SlideShare une entreprise Scribd logo
1  sur  24
Standards, Security, and Audit
Règlement général sur la protection
des données (RGPD) de l’UE
René W. Vergé, Avocat, CISSP, CIPP/C
Responsable sécurité de l'information, conformité et risque TI
Bombardier Aéronautique
Cofondateur et Chef de la direction - VoD2
Contact Information
+1 514 992-4271
rv@vod2.com
www.vod2.com
linkedin.com/in/reneverge
twitter.com/reneverge
Baccalauréat en économie et espagnol de l’Université Concordia - Baccalauréat
en droit de l’Université de Montréal - Études de deuxième cycle en droit à
l’Université McGill et l’Académie de droit international de La Haye, aux Pays-Bas.
Admis au barreau du Québec en 1993 - Détient les certifications CIPP/C, CISA et
CISSP. Coauteur du livre intitulé “Gouvernance, audit et sécurité des
technologies de l’information », publié chez CCH, Wolters Kluwer en 2008.
3
4
Entrée en vigueur du RGPD: 25 mai 2018
5
Entrée en vigueur du RGPD: 25 mai 2018
* http://www.eugdpr.org/
6
Évolution de la vie privée en ligne
• 1980: Criminalisation dans plusieurs juridictions
• 1990: Activités financières en ligne – Crime digital financier -
Sécurité rudimentaire
• 1993: Loi sur la protection des renseignements personnels
dans le secteur privé
• 1995: Directive CE sur la protection des données personnelles
• 2000: Loi Canadienne sur la protection des renseignements
personnels et les documents électroniques (PIPEDA)
7
Évolution de la vie privée en ligne
• Niveau de sécurité approprié considérant la technologie et du
coût en fonction des risques - Sécurité en fonction du degré
de sensibilité des renseignements personnels
• Signification pour un professionnel en TI?
• Changement et évolution rapide des technologies
• Puissance de traitement des ordinateurs limitée
• Risque = Dommage financier personnel
• 2000+: Dommage personnel non-financier
• Valeur des données ↑ (analytique) + Techniques de fraude ↑
• 2016: RGPD UE + DSRSI… (Août 2016 + 21 mois États)
8
RGPD vs. LPRPDE/PIPEDA
• Le Canada bénéficie d’une équivalence partielle depuis 2001
pour faciliter le transfert de données provenant de l’UE
• Le transfert de données représente la pointe de l’iceberg des
obligations découlant du RGPD
• Différences majeures ci-dessous
9
RGPD changements clés
Application extraterritoriale:
toute compagnie (responsable
du traitement ou sous-
traitant) traitant des données
de résidents européens, peu
importe son emplacement.
Système RH (infonuagique ou autre) à l’étranger.
Seulement pour entreprise sous juridiction
fédérale. Majorité sous gouverne provinciale. Loi
applicable aux employés (Québec, Alberta, CB).
Couvert sous RGPD, peut être plus stricte dans les
États. Consentement des employés n’est pas libre,
donc insuffisant. Détail de l’utilisation est
important. Requiert clauses standards ou règles
obligatoires de l'entreprise.
LPRPDE vs. RGPD
10
RGPD changements clés
Consentement accru:
Fini le charabia juridique
interminable, intelligible,
formulaire facilement
accessible, incluant la raison
du traitement, en langage
commun. Même facilité pour
retirer son consentement.
Compréhension et limite de la collecte
(2015) vs. collecte pour exécution de
contrat ou intérêts légitimes. RDGP:
Pas de consentement implicite. Ne
peut être intégré au contrat. Donné
séparément pour chaque utilisation.
Age de la personne qui consent (+/-13
vs. 16 ou moins selon l’état)
LPRPDE vs. RGPD
11
RGPD changements clés
Protection des données dès la
conception:
« Privacy by Design »
La sécurité doit être prise en
compte dès la conception des
systèmes et non comme une
addition. Minimisation des
données. Accès selon le
besoin de savoir pour le
traitement.
12
RGPD changements clés
Droit d’accès:
Obtenir du responsable du
traitement la confirmation des
données utilisée, l’endroit et
la raison. Obtenir une copie
des données, gratuitement,
dans un format électronique.
Changement dramatique en
termes de transparence et de
contrôle de la part des
individus.
13
RGPD changements clés
Droit à l’oubli:
« Le droit à l’effacement des
données ». Demande au
responsable du traitement
(qui doit intervenir avec les
sous-traitants au besoin).
Retrait du consentement ou
les données ne sont plus
pertinentes au traitement.
Obligation qualifiée dans les deux. Pas
d’obligation de contacter les sous-
traitants vs. conflit si conservation d’une
autre loi étrangère. Pas applicable aux
outils de recherche (pas commercial) vs.
plus large.
LPRPDE vs. RGPD
14
RGPD changements clés
Portabilité des données:
Droit d’obtenir les données les
concernant qu’ils ont fournies,
dans un format standard et le
droit de le transmettre à un
autre responsable du
traitement.
Accès garanti, mais RGDP va plus
loin. Contrôle sans précédent
donné aux individus. Données
fournies vs. données générées par
l’activité de l’individu?
LPRPDE vs. RGPD
15
RGPD changements clés
Notifications en cas de fuite de
données:
Obligatoire dans les États
membres, si risque aux droits et
libertés des personnes (72 heures).
Le sous-traitant doit également
aviser ses clients et le responsable
du traitement rapidement.
Modification récente (LPRPN), entrée en vigueur
bientôt. Rapporter brèches au CVPC et aux
individus, selon le cas, si risque pour l’individu.
Requiert intervention d’une personne. Définition
de brèche diffère (plus large GDPR, délais plus
court).
LPRPDE vs. RGPD
16
RGPD changements clés
Officier responsable de la
protection des données:
Seulement pour les
organisations traitant des
données à grande échelle
(surveillance systématique des
individus) ou certains types de
données. Contact donné à l’AC
locale. Budget, compétence,
relève de la haute direction,
absence de conflit, etc.
17
RGPD changements clés
Maximum de 4% des revenus
globaux ou 20M€ (le plus
élevé) pour infraction grave.
S’applique au responsable du
traitement et aux sous-
traitants (incluant
l’infonuagique).
18
Article 25: Protection des données dès la
conception et protection des données par défaut
1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la
portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de
