Le chrono est lancé pour la mise en application de la GDPR ! Dès le 25 mai 2018, toute entreprise dans le monde qui collecte, traite et stocke des données personnelles de citoyens européens devra être en conformité.
Dans cet eBook, vous découvrirez les actions à mener pour être GDPR compliant à temps mais également des avis d'experts, d'entreprises et de nos partenaires Segeco, IBM et le cabinet Lexing Alain Bensoussan avocats.
Envie de savoir où en sont les entreprises françaises dans leur mise en conformité ? Nous vous livrons également les résultats de notre étude « Maturité des entreprises en France : règlement européen sur la protection des données ».
Témoignages : Volkswagen, Orange, Laboratoires Servier, IBP
Suivez Umanis les réseaux sociaux :
- Linkedin : http://bit.ly/Inc-umanis
- Twitter : http://bit.ly/tw-umanis
- Facebook : http://bit.ly/face-umanis
Les impacts du nouveau règlement européen GDPRArismore
Selon un sondage Ipswitch en 2014, 56% des entreprises ne savent pas ce qu'est GDPR.
GDPR (General Data Protection Regulation) : 200 pages de loi couvrant le traitement des données personnelles pour uniformiser les législations au niveau européen, simplifier les formalités pour les entreprises et renforcer le droit des personnes.
Quels impacts pour votre entreprise ?
Au programme :
- Contexte et particularités de la loi GDPR
- Impacts applicables à tous (responsables de traitement et sous-traitants)
- Impacts applicables aux seuls responsables de traitement
- Impacts applicables aux seuls sous-traitants
- Par quoi commencer ? (DPO, Analyse d'impact, Analyse de risque, Privacy by default, Privacy by design, registre des traitements)
Le GDPR (General Data Protection Regulation) dans le détail - DocumentJean-Michel Tyszka
Le GDPR sera appliqué dans moins d'un an : il est temps de passer à l'action !
Aperçu du règlement et des implications qu'il pourrait avoir sur l'entreprise ...
Le chrono est lancé pour la mise en application de la GDPR ! Dès le 25 mai 2018, toute entreprise dans le monde qui collecte, traite et stocke des données personnelles de citoyens européens devra être en conformité.
Dans cet eBook, vous découvrirez les actions à mener pour être GDPR compliant à temps mais également des avis d'experts, d'entreprises et de nos partenaires Segeco, IBM et le cabinet Lexing Alain Bensoussan avocats.
Envie de savoir où en sont les entreprises françaises dans leur mise en conformité ? Nous vous livrons également les résultats de notre étude « Maturité des entreprises en France : règlement européen sur la protection des données ».
Témoignages : Volkswagen, Orange, Laboratoires Servier, IBP
Suivez Umanis les réseaux sociaux :
- Linkedin : http://bit.ly/Inc-umanis
- Twitter : http://bit.ly/tw-umanis
- Facebook : http://bit.ly/face-umanis
Les impacts du nouveau règlement européen GDPRArismore
Selon un sondage Ipswitch en 2014, 56% des entreprises ne savent pas ce qu'est GDPR.
GDPR (General Data Protection Regulation) : 200 pages de loi couvrant le traitement des données personnelles pour uniformiser les législations au niveau européen, simplifier les formalités pour les entreprises et renforcer le droit des personnes.
Quels impacts pour votre entreprise ?
Au programme :
- Contexte et particularités de la loi GDPR
- Impacts applicables à tous (responsables de traitement et sous-traitants)
- Impacts applicables aux seuls responsables de traitement
- Impacts applicables aux seuls sous-traitants
- Par quoi commencer ? (DPO, Analyse d'impact, Analyse de risque, Privacy by default, Privacy by design, registre des traitements)
Le GDPR (General Data Protection Regulation) dans le détail - DocumentJean-Michel Tyszka
Le GDPR sera appliqué dans moins d'un an : il est temps de passer à l'action !
Aperçu du règlement et des implications qu'il pourrait avoir sur l'entreprise ...
Au cours de ma formation en Cybersécurité à l'Ecole Aston, il nous a été proposé de réaliser des exposés sur des problématiques touchant le monde de la sécurité informatique.
