Le document traite des obligations et des principes du RGPD, notamment la gestion des données personnelles, les responsabilités des contrôleurs et des processeurs de données, ainsi que les droits des sujets de données. Il met également en avant l'importance de la transparence, de la sécurité de l'information et de l'évaluation des risques dans le cadre de la conformité au RGPD. Enfin, il souligne la nécessité de documenter les processus et de désigner un DPO lorsque cela est requis.

2. GRAPHICBULB
2
Jacques Folon, Ph.D.
Professor
Data Privacy Officer
GDPR Director
CEO
jacques.folon@ichec.belinkedin.com/in/folon
Trafic, Ichec, JPCR, Reflex, CMI,…
SPF Finances, Police fédérale,
CIRB, L’Oréal, Province de Hainaut,…

3. DROIT
informatique gestion
RGPD

4. Question existentielle !
Qu’est-ce qui fait partie du RGPD et n’est pas concerné par la sécurité de l’information ?
Qu’est-ce qui fait partie de la sécurité de l’information et n’est pas concerné par le RGPD?

5. Un petit
résumé
?
TERRITORIALSCOPE
Non-EUEstablishedOrganizations
Offer goods or ser vices or engaging in
monitoring within the EU.
PERSONALDATA SENSITIVEDATA
ENFORCEMENT
LAWFULPROCESSING
CONSENT
RESPONSIBILITIESOFDATACONTROLLERSANDPROCESSORS
RIGHTSOFDATASUBJECTS
Transparency
Purpose
Specificationand
Minimization
Access and
Rectification
Automated
Decision- Making
Rightto Data
Portability
Rightto
Erasure
DATABREACHNOTIFICATION
DataProtection
Officer (DPO)
Data
Protectionby
Design
INTERNATIONALDATATRANSFER
DataImpact
Assessment
Recordof Data
ProcessingActivities
THEPLAYERS
Data
Subjects
DataControllers
Data
Processors
Supervisory
Authorities
Identified Identifiable
Racial or
EthnicOrigin
Religious or
Philosophical
Beliefs
Health
Trade Union
Membership Sex
Life
Political
Opinions
Biometric
Data
Genetic
Data
“Right not to be subject to a
decision basedsolely on
automatedprocessing,
including profiling.”
Apersonal databreachis “abr each of
security leading to the accidental or
unlawful destr uction,loss,alter ation,
unauthorized disclosure of,or access
to,personal datatransmitted,storedor
otherwise processed.”
Collection and processing of per sonal datamust
be for “specified,explicit and legitimate purposes”
– withconsent of datasubject or necessar y for
Consent must be freely
given,specific,
infor med,and
unambiguous.
Model
Contractual
Clauses
Privacy
Shield
Binding
Corporate
Rules
(BCRs)
Adequate Level of
DataProtection
If likely to result in ahighprivacy r isk notify datasubjects
Notify super visory authorities no later
than 72hour s after discovery.
Upto 20 million euros or 4%of total annual worldwide
turnover . Less serious violations: Upto 10million
euros or 2%of total annual worldwide turnover.
EUEstablishments
Maintain adocumented
r egister of all activities
involving processing of EU
per sonal data.
built in starting at
the beginning of the
design process
Designate DPOif core
activity involves r egular
monitoring or processing
large quantities of
per sonal data..
For highr isk
situations
www.teachpr iv acy.com
GDPR
Workforce awareness trainingbyProf.Daniel J.Solove
• performance of a contr act
• compliance with alegal
obligation
• to pr otect aperson’s
vital interests
• taskin the public
interest
• legitimate inter ests
Effective Judicial Remedies:
compensation for mater ial and
non-material harm.
Fines
Security
Please askpermissionto reuse or distribute