probabilité et de gravité varie, que présente le traitement pour les droits et libertés des
personnes physiques, le responsable du traitement met en œuvre, tant au moment de la
détermination des moyens du traitement qu'au moment du traitement lui-même, des
mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui
sont destinées à mettre en œuvre les principes relatifs à la protection des données, par
exemple la minimisation des données, de façon effective et à assortir le traitement des
garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les
droits de la personne concernée.
2. Le responsable du traitement met en œuvre les mesures techniques et organisationnelles
appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont
nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela
s'applique à la quantité de données à caractère personnel collectées, à l'étendue de leur
traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures
garantissent que, par défaut, les données à caractère personnel ne sont pas rendues
accessibles à un nombre indéterminé de personnes physiques sans l'intervention de la
personne physique concernée.
3. Un mécanisme de certification approuvé en vertu de l'article 42 peut servir d'élément pour
démontrer le respect des exigences énoncées aux paragraphes 1 et 2 du présent article.
19
Article 32: Sécurité du traitement
1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la
portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de
probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le
responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et
organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y
compris entre autres, selon les besoins:
a) la pseudonymisation et le chiffrement des données à caractère personnel;
b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la
résilience constantes des systèmes et des services de traitement;
c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et
l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;
d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des
mesures techniques et organisationnelles pour assurer la sécurité du traitement.
2. Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des
risques que présente le traitement, résultant notamment de la destruction, de la perte, de
l'altération, de la divulgation non autorisée de données à caractère personnel transmises,
conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données,
de manière accidentelle ou illicite.
20
Risques découlant du traitement des données
(75) RGPD
Des risques pour les droits et libertés des personnes physiques, dont le degré de probabilité et de gravité
varie, peuvent résulter du traitement de données à caractère personnel qui est susceptible d'entraîner des
dommages physiques, matériels ou un préjudice moral, en particulier: lorsque le traitement peut donner
lieu à une discrimination, à un vol ou une usurpation d'identité, à une perte financière, à une atteinte à la
réputation, à une perte de confidentialité de données protégées par le secret professionnel, à un
renversement non autorisé du processus de pseudonymisation ou à tout autre dommage économique ou
social important; lorsque les personnes concernées pourraient être privées de leurs droits et libertés ou
empêchées d'exercer le contrôle sur leurs données à caractère personnel; lorsque le traitement concerne
des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, la
religion ou les convictions philosophiques, l'appartenance syndicale, ainsi que des données génétiques,
des données concernant la santé ou des données concernant la vie sexuelle ou des données relatives à
des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes; lorsque des
aspects personnels sont évalués, notamment dans le cadre de l'analyse ou de la prédiction d'éléments
concernant le rendement au travail, la situation économique, la santé, les préférences ou centres d'intérêt
personnels, la fiabilité ou le comportement, la localisation ou les déplacements, en vue de créer ou
d'utiliser des profils individuels; lorsque le traitement porte sur des données à caractère personnel
relatives à des personnes physiques vulnérables, en particulier les enfants; ou lorsque le traitement porte
sur un volume important de données à caractère personnel et touche un nombre important de personnes
concernées.
21
Étapes vers la “conformité” au RGPD
1. Analyse d'impact relative à la protection des données
2. Consensus sur mesures à implanter en fonction du risque
3. En cas de doute, si risque élevé, consulter l’AC ou l’ORPD
4. Déploiement des mesures de sécurité et organisationnelles
• Traitement de données à grande échelle vs. données
d’employés
22
Mesures techniques de base
• Coupe-feu (bien configuré et à jour)
• Contrôle d’accès des utilisateurs (aucun accès à tout)
• Mot de passe uniques et complexes (changement?)
• Authentification multi-facteurs pour les accès à distance + admin.
• Gestion des correctifs de sécurité (automatisé de préférence)
• Retrait/effacement sécuritaire des vieux logiciels et équipement
• Protection en temps réel contre les maliciels
• Chiffrement des appareils mobiles et protection des clés
• Chiffrement des données en transit
• Configuration sécurisée des équipements
• Système de prévention et détection des intrusions
• Filtrage web sortant pour bloquer l’accès aux sites risqués
• Copies de sauvegarde
23
Mesures organisationnelles de base
• Directive d’utilisation des technologies et PAP (BYOD)
• Formation et sensibilisation des employés et des fournisseurs
• Formation quant aux obligations de traitement
• Entente de confidentialité (NDA)
• Restreindre l’accès aux données à ceux qui ont besoin de savoir
• Sécurité physique et rangement/destructions des documents
• Interdire l’utilisation de courriels personnels pour le travail
• Traitement de données à grande échelle: ISO-27001 + certif.
• Assurance cyber sécurité (standard minimum requis)
MERCI
?
Contact Information
+1 514 992-4271
rv@vod2.com
www.vod2.com
linkedin.com/in/reneverge
twitter.com/reneverge
* Manu Cornet
http://bonkersworld.net/privacy-breach

