des droits.» 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  15. 15. Les obligations 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  16. 16. Quoi de neuf? – Les obligations • Quelques formalités en moins • Mais de nouvelles obligations – Une information renforcée – Un registre des activités de traitement – Un devoir d’annonce des failles de sécurité – Une analyse d’impact préalable – La protection des données dès la conception et par défaut 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  17. 17. Quoi de neuf? – Disparitions de certaines formalités • Disparition de l’obligation des personnes privées d’annoncer et de faire enregistrer leurs fichiers - Remplacée par une obligation de tenir un registre des activités de traitement (art. 11 P-LPD) - Demeure dans les grandes lignes pour les organes fédéraux • Disparition de l’obligation d’annoncer le transfert de données à l’étranger lorsqu’il est justifié par des contrats types approuvés par le PFPDT • Même approche avec le RGPD cependant certains Etats membres veulent garder certaines formes de déclarations (ex: post mai 2018, système d’alertes éthiques toujours à déclarer à la CNIL en France) 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  18. 18. Quoi de neuf? – Les obligations 1) Un devoir d’information étendu (et «proactif») en cas de traitement de données personnelles (art. 17 ss P-LPD) – Remplace le caractère uniquement reconnaissable du traitement de données – Devront en tout cas être communiqués: l’identité et les coordonnées du responsable du traitement, la finalité du traitement et les destinataires ou catégories de destinataires. Si les données ne sont pas collectées directement auprès de la personne: les données traitées ou les catégories de données – Information également pour tous les cas dans lesquels une décision importante la concernant est prise sur la base d’un traitement automatisé (art. 19 P-LPD) 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  19. 19. Quoi de neuf? – Les obligations: une information accrue 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  20. 20. Quoi de neuf? – Les obligations 2) Un devoir de tenir un registre des activités de traitement (art. 11 P-LPD) – A charge du responsable du traitement et du sous-traitant – Le registre du responsable du traitement doit contenir au moins: • *l’identité du responsable du traitement, • la finalité du traitement, • une description des catégories de personnes concernées et des catégories de données personnelles traitées, • la catégorie des destinataires, • si possible le délai de conservation des données ou les critères pour en déterminer la durée, • *si possible une description générale des mesures visant à garantir la sécurité des données • *et, en cas de communication à l’étranger, le nom de l’Etat en question et les garanties y relatives – Le registre du sous-traitant doit contenir l’identité du sous-traitant, les catégories de traitement et * – Exception possible si moins de 50 collaborateurs et risque limité 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  21. 21. Quoi de neuf? – Les obligations • RGPD: Contenu du registre du responsable du traitement: - Nom et coordonnées du responsable du traitement et du délégué - Finalités du traitement - Catégories personnes concernées et les catégories de données - Catégories de destinataires - Dans la mesure du possible, les délais prévus pour l’effacement • Contenu du registre du sous-traitant : - Nom et coordonnées du ou des sous-traitants - Nom et coordonnées de chaque responsable du traitement pour le compte duquel le sous-traitant agit - Catégories de traitements effectués pour le compte de chaque responsable du traitement - Transferts de données vers un pays tiers ou à une organisation internationale - Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles • Pas d’obligation de tenir un registre si moins de 250 employés, SAUF: - Si le traitement comporte un risque pour les droits et des libertés des personnes concernées - S’il n'est pas occasionnel - S’il porte notamment sur des données sensibles 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  22. 22. Quoi de neuf? – Les obligations 3) Un devoir d’annonce des failles de sécurité (art. 22 P-LPD) – Le sous-traitant doit annoncer tout cas de violation de la sécurité des données au responsable du traitement – Le responsable du traitement doit annoncer les cas de violation des données • au PFPDT si risque élevé pour la personnalité de la personne concernée • à la personne concernée si le PFPDT l’exige ou si nécessaire à sa protection (voire au public si impossible d’atteindre autrement les personnes concernées) – Indication de la nature de la violation de la sécurité des données, ses conséquences et les mesures prises ou envisagées pour y remédier – Dans les meilleurs délais Le RGPD prévoit un système semblable et précise que la notification à l’autorité doit se faire dans les meilleurs délais, et si possible dans les 72 heures. 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  23. 