Sensibilisation GDPR et RGPD. PME/Administrations/Universités. Slides de la présentation réalisée pour la LME, Hainaut développement et l'IDEA pour 82 participants. Merci à eux :)

1. David Blampain
17 ans : Expériences eBusiness / Web / ICT / Sécurité
 6 ans en Sécurité de l’information
Certified ISO/IEC 27005 : Risk Manager
Certified ISO/IEC 27001 : Lead Implementer
Certified ISO/IEC 27032 : Lead Cyber Security Manager
Certified DPO : Data Protection Officer : GDPR / number in demand
Condorcet : Gradué/Bac Marketing
Warocqué-UMons : Licence/Master en Gestion d’Entreprise
Solvay-Bruxelles ULB : Ex. Master en Marketing & Advertising
HEC-Liège ULG : Ex. Master en Intelligence Stratégique (Sécurité ; Veille ; Influence)
Et des milliers d’heures de lecture. Merci aux instituteurs et professeurs du monde entier !
29/01/2018 : Brunch Info : LME : Mons - Belgique
Sensibilisation des PME/Administrations/Universités
Chez Hainaut Développement
https://be.linkedin.com/in/davidblampainClic !

2. Tout savoir sur le :
« RGPD »/ GDPR
Tout Savoir… La
grosse blague du jour
RGPD/GDPR
Un peu d’humour 

3. © www.david-blampain.com
« General Data Protection Regulation »
« Règlement général sur la protection des données »
• Texte de référence européen.
• Règlement, lois & co et « aie la tête ».
• Considère 173 Points (Raisons) avant les articles.
• 99 Articles sur 11 chapitres.
• Publié le 4 mai 2016.
• Rentré en vigueur le 24 mai 2016.
• Dispositions applicables dans les 28 pays de l’UE le 25/05/2018.
• On est donc dans du Légal et de l’Obligatoire

4. TOP 3
© www.david-blampain.com
Privacy
By Design
Co-
Responsabilité Obligation
de rendre des
comptes
Induit le Security by Design

5. Prix Moyenne
Votre genre ? 0.0004 €
Votre boulot ? 0.06 €
Votre GSM ? 0.004 €
Votre historique de navigation ? 0.0015 €
Votre mail ? 0.055 €
Votre santé ? 0.19 €
Prix
Votre genre ?
Votre boulot ?
Votre GSM ?
Votre historique de navigation ?
Votre mail ?
Votre santé ?
© Source PECB Canada 2017 Civil, Ethnique, Age,…
A lire : http://trends.levif.be/economie/high-tech/donnees-personnelles-les-citoyens-pourraient-les-vendre/article-normal-790223.htm l
"GAFA" (Google, Apple, Facebook, Amazon)

6. © www.david-blampain.com
Sources : https://blog.booker.com/the-booker-blog/it-s-critical-to-capture-customer-data

7. © www.david-blampain.com
Cfr: SMSI : Système de Management de
la Sécurité de l’Information est un des
moyens de protéger vos données.
Données
Processus
Actif
Primaire
Actif
Secondaire
Texte
Mémo
Numérique
Date/heure
Monétaire
…
Biométrie
Génétique
…
DONNEES
Prénom
Nom
Date et lieu de naissance
Numéro de ID
Plaque immatriculation
Photo / Vidéo
Info pro
IBAN
Vie perso (Du cookie à…
1. Donnée d’identité (DCP)
2. Donnée « sensibles » : (DCPS) Races, religions, vie, philo, politique,
syndical, sexuel, médicale, génétique, infractions, mineurs,…
Clients, donateurs,
membres,…

8.  Loi nationale sur la protection de la vie privée : 8/12/1992 ! C’est pas nouveau… merci.
 = Protéger les informations en fonction de leurs natures, leurs sensibilités, des risques et
des moyens disponibles. ( Before ) Selon l’état de l’art. ( Now )
Le RGPD n’apporte rien de nouveau en terme de sécurité mais :
1. Augmente les droits des personnes. (Individus ; Consommateurs ; BtoB ; Enfants)
2. Attention : Papiers ET Données informatiques.
3. Signale enfin de matière claire que les sous-traitants doivent également respecter le
RGPD !!! Avec un principe de « Responsable/Contractor et sous-traitant/Processor ».
4. VOUS Impose nottement trois choses de base au niveau de l’existant :
 Protéger (Modèle CIA par exemple) les informations relatives aux données (DCP et DCPS)
 Intégration du Privacy by design et en découle le Security by design
Compliance … induit Auditabilité
© www.david-blampain.com

9. © www.david-blampain.com
LégalHumai
n
TechniqueSMSI Gouvernance
(10 à 30%) (10%) (20 à 30%) (40%)
S: Etude Wavestone France + Expérience personnelle
???