Contenu connexe

Tendances

Tendances (20)

Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis Nystek
 
Présentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnellesPrésentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnelles
 
Le GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - DocumentLe GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - Document
 
Données personnelles et SI - GDPR
Données personnelles et SI - GDPRDonnées personnelles et SI - GDPR
Données personnelles et SI - GDPR
 
Les impacts du nouveau règlement européen GDPR
Les impacts du nouveau règlement européen GDPRLes impacts du nouveau règlement européen GDPR
Les impacts du nouveau règlement européen GDPR
 
ISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPDISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPD
 
Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018
 
Plan d'action GDPR Luxembourg Ageris Halian
Plan d'action GDPR Luxembourg Ageris HalianPlan d'action GDPR Luxembourg Ageris Halian
Plan d'action GDPR Luxembourg Ageris Halian
 
Comprendre le RGPD
Comprendre le RGPDComprendre le RGPD
Comprendre le RGPD
 
Le risque informatique et sa dimension juridique
Le risque informatique et sa dimension juridiqueLe risque informatique et sa dimension juridique
Le risque informatique et sa dimension juridique
 
GDPR
GDPRGDPR
GDPR
 
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
 
Gestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsGestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligations
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des Données
 
RGPD : impacts et guide pratique pour les sous-traitants
RGPD : impacts et guide pratique pour les sous-traitants RGPD : impacts et guide pratique pour les sous-traitants
RGPD : impacts et guide pratique pour les sous-traitants
 
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
 
Webinar | Le RGPD en pratique et bien outillé
Webinar | Le RGPD en pratique et bien outilléWebinar | Le RGPD en pratique et bien outillé
Webinar | Le RGPD en pratique et bien outillé
 
Guide RGPD - IAB France
Guide RGPD - IAB FranceGuide RGPD - IAB France
Guide RGPD - IAB France
 
Comment atteindre la conformité au RGPD
Comment atteindre la conformité au RGPDComment atteindre la conformité au RGPD
Comment atteindre la conformité au RGPD
 