A cette occasion, nous avons formés des groupes, et celui auquel j'appartenais à décidé de s'intéresser à la Loi de Programmation militaire française, et au Règlement Général sur la Protection des Données.
Voici le résultat de nos travaux.
Lpm + rgpd études conjointe des deux grands textesDidier Graf
Au cours de ma formation en Cybersécurité à l'Ecole Aston, il nous a été proposé de réaliser des exposés sur des problématiques touchant le monde de la sécurité informatique.
A cette occasion, nous avons formés des groupes, et celui auquel j'appartenais à décidé de s'intéresser à la Loi de Programmation militaire française, et au Règlement Général sur la Protection des Données.
Voici le résultat de nos travaux.
Livre Blanc- Règlement Général européen sur la Protection des DonnéesTerface
RGPD : le grand défi pour protéger les données confidentielles : quelles conséquences pour les professionnels ?
Pour en savoir plus sur les destructeurs de documents professionnels, consultez notre site !
https://www.terface.com/destructeur-de-documents-13/
A moins d'un mois de l'entrée en vigueur de ce nouveau règlement européen de protection des données personnelles, il est grand temps pour les entreprises de se mettre en conformité. Ce diaporama revient sur les principales dispositions du RGPD et les éléments à mettre en place du côté des entreprises, notamment dans le cadre des campagnes marketing.
Gdpr : impacts sur l'organisation et plan d'actionsCaroline Meot
En partenariat avec Halian, Ageris GROUP a animé le 13/12/2016 au Luxembourg un workshop décideurs sur le sujet du GDPR et du plan d'actions de mise en conformité.
Voici une synthèse de la dynamique présentation de Denis VIROLE, expert protection de l'information
Grand Format "Data to Consumer" - Présentation Bird & BirdPetit Web
Compte-rendu ici : http://www.petitweb.fr/actualites/gdpr-9-nouvelles-obligations-autant-dopportunites/
Présentation du 4 octobre 2016 : Se préparer à la nouvelle réglementation GDPR
Le Règlement Général sur la Protection des Données (RGPD) entrera en vigueur à la fin de la semaine, le 25 mai plus précisément.
Cette infographie présente les principaux points contenus dans le RGPD dans le but de comprendre les normes qui s'appliqueront à toutes les entités qui manipulent des données personnelles.
Coupon promo à 9.99€ : https://www.udemy.com/rgpd-les-fondamentaux/?couponCode=SLIDERGPD2018
D’une portée et d’une application plus étendues que l’actuelle loi sur la protection des données, le GDPR de l’UE étend les droits des individus en matière de données et exige des organisations qu’elles élaborent des politiques et des procédures claires pour protéger les données personnelles et qu’elles adoptent des mesures techniques et organisationnelles appropriées. Les organisations Européennes ont jusqu’en mai 2018 pour se conformer à la nouvelle loi, sous peine d’amendes pouvant aller jusqu’à 4 % du chiffre d’affaires annuel ou 20 millions d’euros – le montant le plus élevé étant retenu.
Dispensée par un praticien expérimenté dans le domaine de la protection des données, cette formation s’appuie sur notre vaste expérience pratique acquise en matière de conformité aux lois sur la protection des données et aux normes de sécurité de l’information, telles que la norme ISO 27001.
Contenu de la formation complète :
_3h30 de vidéos
_Des exercices et des discussions ouvertes
Coupon : https://www.udemy.com/rgpd-les-fondamentaux/?couponCode=SLIDERGPD2018
Données de santé & RGPD (Règlement Général sur la Protection des Données Per...CEEDFormation
I. Définition d’une donnée personnelle
II. Règlement Général sur la Protection des Données Personnelles (RGPD)
III. RGPD et professionnels de santé
IV. Consentement des patients
V. Accessibilité des données et sécurité
VI. Focus : crise sanitaire
PODIS Ltd is pleased to foster awareness on #RoadSafety.
PODIS is a Vehicle Agnostic, Automatic Crash Notification System. It is a white label, all-IP, Cloud Based, Client-Server solution, which works on all network technologies (2G, 3G, 4G)
For more information, contact info (at) podis (dot) uk
Il turismo internazionale continua a crescere. Congiuntura economica e fattori geopolitici non sembrano in grado di modificarne, nel medio-lungo termine, il trend di sviluppo.