10. 1. Humain : Dream team : DPO ou pas ? / Expert Sécurité / Management /
Direction / Juridique / Informatique / Fournisseurs / Ressources Humaines.
2. SMSI : Mettre en place éventuellement un système de Management de la
Sécurité de l’Information. (Idéal). (10 à 30%)
3. Légal : Mettre en Place une revue légale avec un juriste/avocat. (10%)
4. Gouvernance : Mettre en Place une bonne gestion/gouvernance de vos
données. (20 à 30%)
5. Technique : Mettre en Place des mitigations et solutions techniques. (40%)
© www.david-blampain.com
5 Piliers/Domaines à manager

11. PILIER 1
© www.david-blampain.com
A la question : Qui gère ? = Comité de pilotage avec DPO
Administrateur(trice)
délégué 
DPO et/ou Conseiller en sécurité
Expert externe/interne
Informatique
Legal
RH
Marketing
Communication
+ Expert(s) externe(s)
…

12. PILIER 2
 Processus visant à protéger les
données d’une entités ou des entités
déterminées. Elle englobe toutes les
aspects internes et externes liée à
une activité données (Economique,
Public, Social, Militaire,…)
 Son but est de protéger les données
ou des informations tant d’un point
de vue organisationnelle, physique
que virtuelle (Cyber).
 Elle englobe la sûreté, la sécurité
informatique, les systèmes et réseau,
les technologies de la communication
ou toutes choses ayant un rapport
avec de l’information.
 Elle traite de la Confidentialité, de
l’intégrité et la disponibilité. (CIA+A)
© www.david-blampain.com + ISO27001
A la question : Comment Protéger mes données ? Je réalise un SMSI

13. PILIER 2
 La mise en place d’une stratégie de sécurité par objectifs et contrôles (1) (EXEMPLE)
 Un plan de sécurité des systèmes d’information (1)
 Sensibiliser, former et évaluer le personnel sur sa compréhension des enjeux (2)
 Un audit des systèmes d’information (+focus données en plus) (3)
 L’utilisation de modèles et standards internationaux (ISO)
 Les plans complémentaires : de continuité d’activité ; de traitement des risques ; de
traitement des incidents (!).
…
© www.david-blampain.com
A la question : Comment Protéger mes données ? Je réalise un SMSI

14. PILIER 2
© www.david-blampain.com + PECB + ISO 27001
Première Partie (Instruction)
Objet, Champ et périmètres, date, dispositions, formation, pilotage, organisation,
application, contrôle, traitement des incidents.
Deuxième partie
Troisième partie
Annexes et documentations
1. Politique de sécurité de l’information2. Organisation de la sécurité de l’information3. Sécurité des ressources humaines4. Classification de l'information5. Contrôles d'accès6. Cryptographie7. Sécurité physique et environnementale8. Sécurité liées à l'exploitation9. Sécurité des communications10. Acquisition, développement et maintenance des
systèmes d'information
11. Relations avec les fournisseurs12. Gestion des incidents liés à la sécurité de l'information13. Aspects de la sécurité de l'information dans la gestion
de la continuité d'activité
14. Conformité
… RGPD / Lois

15. DOMAINE 4
 Etablir un Registre des données à caractère personnelle. (EXEMPLE)
 Rechercher les données, les classifier et les localiser et leur attribuer un propriétaire.
 Privacy by Design (Cerise sur le gâteau : Security by Design).
 Les workflows des données (avec parcours…).
 Test sur les données (si possible).
 Analyse d’impacts (PIA)  Contexte  Mesures  Risques  Décision. (EXEMPLE)
 Avoir un DPO interne / externe ou pas.
 Quid du conseiller en sécurité de l’information ?
 Conscientiser le top et middle management et votre personnel.
 Auditer vos fournisseurs !
 Quelle autorité de contrôle en fonction du pays (CNIL, CPVP,…) ?
 …
© www.david-blampain.com + Sources CPVP

