Analyse d’impact : comment adapter la démarche au degré de maturité de mon entreprise ? – Denis VIROLE – Directeur des services d’Ageris Group, Gérant de Virole Conseil Formation
Un grand nombre d’entreprises ont traité les risques qui pèsent sur leurs systèmes d’information par l’application de règles et de bonnes pratiques mises en œuvre par les informaticiens de manière quasi auto justifiée. Mais ces derniers sont peu habitués à conduire une analyse de risque orientée « métiers », graduée selon une échelle définie et endossée au final par la direction générale. Le DPO ne va-t-il pas rencontrer plusieurs difficultés pour faire appliquer la bonne méthode par l’ensemble des parties prenantes ? Faut-il suivre la démarche proposée par la CNIL de manière exhaustive ou faut-il adapter la méthode à son contexte ? Quels sont les pièges à éviter ? Jusqu’à quel niveau faut-il pousser l’analyse ? Comment formaliser les règles de protection ? Comment présenter les résultats de l’analyse au Responsable du Traitement afin qu’il puisse la valider en toute connaissance de cause ? Quelle répartition des tâches entre les acteurs concernés ? Comment intégrer la démarche EIVP dans la gestion de projets de manière coordonnée ? Afin de proposer une démarche pragmatique, l’animateur modélisera plusieurs scenarii, adaptés à la maturité de l’organisme et au type de traitement.
2. AIPD
etmaturitésd’organisationpourlagestionderisques
2
Certaines pages ont été insérées dans le support par souci de cohérence
et seront utiles pour les auditeurs voulant approfondir le sujet,
mais ne seront pas nécessairement approfondies dans l’animation
Avertissement
Être un document de référence
réutilisable
Servir de support
à l’animation de la présentation
Ce support, formation
a été conçu avec deux objectifs :
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
3. AIPD
etmaturitésd’organisationpourlagestionderisques
3
Plan Timing
Objectifs de la présentation
Rappels des exigences liées à la protection de la vie privée Rappel rapide
Introduction à l’analyse de risques
Introduction à l’AIPD
Les types de maturité d’organisme
Maturité naissante
Organisation, acteurs et référentiels
Points positifs et points à améliorer
Maturité moyenne Approfondi
Organisation / Gouvernance
Les acteurs
Le référentiel
Maturité forte
Organisation / Gouvernance
Les acteurs
Le référentiel
Modélisation des processus stratégique, pilotage et opérationnels pour la mise en conformité des AIPD
Tableaux de bords
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
4. AIPD
etmaturitésd’organisationpourlagestionderisques
Liste des principales abréviations
AIPD Analyse d’Impact sur la Protection des Données
ANSSI Agence Nationale Sécurité Système d’Information
CNIL Commission Nationale Informatique et Libertés / France
DCP Donnée à caractère personnel
DPO Data Protection Officer
EM Etat membre
LIL Loi Informatique et Libertés
MOA Maitrise d’Ouvrage
MOE Maitrise d’Oeuvre
OCDE Organisation de Coopération et de Développement Économiques
OI Organisation internationale
OMC Organisation Mondiale du Commerce
PCA Plan de Continuité d’Activité
PC Personne concernée
PSAL Politique Sécurité Archivage Légal
RPCA Responsable Plan de Continuité d’Activité
RSAL Responsable Sécurité Archivage Légal
RSSI Responsable Sécurité Système d’Information
RT Responsable du traitement
SMCA Système de Management Continuité d’Activité
SMSI Système de Management Sécurité de l’Information
UE Union Européenne
ST Sous Traitant
T Traitement
TFUE Traité sur le Fonctionnement de l’Union Européenne
4
5. AIPD
etmaturitésd’organisationpourlagestionderisques
5
Rappeler les principes généraux de la gestion de risques
Rappeler les exigences liées à l’AIPD
Formaliser des niveaux de maturité d’organisme concernant les AIPD
Synthétiser les points forts et les points faibles
Proposer des actions d’amélioration
Proposer des feuilles de route
Organiser la concertation entre les acteurs
Suivre et améliorer la concertation
Objectifs de la présentation
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
6. AIPD
etmaturitésd’organisationpourlagestionderisques
6
Le traitement des DCP doit être conduit pour servir l’humanité
Le droit à la protection des DCP n’est pas un droit absolu
Il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux,
conformément au principe de proportionnalité
Le Règlement respecte tous les droits fondamentaux et observe les libertés et les principes reconnus par la Charte des droits
fondamentaux de l’Union Européenne, consacrés par les traités, en particulier le respect de la vie privée et familiale, du domicile et
des communications, la protection des DCP, la liberté de pensée, de conscience et de religion, la liberté d’expression et d’information, la
liberté d’entreprise, le droit à un recours effectif et accéder à un tribunal impartial, et la diversité culturelle et religieuse
Rappels des exigences liées à la protection de la vie privée
7. AIPD
etmaturitésd’organisationpourlagestionderisques
7
Règlement européen
Article 32
« 1. Compte tenu de l’État des connaissances, des couts de mise en œuvre et de la nature, de la portée, du contexte et des finalités
du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des
personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et
organisationnelles appropriées afin de garantir un niveau de sécurité adaptée au risque, y compris entre autres, selon les
besoins:
a) la pseudonymisation et le chiffrement des données à caractère personnel;
b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des
systèmes et des services de traitement;
c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais
appropriés en cas d'incident physique ou technique;
d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et
organisationnelles pour assurer la sécurité du traitement.
2. Lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement,
résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel
transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou
illicite.
3. L'application d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le
prévoit l'article 42 peut servir d’élément attestant du respect des exigences prévues au paragraphe 1 du présent article.
4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique
agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère
personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d'y être obligée par le droit de
l'Union ou le droit d'un État membre ».
Rappels des exigences liées à la protection de la vie privée
8. AIPD
etmaturitésd’organisationpourlagestionderisques
8
Nouveautés
AIPD /
PIA
L’AIPD doit être effectuée par le RT avec l’aide du DPO
• L’évaluation d’aspects personnels concernant les PC y compris le profilage,
• Le T à grande échelle de catégories particulières de DCP visées à l’article 9 paragraphe 1, soient les données
révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou
l’appartenance syndicale, les données biométriques, les données de santé, la vie sexuelle ou l’orientation sexuelle
d’une personne, ainsi que les données relatives aux condamnations pénales ou infractions visées à l’article 10
• La surveillance systématique à grande échelle d’une zone accessible au public.
Rappels des exigences liées à la protection de la vie privée
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
9. AIPD
etmaturitésd’organisationpourlagestionderisques
9
Évaluation
Notation / Profilage
Prédiction, portant
notamment sur le
rendement au travail de la PC,
sa situation économique, sa
santé, ses préférences ou
centres d’intérêt personnels,
sa fiabilité ou son
comportement, ou sa
localisation
Utilisation innovante ou
application de nouvelles
solutions technologiques
ou organisationnelles:
utilisation combinée, par
exemple, de SI de
reconnaissance des
empreintes digitales /
reconnaissance faciale
Prise de décisions
automatisée avec effet
juridique ou effet similaire
significatif: T ayant pour
finalité la prise de décisions à
l’égard des PC produisant
«des effets juridiques ou
l’affectant de manière
significative»
Données concernant des
personnes vulnérables :
pour les PC peuvent se trouver
dans l’incapacité de consentir, ou
de s’opposer, aisément au T de
leurs DCP ou d’exercer leurs
droits.
T qui «empêchent les PC
d’exercer un droit ou de
bénéficier d’un service ou
d’un contrat».
Ces T incluent notamment les
opérations visant à autoriser,
modifier ou refuser l’accès à
un service ou la conclusion
d’un contrat.
Surveillance
systématique: T utilisé pour
observer, surveiller ou
contrôler les PC , y compris la
collecte de DCP via des
réseaux ou par «la
surveillance systématique
d’une zone accessible au
public»
Croisement / combinaison
d’ensembles de DCP, par
exemple issus de deux
opérations de T de DCP,
ou plus, effectuées à des fins
différentes et/ou par différents
RT, d’une manière qui
outrepasserait les attentes
raisonnables de la PC
DCP visées à l’article 9
informations concernant les
opinions politiques des
personnes, par exemple) ainsi
que des données à caractère
personnel relatives aux
condamnations pénales ou
aux infractions visées à
l’article 10.
DCP traitées à grande
échelle:
le nbr de PC en valeur absolue
/ proportion
le volume de DCP
l’éventail
la durée ou la permanence
l’étendue géo. de T
10. AIPD
etmaturitésd’organisationpourlagestionderisques
Volonté de mettre en œuvre un nouveau traitement
Appréciation du
risque par le RT
Traitement à risque
identifié par la CNIL
Analyse
d’impact sur la
protection des
DCP
Traitement
sans risque
Déclaration du traitement au Délégué à la Protection
des Données
Demande
d’autorisation à
la CNIL
Traitement à risque
Rédaction d’un
rapport PIA
Traitement présentant des
risques élevés
Autorisation de la
CNIL
Mise en œuvre un nouveau traitement
Voir les critères du G29
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
10
Rappels des exigences liées à la protection de la vie privée
11. AIPD
etmaturitésd’organisationpourlagestionderisques
11
COMMUNICATIONREALTIVEAUXRISQUES
SURVEILLANCEETREVUEDURISQUE
ETABLISSEMENT DU
CONTEXTE
APPRECIATION DES RISQUES
IDENTIFICATION DES
RISQUES
ANALYSE DES RISQUES
EVALUATION DES RISQUES
TRAITEMENT DU RISQUE
Présentation générale du processus de gestion des risques en sécurité de l'information
Un aperçu de haut niveau du processus de gestion des risques est spécifié dans l’ISO 31000 et illustré ci dessous.
L’ISO 31000 propose une approche générique du Management des risques mais ne préconise pas de moyens opérationnels
de mise en œuvre.
Cette norme suggère de bonnes questions pour aborder le sujet complexe de la gestion des risques et non des bonnes
pratiques pour y répondre.
Les moyens de mise en œuvre du Management des risques sont développés dans les documents métiers sectoriels qui ne
sont donc pas rendus obsolètes par cette norme. Ils y trouvent au contraire un vocabulaire et un cadre global pour les situer.