6. Exercice introductif
Imaginez que l’APD vous
annonce sa visite suite à une
plainte.
Comment et que préparez-

7. Vous devez être
capable de démontrer
que vous êtes en règle
par rapport au RGPD

8. Il n’existe pas de certification GDPR NI
DPO

10. Il n’existe pas de certification GDPR NI
DPO

11. 1. Le but: le dossier GDPR
2. DPO or not DPO?
3. Les décisions de la direction
4. La partie visible d’abord
5. La partie risquée d’abord
6. Je ne veux pas être sous-traitant
7. Les DB existantes
8. Les droits des personnes
9. Les mesures techniques
10. Les mesures organisationnelles
11. Les RH
12. Les DPIA
13. Le registre
14. Le Dossier RGPD

12. But à atteindre
• avoir un dossier complet
• Obligation de moyen
• La sécurité de
l’information en fait
partie
• Et la compliance est
comprise dans ISO27002

13. Principe de transparence !
Le dossier RGPD ne sera
jamais fini !

14. 1. Le but: le dossier GDPR
2. DPO or not DPO?
3. Les décisions de la direction
4. La partie visible d’abord
5. La partie risquée d’abord
6. Je ne veux pas être sous-traitant
7. Les DB existantes
8. Les droits des personnes
9. Les mesures techniques
10. Les mesures organisationnelles
11. Les RH
12. Les DPIA
13. Le registre
14. Le Dossier RGPD

15. Jacques Folon - 2019

16. Les autres rôles et
fonctions
1 0 - 0 9 - 2 0
ROLE RGPD INFOSEC
CONSEIL DPO CONSEIL => DPO (RN)
OPÉRATIONNEL CHEF DE PROJET RSSI

18. • Soutien de la direction
• Description de fonction
• Certification ?
• Plan d’actions
• Chef de projet
• Correspondants RGPD
• Avis et recommandations à la
direction
• Rapport annuel (Analyse-bilan-plan)

19. LE GDPR CA PEUT ETRE POSITIF
MEILLEURE CONNAISSANCE DES PROCESSUS INTERNES

21. 1. Le but: le dossier GDPR
2. DPO or not DPO?
3. Les décisions de la direction
4. La partie visible d’abord
5. La partie risquée d’abord
6. Je ne veux pas être sous-traitant
7. Les DB existantes
8. Les droits des personnes
9. Les mesures techniques
10. Les mesures organisationnelles
11. Les RH
12. Les DPIA
13. Le registre
14. Le Dossier RGPD

22. • Le DPO ne décide pas !
• QUID DU RSSI?
• Décisions à prendre
• Acter les décisions
• Quid en cas de
désaccord?
• Exemples de décisions

23. 1. Le but: le dossier GDPR
2. DPO or not DPO?
3. Les décisions de la direction
4. La partie visible d’abord
5. La partie risquée d’abord
6. Je ne veux pas être sous-traitant
7. Les DB existantes
8. Les droits des personnes
9. Les mesures techniques
10. Les mesures organisationnelles
11. Les RH
12. Les DPIA
13. Le registre
14. Le Dossier RGPD

24. • Le site Internet
• Double opt-in
• Conservation des accords (contrat,
consentement)
• Cookies
• Marketing digital
• La collecte des données papier
• Bulletins d’inscriptions
• Privacy policies (plusieurs !!!)
• Collaboration DPO – ICT – RSSI nécessaire

25. CONSENTEMENT ET PREUVE
NOT ONLY
CONTRAT
INTÉRÊT LÉGITIME
CONSENTEMENT

27. 1. Le but: le dossier GDPR
2. DPO or not DPO?
3. Les décisions de la direction
4. La partie visible d’abord
5. La partie risquée d’abord
6. Je ne veux pas être sous-traitant
7. Les DB existantes
8. Les droits des personnes
9. Les mesures techniques
10. Les mesures organisationnelles
11. Les RH
12. Les DPIA
13. Le registre
14. Le Dossier RGPD

28. • Données sensibles
• RH
• Secrets d’affaires
• Identifier les départements à
risques
• On commence par sécuriser
les worst case
• Procédure en cas de

29. 1. Le but: le dossier GDPR
2. DPO or not DPO?
3. Les décisions de la direction
4. La partie visible d’abord
5. La partie risquée d’abord
6. Je ne veux pas être sous-traitant
7. Les DB existantes
8. Les droits des personnes
9. Les mesures techniques
10. Les mesures organisationnelles
11. Les RH
12. Les DPIA
13. Le registre
14. Le Dossier RGPD

31. • Vous avez des sous-
traitants ?
• Audit (gratuite ou payante)
• Sous-traitants
• Données
• Finalités
• DPIA
• Si pas d’accords quant au statut?
• Vous êtes sous-traitant?