L’Italia ha intercettato il trend positivo ed ha visto crescere gli arrivi in modo significativo (ca. +50% in 15 anni)
Siamo più attrattivi senza riuscire, tuttavia, a generare maggior valore perché la permanenza media continua a scendere, è passata da 4,1 giorni del 2001 a 3,6 giorni del 2015, e con essa la spesa per arrivo passata da oltre 1.000 euro del 2001(a prezzi 2015) a poco meno di 700 del 2015.
Un fenomeno che mette in evidenza una importante criticità del nostro modello di offerta dal momento che nel turismo l’obiettivo non è principalmente quello di attrarre i turisti ma soprattutto quello di trattenerli perché in questo modo crescano le occasioni di spesa e, dunque, le entrate valutarie.
Il turismo internazionale in Italia continua ad essere prevalentemente europeo, oggi pesa per oltre il 70% in leggero calo rispetto a quindici anni fa quando i flussi di origine europea rappresentavano il 74% del totale. Ma negli ultimi anni cresce anche il peso dei Paesi extra-europei.
Au cours de ma formation en Cybersécurité à l'Ecole Aston, il nous a été proposé de réaliser des exposés sur des problématiques touchant le monde de la sécurité informatique.
A cette occasion, nous avons formés des groupes, et celui auquel j'appartenais à décidé de s'intéresser à la Loi de Programmation militaire française, et au Règlement Général sur la Protection des Données.
Voici le résultat de nos travaux.
Lpm + rgpd études conjointe des deux grands textesDidier Graf
Au cours de ma formation en Cybersécurité à l'Ecole Aston, il nous a été proposé de réaliser des exposés sur des problématiques touchant le monde de la sécurité informatique.
A cette occasion, nous avons formés des groupes, et celui auquel j'appartenais à décidé de s'intéresser à la Loi de Programmation militaire française, et au Règlement Général sur la Protection des Données.
Voici le résultat de nos travaux.
Livre Blanc- Règlement Général européen sur la Protection des DonnéesTerface
RGPD : le grand défi pour protéger les données confidentielles : quelles conséquences pour les professionnels ?
Pour en savoir plus sur les destructeurs de documents professionnels, consultez notre site !
https://www.terface.com/destructeur-de-documents-13/
A moins d'un mois de l'entrée en vigueur de ce nouveau règlement européen de protection des données personnelles, il est grand temps pour les entreprises de se mettre en conformité. Ce diaporama revient sur les principales dispositions du RGPD et les éléments à mettre en place du côté des entreprises, notamment dans le cadre des campagnes marketing.
Gdpr : impacts sur l'organisation et plan d'actionsCaroline Meot
En partenariat avec Halian, Ageris GROUP a animé le 13/12/2016 au Luxembourg un workshop décideurs sur le sujet du GDPR et du plan d'actions de mise en conformité.
Voici une synthèse de la dynamique présentation de Denis VIROLE, expert protection de l'information
Grand Format "Data to Consumer" - Présentation Bird & BirdPetit Web
Compte-rendu ici : http://www.petitweb.fr/actualites/gdpr-9-nouvelles-obligations-autant-dopportunites/
Présentation du 4 octobre 2016 : Se préparer à la nouvelle réglementation GDPR
Le Règlement Général sur la Protection des Données (RGPD) entrera en vigueur à la fin de la semaine, le 25 mai plus précisément.
Cette infographie présente les principaux points contenus dans le RGPD dans le but de comprendre les normes qui s'appliqueront à toutes les entités qui manipulent des données personnelles.
Coupon promo à 9.99€ : https://www.udemy.com/rgpd-les-fondamentaux/?couponCode=SLIDERGPD2018
D’une portée et d’une application plus étendues que l’actuelle loi sur la protection des données, le GDPR de l’UE étend les droits des individus en matière de données et exige des organisations qu’elles élaborent des politiques et des procédures claires pour protéger les données personnelles et qu’elles adoptent des mesures techniques et organisationnelles appropriées. Les organisations Européennes ont jusqu’en mai 2018 pour se conformer à la nouvelle loi, sous peine d’amendes pouvant aller jusqu’à 4 % du chiffre d’affaires annuel ou 20 millions d’euros – le montant le plus élevé étant retenu.