23. Quoi de neuf? – Les obligations 4) Une obligation de mener une analyse d’impact préalable (art. 20s P-LPD) – A charge du responsable de traitement – Dans tous les cas où le traitement envisagé est susceptible d’entraîner un risque accru pour la personnalité et les droits fondamentaux de la personne concernée – Analyse d’impact doit contenir un description du traitement envisagé, une évaluation des risques et les mesures prévues pour protéger la personnalité et les droits fondamentaux de la personne concernée – Consultation du PFPDT lorsque l’analyse d’impact révèle que le traitement présente un risque élevé. PFPDT a deux mois pour communiquer ses objections au responsable du traitement, délai prolongeable d’un mois lorsqu’il s’agit d’un traitement de données complexes. En cas d’objections, le PFPDT propose des mesures appropriées au responsable du traitement 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  24. 24. Quoi de neuf? – Les obligations Analyse d’impact obligatoire sous l’angle du RGPD si au moins deux critères réunis • Évaluation/scoring • Décision automatique avec effet légal • Surveillance systématique • Données sensibles • Large échelle • Croisement de données • Personnes vulnérables • Usage innovant • Transfert hors UE • Blocage d’un droit/contrat Analyse d’impact pas nécessaire sous l’angle du RGPD • Pas susceptible d’engendrer des risques élevés • Déjà autorisé (tant que le traitement n’a pas changé et que les conditions de mise en œuvre sont respectées !) • Base légale 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  25. 25. Quoi de neuf? – Les obligations 5) Protection des données dès la conception et par défaut (art. 6 P-LPD) – A charge du responsable du traitement et du sous- traitant – Dès la conception du traitement, proactivement prendre des mesures pour minimiser les risques d’atteinte – Garantir par le biais de préréglages appropriés que le seules les données nécessaires sont traitées 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  26. 26. Les sanctions 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  27. 27. Quoi de neuf? – Les sanctions • Un nouveau régime de sanctions est prévu – Sanction pénale de l’individu concerné – Pas d’amende administrative contre l’entreprise – Aucun pouvoir de sanction du PFPDT • Introduction également – d’une nouvelle infraction pénale d’usurpation d’identité (art. 179decies P-CP)  Risque: peine privative de liberté d’un an au plus ou peine pécuniaire – d’un devoir de discrétion pour toute activité professionnelle qui requiert la connaissance de données personnelles secrètes (art. 56 P- LPD)  Risque: amende de CHF 250’000 au plus 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  28. 28. Quoi de neuf? – Les sanctions • Le cadre pénal est renforcé (art. 54ss P-LPD) – Sanctions renforcées (amende max. 250’000.-, ou 50’000.- pour les personnes morales) – Poursuite uniquement en cas d’infraction intentionnelle – Système axé sur la sanction de l’individu plutôt que la personne morale. Sanction de la personne morale seulement  si l’amende ne dépasse pas 50’000.-  si les mesures d’instruction pour rechercher la personne physique auteure de l’infraction impliquerait des mesures d’instruction hors de proportion avec la peine encourue • Le RGPD prévoit les sanctions suivantes: – Amende de maximum 10 millions d’Euros ou, dans le cas d’une entreprise, maximum 2% du chiffre d’affaires mondial – Dans les cas graves, l’amende est de maximum 20 millions d’Euros ou, dans le cas d’une entreprise de maximum 4% du chiffre d’affaires mondial 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  29. 29. Quoi de neuf? – Le PFPDT • Pouvoirs renforcés mais limités du PFPDT – Enquête contre un organe fédéral ou une personne privée si des indices font penser qu’il y a violation (art. 43 P-LPD) • Obligation des personnes concernées de fournir tous les renseignements et les documents nécessaires pour l’enquête. Perquisitions possibles en cas de refus (art. 44 P-LPD). – Mesures administratives (art. 45 P-LPD) • Possible d’ordonner la suspension, la modification ou la cessation de tout ou partie du traitement ainsi que la destruction de tout ou partie des données personnelles • Possible de suspendre ou interdire la communication de données personnelles à l’étranger • Possible notamment d’ordonner à l’organe fédéral ou à la personne privée de lui fournir des informations, de prendre certaines mesures, d’informer les personnes concernées, d’établir une analyse d’impact, de le consulter, de l’informer des violations de de la sécurité des données et de communiquer les renseignements à la personne concernée – Possibilité de dénoncer aux autorités de poursuite pénale des infractions et de faire valoir les droits d’une partie plaignante dans la procédure (art. 59 P-LPD) 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  30. 30. La mise en conformité 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  31. 31. Niveau d’exigence Rien Politique de traitement, quelques principes Directive 95/46, LPD RGPD, LPD révisée … 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  32. 32. Mise en conformité • Je ne panique pas! • Quel est le cadre de mes obligations (LPD et/ou RGPD)? • Quelles données je traite (et dans quel but, avec quelles justifications)? • Suis-je conforme? Qu’est-ce que je dois améliorer? – Quelles sont mes relations avec les personnes concernées, sous-traitants, tiers, autorités, etc.? – Comment sont mes contrats, procédures, registres, etc.? – Mes équipes sont-elles formées? 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  33. 33. Conclusion 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  34. 