33. 1. Le but: le dossier GDPR
2. DPO or not DPO?
3. Les décisions de la direction
4. La partie visible d’abord
5. La partie risquée d’abord
6. Je ne veux pas être sous-traitant
7. Les DB existantes
8. Les droits des personnes
9. Les mesures techniques
10. Les mesures organisationnelles
11. Les RH
12. Les DPIA
13. Le registre
14. Le Dossier RGPD

34. • Inventaire
• Responsable (pour droit
d’accès)
• Shadow IT
• Mise en conformité
• Quantité vs qualité
• Que met-on dans le dossier

35. 1. Le but: le dossier GDPR
2. DPO or not DPO?
3. Les décisions de la direction
4. La partie visible d’abord
5. La partie risquée d’abord
6. Je ne veux pas être sous-traitant
7. Les DB existantes
8. Les droits des personnes
9. Les mesures techniques
10. Les mesures organisationnelles
11. Les RH
12. Les DPIA
13. Le registre
14. Le Dossier RGPD

36. 1 0 - 0 9 - 2 0

37. Imaginez une demande
Que fait-on ?
Qui contacter?
Comment répondre?
Qui répond?
Est-on certain de répondre en
un mois?

38. PROTÉGEZ LES DONNÉES DE VOS CLIENTS
ET MONTREZ LEUR QUE VOUS LE FAITES
3
8
TRANSPARENCE
INFORMATIONS LORS DE LA COLLECTE
DROIT D'ACCES
DROIT DE RECTIFICATION
DROIT A L'EFFACEMENT
DROIT A LA LIMITATION DU TRAITEMENT
PORTABILITE
DROIT D'OPPOSITION AU PROFILAGE

39. 1. Le but: le dossier GDPR
2. DPO or not DPO?
3. Les décisions de la direction
4. La partie visible d’abord
5. La partie risquée d’abord
6. Je ne veux pas être sous-traitant
7. Les DB existantes
8. Les droits des personnes
9. Les mesures techniques
10. Les mesures organisationnelles
11. Les RH
12. Les DPIA
13. Le registre
14. Le Dossier RGPD

40. • Certification?
• Plan de sécurité?
• Analyse de risques
• Il faut une référence
• Voir DPIA CNIL
• Déclaration vs. Réalité
• IAM ?

41. 5 Politiques de sécurité de l’information
6 Organisation de la sécurité de l’information
7 La sécurité des ressources humaines
8 Gestion des actifs
9 Contrôle d’accès
10 Cryptographie
11 Sécurité physique et environnementale
12 Sécurité liée à l’exploitation
13 Sécurité des communications56
14 Acquisition, développement et maintenance des systèmes
d’information
15 Relations avec les fournisseurs
72 16 Gestion des incidents liés à la sécurité de l’information
17 Aspects de la sécurité de l’information dans la gestion de la
continuité de l’activité 18 Conformité
Normes ISO 27002