Dispensée par un praticien expérimenté dans le domaine de la protection des données, cette formation s’appuie sur notre vaste expérience pratique acquise en matière de conformité aux lois sur la protection des données et aux normes de sécurité de l’information, telles que la norme ISO 27001.
Contenu de la formation complète :
_3h30 de vidéos
_Des exercices et des discussions ouvertes
Coupon : https://www.udemy.com/rgpd-les-fondamentaux/?couponCode=SLIDERGPD2018
Données de santé & RGPD (Règlement Général sur la Protection des Données Per...CEEDFormation
I. Définition d’une donnée personnelle
II. Règlement Général sur la Protection des Données Personnelles (RGPD)
III. RGPD et professionnels de santé
IV. Consentement des patients
V. Accessibilité des données et sécurité
VI. Focus : crise sanitaire
PODIS Ltd is pleased to foster awareness on #RoadSafety.
PODIS is a Vehicle Agnostic, Automatic Crash Notification System. It is a white label, all-IP, Cloud Based, Client-Server solution, which works on all network technologies (2G, 3G, 4G)
For more information, contact info (at) podis (dot) uk
Il turismo internazionale continua a crescere. Congiuntura economica e fattori geopolitici non sembrano in grado di modificarne, nel medio-lungo termine, il trend di sviluppo.
L’Italia ha intercettato il trend positivo ed ha visto crescere gli arrivi in modo significativo (ca. +50% in 15 anni)
Siamo più attrattivi senza riuscire, tuttavia, a generare maggior valore perché la permanenza media continua a scendere, è passata da 4,1 giorni del 2001 a 3,6 giorni del 2015, e con essa la spesa per arrivo passata da oltre 1.000 euro del 2001(a prezzi 2015) a poco meno di 700 del 2015.
Un fenomeno che mette in evidenza una importante criticità del nostro modello di offerta dal momento che nel turismo l’obiettivo non è principalmente quello di attrarre i turisti ma soprattutto quello di trattenerli perché in questo modo crescano le occasioni di spesa e, dunque, le entrate valutarie.
Il turismo internazionale in Italia continua ad essere prevalentemente europeo, oggi pesa per oltre il 70% in leggero calo rispetto a quindici anni fa quando i flussi di origine europea rappresentavano il 74% del totale. Ma negli ultimi anni cresce anche il peso dei Paesi extra-europei.
Adam's At Home Auction April 9 th 2017
https://adams.auctioneersvault.com/catalogues/8150/
AUCTION Sunday 9th April 2017 at 12.00pm
VENUE Adam’s Salerooms, 26 St. Stephen’s Green, Dublin, D02 X665, Ireland
VIEWING April 5TH - April 8TH Wednesday 5th April 10.00am - 5.00pm Thursday 6th April 10.00am - 7.00pm Friday 7th April 10.00am - 5.00pm Saturday 8th April 11.00am - 5.00pm
El documento ofrece consejos de seguridad personal y defensa para mujeres, incluyendo evitar caminar sola en lugares aislados, mantenerse alerta en todo momento, y aprender técnicas de defensa personal para aumentar las posibilidades de escapar de un agresor. También advierte sobre los riesgos de aceptar bebidas de desconocidos o subir a vehículos ajenos, y recomienda precauciones al usar ascensores o estacionamientos públicos. El gas pimienta se presenta como un aliado efectivo de autodefensa a dist
Partito il bando 2017 per il primo insediamento di giovani in agricoltura e che intendono acquistare un'azienda agricola con mutui a tasso agevolato per chi ha un'età compresa tra i 18 e i 40 anni.
A disposizione 65 milioni di euro, di cui 5 milioni destinati esclusivamente a coloro che avviano un'attività nel settore nei comuni interessati dal sisma nel 2016.
El documento describe el Mercado Verde de Morelos, un mercado que promueve la comercialización sostenible de productos locales. El mercado ofrece espacios para vendedores de productos orgánicos, soluciones ecológicas y arte. Su misión es fomentar cadenas comerciales locales para reducir el impacto ambiental. Aunque ha enfrentado dificultades administrativas, el mercado ha crecido y ahora ocurre mensualmente con el apoyo de comités de voluntarios.