Introduction à l’analyse de risques
12. AIPD
etmaturitésd’organisationpourlagestionderisques
12
Cadre de
management
du risque
Mandat et
Engagement
Conception du
cadre
organisationnel de
management du
risque
Amélioration
continue
du cadre
organisationnel
Mise en
œuvre du
management
du risque
Surveillance
et revue du
cadre
organisationnel
ISO/FDIS 31000
Management du risque
Principes et lignes
directrices
Introduction à l’analyse de risques
La norme ISO 31000
13. AIPD
etmaturitésd’organisationpourlagestionderisques
13
COMMUNICATIONRELATIVEAUXRISQUES
SURVEILLANCEETREVUEDURISQUE
ETABLISSEMENT DU CONTEXTE
APPRECIATION DES RISQUES
IDENTIFICATION DES RISQUES
les actifs / les menaces et leurs sources / mesures de sécurité existantes et prévues/ vulnérabilités / conséquences
ANALYSE DES RISQUES
l'impact / vraisemblance / le niveau des risques
EVALUATION DES RISQUES
comparer le n° des risques aux critères d'évaluation du risque et aux critères d'acceptation des risques
TRAITEMENT DU RISQUE
choisir des mesures de sécurité
ACCEPTATION DES RISQUES
décision d'accepter les risques et les responsabilités
Introduction à l’analyse de risques
La norme ISO 27005
14. AIPD
etmaturitésd’organisationpourlagestionderisques
14
Déterminer quand une AIPD est nécessaire
• Mettre en place une équipe AIP avec la direction
• Préparer l’AIPD et déterminer les ressources nécessaires
Suivi de l’AIPD
Preparation de l’AIPD
• Décrire ce qui doit être évalué
• Engagement des responsables
• Etablissement de l’AIPD
Audit
Réalisation de l’AIPD
• Identification des flux de DCP
• Analyse des implications de leurs utilisations
• Détermination des exigences relatives à la protection de la vie
privée
• Identification et Évaluation des risques pour la vie privée
Préaparation au Traitement des risques pour la vie
privée
• Choix des options de traitements
• Détermination des controles
• Mise en œuvre des plans de traitement des risques
Suivi du rapport de l’AIPD
• Préparation du rapport
Introduction à l’analyse de risques sur la vie privée
La norme ISO 29134
15. AIPD
etmaturitésd’organisationpourlagestionderisques
15
Une AIPD repose sur deux piliers :
Les principes et droits fondamentaux,
« non négociables »,
qui sont fixés par la le RGPD et doivent être
respectés et ne peuvent faire l’objet d’aucune
modulation, quels que soient la nature, la gravité et
la vraisemblance des risques encourus
La gestion des risques sur la vie privée des personnes
concernées,
qui permet de déterminer les mesures techniques et
d’organisation appropriées pour protéger les DCP
Introduction à l’analyse de risques
La méthode AIPD
16. AIPD
etmaturitésd’organisationpourlagestionderisques
16
Décisions de mener un AIPD Modifications de contexte
1.Contexte
1.1 Présentation
1.2 Description
Présentation des finalités, des
enjeux, des DCP, des supports,
…
2.Mesures
2.1 Mesures juridiques
2.2 Mesures traitant les risques
Présentation des finalités, des
informations aux personnes, des
droits des personnes
Actions sur les DCP, impacts,
sources, supports
3.Risques
3.1 Sources
3.2 Evènements (Gravité) 3.3 Menaces (Vraisemblance)
3.4 Risques
4. Décisions
4.1 Evaluation
Non Oui
4.2 Objectifs 4.3 Plan d’actions
4.4 Validation
Source : – CNIL http://www.cnil.fr
Introduction à l’analyse de risques sur la vie privée
La méthode AIPD
17. AIPD
etmaturitésd’organisationpourlagestionderisques
17
PC RT ST Destinataire
Collecte
Enregistrement
utilisateur
Collecte Fournit
Stockage Stocke
Utilisation
Rend un service au
client ou au citoyen
Utilise Traite
Transfert Transfert Transfert Reçoit
Destruction Détruit Détruit
Flot de de DCP
Service
Instruction
Introduction à l’analyse de risques sur la vie privée
La méthode AIPD
19. AIPD
etmaturitésd’organisationpourlagestionderisques
19
Accès illégitime aux DCP
Impacts corporels
Impacts matériels
Impacts moraux
Modification non désirée des
DCP
Impacts corporels
Impacts matériels
Impacts moraux
Disparition des DCP
Impacts corporels
Impacts matériels
Impacts moraux
Introduction à l’analyse de risques sur la vie privée
La méthode AIPD
20. AIPD
etmaturitésd’organisationpourlagestionderisques
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com 20
Introduction à l’analyse de risques sur la vie privée
La méthode AIPD
Evènement redouté Remarque
Accès illégitime aux DCP
La confidentialité d’une DCP est
intrinsèque à la DCP et ne dépend
pas du processus / traitement qui
la manipule On peut limiter que la
vraisemblance
Modification non désirée des DCP L’intégrité de la DCP ou du
traitement est un choix RT
Disparition des DCP La disponibilité des DCP dépend
du processus qui la manipule
On peut réduire la vraisemblance
et limiter l’impact
21. AIPD
etmaturitésd’organisationpourlagestionderisques
Sources de risques / Menaces
Sources
humaines
internes
agissant accidentellement
agissant de manière
délibérée
Sources
humaines
externes
agissant accidentellement
agissant de manière
délibérée
Sources
non
humaines
internes
externes
Vraisemblance
Vraisemblance
Vraisemblance
Événements redoutés
Accès illégitime aux
DCP
Modification non
désirée des DCP
Disparition des DCP
Vulnérabilités
Introduction à l’analyse de risques sur la vie privée
La méthode AIPD
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com 21
23. AIPD
etmaturitésd’organisationpourlagestionderisques
23
4. Décision
4.1 Evaluation
Non Oui
4.2 Objectifs 4.3 Plan d’actions
4.4 Validation
Fin de l’AIPD
Décision : la validation de l’étude d’impact sur la vie privée
L’Objectif est de décider d’accepter ou non la manière dont l’étude a été gérée et les risques résiduels.