42. • Norme ISO 27001 et 27002 concernant les systèmes de management de la sécurité de l’information
• Norme ISO 29100 (Privacy Framework)
• Norme ISO 29134 sur les DPIA
• Norme ISO 29151 sur les bonnes pratiques en matière de vie privée
• Norme ISO 27018 sur les données personnelles et le cloud public
• Norme ISO 29191 sur la cryptographie
• Norme ISO 20889 sur les techniques d’anonymisation
• Le guide Afnor sur la protection des données et les normes volontaires
• Plusieurs documents concernent la protection des données au sein du Toolkit réalisé par l’ISO 27K
Forum
• Mapping between GDPR and ISO 27K qui met en relation les articles du RGPD avec la norme ISO
27002
• Le mapping entre la norme 27552 et le GDPR (annexe C de la norme 27552)
• Mapping entre norme ISO 27552 et ISO 29100 (annexe D de la norme ISO 27552
• Mapping entre la norme ISO 27552, 27018 et 29151 (annexe E de la norme ISO 27552)
• Il ne faudra pas négliger d’effectuer une veille concernant les évolutions des normes et codes of
practices réalisés dans le cadre de l’ISO. A titre d’exemple, un certain nombre de travaux sont en
cours et seront publiés postérieurement :
• ISO/IEC 27555 — Information technology — Security techniques — Establishing
a PII deletion concept in organizations
• ISO/IEC AWI 27556 Information technology -- User-centric framework for the
handling of personally identifiable information (PII) based on privacy
preferences
• ISO 31700: concernera le privacy by design des produits et services au
• Les autres normes ISO et documents utiles

43. Les trois éléments de la
gouvernance
• Politique de sécurité
• Plan de sécurité
• Mesures de securité
1 0 - 0 9 - 2 0

44. Exemples
• https://cirb.brussels/fr/fichiers/gouvernance-
protection-des-donnees
• https://www.autoriteprotectiondonnees.be/sites/p
rivacycommission/files/documents/Richtsnoeren_
CBPL_V%202%200%20FR_TRA.pdf
• https://www.ssi.gouv.fr/guide/pssi-guide-
delaboration-de-politiques-de-securite-des-
systemes-dinformation/
Gouvernance de la sécurité
1 0 - 0 9 - 2 0

45. PRIVACY BY DESIGN MEANS
THINK PRIVACY FIRST !

46. • Privacy by design?
• Il faut documenter !
• Comment faire?
• Comment le démontrer?
• Comment convaincre les
développeurs?

47. PRIVACY BY DESIGN ??

49. NO THERE ARE SOME BENEFITS

50. WHAT DOES IT MEANS ?
IT IS FROM THE START TO THE END OF THE
PROCESS

51. BUT DON'T FORGET… IT'S AN ITERATIVE PROCESS

52. DATA QUALITY IS ESSENTIAL

53. INFORMATION LIFECYCLE

54. Look at the entire data lifecycle

55. 1.CREATE
OR

56. BALANCE TEST NEEDED

57. PRIVACY POLICY OR REGULATION OR …

58. CONSENT & EVIDENCES

59. No proven consent or regulation means…

60. SENSITIVE DATA
IF THENOR

61. PRIVACY IMPACT
ASSESMENT

63. 2.STORE
• SECURITY
• ENCRYPTION
• AUTHENTICATION
• AVAILABILITY
• CONFIDENTIALITY
• IAM

64. 3. USE

65. 4. SHARE

66. 4. SHARE

67. 5.ARCHIVE

68. 6. DESTROY

69. Final tips

70. Final tips

71. Some IBM advices

72. Customer identity

73. SSO + IAM

74. Encryption + in transit encryption !

75. Mobile device management

76. Processors & subcontractors

77. Monitor discrepancies

78. Could you detect data leaks?

79. Limit retention

80. Last words

81. Identity Access Management (GESTION DES ACCÈS)
8
1

82. 8 2
Quelles sont les questions à se poser??
• Les personnes sont-elles ce
qu’elles disent être??
• Sont-elles des membres
réels de notre communauté
?
• Ont-elles reçu les
autorisations nécessaires ?
• Le respect de leurs données
personnelles est-il mis en
place?

83. 8 3
Exemples de questions
• Quel mot type de mot de passe
donner?
• Quelles sont les activités
autorisées?
• Quelles sont les activités
interdites?
• A quelle catégorie de personne
cette nouvelle identité doit-elle
être attachée?
• A quel moment du processus
d’entrée les autorisations doivent-
elles être données?
• Quelles modalités de contrôle sont
mises en place?

