SlideShare une entreprise Scribd logo

Évènement 01 Business - GDPR, confiance et confidentialité des données, défi d'entreprise ou opportunité?

Leonard Moustacchis
Leonard Moustacchis

Présentation des enjeux de la GDPR par l'examen de quelques articles. Exemple client IoT / voiture connectée Alain Barbier ForgeRock Léonard Moustacchis ForgeRock

Technologie
1  sur  27
Télécharger pour lire hors ligne
© 2017 ForgeRock. All rights reserved. GDPR, confiance et confidentialité des données, défi d'entreprise ou opportunité? Alain Barbier Léonard Moustacchis
© 2017 ForgeRock. All rights reserved. Mes données personnelles Sur Internet 2 Name Last name Email Address City Country • Où sont stockées mes données ? • Comment sont-elles sauvegardées ? • Vont-elles être disséminées, distribuées ? • Quels contrôles ai-je sur mes données ? • Pourquoi autant d’informations personnelles à fournir ? • Quels risques ? • Quelles actions en cas de perte, de violation ?
© 2017 ForgeRock. All rights reserved. • Il sait où je suis • Il connaît l’adresse de ma maison et de mon travail • Il sait lorsque je vais trop vite sur l’autoroute • Il connaît mes contacts favoris et peut reconnaître leur visage. Mes données personnelles Sur mon mobile
© 2017 ForgeRock. All rights reserved. Confiance Transparence Unification L’usager contrôle la portée de ses données personnelles Le responsable de traitement et les sous-traitants appliquent les règles de la GDPR L’autorité de contrôle fait respecter la GDPR
© 2017 ForgeRock. All rights reserved. Quand: 25 Mai 2018 Qui: Toutes les organisations qui opèrent dans des États membres de l'UE ou avec des résidents de l'UE doivent s’y conformer Qu’est-ce que le GDPR? • Conçu pour donner aux consommateurs le contrôle de leurs données • Consentement explicite pour les données saisies • Droit à l’oubli, portabilité des données • “Privacy by design” Impact: Amendes allant jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires global annuel © 2017 ForgeRock. All rights reserved. GDPR : Les éléments clés
© 2017 ForgeRock. All rights reserved. Les principes 6
© 2017 ForgeRock. All rights reserved. Principe de responsabilisation Accountability (Article 5) • Le responsable du traitement/sous traitant doit être en mesure de : • assurer la conformité à la GDPR • démontrer qu’il a pris les mesures techniques et organisationnelles pour respecter le réglement. • Conduite régulière d’audits • Mise en oeuvre d’études d’impacts (PIA) (Article 35) • Sensibilisation et formation • Etablissement de codes de conduite • Nomination d’un délégué à la Protection des Données (DPO) (Article 37 à 39)
© 2017 ForgeRock. All rights reserved. Droits de l’individu • Accès aux données (Article 15, 16, 20) • Droit de consultation, modification, rétention • Portabilité des données • Effacement (droit à l’oubli) => 30 jours de délai (Article 17) • Opposition à un traitement (Article 21) • Notification aux sous-traitants en cas de rectification/effacement (Article 19) • Modification, effacement par le responsable de traitement • Consentement (Article 4,7) • Manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement.
© 2017 ForgeRock. All rights reserved. Obligations du responsable de traitement et du sous-traitant (1) • Sécurisation des traitements • Chiffrement, pseudonymisation, confidentialité, intégrité, disponibilité • Notification de violation • Informer l’autorité de contrôle dans les 72h après détection • Rapport • Nature de la violation • Conséquences probables • Mesures • Si risque élevé pour l’individu alors la personne concernée devra être informée dans les meilleurs délais • Remédiation
© 2017 ForgeRock. All rights reserved. Obligations du responsable de traitement et du sous-traitant (2) • DPIA (Data Protection Impact Assessment) : ISO 27005 • Quelles conséquences pratiques l’existence même du traitement fait courir à chaque personne dont les données sont traitées ? • En cas de faille de sécurité et de fuite de données, quelles conséquences sur le respect de la vie privée de la personne concernée ? • Nommer un DPO : Data Protection Officer • Informer sur les obligations de protection • Contrôler le respect à la GDPR • Conseiller et Vérifier lors du DPIA • Coopérer avec l’autorité de contrôle • Point de contact avec l’autorté de contrôle • Tenir un registre des traitements • Produire des codes de conduite et obtenir des certifications
© 2017 ForgeRock. All rights reserved. Transferts vers des pays hors UE • Pays ayant des accords (Article 45) • US : Privacy Shield, • Andorre, Argentine, Canada, Israel, Nvelle Zélande, Suisse, … • Importance de la certification et des codes de conduite • Au cas par cas pour les autres (Articles 46 et 47) • Règles d’entreprise contraignantes • Approbation de l’autorité de contrôle • Peu courant à ce jour
© 2017 ForgeRock. All rights reserved. Le Projet Risques et difficultés 12
© 2017 ForgeRock. All rights reserved. 13 Communication et sensibilisation Conduite du changement Audit sur les données Évaluations d’impact sur la confidentialité des données
