cours donné à Infosafe/Datasafe en Janvier 2018

1. GDPR en pratique
Ca a l'air simple… au début

2. Jacques Folon, Ph.D.
Partner & GDPR Director Edge Consulting
DPO externe
Professeur Ichec
Me. de Conf .Université de Liège
Prof. Inv. Université Saint Louis
Prof. inv. Université de Lorraine
Prof. inv. ESC School of Business (Rennes)
Coach pour startups - Creative Wallonia
Keynote speaker
Derniers livres
le printemps numérique
Internet et vie privée
management et RH 2.0

3. LE GDPR EN PRATIQUE
LA RUEE VERS L'OR DES CONSULTANTS,
DES AVOCATS, DES SPECIALISTES EN SECURITE,…

4. UN EXEMPLE?

5. 5
A.CONTEXTE POLITIQUE DU GDPR
B.RAPPEL QUELQUES DEFINITIONS
C.RAPPEL DES 12 GRANDS PRINCIPES
D.PRIVACY BY DESIGN
E.RIGHTS OF THE DATA SUBJECT
F.Final tips
G.Q & A

6. A : CONTEXTE
6

9. Data breaches

10. Disastrous data breaches

11. So it is a real threat !

13. En deux mots…
13
• Le GDPR est un règlement européen
concernant la protection des données
personnelles
• Il s'impose aux entreprises et au secteur
public

14. 14
MAY 2018

15. B : RAPPEL QUELQUES DEFINITIONS…
15

16. UNE DONNÉE PERSONNELLE ?
16
toute information se rapportant à une personne physique identifiée ou
identifiable (ci-après dénommée «personne concernée»);
est réputée être une «personne physique identifiable» une personne physique
qui peut être identifiée, directement ou indirectement, notamment par
référence à un identifiant, tel qu'un nom, un numéro d'identification, des
données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments
spécifiques propres à son identité physique, physiologique, génétique,
psychique, économique, culturelle

17. TRAITEMENT DE DONNEES
17
. toute opération ou tout ensemble d'opérations effectuées ou non à
l'aide de procédés automatisés et appliquées à des données ou des
ensembles de données à caractère personnel, telles que la collecte,
l'enregistrement, l'organisation, la structuration, la conservation,
l'adaptation ou la modification, l'extraction, la consultation, l'utili
sation, la communication par transmission, la diffusion ou toute autre
forme de mise à disposition, le rapprochement ou l'interconnexion, la
limitation, l'effacement ou la destruction;

18. RESPONSABLE DE TRAITEMENT
18
. la personne physique ou morale, l'autorité publique, le service
ou un autre organisme qui, seul ou conjointement avec d'autres,
détermine les finalités et les moyens du traitement; lorsque les
finalités et les moyens de ce traitement sont déterminés par le
droit de l'Union ou le droit d'un État membre, le responsable du
traitement peut être désigné ou les critères spécifiques
applicables à sa désignation peuvent être prévus par le droit de
l'Union ou par le droit d'un État membre;

19. SOUS-TRAITANT
19
. la personne physique ou morale, l'autorité publique, le
service ou un autre organisme qui traite des données à
caractère personnel pour le compte du responsable du
traitement;

20. VIOLATION DE DONNEES
20
une violation de la sécurité entraînant, de manière accidentelle
ou illicite, la destruction, la perte, l'altération, la divulgation
non autorisée de données à caractère personnel transmises,
conservées ou traitées d'une autre manière, ou l'accès non
autorisé à de telles données;
CONSÉQUENCES:
NOTIFICATION PUBLIQUE !!

21. C : Les 12 grands principes du GDPR
21
1. Responsabilité - « accountability »
2. Droit du citoyen et du collaborateur (RH)
3. Privacy by design
4. Sécurité des données
5. Notification des vols/pertes de données
6. Sanctions importantes
7. Gestion des accès aux données (IAM)
8. Licéité des traitements (réglementation ou consentement)
9. Registre des traitements
10.Analyse de risques et PIA
11.Formation
12.Data privacy officer

22. 1/ ACCOUNTABILITY
22

23. ACCOUNTABILITY ?

24. EN PRATIQUE:
L'APD débarque suite à une plainte, une
dénonciation…
Que faites-vous?
Que pouvez-vous leur montrer?
Qu'avez-vous préparé?
Comment se préparer?
Quel type de plainte?
Quid vol de données?
…
c'est ça l'accountability

25. 2/ DROIT DE LA PERSONNE
25
TRANSPARENCE
INFORMATIONS LORS DE LA COLLECTE
DROIT D'ACCES
DROIT DE RECTIFICATION
DROIT A L'EFFACEMENT
DROIT A LA LIMITATION DU TRAITEMENT
PORTABILITE
DROIT D'OPPOSITION AU PROFILAGE

27. Ca a l'air simple…
Droits d'accès à… tout
Depuis longtemps
Dans toutes les bases de données
De tout ce qui dépend du RDT
Imaginez un ministère, la ville de Bruxelles,…
et donc
nécessité de programmes de détection
de développement
ou pas
analyse de risques

28. 3. PRIVACY BY DESIGN MEANS
THINK PRIVACY FIRST !

29. 3/ PRIVACY BY DESIGN
29

32. 4/SECURITE DE L'INFORMATION
32

33. Mesures techniques et organisationnelles

34. Concrètement ca veut dire quoi?

35. Ne pas oublier
Plan de sécurité de l'information
Archivage
Destruction des données
ISO 2700X
audit de sécurité
Test de pénétration, …

36. 5/ NOTIFICATION DES VOLS/PERTES
36

37. Préparer la communication de crise
1/ dans quels cas doit-on prévenir l'APD?
2/ Si on prévient l'APD et après?

38. 6/ SANCTIONS
38

39. 7/ IAM (GESTION DES ACCÈS)
39

40. To be continued
Voir les cours à ce sujet
La question qui tue:
puis-je voir votre procédure de
gestion des profils et la
documentation quant aux
besoins d'accès?