Rgpd cdg 13 2018.compressed
Rgpd cdg 13 2018.compressedRgpd cdg 13 2018.compressed
Rgpd cdg 13 2018.compressed
 

Similaire à Règlement général sur la protection des données (RGPD) de l’UE

Afcpd eivp et maturite d'org 1
Afcpd eivp et maturite d'org 1Afcpd eivp et maturite d'org 1
Afcpd eivp et maturite d'org 1
Denis VIROLE
 

Similaire à Règlement général sur la protection des données (RGPD) de l’UE (20)

Webinar RGPD du 17/04/2018
Webinar RGPD du 17/04/2018Webinar RGPD du 17/04/2018
Webinar RGPD du 17/04/2018
 
Directive GPDR/RGPD du 28/11/2017
Directive GPDR/RGPD  du 28/11/2017Directive GPDR/RGPD  du 28/11/2017
Directive GPDR/RGPD du 28/11/2017
 
Comment se mettre en conformité avec le GDPR ?
Comment se mettre en conformité avec le GDPR ?Comment se mettre en conformité avec le GDPR ?
Comment se mettre en conformité avec le GDPR ?
 
INFOGRAPHIE - Focus sur le RGPD
INFOGRAPHIE - Focus sur le RGPDINFOGRAPHIE - Focus sur le RGPD
INFOGRAPHIE - Focus sur le RGPD
 
Horeca GDPR
Horeca GDPRHoreca GDPR
Horeca GDPR
 
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPDFiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
 
Protection des données personnelles Se mettre en conformité : Pourquoi ? Comm...
Protection des données personnelles Se mettre en conformité : Pourquoi ? Comm...Protection des données personnelles Se mettre en conformité : Pourquoi ? Comm...
Protection des données personnelles Se mettre en conformité : Pourquoi ? Comm...
 
Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !
 
ISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPDISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPD
 
GDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico LégauxGDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico Légaux
 
BAROMÈTRE RGPD
BAROMÈTRE RGPDBAROMÈTRE RGPD
BAROMÈTRE RGPD
 
E comm et rgpd
E comm et rgpdE comm et rgpd
E comm et rgpd
 
Track technologique gérer les risques et la conformité
Track technologique gérer les risques et la conformitéTrack technologique gérer les risques et la conformité
Track technologique gérer les risques et la conformité
 
Free Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentauxFree Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentaux
 
RGPD en pratique : notions clefs et bons réflexes
RGPD en pratique : notions clefs et bons réflexesRGPD en pratique : notions clefs et bons réflexes
RGPD en pratique : notions clefs et bons réflexes
 
protection des données
protection des donnéesprotection des données
protection des données
 
Adetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketingAdetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketing
 
Afcpd eivp et maturite d'org 1
Afcpd eivp et maturite d'org 1Afcpd eivp et maturite d'org 1
Afcpd eivp et maturite d'org 1
 
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
 
Workshop CNIL
Workshop CNILWorkshop CNIL
Workshop CNIL
 

Plus de PECB

Beyond the EU: DORA and NIS 2 Directive's Global Impact
Beyond the EU: DORA and NIS 2 Directive's Global ImpactBeyond the EU: DORA and NIS 2 Directive's Global Impact
Beyond the EU: DORA and NIS 2 Directive's Global Impact
PECB
 
DORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of Cybersecurity
DORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of CybersecurityDORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of Cybersecurity
DORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of Cybersecurity
PECB
 
Securing the Future: ISO/IEC 27001, ISO/IEC 42001, and AI Governance
Securing the Future: ISO/IEC 27001, ISO/IEC 42001, and AI GovernanceSecuring the Future: ISO/IEC 27001, ISO/IEC 42001, and AI Governance
Securing the Future: ISO/IEC 27001, ISO/IEC 42001, and AI Governance
PECB
 
ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...
ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...
ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...
PECB
 
ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...
ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...
ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...
PECB
 
ISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks Effectively
ISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks EffectivelyISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks Effectively
ISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks Effectively
PECB
 
Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...
Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...
Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...
PECB
 
ISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital Transformation
ISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital TransformationISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital Transformation
ISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital Transformation
PECB
 
Managing ISO 31000 Framework in AI Systems - The EU ACT and other regulations
Managing ISO 31000 Framework in AI Systems - The EU ACT and other regulationsManaging ISO 31000 Framework in AI Systems - The EU ACT and other regulations
Managing ISO 31000 Framework in AI Systems - The EU ACT and other regulations
PECB
 
Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?
Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?
Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?
PECB
 
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...
PECB
 
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
PECB
 
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
PECB
 
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
PECB
 
IT Governance and Information Security – How do they map?
IT Governance and Information Security – How do they map?IT Governance and Information Security – How do they map?
IT Governance and Information Security – How do they map?
PECB
 
Student Information Session University Digital Encode.pptx
Student Information Session University Digital Encode.pptxStudent Information Session University Digital Encode.pptx
Student Information Session University Digital Encode.pptx
PECB
 
Cybersecurity trends - What to expect in 2023
Cybersecurity trends - What to expect in 2023Cybersecurity trends - What to expect in 2023
Cybersecurity trends - What to expect in 2023
PECB
 

Plus de PECB (20)

Beyond the EU: DORA and NIS 2 Directive's Global Impact
Beyond the EU: DORA and NIS 2 Directive's Global ImpactBeyond the EU: DORA and NIS 2 Directive's Global Impact
Beyond the EU: DORA and NIS 2 Directive's Global Impact
 
DORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of Cybersecurity
DORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of CybersecurityDORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of Cybersecurity
DORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of Cybersecurity
 
Securing the Future: ISO/IEC 27001, ISO/IEC 42001, and AI Governance
Securing the Future: ISO/IEC 27001, ISO/IEC 42001, and AI GovernanceSecuring the Future: ISO/IEC 27001, ISO/IEC 42001, and AI Governance
Securing the Future: ISO/IEC 27001, ISO/IEC 42001, and AI Governance
 
ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...
ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...
ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...
 
ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...
ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...
ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...
 
ISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks Effectively
ISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks EffectivelyISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks Effectively
ISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks Effectively
 
Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...
Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...
Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...
 
ISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital Transformation
ISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital TransformationISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital Transformation
ISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital Transformation
 
Managing ISO 31000 Framework in AI Systems - The EU ACT and other regulations
Managing ISO 31000 Framework in AI Systems - The EU ACT and other regulationsManaging ISO 31000 Framework in AI Systems - The EU ACT and other regulations
Managing ISO 31000 Framework in AI Systems - The EU ACT and other regulations
 
Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?
Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?
Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?
 
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...
 
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
 
Student Information Session University KTMC
Student Information Session University KTMC Student Information Session University KTMC
Student Information Session University KTMC
 
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
 
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
 
Student Information Session University CREST ADVISORY AFRICA
Student Information Session University CREST ADVISORY AFRICA Student Information Session University CREST ADVISORY AFRICA
Student Information Session University CREST ADVISORY AFRICA
 
IT Governance and Information Security – How do they map?
IT Governance and Information Security – How do they map?IT Governance and Information Security – How do they map?
IT Governance and Information Security – How do they map?
 
Information Session University Egybyte.pptx
Information Session University Egybyte.pptxInformation Session University Egybyte.pptx
Information Session University Egybyte.pptx
 
Student Information Session University Digital Encode.pptx
Student Information Session University Digital Encode.pptxStudent Information Session University Digital Encode.pptx
Student Information Session University Digital Encode.pptx
 
Cybersecurity trends - What to expect in 2023
Cybersecurity trends - What to expect in 2023Cybersecurity trends - What to expect in 2023
Cybersecurity trends - What to expect in 2023
 

Dernier

ilide.info-cours-recherche-d-emploi-pr_aa839df7439dd234c803551c86e0197c.pdf
ilide.info-cours-recherche-d-emploi-pr_aa839df7439dd234c803551c86e0197c.pdfilide.info-cours-recherche-d-emploi-pr_aa839df7439dd234c803551c86e0197c.pdf
ilide.info-cours-recherche-d-emploi-pr_aa839df7439dd234c803551c86e0197c.pdf
ssuser6041d32
 

Dernier (14)

Àma Gloria.pptx Un film tourné au Cap Vert et en France
Àma Gloria.pptx   Un film tourné au Cap Vert et en FranceÀma Gloria.pptx   Un film tourné au Cap Vert et en France
Àma Gloria.pptx Un film tourné au Cap Vert et en France
 
complement de agri cours irrigation.pptx
complement de agri cours irrigation.pptxcomplement de agri cours irrigation.pptx
complement de agri cours irrigation.pptx
 