© 2017 ForgeRock. All rights reserved. Communication et sensibilisation Implication de l’organisation • Politique de sécurité • Engagement du conseil d'administration • Principes de sécurité de l'information • Organisation (responsabilités) • Classification de l’information • Sécurité physique et environnementale • Système de contrôle d'accès • Continuité de service • Démarche commune avec vos fournisseurs
© 2017 ForgeRock. All rights reserved. Audit sur les données Identification • Provenance des données • Fournisseur, Source externe, Client • Minimisation des données • N’utiliser, ne conserver que les données nécessaires • Politique de rétention • Destruction des données expirées • Durée de rétention à fournir au sujet via le consentement ou directement (<1mois) • Destination des données • Vérifier les contrats avec les sous-traitants (ISO 27001) • UE ou hors UE
© 2017 ForgeRock. All rights reserved. Évaluations des impacts sur la confidentialité des données Data Privacy Impact Assessments • Utilisation de ISO 27005 comme modèle • Analyse des Flux de données • Evaluation des risques : • Identification • Evaluation/Classification/Sévérité • Mesures additionnelles • Risque résiduel => contact avec l’autorité de contrôle (DPO) • Pseudonymisation • Anonymisation
© 2017 ForgeRock. All rights reserved. Conduite du changement • Revoir la méthodologie des projets informatiques • Privacy by design et Privacy by Default • Revoir la sécurité des infrastructures et les processus de traitement • Définir des règles de conduite • Toutes les fonctions de l’entreprise sont concernées. Les processus de collaboration devront être revus. • DSI (continuité, sécurité, …) • Juridique (revoir les contrats avec les sous-traitants ...) • HR (minimisation des données personnelles des employées, DPIA) • DPO (revu des processus, DPIA, conseil, audit …) • Marketing (cartographie des données personnelles utilisées, …) • Risques
© 2017 ForgeRock. All rights reserved. Opportunités
© 2017 ForgeRock. All rights reserved. Les Opportunités • Simplification : interaction avec une seule autorité de contrôle • Cohérence : une loi unique pour l’ensemble des pays de l’UE • Reprise du contrôle des données • Localisation • Processus • Accroissement de la confiance des usagers pour étendre la chaîne de valeur 80% of consumers are more likely to purchases from consumer product companies that they believe protect their personal information 72% avoid purchasing brands from consumer product companies that they believe do not protect their personal information
© 2017 ForgeRock. All rights reserved. Adoptez une vue globale pour éliminer les frictions 20 Gestion du cycle de vie de l'identité Stockage sécurisé des données personnelles Réplication fractionnée Provenance de données Conditions de service, politique de confidentialité et préférences, gestion de consentement Gestion fédérée et de consentement social Partage et approbation par l'utilisateur Retrait et modification du consentement à grain fin Gouvernance Contrôle d’accès Autorisation
© 2017 ForgeRock. All rights reserved. Traitements particuliers • Big Data • Suivi des individus, Profiling • Consentement, Pseudonymisation, DPIA • Analyse comportementale de groupes • Généralisation, anonymisation • Cloud • Localisation • Vérifier les certifications, Codes de conduites (ISO 27018) • Transparence et réversibilité • IoT • Privacy by design and by default • Consentement contractuel, éventuellement via l’objet (smart device)
© 2017 ForgeRock. All rights reserved. Digital Identity is Everywhere in Connected Cars Owners Drivers Mechanics Sensors Devices Vehicles
© 2017 ForgeRock. All rights reserved. Enable data sharing • User-controlled sharing of personal data and app access, from any web API • Empowered user consent, letting users approve only what they want to • Capturing consent actions in a central user dashboard for viewing, changing, and revoking
© 2017 ForgeRock. All rights reserved. By 2016, over 1/3 of all circulating cars in Western Europe are expected to be connected, reaching about 90% by 2020. Today, the amount of data generated by a connected vehicle exceeds 25GB/hour.” “ Source: https://www.hds.com/en-us/pdf/white-paper/hitachi-white-paper-internet-on-wheels.pdf© 2017 ForgeRock. All rights reserved.
© 2017 ForgeRock. All rights reserved. https://www.flickr.com/photos/mckln/3548378531/ | CC BY 2.0 La confidentialité n'est pas le secret La confidentialité n'est pas le chiffrement No more data about you, without you La confidentialité est relative au contexte, au contrôle, au choix et au respect.
© 2017 ForgeRock. All rights reserved. Quelques références • RGDP UE Guide de poche de Alan Calder. Itgp éditeur • GDPR: Building your businness to compliance de M.Foulsham et B.Hitchen • La protection des données personnelles de G.Desgens- Pasanau • The EU General Data Protection Regulation de P.Voigt et A.von dem Busshe, Springer • CNIL : www.cnil.fr
© 2017 ForgeRock. All rights reserved. Merci