41. 8/ LICEITE
41

42. Secteur public
Quelle est la règle légale qui nous
autorise à effectuer ce traitement?

43. Consentement ?
privacy policy?
Preuve du consentement?

44. 9/ REGISTRE DES TRAITEMENTS
44

45. Méthode:
POC
RDT ou SST ?
Fiche APD
Attention=> log de non conformité
lien vers les consentement, les
décisions, les sources
le registre sert à se défendre !

46. 10/ ANALYSE DE RISQUES /PIA
46

47. Quand ?
Utile même si pas
indispensable
Permet de se poser les bonnes
questions
Bon sens

48. 11/ FORMATIONS
48

49. Différents types de formation
Pas (encore) de formation certifiante
Sensibilisation de la direction (1h00)
Formation de base du personnel (2h00)
Formation approfondie (5/6 jours ou…
Datasafe)
Formation pour registre (1/2 jour)
Formation privacy by design (1 jour)
Formation DPO/chef de projet GDPR

50. 12/ DATA PRIVACY OFFICER
50

51. 4 fonctions différentes !!
GDPR Sécurité de l’information
Conseil Data Privacy Officer (DPO) Information Security Advisor
(ISA)
Mise en œuvre Chef de projet GDPR ou
correspondant GDPR dans les
divers départements
Responsable de la sécurité des
systèmes d’information (RSSI)

52. Indépendance
rapporter à >< hiérarchie
description de fonction
conflit d'intérêt
interne ou DPOaaS
mutualisation

53. D : PRIVACY BY DESIGN
53

54. PRIVACY BY DESIGN ??

56. NO THERE ARE SOME BENEFITS

57. IT IS AN INVESTMENT IN ORDER TO MINIMIZE FUTURE RISKS

58. WHAT DOES IT MEANS ?
IT IS FROM THE START TO THE END OF THE PROCESS

59. BUT DON'T FORGET… IT'S AN ITERATIVE PROCESS

60. DATA QUALITY IS ESSENTIAL

61. Privacy by design & information lifecycle
Privacy by design is key in various essential
phases of the information lifecycle !
building new IT systems for storing or accessing
personal data;
developing policies or strategies that have
privacy implications; !
embarking on a data sharing initiative;
using data for new purposes.

62. INFORMATION LIFECYCLE

63. Look at the entire data lifecycle

64. 1.CREATE
OR

65. BALANCE TEST NEEDED

66. PRIVACY POLICY OR REGULATION OR …

67. CONSENT & EVIDENCES

68. No proven consent or regulation means…

69. SENSITIVE DATA
IF THENOR

70. PRIVACY IMPACT
ASSESMENT

72. 2.STORE
• SECURITY
• ENCRYPTION
• AUTHENTICATION
• AVAILABILITY
• CONFIDENTIALITY
• IAM

73. 3. USE

74. 4. SHARE

75. 4. SHARE

76. 5.ARCHIVE

77. 6. DESTROY

78. Article 25: Privacy & Security by Design
Given state of the art, cost of implementation, and nature, scope,
context, purpose and risks of processing
Privacy measures to consider:
Anonymization
Pseudonoymization
Data minimization
Security measures to consider
Confidentiality & encryption (at rest, in transit) ! Access (Least
privilege, need to know)
Update and vulnerability management
Balancing security and usability

79. SECURITY IS KEY

80. DON'T FORGET THE HUMAN

81. What are the threats?

82. and never forget…

83. E. RIGHTS OF THE DATA SUBJECT

85. RIGHT TO ACCESS

86. RIGHT TO BE FORGOTTEN

87. F. Final tips

88. Final tips

89. Some IBM advices

90. Customer identity

91. SSO + IAM

92. Encryption + in transit encryption !

93. Mobile device management

94. Processors & subcontractors

95. Monitor discrepancies

96. Could you detect data leaks?

97. Limit retention

98. Conclusion

99. Last words

100. SOURCES
• https://www.slideshare.net/TrishMcGinity/csa-privacy-by-design-amp-gdpr-austin-chambers-11417?
qid=b15cffa4-6e24-40ca-8c3b-7230dd1cae30&v=&b=&from_search=1#
• https://www.slideshare.net/mactvdp/training-privacy-by-design?qid=c5022dbe-afbd-4905-
aba4-1a92b1382de1&v=&b=&from_search=3
• `https://ico.org.uk/for-organisations/guide-to-data-protection/privacy-by-design/
• https://www.bdb-law.co.uk/blogs/no-blogs/conducting-a-privacy-impact-assessment-the-what-the-why-and-the-
how/
• https://www.slideshare.net/DragonBe/privacy-by-design-82454527?qid=2ba69b5e-bf28-40f4-b1ec-
fc8328355fec&v=&b=&from_search=4
• https://www.slideshare.net/markieturbo/advantages-of-privacy-by-design-in-ioe?qid=f2e5fc34-f946-4fd4-bace-
c3fc244a8b7e&v=&b=&from_search=8
• https://www.slideshare.net/feyeleanor/dont-ask-dont-tell-the-virtues-of-privacy-by-design?qid=1b0459a2-
a969-467b-947d-6a0e3304f432&v=&b=&from_search=14
• https://www.slideshare.net/kristyngreenwood/privacy-by-design-white-papaer?qid=1b0459a2-
a969-467b-947d-6a0e3304f432&v=&b=&from_search=17

101. 101