34. Conclusion • Les principes demeurent, mais l’idéal à atteindre devient la norme à respecter. • Le responsable du traitement doit informer et tenir un registre des activités de traitement. Pour cela il doit identifier les traitements et leurs buts, ses partenaires et le fonctionnement de sa société. • Les nouvelles obligations entreront rapidement en vigueur, il faut anticiper. 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  35. 35. Sylvain Métille Dr, avocat, chargé de cours à l’Université Av. Auguste Tissot 2bis CP 851 1001 Lausanne T 021 310 73 10 F 021 310 73 11 metille@hdclegal.ch www.hdclegal.ch www.smetille.ch/blog @smetille 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  36. 36. Expert sécurité, réseau et services informatiques Agenda Proposition Technologique - Approche Juridique - Proposition Technologique - Conclusion et discussion ouverte RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  37. 37. UN seul utilisateur à privilège peut tout remettre en cause Company confidential – © Copyright WALLIX 2017 Nomination parmi les leaders dans les catégories Produits & Innovation PAM du Leadership Compass KuppingerCole 2017 Fiche d’identité de WALLIX
  38. 38. AUDIT & CONFORMITE Mise à disposition d’une solution contribuantà la conformitéaux réglementations internes et externes par la consolidationde rapports d’audit et le contrôle continudes actions réalisées. AUDIT & CONFORMITE Company confidential – © Copyright WALLIX 2017 SECURITE DU CLOUD SECURITE DU CLOUD Sécuriser les environnements de type Cloud, Privé, Hybrideou SaaS. Intégration et déploiement facilités pour sécuriser lesaccès des Cloud Providers et de leurs utilisateurs. Réduire l’expositiondes risques enoptimisant le contrôle des sous- traitants, des prestataires en régie, des astreintes ou prestataires externes. PRESTATAIRES EXTERNES & INDUSTRIAL CONTROL SYSTEM (ICS/SCADA) INDUSTRIAL CONTROL SYSTEM (ICS/SCADA) Les solutions WALLIX PRESTATAIRES EXTERNES ET ACCES A DISTANCE Maitriser lesinterconnexions des systèmes industrielsaux réseauxIP et SI afin de réduire les risques sur les infrastructures critiques ou vitales. ACCES A DISTANCE
  39. 39. Healthcare Financial Industry Nous sommes tous concernés Company confidential – © Copyright WALLIX 2017
  40. 40. Kyos SARL Wallix Admin Bastion RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité. SECURITE DU CLOUD PRESTATAIRES EXTERNES & (ICS/SCADA) ACCES A DISTANCE prestataire Utilisateurs a privilèges firewall VPN prestataire Utilisateurs a privilèges firewall VPN 22.11.2017
  41. 41. Kyos SARL RGPD et LPD rappels de point clés RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité. Gouvernance des accès à privilèges – définition des droits d’accès pour les utilisateurs à forts privilèges à tous les équipements Le Bastion plateforme unique pour la gestion des mots de passe et des accès Contrôle des Sessions: possibilité d’autoriser ou révoquer les accès Remontée d’alerte en cas de tentative de rebond Visualisation en temps réel et enregistrement des sessions. Imputabilité des connexions pour toute activité des utilisateurs, génération de rapports d’audit Politique de gouvernance en matière de protection des données Mise en place de processus et d’outils pour sécuriser les données Contrôler et encadrer l’accès aux données Documentation, production de preuve de conformité Obligations à remplir pour démontrer sa conformité 22.11.2017
  42. 42. Kyos SARL Démonstration 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  43. 43. Kyos SARL Et sans la solution wallix ? RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité. Gouvernance des accès à privilèges – définition des droits d’accès pour les utilisateurs à forts privilèges à tous les équipements Gestion des mots de passe et des accès dépendant de chaque solution. Nécessite intégration et planification poussée Gestion du contrôle réparti sur plusieurs équipements, remontée d’alerte possible par log centralisée. Prise d’action immediate compliquée ou impossible Visualisation partielle (via les logs), génération de rapports d’audit. Réservée à une personne technique Politique de gouvernance en matière de protection des données Mise en place de processus et d’outils pour sécuriser les données Contrôler et encadrer l’accès aux données Documentation, production de preuve de conformité Obligations à remplir pour démontrer sa conformité 22.11.2017
  44. 44. Kyos SARL La solution Wallix dans l’écosystème Kyos 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité. Partenaire externe Smartphone WAB Access Manager WAB Session Manager OTP, SMS, PUSH, etc ... Radius, SAML Radius Radius
  45. 45. Expert sécurité, réseau et services informatiques Agenda Conclusions et discussion ouverte - Approche Juridique - Proposition Technologique - Conclusion et discussion ouverte RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  46. 46. Kyos SARL Conclusions • On pourrait encore passer des heures sur la loi et le WAB • Le WAB apporte un réel gain de temps et une grande facilité pour adresser ces 4 obligations présentes dans RGPD/ LPD • N’oubliez pas, la LPD révisée entrera en vigueur en 2019 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité. 22.11.2017 47
  47. 47. Expert sécurité, réseau et services informatiques Contact us Kyos SARL Chemin Frank-Thomas, 32 1208 Genève Tel. : +41 22 566 76 30 Fax : +41 22 734 79 03 www.kyos.ch info@kyos.ch Merci RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.

×