Recommandé

RGPD et stratégie digitale
RGPD et stratégie digitaleRGPD et stratégie digitale
RGPD et stratégie digitaleProf. Jacques Folon (Ph.D)
 
GDPR
GDPRGDPR
GDPREmilie Scalla
 
Protéger ses données avec de la DLP
Protéger ses données avec de la DLPProtéger ses données avec de la DLP
Protéger ses données avec de la DLPMarc Rousselet
 
Big Data & contrôle des données
Big Data & contrôle des donnéesBig Data & contrôle des données
Big Data & contrôle des donnéesStephane Droxler
 
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper 2
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper 2Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper 2
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper 2Guillaume Valcin
 
RH ET RGPD
RH ET RGPDRH ET RGPD
RH ET RGPDProf. Jacques Folon (Ph.D)
 
Le risque informatique et sa dimension juridique
Le risque informatique et sa dimension juridiqueLe risque informatique et sa dimension juridique
Le risque informatique et sa dimension juridiqueAntoine Vigneron
 
Dossier GDPR
Dossier GDPRDossier GDPR
Dossier GDPRProf. Jacques Folon (Ph.D)
 

Recommandé

RGPD et stratégie digitale
RGPD et stratégie digitaleRGPD et stratégie digitale
RGPD et stratégie digitaleProf. Jacques Folon (Ph.D)
 
GDPR
GDPRGDPR
GDPREmilie Scalla
 
Protéger ses données avec de la DLP
Protéger ses données avec de la DLPProtéger ses données avec de la DLP
Protéger ses données avec de la DLPMarc Rousselet
 
Big Data & contrôle des données
Big Data & contrôle des donnéesBig Data & contrôle des données
Big Data & contrôle des donnéesStephane Droxler
 
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper 2
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper 2Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper 2
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper 2Guillaume Valcin
 
RH ET RGPD
RH ET RGPDRH ET RGPD
RH ET RGPDProf. Jacques Folon (Ph.D)
 
Le risque informatique et sa dimension juridique
Le risque informatique et sa dimension juridiqueLe risque informatique et sa dimension juridique
Le risque informatique et sa dimension juridiqueAntoine Vigneron
 
Dossier GDPR
Dossier GDPRDossier GDPR
Dossier GDPRProf. Jacques Folon (Ph.D)
 
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !Niji
 
Rgpd
RgpdRgpd
RgpdOhWeb Sas
 
L'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécuritéL'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécuritéAntoine Vigneron
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATAISACA Chapitre de Québec
 
Directive GPDR/RGPD du 28/11/2017
Directive GPDR/RGPD du 28/11/2017Directive GPDR/RGPD du 28/11/2017
Directive GPDR/RGPD du 28/11/2017Zyxel France
 
Classifier vos données pour envisager sereinement le Cloud et le BYOD !
Classifier vos données pour envisager sereinement le Cloud et le BYOD !Classifier vos données pour envisager sereinement le Cloud et le BYOD !
Classifier vos données pour envisager sereinement le Cloud et le BYOD !Microsoft Ideas
 
Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...
Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...
Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...Microsoft
 
Gdpr presentation
Gdpr presentationGdpr presentation
Gdpr presentationGaetan Karre
 
Grand Format "Data to Consumer" - Présentation Bird & Bird
Grand Format "Data to Consumer" - Présentation Bird & BirdGrand Format "Data to Consumer" - Présentation Bird & Bird
Grand Format "Data to Consumer" - Présentation Bird & BirdPetit Web
 
Comment sécuriser une démarche BYOD
Comment sécuriser une démarche BYODComment sécuriser une démarche BYOD
Comment sécuriser une démarche BYODMarc Rousselet
 
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?Eloquant
 
Be-Studys - Value Proposition
Be-Studys - Value PropositionBe-Studys - Value Proposition
Be-Studys - Value PropositionDavid MANSET
 
ISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPDISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPDAgathe Rouviere 🚀
 
WEBINAR : APPRENEZ A MAITRISER LES QUESTIONNAIRES RGPD POUR GAGNER DES MARCHE...
WEBINAR : APPRENEZ A MAITRISER LES QUESTIONNAIRES RGPD POUR GAGNER DES MARCHE...WEBINAR : APPRENEZ A MAITRISER LES QUESTIONNAIRES RGPD POUR GAGNER DES MARCHE...
WEBINAR : APPRENEZ A MAITRISER LES QUESTIONNAIRES RGPD POUR GAGNER DES MARCHE...Jean-Marc PROVENT
 
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015ISACA Chapitre de Québec
 
HARLAY Avocats big ou smart, les nouveaux enjeux juridiques de la gouvernan...
HARLAY Avocats big ou smart, les nouveaux enjeux juridiques de la gouvernan...HARLAY Avocats big ou smart, les nouveaux enjeux juridiques de la gouvernan...
HARLAY Avocats big ou smart, les nouveaux enjeux juridiques de la gouvernan...Micropole Group
 
Gestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsGestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsClaranet
 
Rgpd presentation
Rgpd presentationRgpd presentation
Rgpd presentationgnizon
 
earlegal #5 - Comment protéger l’investissement de mon entreprise dans un pro...
earlegal #5 - Comment protéger l’investissement de mon entreprise dans un pro...earlegal #5 - Comment protéger l’investissement de mon entreprise dans un pro...
earlegal #5 - Comment protéger l’investissement de mon entreprise dans un pro...Lexing - Belgium
 
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)AT Internet
 
Mailjet BigData - RGPD : les actions IT pour assurer la protection des données
Mailjet BigData - RGPD : les actions IT pour assurer la protection des donnéesMailjet BigData - RGPD : les actions IT pour assurer la protection des données
Mailjet BigData - RGPD : les actions IT pour assurer la protection des donnéesMailjet
 
FIDDAYS - Comment mettre en place le RGPD au sein de sa societe ?
FIDDAYS - Comment mettre en place le RGPD au sein de sa societe ?FIDDAYS - Comment mettre en place le RGPD au sein de sa societe ?
FIDDAYS - Comment mettre en place le RGPD au sein de sa societe ?FIDAQUITAINE
 

Contenu connexe

Tendances

Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !Niji
 
L'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécuritéL'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécuritéAntoine Vigneron
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATAISACA Chapitre de Québec
 
Directive GPDR/RGPD du 28/11/2017
Directive GPDR/RGPD du 28/11/2017Directive GPDR/RGPD du 28/11/2017
Directive GPDR/RGPD du 28/11/2017Zyxel France
 