Chapitre3-Classififcation des structures de chaussu00E9e.pptx
Chapitre3-Classififcation des structures de  chaussu00E9e.pptxChapitre3-Classififcation des structures de  chaussu00E9e.pptx
Chapitre3-Classififcation des structures de chaussu00E9e.pptx
 
Nathanaëlle Herbelin.pptx Peintre française
Nathanaëlle Herbelin.pptx Peintre françaiseNathanaëlle Herbelin.pptx Peintre française
Nathanaëlle Herbelin.pptx Peintre française
 
Un petit coin etwinning- Au fil des cultures urbaines
Un petit coin  etwinning- Au fil des cultures urbainesUn petit coin  etwinning- Au fil des cultures urbaines
Un petit coin etwinning- Au fil des cultures urbaines
 
GHASSOUB _Seance 3_ measurement and evaluation in education.pptx
GHASSOUB _Seance 3_ measurement and evaluation in education.pptxGHASSOUB _Seance 3_ measurement and evaluation in education.pptx
GHASSOUB _Seance 3_ measurement and evaluation in education.pptx
 
Saint Damien, missionnaire auprès des lépreux de Molokai, Hawaï.pptx
Saint Damien, missionnaire auprès des lépreux de Molokai, Hawaï.pptxSaint Damien, missionnaire auprès des lépreux de Molokai, Hawaï.pptx
Saint Damien, missionnaire auprès des lépreux de Molokai, Hawaï.pptx
 
Neuvaine de la Pentecôte avec des textes de saint Jean Eudes
Neuvaine de la Pentecôte avec des textes de saint Jean EudesNeuvaine de la Pentecôte avec des textes de saint Jean Eudes
Neuvaine de la Pentecôte avec des textes de saint Jean Eudes
 
Fiche de vocabulaire pour faire une appréciation
Fiche de vocabulaire pour faire une appréciationFiche de vocabulaire pour faire une appréciation
Fiche de vocabulaire pour faire une appréciation
 
GHASSOUB _Seance 4_ measurement and evaluation in education_-.pptx
GHASSOUB _Seance 4_ measurement and evaluation in education_-.pptxGHASSOUB _Seance 4_ measurement and evaluation in education_-.pptx
GHASSOUB _Seance 4_ measurement and evaluation in education_-.pptx
 
Réunion des directeurs de Jonzac - 15 mai 2024
Réunion des directeurs de Jonzac - 15 mai 2024Réunion des directeurs de Jonzac - 15 mai 2024
Réunion des directeurs de Jonzac - 15 mai 2024
 
Texte avec différentes critiques positives, négatives ou mitigées
Texte avec différentes critiques positives, négatives ou mitigéesTexte avec différentes critiques positives, négatives ou mitigées
Texte avec différentes critiques positives, négatives ou mitigées
 
ilide.info-cours-recherche-d-emploi-pr_aa839df7439dd234c803551c86e0197c.pdf
ilide.info-cours-recherche-d-emploi-pr_aa839df7439dd234c803551c86e0197c.pdfilide.info-cours-recherche-d-emploi-pr_aa839df7439dd234c803551c86e0197c.pdf
ilide.info-cours-recherche-d-emploi-pr_aa839df7439dd234c803551c86e0197c.pdf
 
CALENDRIER ET COMPTE RENDU REUNION DIRECTION
CALENDRIER ET COMPTE RENDU REUNION DIRECTIONCALENDRIER ET COMPTE RENDU REUNION DIRECTION
CALENDRIER ET COMPTE RENDU REUNION DIRECTION
 