Source : – CNIL http://www.cnil.fr
Introduction à l’analyse de risques sur la vie privée
La méthode AIPD
24. AIPD
etmaturitésd’organisationpourlagestionderisques
24
Une description systématique des opérations de T envisagées et des finalités du Traitement, y compris, le cas échéant, l'intérêt
légitime poursuivi par le RT
Une évaluation de la nécessité et de la proportionnalité des opérations de T au regard des finalités
Une évaluation des risques pour les droits et libertés des PC
Les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité
visant à assurer la protection des DCP et à apporter la preuve du règlement, compte tenu des droits et des intérêts
légitimes des PC et des autres personnes affectées.
Le respect, par les RT ou ST concernés, de codes de conduite approuvés visés à l'article 40 est dûment pris en
compte lors de l'évaluation de l'impact des opérations de T effectuées par lesdits RT ou ST, en particulier aux fins d'une
AIPD
Le cas échéant, le RT demande l'avis des PC ou de leurs représentants au sujet du T prévu, sans préjudice de la
protection des intérêts généraux ou commerciaux ou de la sécurité des opérations de T
Lorsque le T effectué en application de l'article 6, paragraphe 1, point c) ou e), a une base juridique dans le droit de l'union ou
dans le droit de l’EM auquel le RT est soumis, que ce droit règlemente l'opération de T spécifique ou l'ensemble des opérations
de T en question et qu'une AIPD a déjà été effectuée dans le cadre d'une AIPD générale réalisée dans le cadre de l'adoption de
la base juridique en question, les paragraphes 1 à 7 ( le RT effectue avant le T une AIPD) ne s'appliquent pas, à moins que les
EM n'estiment qu'il est nécessaire d'effectuer une telle analyse avant les activités de T
Si nécessaire, le RT procède à un examen afin d'évaluer si le T est effectué conformément à l’AIPD, au moins quand
il se produit une modification du risque présenté par les opérations de T
Art. 35 AIPD rapport ……
25. AIPD
etmaturitésd’organisationpourlagestionderisques
25
Maturité naissante Maturité moyenne Maturité forte
Approche Système de
Management de Sécurité de
l’Information
Organisation et Gouvernance Approche
Sécurité Système d’Information
Approche
sécurité informatique
Gouvernance Gestion de
projets / AIPD Gouv.
Gestion
de
projets /
AIPD
Audits
et TdB
Non sécurisé
SMSI
SMCA
Code de conduite
Labellisation
Certification
Référentiel
Politique de protection de la vie
privée
Politique sécurité système
d’information
Charte informatique
Non sensibilisé
Resp SMSI
Resp SMCA
Resp AL
Acteurs CIL vers DPO
RSSI
Chefs de projets MOA / MOE
COPIL / Homologation /
validation
Déclaration conformité CNIL
Responsable sécurité informatique
Non sensibilisé
La méthode AIPD
Les niveaux de maturité
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
27. AIPD
etmaturitésd’organisationpourlagestionderisques
27
DSI / ST
Définition de la finalité du T des DCP et de leurs
sensibilités
Identification des obligations légales
Expression des besoins DICP ?
Définition des procédures de respect des droits des
PC ?
Identification et Traitement des risques
Par adjonction d’outils SI
Validation des risques résiduels ?
Charte informatique
Suivi / Contrôle ?
Système d’Information
27
CIL ?
Directions
Maturité naissante Maturité moyenne Maturité forte
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
28. AIPD
etmaturitésd’organisationpourlagestionderisques
28
Etapes de la méthode
Responsable du
traitement
Maîtrise d’Ouvrage
?
Maîtrise d’Œuvre DPO RSSI ?
Description générale / détaillée des
traitements envisagés
A C I R I
Évaluation de la nécessité et de la
proportionnalité
Événements redoutés pour la PC
A C I R I
Mesures envisagées pour démontrer la
conformité
A C C R I
Évaluation des risques pour les droits et
libertés
Sources de risques
Menaces
A C C I R
Vulnérabilités
A C C R
Vraisemblance / Gravité Risques
vie privée
A C I R I
Mesures envisagées pour faire face aux
risques
A C R C
Documentation
A C R C
Validation formelle
R I I C I
Examen
R
Introduction à l’analyse de risques
La méthode AIPD, les responsabilités et les besoins de concertation
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Besoin fort de Concertation
29. AIPD
etmaturitésd’organisationpourlagestionderisques
29
Points à améliorer
• Étendre la cartographie du périmètre des « grains » à
prendre en compte
• Sensibilisation du RT sur la validation des risques résiduels
/ homologation (leadership)
• Nomination d’un DPO
• Identification des exigences réglementaires
• Mise en conformité avec les exigences
• Nomination d’un RSSI
• Mise en œuvre du comité de pilotage et validation /
homologation
• Mise en œuvre des voies fonctionnelles
• Mise en œuvre de relais MOA ou Chefs de projet utilisateurs
• Mutualiser les responsabilisations / sensibilisations
• Formation orientée fonctions AIPD et « by design et by
default » pour les chef de projet MOA / MOE
• Les exigences réglementaires notamment sur les
droits des PC
• Les sources de risques
• Les menaces
• Les impacts des évènements redoutés pour les PC
• Formalisation du référentiel documentaire
• Engagement pour la protection de la vie privée
• Politique générale de protection de l’information
• PSSI
• Guides et manuels
• Intégration de la méthode AIPD dans la gestion de projets ?