Classifier vos données pour envisager sereinement le Cloud et le BYOD !
Classifier vos données pour envisager sereinement le Cloud et le BYOD !Classifier vos données pour envisager sereinement le Cloud et le BYOD !
Classifier vos données pour envisager sereinement le Cloud et le BYOD !Microsoft Ideas
 
Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...
Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...
Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...Microsoft
 
Grand Format "Data to Consumer" - Présentation Bird & Bird
Grand Format "Data to Consumer" - Présentation Bird & BirdGrand Format "Data to Consumer" - Présentation Bird & Bird
Grand Format "Data to Consumer" - Présentation Bird & BirdPetit Web
 
Comment sécuriser une démarche BYOD
Comment sécuriser une démarche BYODComment sécuriser une démarche BYOD
Comment sécuriser une démarche BYODMarc Rousselet
 
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?Eloquant
 
Be-Studys - Value Proposition
Be-Studys - Value PropositionBe-Studys - Value Proposition
Be-Studys - Value PropositionDavid MANSET
 
WEBINAR : APPRENEZ A MAITRISER LES QUESTIONNAIRES RGPD POUR GAGNER DES MARCHE...
WEBINAR : APPRENEZ A MAITRISER LES QUESTIONNAIRES RGPD POUR GAGNER DES MARCHE...WEBINAR : APPRENEZ A MAITRISER LES QUESTIONNAIRES RGPD POUR GAGNER DES MARCHE...
WEBINAR : APPRENEZ A MAITRISER LES QUESTIONNAIRES RGPD POUR GAGNER DES MARCHE...Jean-Marc PROVENT
 
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015ISACA Chapitre de Québec
 
HARLAY Avocats big ou smart, les nouveaux enjeux juridiques de la gouvernan...
HARLAY Avocats big ou smart, les nouveaux enjeux juridiques de la gouvernan...HARLAY Avocats big ou smart, les nouveaux enjeux juridiques de la gouvernan...
HARLAY Avocats big ou smart, les nouveaux enjeux juridiques de la gouvernan...Micropole Group
 
Gestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsGestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsClaranet
 
Rgpd presentation
Rgpd presentationRgpd presentation
Rgpd presentationgnizon
 
earlegal #5 - Comment protéger l’investissement de mon entreprise dans un pro...
earlegal #5 - Comment protéger l’investissement de mon entreprise dans un pro...earlegal #5 - Comment protéger l’investissement de mon entreprise dans un pro...
earlegal #5 - Comment protéger l’investissement de mon entreprise dans un pro...Lexing - Belgium
 
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)AT Internet
 

Tendances (20)

Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
 
Rgpd
RgpdRgpd
Rgpd
 
L'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécuritéL'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécurité
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATA
 
Directive GPDR/RGPD du 28/11/2017
Directive GPDR/RGPD du 28/11/2017Directive GPDR/RGPD du 28/11/2017
Directive GPDR/RGPD du 28/11/2017
 
Classifier vos données pour envisager sereinement le Cloud et le BYOD !
Classifier vos données pour envisager sereinement le Cloud et le BYOD !Classifier vos données pour envisager sereinement le Cloud et le BYOD !
Classifier vos données pour envisager sereinement le Cloud et le BYOD !
 
Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...
Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...
Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...
 
Gdpr presentation
Gdpr presentationGdpr presentation
Gdpr presentation
 
Grand Format "Data to Consumer" - Présentation Bird & Bird
Grand Format "Data to Consumer" - Présentation Bird & BirdGrand Format "Data to Consumer" - Présentation Bird & Bird
Grand Format "Data to Consumer" - Présentation Bird & Bird
 
Comment sécuriser une démarche BYOD
Comment sécuriser une démarche BYODComment sécuriser une démarche BYOD
Comment sécuriser une démarche BYOD
 
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
 
Be-Studys - Value Proposition
Be-Studys - Value PropositionBe-Studys - Value Proposition
Be-Studys - Value Proposition
 
ISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPDISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPD
 
WEBINAR : APPRENEZ A MAITRISER LES QUESTIONNAIRES RGPD POUR GAGNER DES MARCHE...
WEBINAR : APPRENEZ A MAITRISER LES QUESTIONNAIRES RGPD POUR GAGNER DES MARCHE...WEBINAR : APPRENEZ A MAITRISER LES QUESTIONNAIRES RGPD POUR GAGNER DES MARCHE...
WEBINAR : APPRENEZ A MAITRISER LES QUESTIONNAIRES RGPD POUR GAGNER DES MARCHE...
 
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
 
HARLAY Avocats big ou smart, les nouveaux enjeux juridiques de la gouvernan...
HARLAY Avocats big ou smart, les nouveaux enjeux juridiques de la gouvernan...HARLAY Avocats big ou smart, les nouveaux enjeux juridiques de la gouvernan...
HARLAY Avocats big ou smart, les nouveaux enjeux juridiques de la gouvernan...
 
Gestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsGestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligations
 
Rgpd presentation
Rgpd presentationRgpd presentation
Rgpd presentation
 
earlegal #5 - Comment protéger l’investissement de mon entreprise dans un pro...
earlegal #5 - Comment protéger l’investissement de mon entreprise dans un pro...earlegal #5 - Comment protéger l’investissement de mon entreprise dans un pro...
earlegal #5 - Comment protéger l’investissement de mon entreprise dans un pro...
 
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)
 

Similaire à Évènement 01 Business - GDPR, confiance et confidentialité des données, défi d'entreprise ou opportunité?

