Le document présente le règlement général sur la protection des données (RGPD), qui renforce les droits des personnes et responsabilise les entreprises traitant des données personnelles. Il précise les obligations des acteurs concernés, notamment les exigences de sécurité, la transparence et le consentement explicite pour la collecte de données. Le portail myzyxel.com est mis en avant comme un outil conforme au RGPD pour la gestion des données utilisateurs.

1. 1© 2017
Directive GDPR / RGPD
Le compte à rebours est lancé…
28 novembre 2017
Charles Geismar – Product Manager
WEBINAR

2. 2© 2017
Agenda
GDPR, nouvelle réglementation de protection des données
Zyxel, votre allié pour sécuriser vos données
Les différents acteurs et leurs responsabilités
Le portail myZyxel.com, conforme avec GDPR

3. 3© 2017
Agenda
GDPR, nouvelle réglementation de protection des données
Zyxel, votre allié pour sécuriser vos données
Les différents acteurs et leurs responsabilités
Le portail myZyxel.com, conforme avec GDPR

4. 4© 2017
Historique de la protection des données personnelles
▪ Avec l’essor de l’informatique et d’Internet, les pouvoirs publics
encadrent la collecte et l’usage des données personnelles.
▪ En France, la CNIL (Commission Nationale de l’Informatique et
des Libertés) légifère pour les entreprises françaises.
▪ La directive européenne 95/46/CE, qui précise un cadre
réglementaire, est transposée de façon libre dans chaque pays.
Loi 78-17
Informatiques et libertés
24 octobre
1995
Directive 95/46/CE
Data Protection Directive

5. 5© 2017
Historique de la protection des données personnelles
▪ Le 14 avril 2016, l’Union Européenne adopte le nouveau règlement
GDPR (General Data Protection Regulation).
▪ La loi, traduite et applicable dans tous les États membres de l’UE,
entre en vigueur le 25 mai 2018.
▪ En France, cette nouvelle réglementation remplace l’actuelle loi, et
s’appelle RGPD (Règlement Général sur la Protection des Données)
25 mai
2018
Regulation (EU) 2016/679
General Data Protection Regulation

6. 6© 2017
Comment s’articule RGPD
RGPD répond à 3 grands objectifs
Renforcement
des droits des
personnes
Responsabilisation
des acteurs traitant
des données
Crédibilisation
de la
régulation

7. 7© 2017
Comment s’articule RGPD
RGPD répond à 3 grands objectifs
Renforcement
des droits des
personnes
Responsabilisation
des acteurs traitant
des données
Crédibilisation
de la
régulation
▪ Consentement renforcé
▪ Transparence de l’usage
▪ Droit à l’information
▪ Droit à la rectification
▪ Droit à la portabilité
▪ Droit à l’oubli

8. 8© 2017
Comment s’articule RGPD
RGPD répond à 3 grands objectifs
Renforcement
des droits des
personnes
Responsabilisation
des acteurs traitant
des données
Crédibilisation
de la
régulation
▪ Distinction des rôles
suivants :
─ Entreprise finale qui
utilise les données
─ Entreprise qui fournit
et/ou héberge les
données, c’est un
sous-traitant
▪ Il peut y avoir plusieurs
sous-traitants
▪ Chaque acteur est
responsable des
données qu’il traite et
de leur sécurisation

9. 9© 2017
Comment s’articule RGPD
RGPD répond à 3 grands objectifs
Renforcement
des droits des
personnes
Responsabilisation
des acteurs traitant
des données
Crédibilisation
de la
régulation
▪ Un cadre juridique unifié
▪ Applicable à toute structure traitant ou
sous-traitant des données d’un citoyen
européen
▪ Des sanctions encadrées, graduées et
renforcées, jusqu’à 4% du CA annuel
mondial
▪ Délais de prévenance de 72h en cas de
perte, fuite ou vol de donnée.

10. 10© 2017
Qu’est-ce qu’une donnée ?
« toute information se rapportant à
une personne physique identifiée ou
identifiable » - Art.4 (source : CNIL)
Photo
Adresse
Nom / Prénom
Identifiant
@email
@IP
…

11. 11© 2017
Agenda
GDPR, nouvelle réglementation de protection des données
Zyxel, votre allié pour sécuriser vos données
Les différents acteurs et leurs responsabilités
Le portail myZyxel.com, conforme avec GDPR

12. 12© 2017
Les différents rôles définis par RGPD
Le sujet
Le contrôleur
Le processeur
L’autorité
de contrôle

13. 13© 2017
Et la CNIL dans tout ça ?
▪ L’autorité de contrôle est le guichet
unique en cas de déclaration ou de
réclamation
▪ En France, la CNIL est notre autorité de
contrôle.