(Agile ou en V GISSIP) pour l’intégration native de la
sécurité dans les projets
• Formalisation de la table RACI
Maturité naissante Maturité moyenne Maturité forte
Points positifs
• Nomination d’un CIL
• Présence d’un responsable sécurité informatique
• Volontarisme du CIL sur la responsabilisation /
sensibilisation
• Bon niveau technique des informaticiens
• Sensibilisation des informaticiens aux risques techniques
• Soutien de la direction juridique
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00
www.ageris-training.com
30. AIPD
etmaturitésd’organisationpourlagestionderisques
Logigramme
Sécurité système d’information
Protection de la vie privée et sécurité des données à caractère
personnel
Création du comité de pilotage, arbitrage et homologation
Acteurs : DSI, RSSI, CIL / DPO, DGS, Directions métiers « sensibles », Direction juridique, …
Mise en place de l’organisation voie fonctionnelle SSI, voie fonctionnelle protection de la vie privée et sécurité des données à
caractère personnel, conservation des documents , voie hiérarchique, voie de remontée d’incidents, violations de Données à
caractère personnel, d’alerte de crise, …
• Nomination d’un RSSI
• Validation de l’analyse de risques avec DSI, RSSI, Directions métiers sensibles
avec le comité de pilotage
• Mise à jour du référentiel SSI, notamment pour la lettre d’engagement du DG / RT
et la Politique Générale Protection de l’information à faire signer par le DG / RT, la
PSSI signée par la DSI et le RSSI et les Plans d’Assurance Sécurité (SI
externalisé)
• Nomination de l’autorité d’homologation, organisation de la commission
d’homologation
• Définition du plan d’action de mise en conformité, application des recommandations
de l’audit
• Sensibilisation Directions
• Nomination d’un chef de projet / Nomination d’un DPO
• Mise en œuvre du Registre
• Définitions des procédures pour respecter les procédures de respect des droits des
personnes concernées
• Organisation des projets pour validation des AIPD
• Contrôle des mentions légales
• Formation des acteurs DSI • Formation des directions métiers • Formations des directions
• Sensibilisation Utilisateurs et mise à
jour des chartes et engagements de
responsabilité
• Mise à disposition des procédures
d’administration et exploitation
• Mise à disposition des guides et
bonnes pratiques utilisateurs
• Formation des maitrises d’ouvrage à
l’expression de besoins et
l’identification des évènements
redoutés
• Formation des chefs de projet
informatique
• Mise en conformité du SI avec la
PSSI et les PAS
• Coopération avec l’intégrateur
externe et les hébergeurs
• Sensibilisation Utilisateurs et mise à
jour des chartes et engagements de
responsabilité
• Mise à disposition des procédures de
collecte et traitements
• Mise à disposition des guides et bonnes
pratiques utilisateurs
• l’identification des évènements
redoutés
• Formation des chefs métiers
• Mise en conformité des traitements
(habilitations, confidentialité,
pseudonymisation, disponibilité,
destruction, traçabilité…)
• Recommandations : suivre
l’avancement de la mise en
conformité par un outil intégrant les
exigences pour la sécurité des
données à caractère personnel et la
protection de la vie privée
• Contrats de sous traitance
• Constitution de dossier de sécurité pour les applications sensibles identifiées lors
de l’analyse de risques
• Homologation des téléservices / services sensibles / Services numériques de
contrôle de commande (eau, télésurveillance, voirie, ….)