Mailjet BigData - RGPD : les actions IT pour assurer la protection des données
Mailjet BigData - RGPD : les actions IT pour assurer la protection des donnéesMailjet BigData - RGPD : les actions IT pour assurer la protection des données
Mailjet BigData - RGPD : les actions IT pour assurer la protection des donnéesMailjet
 
FIDDAYS - Comment mettre en place le RGPD au sein de sa societe ?
FIDDAYS - Comment mettre en place le RGPD au sein de sa societe ?FIDDAYS - Comment mettre en place le RGPD au sein de sa societe ?
FIDDAYS - Comment mettre en place le RGPD au sein de sa societe ?FIDAQUITAINE
 
Mise en conformité d'un traitement de données de bout-en-bout
Mise en conformité d'un traitement de données de bout-en-boutMise en conformité d'un traitement de données de bout-en-bout
Mise en conformité d'un traitement de données de bout-en-boutAndrea MARTELLETTI
 
Rh et data DANS LE MONDE APRÈS LE CONFINEMENT
Rh et data DANS LE MONDE APRÈS LE CONFINEMENTRh et data DANS LE MONDE APRÈS LE CONFINEMENT
Rh et data DANS LE MONDE APRÈS LE CONFINEMENTProf. Jacques Folon (Ph.D)
 
Atelier 8 - RGPD - Conférence Thierry Preel 2019
Atelier 8 - RGPD - Conférence Thierry Preel 2019Atelier 8 - RGPD - Conférence Thierry Preel 2019
Atelier 8 - RGPD - Conférence Thierry Preel 2019Tarn Tourisme
 
Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...
Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...
Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...Mailjet
 
Valorisez votre business grâce au Big Data - Mois du numérique 2017
Valorisez votre business grâce au Big Data - Mois du numérique 2017Valorisez votre business grâce au Big Data - Mois du numérique 2017
Valorisez votre business grâce au Big Data - Mois du numérique 2017Cyril Marsaud
 
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper Guillaume Valcin
 
Adetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketingAdetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketingLuc-Marie AUGAGNEUR
 
Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?
Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?
Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?Sollan France
 
presentation_rgpd_062018.pptx
presentation_rgpd_062018.pptxpresentation_rgpd_062018.pptx
presentation_rgpd_062018.pptxSidiAbdallah1
 
Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018Pierre Ammeloot
 

Similaire à Évènement 01 Business - GDPR, confiance et confidentialité des données, défi d'entreprise ou opportunité? (20)

Mailjet BigData - RGPD : les actions IT pour assurer la protection des données
Mailjet BigData - RGPD : les actions IT pour assurer la protection des donnéesMailjet BigData - RGPD : les actions IT pour assurer la protection des données
Mailjet BigData - RGPD : les actions IT pour assurer la protection des données
 
FIDDAYS - Comment mettre en place le RGPD au sein de sa societe ?
FIDDAYS - Comment mettre en place le RGPD au sein de sa societe ?FIDDAYS - Comment mettre en place le RGPD au sein de sa societe ?
FIDDAYS - Comment mettre en place le RGPD au sein de sa societe ?
 
Mise en conformité d'un traitement de données de bout-en-bout
Mise en conformité d'un traitement de données de bout-en-boutMise en conformité d'un traitement de données de bout-en-bout
Mise en conformité d'un traitement de données de bout-en-bout
 
Rh et data DANS LE MONDE APRÈS LE CONFINEMENT
Rh et data DANS LE MONDE APRÈS LE CONFINEMENTRh et data DANS LE MONDE APRÈS LE CONFINEMENT
Rh et data DANS LE MONDE APRÈS LE CONFINEMENT
 
Atelier 8 - RGPD - Conférence Thierry Preel 2019
Atelier 8 - RGPD - Conférence Thierry Preel 2019Atelier 8 - RGPD - Conférence Thierry Preel 2019
Atelier 8 - RGPD - Conférence Thierry Preel 2019
 
Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...
Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...
Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...
 
Valorisez votre business grâce au Big Data - Mois du numérique 2017
Valorisez votre business grâce au Big Data - Mois du numérique 2017Valorisez votre business grâce au Big Data - Mois du numérique 2017
Valorisez votre business grâce au Big Data - Mois du numérique 2017
 
RGPD & RH
RGPD & RHRGPD & RH
RGPD & RH
 
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
 
Adetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketingAdetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketing
 
Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?
Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?
Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?
 
Rgpd cdg 13 2018.compressed
Rgpd cdg 13 2018.compressedRgpd cdg 13 2018.compressed
Rgpd cdg 13 2018.compressed
 
Rgpd
RgpdRgpd
Rgpd
 
RGPD / GDPR
RGPD / GDPRRGPD / GDPR
RGPD / GDPR
 
presentation_rgpd_062018.pptx
presentation_rgpd_062018.pptxpresentation_rgpd_062018.pptx
presentation_rgpd_062018.pptx
 
Ifc janvier 2020 jour 1 gdpr en pratique
Ifc janvier 2020 jour 1 gdpr en pratiqueIfc janvier 2020 jour 1 gdpr en pratique
Ifc janvier 2020 jour 1 gdpr en pratique
 
Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018
 
Le dossier RGPD
Le dossier RGPDLe dossier RGPD
Le dossier RGPD
 
ISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPDISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPD
 
Atelier RGPD ANDRH 27.03.18
Atelier RGPD ANDRH 27.03.18Atelier RGPD ANDRH 27.03.18
Atelier RGPD ANDRH 27.03.18
 