84. 1. Le but: le dossier GDPR
2. DPO or not DPO?
3. Les décisions de la direction
4. La partie visible d’abord
5. La partie risquée d’abord
6. Je ne veux pas être sous-traitant
7. Les DB existantes
8. Les droits des personnes
9. Les mesures techniques
10. Les mesures organisationnelles
11. Les RH
12. Les DPIA
13. Le registre
14. Le Dossier RGPD

85. LE MAILLON FAIBLE…

86. • Il y en a aussi dans la 27002
• Inventaire physique
• RH
• Formation
• Charte informatique
• Clauses de confidentialité
• CC 81

87. COMMUNICATION
DE CRISE
8
7

88. • le registre des incidents
les décisions de la direction
les raisons des choix
les transferts à l’APD
Le non transfert
les droits d’accès
…

89. 1. Le but: le dossier GDPR
2. DPO or not DPO?
3. Les décisions de la direction
4. La partie visible d’abord
5. La partie risquée d’abord
6. Je ne veux pas être sous-traitant
7. Les DB existantes
8. Les droits des personnes
9. Les mesures techniques
10. Les mesures organisationnelles
11. Les RH
12. Les DPIA
13. Le registre
14. Le Dossier RGPD

90. • Un bon partenaire
• Principe de transparence
• CC 81
• Clauses de confidentialité
• Charte informatique
• Quid des syndicats?
• Données sensibles

91. 1. Le but: le dossier GDPR
2. DPO or not DPO?
3. Les décisions de la direction
4. La partie visible d’abord
5. La partie risquée d’abord
6. Je ne veux pas être sous-traitant
7. Les DB existantes
8. Les droits des personnes
9. Les mesures techniques
10. Les mesures organisationnelles
11. Les RH
12. Les DPIA
13. Le registre
14. Le Dossier RGPD

92. • Outil de la CNIL
• Comment faire?
• Qui autour de la
table?
• On commence par
quoi?
• Actualisation?

93. 1. Le but: le dossier GDPR
2. DPO or not DPO?
3. Les décisions de la direction
4. La partie visible d’abord
5. La partie risquée d’abord
6. Je ne veux pas être sous-traitant
7. Les DB existantes
8. Les droits des personnes
9. Les mesures techniques
10. Les mesures organisationnelles
11. Les RH
12. Les DPIA
13. Le registre
14. Le Dossier RGPD

94. 9/ REGISTRE DES TRAITEMENTS
9
4

96. • Quel format choisir?
• Comment faire?
• Anticiper les simultanéités
• Log de non-conformité
• Méthode de classement
• Il faut retrouver les
preuves!

97. 1. Le but: le dossier GDPR
2. DPO or not DPO?
3. Les décisions de la direction
4. La partie visible d’abord
5. La partie risquée d’abord
6. Je ne veux pas être sous-traitant
7. Les DB existantes
8. Les droits des personnes
9. Les mesures techniques
10. Les mesures organisationnelles
11. Les RH
12. Les DPIA
13. Le registre
14. Le Dossier RGPD

98. PRINCIPALE TÂCHE DO-CU-MEN-TA-TION

99. 99
COMMENT DÉMONTRER QU’ON EST EN
RÈGLE?
COMMENT RASSURER SES CLIENTS

100. Exemple
gdprfolder.eu

101. https://gdprfolder.eu
© 2018 GDPRFOLDER.EU SPRL All Rights Reserved.
02
03
04
05
01
NOUVELLES LOIS NATIONALES
JURISPRUDENCE NATIONALE ET
EUROPÉENNE
NOUVELLES PROCÉDURES
ADLINISTRATIVES
RECOMMANDATIONS DES AUTORITÉS DE
PROTECTION DES DONNÉES
NOUVELLES DIRECTIVES EUROPÉENNES
Mises à jour permanentes
Le GDPR n’en finit pas d’évoluer !

102. JUST DO IT