Validation des traitements sensibles
Maturité naissante Maturité moyenne Maturité forte
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
30
31. AIPD
etmaturitésd’organisationpourlagestionderisques
SI et DCP
Voie
hiérarchique
DSI
Relais
DPO
SI
externalisé
Relais SSIVoiefonctionnelle
Vieprivée
DPO
Voiefonctionnelle
SSI
RSSI
Comité de pilotage
Métiers / Clients
RT
Autorité de tutelle
DSI
ST
• Création et démonstration du leadership
• Validation du référentiel
• Demande de conseil
• Sollicitation d’arbitrage
• Remontée d’incidents
• Alertes
• Gestion des non conformités
• Dérogations
Maturité naissante Maturité moyenne Maturité forte
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
31
32. AIPD
etmaturitésd’organisationpourlagestionderisques
SI
Garant du Référentiel protection de
la vie privée
Gère les articulations avec les
autres filières
Effectue une veille juridique
Eclaire les éléments d’arbitrage Valide les AIPD
Suit les évènements Exploite les résultats des contrôles
Comité de pilotage
DPO
DSI
ST
RSSI
SSI
Métiers
Maturité naissante Maturité moyenne Maturité forte
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
32
33. AIPD
etmaturitésd’organisationpourlagestionderisques
SI
Maturité naissante Maturité moyenne Maturité forte
Vie
Privée
DPO
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
33
Fournit au Comité une visibilité
sur le niveau de risque de la non-
conformité ou sur la vie privée
Alerter en cas d’incident ou de
risque majeur
Le Comité, l’AC, les PC
Constitue le cadre de référence Coopère avec l’AC CNIL
Anime la filière protection de la
vie privée
Sensibilise / Conseille
Assite les directions métiers, la
MOE, les utilisateurs
Centralise les demandes
d’exercice des droits des PC
Assiste le RT pour les AIPD
Améliore / Prouve
la conformité au RGPD
Veille à l’application
Favorise les échanges de bonnes
pratiques MOA / MOE
Centralise les plans de contrôle
relatifs à la protection de la vie
privée
Exploite les résultats des contrôles
Vérifie que les évolutions ne
génèrent pas de nouveaux risques
34. AIPD
etmaturitésd’organisationpourlagestionderisques
MOA
Maturité naissante Maturité moyenne Maturité forte
Relais SSI
DPO
RSSIDSIDPO
Comité de pilotage
Politique Générale Protection de la Vie Privée / Protection de l’information Politiques du ST
ST
Identification DCP et T Registre
Identification des exigences SI consécutives au respect des droits des PC Contrats Registre
Evénements redoutés / Source de
menaces AIPD
ISO 29134
ISO 29100
Techniques de
sécurité --
Cadre privé
PSSI
• ISO 27002
• Règles d’hygiène
SSI
• PSSI E
• PGSSI S
• ISO 29151
• Code de bonne
pratique pour la
protection des
données à caractère
personnel
PAS
ISO 27017 (code de
conduite 27002
pour le Cloud)
ISO 27018 (Cloud
public)
ISO 29151
Identification des vulnérabilités
Evaluation des niveaux de risques
Choix d’option de traitement de risques
Validation / Homologation
Mise en œuvre des T
Chartes d’exploitation et d’utilisation du SI
Contrôles ISO 27017 / Exigences 27018
Notification d’incidents, Notification de violation de DCP, Alerte
Preuve
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
34
35. AIPD
etmaturitésd’organisationpourlagestionderisques
35
Plan de prévention des risques
Politique de
Protection de
la vie privée
externe /
interne
Politique Générale de
Protection de l’Information
PSSI
Politique de Sécurité SI
PSAL
Politique de
sécurité
Archivage légal
Procédures guides et manuels
Gouvernance
Maturité naissante Maturité moyenne Maturité forte
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
36. AIPD
etmaturitésd’organisationpourlagestionderisques
36
Etapes de la méthode
Responsable du
traitement
Maîtrise d’Ouvrage Maîtrise d’Œuvre DPO RSSI
Description générale / détaillée des
traitements envisagés
A C I R I
Évaluation de la nécessité et de la
proportionnalité
Événements redoutés pour la PC
A C I R I
Mesures envisagées pour démontrer la
conformité
A C C R I
Évaluation des risques pour les droits et
libertés
Sources de risques
Menaces
A C C I R
Vulnérabilités
A C C R
Vraisemblance / Gravité Risques
vie privée
A C I R I
Mesures envisagées pour faire face aux
risques
A C R C
Documentation
A C R C
Validation formelle
R I I C I
Examen
R
Introduction à l’analyse de risques
La méthode AIPD, les responsabilités et les besoins de concertation
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Besoin fort de Concertation
37. AIPD
etmaturitésd’organisationpourlagestionderisques
37
Points à améliorer
• Extension de la cartographie du périmètre des « grains » à
prendre en compte dans l’ensemble des DCP, (papier, SI de
protection, de comptage, distribution, ….)
• La formation des Chefs de projet MOA
• Expression des besoins de sécurité liés aux finalités
des T et à la sensibilité des DCP
• Prise en compte des droits des PC
• Prise en compte des impacts pour la PC
• Appropriation de la méthode AIPD par le couple MOA /
MOE
• Nomination d’un RPCA et d’un RSAL
• Appropriation de l’étape validation / homologation par le RT
• Organisation de la gouvernance par processus
• Stratégique
• Pilotage
• Opérationnel
• Mise en œuvre des contrôles et audits sur les AIPD
• Mise en œuvre des contrôles et audits de conformité RGPD
• Mise en œuvre des contrôles et audits de conformité SSI
• Mise en œuvre de tableaux de bords AIPD
• Labellisation
• Certification (par l’AC) ou SMSI ou SMCA
• Tests
Maturité naissante Maturité moyenne Maturité forte
Points positifs
• Extension de la cartographie du périmètre des « grains » à
prendre en compte dans le SI
• Sensibilisation du RT sur la validation des risques résiduels /
homologation
• Nomination d’un DPO
• Identification des exigences réglementaires
• Mise en conformité avec les exigences
• Nomination d’un RSSI
• Mise en œuvre du comité de pilotage et validation /
homologation
• Mise en œuvre des voies fonctionnelles
• Mise en œuvre de relais MOA ou Chefs de projet utilisateurs
• Mutualisation des responsabilisations / sensibilisations
• Formation orientée fonctions AIPD et « by design et by
default » pour les chef de projet MOA / MOE
• Les exigences réglementaires notamment sur les
droits des PC
• Les sources de risques
• Les menaces
• Les impacts des évènements redoutés pour les PC
• Formalisation du référentiel documentaire
• Engagement pour la protection de la vie privée
• Politique générale de protection de l’information
• PSSI
• Guides et manuels
• Intégration de la méthode AIPD dans la gestion de projets
pour l’intégration native de la sécurité dans les projets
• Formation de la table RACI
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
38. AIPD
etmaturitésd’organisationpourlagestionderisques
Logigramme
Système de management de sécurité de l’information