Plus de Leonard Moustacchis

De la bonne utilisation de OAuth2
De la bonne utilisation de OAuth2 De la bonne utilisation de OAuth2
De la bonne utilisation de OAuth2 Leonard Moustacchis
 
Facebook data breach and OAuth2
Facebook data breach and OAuth2 Facebook data breach and OAuth2
Facebook data breach and OAuth2Leonard Moustacchis
 
Intelligent authentication Identity tech talks
Intelligent authentication Identity tech talksIntelligent authentication Identity tech talks
Intelligent authentication Identity tech talksLeonard Moustacchis
 
Blockchain et ses cas d'usages - Identity Tech Talk#10
Blockchain et ses cas d'usages - Identity Tech Talk#10 Blockchain et ses cas d'usages - Identity Tech Talk#10
Blockchain et ses cas d'usages - Identity Tech Talk#10 Leonard Moustacchis
 
iProov et Biométrie Identity Tech Talk #10
iProov et Biométrie Identity Tech Talk #10iProov et Biométrie Identity Tech Talk #10
iProov et Biométrie Identity Tech Talk #10Leonard Moustacchis
 
201707 dsp2 standards, sécurité, quels impacts - wavestone
201707 dsp2 standards, sécurité, quels impacts - wavestone201707 dsp2 standards, sécurité, quels impacts - wavestone
201707 dsp2 standards, sécurité, quels impacts - wavestoneLeonard Moustacchis
 
Quels sont les enjeux de la réglementation GDPR
Quels sont les enjeux de la réglementation GDPRQuels sont les enjeux de la réglementation GDPR
Quels sont les enjeux de la réglementation GDPRLeonard Moustacchis
 
Présentation de UMA (User Managed Access)
Présentation de UMA (User Managed Access)Présentation de UMA (User Managed Access)
Présentation de UMA (User Managed Access)Leonard Moustacchis
 
Identity Tech Talks #3 FIDO futur of authentication
Identity Tech Talks #3 FIDO futur of authenticationIdentity Tech Talks #3 FIDO futur of authentication
Identity Tech Talks #3 FIDO futur of authenticationLeonard Moustacchis
 
Mon Raspberry PI a une identité !
Mon Raspberry PI a une identité ! Mon Raspberry PI a une identité !
Mon Raspberry PI a une identité ! Leonard Moustacchis
 
Comment ça marche: OpenID Connect fournisseur d’identité universel de Google ...
Comment ça marche: OpenID Connect fournisseur d’identité universel de Google ...Comment ça marche: OpenID Connect fournisseur d’identité universel de Google ...
Comment ça marche: OpenID Connect fournisseur d’identité universel de Google ...Leonard Moustacchis
 
Valorisez votre écosystème d'identités
Valorisez votre écosystème d'identitésValorisez votre écosystème d'identités
Valorisez votre écosystème d'identitésLeonard Moustacchis
 
L’identité numérique : un atout incontournable pour construire une relation c...
L’identité numérique : un atout incontournable pour construire une relation c...L’identité numérique : un atout incontournable pour construire une relation c...
L’identité numérique : un atout incontournable pour construire une relation c...Leonard Moustacchis
 

Plus de Leonard Moustacchis (20)

Identity verification and AI
Identity verification and AIIdentity verification and AI
Identity verification and AI
 
De la bonne utilisation de OAuth2
De la bonne utilisation de OAuth2 De la bonne utilisation de OAuth2
De la bonne utilisation de OAuth2
 
WebAuthn & FIDO2
WebAuthn & FIDO2WebAuthn & FIDO2
WebAuthn & FIDO2
 
Facebook data breach and OAuth2
Facebook data breach and OAuth2 Facebook data breach and OAuth2
Facebook data breach and OAuth2
 
Identity techtalk orange
Identity techtalk orangeIdentity techtalk orange
Identity techtalk orange
 
Intelligent authentication Identity tech talks
Intelligent authentication Identity tech talksIntelligent authentication Identity tech talks
Intelligent authentication Identity tech talks
 
Blockchain et ses cas d'usages - Identity Tech Talk#10
Blockchain et ses cas d'usages - Identity Tech Talk#10 Blockchain et ses cas d'usages - Identity Tech Talk#10
Blockchain et ses cas d'usages - Identity Tech Talk#10
 
iProov et Biométrie Identity Tech Talk #10
iProov et Biométrie Identity Tech Talk #10iProov et Biométrie Identity Tech Talk #10
iProov et Biométrie Identity Tech Talk #10
 
Microservice et identité
Microservice et identitéMicroservice et identité
Microservice et identité
 
201707 dsp2 standards, sécurité, quels impacts - wavestone
201707 dsp2 standards, sécurité, quels impacts - wavestone201707 dsp2 standards, sécurité, quels impacts - wavestone
201707 dsp2 standards, sécurité, quels impacts - wavestone
 
Identité et Automobile
Identité et AutomobileIdentité et Automobile
Identité et Automobile
 
Meetup devops
Meetup devopsMeetup devops
Meetup devops
 
Quels sont les enjeux de la réglementation GDPR
Quels sont les enjeux de la réglementation GDPRQuels sont les enjeux de la réglementation GDPR
Quels sont les enjeux de la réglementation GDPR
 
Présentation de UMA (User Managed Access)
Présentation de UMA (User Managed Access)Présentation de UMA (User Managed Access)
Présentation de UMA (User Managed Access)
 
Identity Tech Talks #3 FIDO futur of authentication
Identity Tech Talks #3 FIDO futur of authenticationIdentity Tech Talks #3 FIDO futur of authentication
Identity Tech Talks #3 FIDO futur of authentication
 
Mon Raspberry PI a une identité !
Mon Raspberry PI a une identité ! Mon Raspberry PI a une identité !
Mon Raspberry PI a une identité !
 