16. 6 étapes vs 13 étapes
Sources : https://www.cnil.fr/ et CPVP
1. CONSCIENTISATION
2. REGISTRE DE DONNÉES
3. COMMUNICATION
4. DROITS DE LA PERSONNE CONCERNÉE
5. DEMANDE D’ACCÈS
6. FONDEMENT LÉGAL POUR LE TRAITEMENT DE
DONNÉES À CARACTÈRE PERSONNEL
7. CONSENTEMENT
8. ENFANTS
9. FUITES DE DONNÉES
10. LA PROTECTION DES DONNÉES DÈS LA
CONCEPTION ET L’ANALYSE D’IMPACT RELATIVE
À LA PROTECTION DES DONNÉES
11. DÉLÉGUÉ À LA PROTECTION DES DONNÉES
12. AU NIVEAU INTERNATIONAL
13. CONTRATS EXISTANTS

17. Explication générale
Cliquez sur le + pour ouvrir une catégorie.
Les titres de colonne en rouge indiquent une information à mentionner obligatoirement en vertu du RGPD.
Les traitements dont la date de commencement est le 24/05/2018 ont déjà été réalisés avant l'application du RGPD.
Cliquez sur le titre de colonne pour filtrer les traitements.
Comment compléter ce registre ?
Ce registre n'a pas été conçu comme un pur outil administratif, mais plutôt comme un outil d'accompagnement afin d'encadrer l'organisation
au niveau des différents points d'attention du RGPD concernant les traitements de données à caractère personnel.
Complétez le registre de gauche à droite.
Partez des processus opérationnels et identifiez ensuite les traitements de données à caractère personnel au sein de ces processus.
Si un processus opérationnel comprend plusieurs traitements de données, il convient de les reprendre sur des lignes distinctes dans le
registre lorsqu'ils ont une finalité ou un fondement juridique distincts.
Si un traitement n'est plus réalisé, introduisez une date de fin et biffez le traitement.
Pour les traitements déjà réalisés avant le 25/05/2018, complétez comme date de commencement le 24/05/2018.
Si une colonne n'est pas d'application pour un traitement déterminé, complétez "s.o".
DOMAINE 4
© Sources CPVP + SMALS
processus opérationnel/traitement
identification du processus opérationnel
nom, propriétaire du processus
(dans la colonne ci-dessous, on reprend le nom du
traitement en fonction de la lisibilité de la version
électronique du registre)
description fonctionnelle du traitement
identification et information au sujet du traitement
numéro , , description fonctionnelle, , finalité,
fondement du traitement, type de traitement et
description fonctionnelle
données utilisées et personnes concernées
détails sur les données traitées et sur les personnes
concernées dont les données sont traitées
catégorie fonctionnelle, catégorie sensible de traitement
de données, catégorie de personne concernée, niveau de
classification, délai de conservation, source authentique
sous-traitant
identification du sous-traitant (externe à l'organisation)
impliqué dans le traitement
nom, n° du contrat de traitement de données
échange de données
informations au sujet d'un éventuel échange de données
avec des tierces parties.
catégorie(s) de données, catégorie(s) de destinataires,
pays tiers/organisation internationale, documents
garanties appropriées
technologie
description de la technologie, des applications et du
logiciel employés pour le traitement.
risque & mesures de sécurité
informations quant au risque et mesures de sécurité
du traitement de données
risque, description des mesures de sécurité,
documentation des mesures de sécurité, AIPD (DPIA)
droits des personnes concernées
renvoi vers les documents qui déterminent les procédures
de respect des droits des personnes concernées.
statut
information sur le statut du traitement : date de début,
date de fin et traitement de remplacement
remarque
indiquez d'éventuel(le)s remarques/points d'attention concernant l'activité de traitement.
type de traitement
normal --> si aucun des types ci-dessous
Évaluation ou appréciation de personnes dont le profilage et l'établissement de prévisions
Décisions automatisées avec des conséquences juridiques ou des conséquences intrinsèques
comparables
Surveillance systématique (suivre, surveiller et contrôler la personne concernée) (enregistrement
des sons, des images ou enregistrement vidéo)
Traitements de données à grande échelle ou traitements qui ont des conséquences pour un
grand nombre d'acteurs concernés
Combinaison ou couplage de collectes de données que les personnes concernées ne peuvent
raisonnablement pas prévoir
Traitement de données impliquant que les personnes concernées ne puissent pas exercer un
droit, ne puissent pas recourir à un service ou ne puissent pas conclure de contrat
Utilisation de nouvelles technologies ou application de moyens techniques et organisationnels
surveillance systématique à grande échelle d'une zone accessible au public.