Protection de la vie privée et sécurité des données à caractère
personnel
Création du comité de pilotage, arbitrage et homologation
Acteurs : DSI, RSSI, CIL / DPO, DGS, Directions métiers « sensibles », Direction juridique, …
Mise en place de l’organisation voie fonctionnelle SSI, voie fonctionnelle protection de la vie privée et sécurité des données à caractère personnel, continuité d’activité, conservation des
documents , voie hiérarchique, voie de remontée d’incidents, violations de Données à caractère personnel, d’alerte de crise, …
• Nomination d’un RPCA
• Nomination d’un RSAL
• Validation de l’analyse de risques avec DSI, RSSI, Directions métiers sensibles
avec le comité de pilotage
• Mise à jour du référentiel SMSI, notamment pour la lettre d’engagement du Maire et
la Politique Générale Protection de l’information à faire signer par le Maire, la PSSI
signée par la DSI et le RSSI et les Plans d’Assurance Sécurité (SI externalisé)
• Nomination de l’autorité d’homologation, organisation de la commission
d’homologation
• Définition du plan d’action de mise en conformité, application des recommandations
de l’audit
• Sensibilisation Directions et Elus
• Nomination d’un chef de projet / Nomination d’un
• Mise en œuvre du Registre
• Définitions des procédures pour respecter les procédures de respect des droits des
personnes concernées
• Organisation des projets pour validation des AIPD
• Contrôle des mentions légales
• Formation des acteurs DSI • Formation des directions métiers • Formations des directions
• Sensibilisation Utilisateurs et mise à
jour des chartes et engagements de
responsabilité
• Mise à disposition des procédures
d’administration et exploitation
• Mise à disposition des guides et
bonnes pratiques utilisateurs
• Formation des maitrises d’ouvrage à
l’expression de besoins et
l’identification des évènements
redoutés
• Formation des chefs de projet
informatique
• Mise en conformité du SI avec la
PSSI et les PAS
• Coopération avec l’intégrateur
externe et les hébergeurs
• Sensibilisation Utilisateurs et mise à
jour des chartes et engagements de
responsabilité
• Mise à disposition des procédures de
collecte et traitements
• Mise à disposition des guides et bonnes
pratiques utilisateurs
• l’identification des évènements
redoutés
• Formation des chefs métiers
• Mise en conformité des traitements
(habilitations, confidentialité,
pseudonymisation, disponibilité,
destruction, traçabilité…)
• Recommandations : suivre
l’avancement de la mise en
conformité par un outil intégrant les
exigences pour la sécurité des
données à caractère personnel et la
protection de la vie privée
• Contrats de sous traitance
• Constitution de dossier de sécurité pour les applications sensibles identifiées lors
de l’analyse de risques
• Homologation des téléservices / services sensibles / Services numériques de
contrôle de commande (eau, télésurveillance, voirie, ….)
Validation des traitements sensibles
• Contrôle, Audit, Tableaux de bords Labellisation Gouvernance, TdB AIPD
Maturité naissante Maturité moyenne Maturité forte
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
38
40. AIPD
etmaturitésd’organisationpourlagestionderisques
40
Plan de prévention des risques Plan de continuité d’activité
Politique de
Protection de
la vie privée
externe /
interne
Politique Générale de Protection de l’Information
PSSI
Politique de Sécurité SI
PSAL
Politique de
sécurité
Archivage légal
PCO
Plan de
continuité des
opérations
PHEB
Plan
d’hébergement
PCOM
Plan de
communication
PSI
Plan de
secours
informatique
Plan de
Formation
Procédures guides et manuels
Plan de gestion de crise
Gouvernance
Maturité naissante Maturité moyenne Maturité forte
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
42. AIPD
etmaturitésd’organisationpourlagestionderisques
DCP
Stratégique
Vie
privée
Préparer l’avenir
Mettre en place une
gouvernance
protection de la vie
privée
Définir les orientations
du projet de mise en
conformité
Conseil pour
l’évaluation des risques
vie privée
Politique vie privée
Interne / externe
Gouvernance
Contrôler la conformité
au RGPD
Stratégies et plan Animation de la filière
Tableaux de bord
AIPD / Conformité
Suivre le traitement des
non conformités et
incidents
Amélioration continue
Veille et alerte
Participation à la
gestion de crise
42
Maturité naissante Maturité moyenne Maturité forte
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
43. AIPD
etmaturitésd’organisationpourlagestionderisques
DCP
Opérationnel
Pilotage
Sensibiliser les acteurs
concernés
Pilotage des
procédures de contact
avec l’AC
Pilotage des procédures
de respect des droits des
PC
Indicateurs notamment
sur les AIPD
Tableaux de bords
Pilotage
Contrôles / Corrections
Former / Conseiller les acteurs
AIPD
43
Maturité naissante Maturité moyenne Maturité forte
Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
44. AIPD
etmaturitésd’organisationpourlagestionderisques
44
Exigences relatives à
la politique de protection des DCP
Exigences relatives au DPO
Exigences relatives à
l’analyse de la conformité
Exigences relatives au
contrôle de la conformité
dans le temps
Exigences relatives à la
gestion des réclamations
et à l’exercice du droit des
PC
Exigences relatives à la
journalisation des
évènements de sécurité
Exigences relatives à la
gestion des violations de
DCP
Exigences relatives à la
formation
Maturité naissante Maturité moyenne Maturité forte
45. AIPD
etmaturitésd’organisationpourlagestionderisques
45
Contrôle
Chaque processus doit intégrer ses
propres activités de contrôle, en
particulier dans la définition
d’indicateurs alimentant le tableau
de bord AIPD, en fonction :
• Des besoins et objectifs à court
et long terme de ce processus
• Des demandes ad-hoc de
reporting envoyées par les autres
filières de l’organisation
Amélioration
continue
Chaque processus est porteur de
son propre cycle d’amélioration
continue, décliné selon deux axes
• L’atteinte des objectifs de
conformité / sécurité
• L’efficience interne du processus
Capitalisation
Favoriser la culture protection de
la vie privée / sécurité , faciliter la
mise en œuvre de la conformité /
sécurité et diminuer le coût
1) Processus Stratégique
2) Processus Pilotage
3) Processus Opérationnel
Maturité naissante Maturité moyenne Maturité forte
46. AIPD
etmaturitésd’organisationpourlagestionderisques
46
Un tableau de bord permet de disposer, aux différents niveaux décisionnels, de pilotage et opérationnels, d’une vision
synthétique de la situation de la conformité / sécurité, que ce soit dans ses dimensions techniques ou fonctionnelles :
• couverture des risques pour l’organisme et pour la PC
• qualité de la politique de sécurité
• suivi des audits
• des actions
• des alertes
• …
Cette vision renseigne l’organisme et l’AC .