Comment ça marche: OpenID Connect fournisseur d’identité universel de Google ...
Comment ça marche: OpenID Connect fournisseur d’identité universel de Google ...Comment ça marche: OpenID Connect fournisseur d’identité universel de Google ...
Comment ça marche: OpenID Connect fournisseur d’identité universel de Google ...
 
Pas d'IoT sans Identité!
Pas d'IoT sans Identité!Pas d'IoT sans Identité!
Pas d'IoT sans Identité!
 
Valorisez votre écosystème d'identités
Valorisez votre écosystème d'identitésValorisez votre écosystème d'identités
Valorisez votre écosystème d'identités
 
L’identité numérique : un atout incontournable pour construire une relation c...
L’identité numérique : un atout incontournable pour construire une relation c...L’identité numérique : un atout incontournable pour construire une relation c...
L’identité numérique : un atout incontournable pour construire une relation c...
 

Évènement 01 Business - GDPR, confiance et confidentialité des données, défi d'entreprise ou opportunité?

  • 1. © 2017 ForgeRock. All rights reserved. GDPR, confiance et confidentialité des données, défi d'entreprise ou opportunité? Alain Barbier Léonard Moustacchis
  • 2. © 2017 ForgeRock. All rights reserved. Mes données personnelles Sur Internet 2 Name Last name Email Address City Country • Où sont stockées mes données ? • Comment sont-elles sauvegardées ? • Vont-elles être disséminées, distribuées ? • Quels contrôles ai-je sur mes données ? • Pourquoi autant d’informations personnelles à fournir ? • Quels risques ? • Quelles actions en cas de perte, de violation ?
  • 3. © 2017 ForgeRock. All rights reserved. • Il sait où je suis • Il connaît l’adresse de ma maison et de mon travail • Il sait lorsque je vais trop vite sur l’autoroute • Il connaît mes contacts favoris et peut reconnaître leur visage. Mes données personnelles Sur mon mobile
  • 4. © 2017 ForgeRock. All rights reserved. Confiance Transparence Unification L’usager contrôle la portée de ses données personnelles Le responsable de traitement et les sous-traitants appliquent les règles de la GDPR L’autorité de contrôle fait respecter la GDPR
  • 5. © 2017 ForgeRock. All rights reserved. Quand: 25 Mai 2018 Qui: Toutes les organisations qui opèrent dans des États membres de l'UE ou avec des résidents de l'UE doivent s’y conformer Qu’est-ce que le GDPR? • Conçu pour donner aux consommateurs le contrôle de leurs données • Consentement explicite pour les données saisies • Droit à l’oubli, portabilité des données • “Privacy by design” Impact: Amendes allant jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires global annuel © 2017 ForgeRock. All rights reserved. GDPR : Les éléments clés
  • 6. © 2017 ForgeRock. All rights reserved. Les principes 6
  • 7. © 2017 ForgeRock. All rights reserved. Principe de responsabilisation Accountability (Article 5) • Le responsable du traitement/sous traitant doit être en mesure de : • assurer la conformité à la GDPR • démontrer qu’il a pris les mesures techniques et organisationnelles pour respecter le réglement. • Conduite régulière d’audits • Mise en oeuvre d’études d’impacts (PIA) (Article 35) • Sensibilisation et formation • Etablissement de codes de conduite • Nomination d’un délégué à la Protection des Données (DPO) (Article 37 à 39)
  • 8. © 2017 ForgeRock. All rights reserved. Droits de l’individu • Accès aux données (Article 15, 16, 20) • Droit de consultation, modification, rétention • Portabilité des données • Effacement (droit à l’oubli) => 30 jours de délai (Article 17) • Opposition à un traitement (Article 21) • Notification aux sous-traitants en cas de rectification/effacement (Article 19) • Modification, effacement par le responsable de traitement • Consentement (Article 4,7) • Manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement.
  • 9. © 2017 ForgeRock. All rights reserved. Obligations du responsable de traitement et du sous-traitant (1) • Sécurisation des traitements • Chiffrement, pseudonymisation, confidentialité, intégrité, disponibilité • Notification de violation • Informer l’autorité de contrôle dans les 72h après détection • Rapport • Nature de la violation • Conséquences probables • Mesures • Si risque élevé pour l’individu alors la personne concernée devra être informée dans les meilleurs délais • Remédiation
  • 10. © 2017 ForgeRock. All rights reserved. Obligations du responsable de traitement et du sous-traitant (2) • DPIA (Data Protection Impact Assessment) : ISO 27005 • Quelles conséquences pratiques l’existence même du traitement fait courir à chaque personne dont les données sont traitées ? • En cas de faille de sécurité et de fuite de données, quelles conséquences sur le respect de la vie privée de la personne concernée ? • Nommer un DPO : Data Protection Officer • Informer sur les obligations de protection • Contrôler le respect à la GDPR • Conseiller et Vérifier lors du DPIA • Coopérer avec l’autorité de contrôle • Point de contact avec l’autorté de contrôle • Tenir un registre des traitements • Produire des codes de conduite et obtenir des certifications
  • 11. © 2017 ForgeRock. All rights reserved. Transferts vers des pays hors UE • Pays ayant des accords (Article 45) • US : Privacy Shield, • Andorre, Argentine, Canada, Israel, Nvelle Zélande, Suisse, … • Importance de la certification et des codes de conduite • Au cas par cas pour les autres (Articles 46 et 47) • Règles d’entreprise contraignantes • Approbation de l’autorité de contrôle • Peu courant à ce jour