Règlement général sur la protection des données (RGPD) de l’UE

  • 1. Standards, Security, and Audit Règlement général sur la protection des données (RGPD) de l’UE
  • 2. René W. Vergé, Avocat, CISSP, CIPP/C Responsable sécurité de l'information, conformité et risque TI Bombardier Aéronautique Cofondateur et Chef de la direction - VoD2 Contact Information +1 514 992-4271 rv@vod2.com www.vod2.com linkedin.com/in/reneverge twitter.com/reneverge Baccalauréat en économie et espagnol de l’Université Concordia - Baccalauréat en droit de l’Université de Montréal - Études de deuxième cycle en droit à l’Université McGill et l’Académie de droit international de La Haye, aux Pays-Bas. Admis au barreau du Québec en 1993 - Détient les certifications CIPP/C, CISA et CISSP. Coauteur du livre intitulé “Gouvernance, audit et sécurité des technologies de l’information », publié chez CCH, Wolters Kluwer en 2008.
  • 3. 3
  • 4. 4 Entrée en vigueur du RGPD: 25 mai 2018
  • 5. 5 Entrée en vigueur du RGPD: 25 mai 2018 * http://www.eugdpr.org/
  • 6. 6 Évolution de la vie privée en ligne • 1980: Criminalisation dans plusieurs juridictions • 1990: Activités financières en ligne – Crime digital financier - Sécurité rudimentaire • 1993: Loi sur la protection des renseignements personnels dans le secteur privé • 1995: Directive CE sur la protection des données personnelles • 2000: Loi Canadienne sur la protection des renseignements personnels et les documents électroniques (PIPEDA)
  • 7. 7 Évolution de la vie privée en ligne • Niveau de sécurité approprié considérant la technologie et du coût en fonction des risques - Sécurité en fonction du degré de sensibilité des renseignements personnels • Signification pour un professionnel en TI? • Changement et évolution rapide des technologies • Puissance de traitement des ordinateurs limitée • Risque = Dommage financier personnel • 2000+: Dommage personnel non-financier • Valeur des données ↑ (analytique) + Techniques de fraude ↑ • 2016: RGPD UE + DSRSI… (Août 2016 + 21 mois États)
  • 8. 8 RGPD vs. LPRPDE/PIPEDA • Le Canada bénéficie d’une équivalence partielle depuis 2001 pour faciliter le transfert de données provenant de l’UE • Le transfert de données représente la pointe de l’iceberg des obligations découlant du RGPD • Différences majeures ci-dessous
  • 9. 9 RGPD changements clés Application extraterritoriale: toute compagnie (responsable du traitement ou sous- traitant) traitant des données de résidents européens, peu importe son emplacement. Système RH (infonuagique ou autre) à l’étranger. Seulement pour entreprise sous juridiction fédérale. Majorité sous gouverne provinciale. Loi applicable aux employés (Québec, Alberta, CB). Couvert sous RGPD, peut être plus stricte dans les États. Consentement des employés n’est pas libre, donc insuffisant. Détail de l’utilisation est important. Requiert clauses standards ou règles obligatoires de l'entreprise. LPRPDE vs. RGPD
  • 10. 10 RGPD changements clés Consentement accru: Fini le charabia juridique interminable, intelligible, formulaire facilement accessible, incluant la raison du traitement, en langage commun. Même facilité pour retirer son consentement. Compréhension et limite de la collecte (2015) vs. collecte pour exécution de contrat ou intérêts légitimes. RDGP: Pas de consentement implicite. Ne peut être intégré au contrat. Donné séparément pour chaque utilisation. Age de la personne qui consent (+/-13 vs. 16 ou moins selon l’état) LPRPDE vs. RGPD
  • 11. 11 RGPD changements clés Protection des données dès la conception: « Privacy by Design » La sécurité doit être prise en compte dès la conception des systèmes et non comme une addition. Minimisation des données. Accès selon le besoin de savoir pour le traitement.
  • 12. 12 RGPD changements clés Droit d’accès: Obtenir du responsable du traitement la confirmation des données utilisée, l’endroit et la raison. Obtenir une copie des données, gratuitement, dans un format électronique. Changement dramatique en termes de transparence et de contrôle de la part des individus.
  • 13. 13 RGPD changements clés Droit à l’oubli: « Le droit à l’effacement des données ». Demande au responsable du traitement (qui doit intervenir avec les sous-traitants au besoin). Retrait du consentement ou les données ne sont plus pertinentes au traitement. Obligation qualifiée dans les deux. Pas d’obligation de contacter les sous- traitants vs. conflit si conservation d’une autre loi étrangère. Pas applicable aux outils de recherche (pas commercial) vs. plus large. LPRPDE vs. RGPD
  • 14. 14 RGPD changements clés Portabilité des données: Droit d’obtenir les données les concernant qu’ils ont fournies, dans un format standard et le droit de le transmettre à un autre responsable du traitement. Accès garanti, mais RGDP va plus loin. Contrôle sans précédent donné aux individus. Données fournies vs. données générées par l’activité de l’individu? LPRPDE vs. RGPD
  • 15. 15 RGPD changements clés Notifications en cas de fuite de données: Obligatoire dans les États membres, si risque aux droits et libertés des personnes (72 heures). Le sous-traitant doit également aviser ses clients et le responsable du traitement rapidement. Modification récente (LPRPN), entrée en vigueur bientôt. Rapporter brèches au CVPC et aux individus, selon le cas, si risque pour l’individu. Requiert intervention d’une personne. Définition de brèche diffère (plus large GDPR, délais plus court). LPRPDE vs. RGPD