18. © www.david-blampain.com + Sources CPVP
https://www.privacycommission.be/
A lire https://www.digitalwallonia.be/gdpr/

19. Domaine 4 : Le PIA
C’est pas NOUVEAU !!! : C’est une Analyse de risques
Privacy Impact Assessment : DPIA
Sources : http://copes.fr/Presentation/Blog/1038
Sources : https://www.cnil.fr/

20. DOMAINE 4
© Sources CNIL + G9
«analyse d’impact sur la vie privée»
Une AIPD/DPIA est un processus dont l’objet est de décrire le
traitement, d’en évaluer la nécessité ainsi que la
proportionnalité et d’aider à gérer les risques pour les droits et
libertés des personnes physiques liés au traitement de leurs
données à caractère personnel, en les évaluant et en
déterminant les mesures nécessaires pour y faire face.
une AIPD/DPIA est un processus qui vise à assurer la
conformité aux règles et à pouvoir en apporter la preuve.

21. © Sources CNIL
PIA : MODÈLE

22. Et Votre Maturité !
Exemple

23. 6 étapes : Franchir les étapes
Sources : https://www.cnil.fr/
Sources : www.mil.be
Sources : https://mg.ambafrance.org

24. Sources : Merci à la www.CNIL.fr : C’est Clair

25. Sources : Merci à la www.CNIL.fr : C’est Clair

26. DOMAINE 5
Avoir la preuve physique ou informatique de l’accord de la personne (Logs & co)
Mettre en place des formulaires avec plusieurs cases à cocher (Traitement / Partage / Profiling)
Mettre en place une recherche des données (Manuelle ou automatique)
Prévoir les envois de données sur demandes.
Prévoir les changements ou modification, mais aussi la suppression Advitam. (Sauf Lois)
Développer des systèmes qui vérifient l’âge.
Développer des systèmes qui demandent l’autorisation aux parents.
Détecter, rapporter et analyser les fuites des DCP
Crypter, anonymiser, pseudonimisation des données
…
© www.david-blampain.com + Sources CPVP

27. DOMAINE 5
© www.david-blampain.com + Sources https://cnpd.public.lu/
 Je suis développeur d’applications.
 Je suis propriétaire/créateur/entrepreneur d’une application.
 Quelles sont mes obligations concernant le Règlement Général Protection des
données ? Exemple :  Le Privacy by Design (c’est quoi) et c’est pas nouveau…
Idée développée durant les années 1990
Exemple : Collecter uniquement des
informations avec un réel besoin.

28. ACTE BONUS
Article 7 Mesures
Techniques & co
Check possible si
audit
Quelques exemples
de preuves
Conditions applicables au
consentement.
=> Article: 4 (Définitions)
=> Raison: 32 (Le consentement
devrait être donné par un acte
positif clair…), 33, 42, 43
=> administrative fine: Art. 83 (5)
lit a
Mettre en place des
procédures pour obtenir le
consentement.
Librement et sans ambiguïté
Formulaire de
consentement
Prouver que les
formulaires fonctionnent
Développer des boxes
formulaire opt-in
Développement pour le
consentement via téléphone
Avoir le consentement
écris des utilisateurs
Procédure pour permettre
les objections
Mettre en place des
procédures pour les demandes
opt-out, voir de restriction
comme le profiling ou le
traitement.
Du responsable au sous-
traitant
Développement pour
permettre les objections
Disposer des logs et des
enregistrements (Virtuel
et/ou papier)
Répondre aux objections

29. ACTE MALUS
Les violations des dispositions suivantes font l'objet, conformément au paragraphe 2,
d'amendes administratives pouvant s'élever jusqu'à 10 000 000 EUR ou, dans le cas d'une
entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le
montant le plus élevé étant retenu:
Les violations des dispositions suivantes font l'objet, conformément au paragraphe 2, d'amendes
administratives pouvant s'élever jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise,
jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus
élevé étant retenu
Exemples : (8) non respect pour les enfants ; (11) non respect du fait qu’on a
pas besoin d’identifier… (25) responsable du traitement met en œuvre les
mesures techniques et organisationnelles appropriées.
Exemple : (5) collectées pour des finalités déterminées, explicites et
légitimes, et ne pas être traitées ultérieurement d'une manière
incompatible avec ces finalités

30. https://www.iso.org/fr/home.html
https://www.privacycommission.be
http://www.ccb.belgium.be/fr
http://www.eugdpr.org/
http://www.cnil.fr

31. ACTE FINAL
Source : http://camthao.us/News/332/what-will-the-warrior-guardian-of-the-future-look-like
https://be.linkedin.com/in/davidblampain