  • 12. © 2017 ForgeRock. All rights reserved. Le Projet Risques et difficultés 12
  • 13. © 2017 ForgeRock. All rights reserved. 13 Communication et sensibilisation Conduite du changement Audit sur les données Évaluations d’impact sur la confidentialité des données
  • 14. © 2017 ForgeRock. All rights reserved. Communication et sensibilisation Implication de l’organisation • Politique de sécurité • Engagement du conseil d'administration • Principes de sécurité de l'information • Organisation (responsabilités) • Classification de l’information • Sécurité physique et environnementale • Système de contrôle d'accès • Continuité de service • Démarche commune avec vos fournisseurs
  • 15. © 2017 ForgeRock. All rights reserved. Audit sur les données Identification • Provenance des données • Fournisseur, Source externe, Client • Minimisation des données • N’utiliser, ne conserver que les données nécessaires • Politique de rétention • Destruction des données expirées • Durée de rétention à fournir au sujet via le consentement ou directement (<1mois) • Destination des données • Vérifier les contrats avec les sous-traitants (ISO 27001) • UE ou hors UE
  • 16. © 2017 ForgeRock. All rights reserved. Évaluations des impacts sur la confidentialité des données Data Privacy Impact Assessments • Utilisation de ISO 27005 comme modèle • Analyse des Flux de données • Evaluation des risques : • Identification • Evaluation/Classification/Sévérité • Mesures additionnelles • Risque résiduel => contact avec l’autorité de contrôle (DPO) • Pseudonymisation • Anonymisation
  • 17. © 2017 ForgeRock. All rights reserved. Conduite du changement • Revoir la méthodologie des projets informatiques • Privacy by design et Privacy by Default • Revoir la sécurité des infrastructures et les processus de traitement • Définir des règles de conduite • Toutes les fonctions de l’entreprise sont concernées. Les processus de collaboration devront être revus. • DSI (continuité, sécurité, …) • Juridique (revoir les contrats avec les sous-traitants ...) • HR (minimisation des données personnelles des employées, DPIA) • DPO (revu des processus, DPIA, conseil, audit …) • Marketing (cartographie des données personnelles utilisées, …) • Risques
  • 18. © 2017 ForgeRock. All rights reserved. Opportunités
  • 19. © 2017 ForgeRock. All rights reserved. Les Opportunités • Simplification : interaction avec une seule autorité de contrôle • Cohérence : une loi unique pour l’ensemble des pays de l’UE • Reprise du contrôle des données • Localisation • Processus • Accroissement de la confiance des usagers pour étendre la chaîne de valeur 80% of consumers are more likely to purchases from consumer product companies that they believe protect their personal information 72% avoid purchasing brands from consumer product companies that they believe do not protect their personal information
  • 20. © 2017 ForgeRock. All rights reserved. Adoptez une vue globale pour éliminer les frictions 20 Gestion du cycle de vie de l'identité Stockage sécurisé des données personnelles Réplication fractionnée Provenance de données Conditions de service, politique de confidentialité et préférences, gestion de consentement Gestion fédérée et de consentement social Partage et approbation par l'utilisateur Retrait et modification du consentement à grain fin Gouvernance Contrôle d’accès Autorisation
  • 21. © 2017 ForgeRock. All rights reserved. Traitements particuliers • Big Data • Suivi des individus, Profiling • Consentement, Pseudonymisation, DPIA • Analyse comportementale de groupes • Généralisation, anonymisation • Cloud • Localisation • Vérifier les certifications, Codes de conduites (ISO 27018) • Transparence et réversibilité • IoT • Privacy by design and by default • Consentement contractuel, éventuellement via l’objet (smart device)
  • 22. © 2017 ForgeRock. All rights reserved. Digital Identity is Everywhere in Connected Cars Owners Drivers Mechanics Sensors Devices Vehicles
  • 23. © 2017 ForgeRock. All rights reserved. Enable data sharing • User-controlled sharing of personal data and app access, from any web API • Empowered user consent, letting users approve only what they want to • Capturing consent actions in a central user dashboard for viewing, changing, and revoking
  • 24. © 2017 ForgeRock. All rights reserved. By 2016, over 1/3 of all circulating cars in Western Europe are expected to be connected, reaching about 90% by 2020. Today, the amount of data generated by a connected vehicle exceeds 25GB/hour.” “ Source: https://www.hds.com/en-us/pdf/white-paper/hitachi-white-paper-internet-on-wheels.pdf© 2017 ForgeRock. All rights reserved.
  • 25. © 2017 ForgeRock. All rights reserved. https://www.flickr.com/photos/mckln/3548378531/ | CC BY 2.0 La confidentialité n'est pas le secret La confidentialité n'est pas le chiffrement No more data about you, without you La confidentialité est relative au contexte, au contrôle, au choix et au respect.
  • 26. © 2017 ForgeRock. All rights reserved. Quelques références • RGDP UE Guide de poche de Alan Calder. Itgp éditeur • GDPR: Building your businness to compliance de M.Foulsham et B.Hitchen • La protection des données personnelles de G.Desgens- Pasanau • The EU General Data Protection Regulation de P.Voigt et A.von dem Busshe, Springer • CNIL : www.cnil.fr
  • 27. © 2017 ForgeRock. All rights reserved. Merci