  • 16. 16 RGPD changements clés Officier responsable de la protection des données: Seulement pour les organisations traitant des données à grande échelle (surveillance systématique des individus) ou certains types de données. Contact donné à l’AC locale. Budget, compétence, relève de la haute direction, absence de conflit, etc.
  • 17. 17 RGPD changements clés Maximum de 4% des revenus globaux ou 20M€ (le plus élevé) pour infraction grave. S’applique au responsable du traitement et aux sous- traitants (incluant l’infonuagique).
  • 18. 18 Article 25: Protection des données dès la conception et protection des données par défaut 1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu'au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée. 2. Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s'applique à la quantité de données à caractère personnel collectées, à l'étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l'intervention de la personne physique concernée. 3. Un mécanisme de certification approuvé en vertu de l'article 42 peut servir d'élément pour démontrer le respect des exigences énoncées aux paragraphes 1 et 2 du présent article.
  • 19. 19 Article 32: Sécurité du traitement 1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins: a) la pseudonymisation et le chiffrement des données à caractère personnel; b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement; c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique; d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. 2. Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite.
  • 20. 20 Risques découlant du traitement des données (75) RGPD Des risques pour les droits et libertés des personnes physiques, dont le degré de probabilité et de gravité varie, peuvent résulter du traitement de données à caractère personnel qui est susceptible d'entraîner des dommages physiques, matériels ou un préjudice moral, en particulier: lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d'identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, à un renversement non autorisé du processus de pseudonymisation ou à tout autre dommage économique ou social important; lorsque les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d'exercer le contrôle sur leurs données à caractère personnel; lorsque le traitement concerne des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques, l'appartenance syndicale, ainsi que des données génétiques, des données concernant la santé ou des données concernant la vie sexuelle ou des données relatives à des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes; lorsque des aspects personnels sont évalués, notamment dans le cadre de l'analyse ou de la prédiction d'éléments concernant le rendement au travail, la situation économique, la santé, les préférences ou centres d'intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements, en vue de créer ou d'utiliser des profils individuels; lorsque le traitement porte sur des données à caractère personnel relatives à des personnes physiques vulnérables, en particulier les enfants; ou lorsque le traitement porte sur un volume important de données à caractère personnel et touche un nombre important de personnes concernées.
  • 21. 21 Étapes vers la “conformité” au RGPD 1. Analyse d'impact relative à la protection des données 2. Consensus sur mesures à implanter en fonction du risque 3. En cas de doute, si risque élevé, consulter l’AC ou l’ORPD 4. Déploiement des mesures de sécurité et organisationnelles • Traitement de données à grande échelle vs. données d’employés
  • 22. 22 Mesures techniques de base • Coupe-feu (bien configuré et à jour) • Contrôle d’accès des utilisateurs (aucun accès à tout) • Mot de passe uniques et complexes (changement?) • Authentification multi-facteurs pour les accès à distance + admin. • Gestion des correctifs de sécurité (automatisé de préférence) • Retrait/effacement sécuritaire des vieux logiciels et équipement • Protection en temps réel contre les maliciels • Chiffrement des appareils mobiles et protection des clés • Chiffrement des données en transit • Configuration sécurisée des équipements • Système de prévention et détection des intrusions • Filtrage web sortant pour bloquer l’accès aux sites risqués • Copies de sauvegarde
  • 23. 23 Mesures organisationnelles de base • Directive d’utilisation des technologies et PAP (BYOD) • Formation et sensibilisation des employés et des fournisseurs • Formation quant aux obligations de traitement • Entente de confidentialité (NDA) • Restreindre l’accès aux données à ceux qui ont besoin de savoir • Sécurité physique et rangement/destructions des documents • Interdire l’utilisation de courriels personnels pour le travail • Traitement de données à grande échelle: ISO-27001 + certif. • Assurance cyber sécurité (standard minimum requis)
  • 24. MERCI ? Contact Information +1 514 992-4271 rv@vod2.com www.vod2.com linkedin.com/in/reneverge twitter.com/reneverge * Manu Cornet http://bonkersworld.net/privacy-breach