14. 14© 2017
Quand et comment sommes-nous concernés ?
Le contrôleur et son processeur doivent être autorisés à
collecter et à traiter les données personnelles :
─ Je dois avoir un consentement explicite, et je dois pouvoir le
prouver. Le silence n’est pas un consentement !
─ Je dois avoir précisé pour combien de temps les données sont
collectées, pour quel usage et par quel type de traitement.
Les données collectées doivent être sécurisées :
─ Les infrastructures de stockage doivent être sécurisées.
─ Lors des transferts, les données doivent être pseudonymisées
et/ou encryptées.

15. 15© 2017
Agenda
GDPR, nouvelle réglementation de protection des données
Zyxel, votre allié pour sécuriser vos données
Les différents acteurs et leurs responsabilités
Le portail myZyxel.com, conforme avec GDPR

16. 16© 2017
25
Plus de 25 ans
d’expertise réseau
+1500
+1500 employés passionnés
à travers le monde
700,000
700,000 entreprises travaillent de
manière plus intelligente grâce
aux solutions Zyxel
150
Présent sur 150 marchés
100
100 million d’équipements
qui créent des connexions
dans le monde

17. 17
16%
28%
Revenu par région
Update: 2016 global annual revenue
Amérique du Sud
Amérique du Nord
Asie
EMEA (Europe, Middle East & Africa)
4%
52%

18. 18© 2017
Zyxel met un point d’honneur à s’appuyer sur des technologies de pointe.
L’investissement réalisé en 2016 dans la
Recherche & le Développement
s’est élevé à
7% du chiffre d’affaires
Centres de R&DIngénierie & support
technique local
Taiwan (siège mondial),
Allemagne, Etats-UnisNombre d’ingénieurs dans le monde : +500
Nombre de techniciens dans le monde : +150
Les ressources R&D

19. 19
Les gammes de produits Zyxel :
Un portfolio complet
Firewalls, VPN
et services UTM
Solution de
sécurité
Switch WiFiPasserelles Network Management
Switch non
administrables
et administrables :
Web, L2, L3
Points d’accès
standalone
ou managés,
contrôleurs
CPE xDSL,
LTE et
passerelles Hotspot
Solutions logicielles
pour la gestion
réseau
Nebula
Solution
de gestion
dans le Cloud

20. 20© 2017
Que dit RGPD
Article 32 - Sécurité du traitement
1.Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des
finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés
des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et
organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon
les besoins:
a) la pseudonymisation et le chiffrement des données à caractère personnel;
b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des
services de traitement;
c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés
en cas d'incident physique ou technique;
d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour
assurer la sécurité du traitement.
2.Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le
traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de
données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de
telles données, de manière accidentelle ou illicite.
3.L'application d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification
approuvé comme le prévoit l'article 42 peut servir d'élément pour démontrer le respect des exigences prévues au
paragraphe 1 du présent article.
4.Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique
agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à
caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d'y être obligée
par le droit de l'Union ou le droit d'un État membre.

21. 21© 2017
Que dit RGPD
Article 32 - Sécurité du traitement
1.Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des
finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés
des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et
organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon
les besoins:
a) la pseudonymisation et le chiffrement des données à caractère personnel;
b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des
services de traitement;
c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés
en cas d'incident physique ou technique;
d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour
assurer la sécurité du traitement.
2.Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le
traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de
données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de
telles données, de manière accidentelle ou illicite.
3.L'application d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification
approuvé comme le prévoit l'article 42 peut servir d'élément pour démontrer le respect des exigences prévues au
paragraphe 1 du présent article.
4.Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique
agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à
caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d'y être obligée
par le droit de l'Union ou le droit d'un État membre.

22. 22© 2017
L’offre de passerelles de sécurité Zyxel
De 1 à plus de 1500 utilisateurs, Zyxel propose des passerelles pour
toutes les tailles de sites

23. 23© 2017
Services UTM
Tunnels VPN
Haute disponibilité
Hotspot Management
Contrôleur WiFi
L’offre de passerelles Zyxel

24. 24© 2017
Services UTM Zyxel
Anti-Virus
Identifie et bloque les
virus cherchant à
s’infiltrer dans le réseau
Analyse les emails et
bloque les SPAM
Anti-Spam Content Filtering IDP App. Intelligence
Analyse le flux web et
bloque les catégories
souhaitées
Identifie comportements
anormaux et bloque les
intrusions
Analyse et bloque les
applications souhaitées
Des partenariats avec les spécialistes de la sécurité
Zyxel se différencie de ses concurrents en
s’appuyant sur les solution des leadeurs mondiaux
pour ses services UTM