Les tableaux de bord peuvent être constitués à partir :
• d'objectifs de sécurité issus d'une analyse de risques EBIOS, AIPD, MEHARI, ou « maison », ….
• de règles de mise en conformité / sécurité issues d'une politique de protection de la vie privée / sécurité,
• d'actions issues d'un plan d'action.
Définition de la politique générale de protection de la vie privée
Définition de la politique générale de protection de l’information
Définition de la PSSI
Intégration de l’AIPD dans la gestion de projets
Élaboration de PSSI
Réalisation d’analyse des risques SSI
Réalisation des AIPD
Mise en œuvre de la sécurisation du SI
Mise en œuvre de la sécurisation des DCP
Élaboration et mise en œuvre de
tableaux de bord AIPD
Exploitation du système d’information sécurisé
Traitement des DCP
Maturité naissante Maturité moyenne Maturité forte
47. AIPD
etmaturitésd’organisationpourlagestionderisques
47
Opérationnel
Pilotage
Protection
delavieprivée
Stratégique
État d'avancement de la mise en
œuvre des AIPD et politiques de
protection de la vie privée et de
sécurité
• avancement
• l'évolution des incidents liés à la
vie privée ou la SSI…
Degrédeconsolidation
Avancement de la mise en œuvre par
domaine
• l'avancement de la mise en
conformité par Traitement
• le suivi des actions de sécurité
(études, audits, mise en œuvre)…
Avancement de la mise en œuvre par
mesure de sécurité
• la disponibilité des DCP et des SI,
• avancement des mesures de
protection de la vie privée,
(traitement des vulnérabilités)
• identification des incidents,
• suivi des contrôles, …
Nombre
d’AIPD /
projets
rapports de
mise en
œuvre
fiches
d'incidents
rapports de
contrôles ou
d'audit
…
Maturité naissante Maturité moyenne Maturité forte
48. AIPD
etmaturitésd’organisationpourlagestionderisques
48
Etapes de la méthode
Responsable du
traitement
Maîtrise d’Ouvrage Maîtrise d’Œuvre DPO RSSI
Description générale / détaillée des
traitements envisagés
A C I R I
Évaluation de la nécessité et de la
proportionnalité
Événements redoutés pour la PC
A C I R I
Mesures envisagées pour démontrer la
conformité
A C C R I
Évaluation des risques pour les droits et
libertés
Sources de risques
Menaces
A C C I R
Vulnérabilités
A C C I R
Vraisemblance / Gravité Risques
vie privée
A C I R I
Mesures envisagées pour faire face aux
risques
A C C R
Documentation
A C C R C
Validation formelle
R I I C I
Examen
A C C R C
Introduction à l’analyse de risques
La méthode AIPD, les responsabilités et les besoins de concertation
49. AIPD
etmaturitésd’organisationpourlagestionderisques
49
Conclusion
• La compétence technique de la maitrise d’œuvre ne peut suffire pour une conduite d’AIPD
• La protection de la vie privée n’est pas une science exacte, ( identification des sources de risques, des scénarios de
menaces de niveaux de gravité, et de vraisemblance, elle doit donc être arbitrée)
• La mise à disposition de l’outil normatif, méthodologique ne peut remplacer la maitrise du DPO
• La formation des acteurs ( RT, MOA/MOE) est incontournable
• La prise en compte des droits des PC, des impacts pour la vie privée et de leurs opinions est un préambule
• L’AIPD, la sécurité « by design » et « by default » nécessitent une forte collaboration / concertation des acteurs
• La concertation, l’amélioration de la collaboration entre les acteurs nécessitent la mise en œuvre d’une gouvernance
adaptée au contexte / cible
• L’amélioration continue nécessite la mise en place non seulement de révision et d’audit périodique mais aussi et surtout de
tableaux de bords