25. 25© 2017
IPSEC / L2TP over IPSEC / SSL VPN
Client VPN SSL SecuExtender pour
Microsoft Windows & Mac OSX
SSL VPN
SecuExtender
Accès à distance Zero-configuration pour
réduire les opérations d’installation et
d’administration.
Secure Has Algorithm 2 (SHA2) pour
garantir les connexions VPN les plus
sécurisées
Déploiement
simplifié “Easy VPN”
SHA2
SecuritySSL VPN
Gestion des tunnels VPN

26. 26© 2017
Passerelles Haute Disponibilité
WAN
HA
VPN
HA
DEVICE
HA
OS
HA
▪ Solution Haute Dispo Actif-passif
▪ Disponible sur les séries Advanced et
Extreme (USG110 à USG1900)
▪ Solution HA Pro pour garantir une
bascule transparente de l’équipement
actif vers l’équipement passif
Multi-WAN &
Mobile Broadband
▪ Technologie Advanced GRE
▪ Support Actif/Backup
▪ Virtual Tunnel Interface (VTI)
VPN High
Availability (HA)
Device High
Availability (HA)
▪ Améliore l’efficacité opérationnelle
▪ Support du Dual firmware
Support de Dual OS
& Dual Firmware
▪ Résilience WAN grâce aux modes load
balancing actif-actif ou failover actif-passif
▪ Support de clés USB 3G/4G de backup
(drivers disponibles en cloud)

27. 27© 2017
Gamme passerelles UTM USG
Entry
Series
▪ USG20W-VPN
▪ USG20-VPN
Performance
Series
▪ USG60W
▪ USG60
▪ USG40W
▪ USG40
Advanced
Series
▪ USG310 / ZyWALL310
▪ USG210
▪ USG110 / ZyWALL110
Extreme Series
▪ USG2200-VPN
▪ USG1900
▪ USG1100 / ZyWALL1100
Small Business Small / Medium Business Medium / Large Business Large Business

28. 28© 2017
Certification ICSA depuis 15 ans
ICSA Labs (independent division of Verizon) awards recognize vendors for outstanding
achievement in the area of information security certification testing.
15ANS
2011
2012
2013
2014
2015
2016
Certification ICSA depuis 15 ans

29. 29© 2017
Agenda
GDPR, nouvelle réglementation de protection des données
Zyxel, votre allié pour sécuriser vos données
Les différents acteurs et leurs responsabilités
Le portail myZyxel.com, conforme avec GDPR

30. 30© 2017
Gamme passerelles UTM USG
Un outil unique pour :
▪ Enregistrer les équipements
▪ Activer les licences
▪ Suivre le parc et gérer les
expirations des licences
▪ Upgrader les équipements
▪ Avec la souplesse d’un
portail multi-tenant
myZyxel.com

31. 31© 2017
Quand et quelles données myZyxel.com enregistre-t-il ?
1
Lors de la création du
compte myZyxel.com
▪ Nom / prénom
▪ Adresse
▪ Coordonnées email/téléphone
▪ Société
2
Lors de l’enregistrement
pour l’installation des
équipements
▪ Revendeur
▪ Adresse MAC
▪ Adresse IP
▪ Numéro de série

32. 32© 2017
myZyxel.com respecte toutes les recommandations GDPR
▪ Interface multi-langues pour s’assurer de la compréhension et du consentement explicite
▪ Seules les données nécessaires sont demandées
▪ Accès aux données et à la rectification de celles-ci
▪ Accès à la pseudonymisation des données
▪ Horodatage de toutes les actions réalisées sur le portail
▪ Utilisation du Cloud AWS (rôle de processeur) certifié « EU-US Privacy Shield », conforme
aux recommandations RGPD
▪ Utilisation du cryptage des données AWS AES256
▪ Utilisation de AWS Snapshot pour la sauvegarde automatique des données
▪ Restauration des données automatique ou manuelle
▪ Procédures proactives définies pour rendre compte des failles de sécurité sous 72h

33. 33© 2017
Comment vous préparer ?
Identifier le DPO (Data Protection Officer)
Auditer les traitements de données personnelles,
les infrastructures et les risques
Procédez à un étude d’impact sur la vie privée
(Privacy Impact Assessment – PIA)
Organiser les processus internes et externes

34. 34© 2017
Le compte à rebours est lancé
J-177

35. 35