Thomas Woznicki vs. Dennis Erickson Court Filing (September 1995)SteveJohnson125
This document in the case of Thomas Woznicki vs. Dennis Erickson was filed with the Wisconsin Supreme Court on September 15, 1995. The Wisconsin Supreme Court ruling in the case of Woznicki v. Erickson established the “Woznicki Notice” precedent, which gives public employees in Wisconsin the right to challenge the release of certain public records.
Silvia Senz (30/09/2013): «Cataluña: causas y legitimidad de la secesión»Silvia Senz
El apoyo social a una eventual secesión de Cataluña del Reino de España que, según los estudios de opinión de más largo alcance, entre 1991 y el año 2007, aglutinaba a poco más de un tercio de la población de Cataluña, ha experimentado a lo largo de los últimos cinco años un abrupto incremento, llegando a implicar a casi un 60 % de los catalanes y ocupando un lugar central en la atención social y política. Este artículo (versión muy ampliada de la primera parte de un trabajo en prensa) intenta aportar las claves para entender qué factores exógenos y endógenos han condicionado esta acelerada pujanza y qué elementos legitiman el iniciado proceso de secesión del Reino de España.
Project 90/90 aims to end over 30 years of entrenched homelessness in Woolloomooloo, Sydney through a collaborative Housing First approach. Statistics show high numbers of rough sleepers in the area, with 25% of all primary/secondary homelessness located in Woolloomooloo. The project has housed 62 people through partnerships between government, community, corporate, and philanthropic groups. Key achievements include securing funding for housing 70 rough sleepers and analyzing costs that show it is more efficient to house the homeless than leave them on the streets. Ongoing work includes exploring private rental opportunities, new builds, and meetings with government to discuss solutions.
An Analysis of the Electoral Socio-Demographics in the Oldham & Royton Constituency which draws on the literature of Blue Labour, the Revolt on the Right and Co-operative Councils as explanations for the rise of Populist Parties on the Radical Right in the Constituency
Apprenticeships in sm es the key debatesGed Mirfin
The document summarizes key debates around apprenticeships in small and medium enterprises based on academic literature. It discusses that while new firms contribute little to short-term job creation, established older larger firms tend to create more jobs and opportunities for apprenticeships. Public policy aimed at apprenticeships may be most effective focusing on larger established firms that are more likely to offer opportunities for long-term career development and skills acquisition through apprenticeships rather than short-term or cheap labor programs.
Este documento trata sobre los nudos, tipos de cuerdas y sus usos en anclajes y estructuras para actividades de campismo y montañismo. Explica que las cuerdas se han utilizado desde la antigüedad para diversas actividades y que su elaboración ha evolucionado de materiales naturales a sintéticos. Se divide en cuatro secciones donde detalla conceptos sobre cuerdas y pionerismo, los tipos de cuerdas y su clasificación, el manejo de cuerdas y nudos, amarres y estructuras. El objetivo es aplic
Promoting the benefits of financial education and boosting financial literacy levels in Europe are the main objectives of European Money Week.
European Money Week was launched in 2015 as an initiative by national bank associations in Europe, under coordination of the European Banking Federation.
For more information: www.europeanmoneyweek.eu
Este documento resume las principales razones por las que las empresas deberían invertir en publicidad en redes sociales, así como las posibilidades y características de la publicidad en plataformas como Facebook, Twitter, LinkedIn y YouTube. Explica que la publicidad en redes sociales permite segmentar audiencias de manera muy precisa y puede aumentar las ventas, la visibilidad de marca y la cartera de clientes.
Este documento anuncia cursos de AutoCad e Revit ministrados em linguagem acessível, inclusive para iniciantes. Fornece informações de contato como número de telefone, endereço, e-mail e site para mais detalhes sobre os cursos.
Comment se mettre en conformité avec le GDPR ?Pramana
Vous vous demandez quelles sont les contraintes imposées par le GDPR et comment mettre votre entreprise en conformité? Nous vous apportons quelques pistes dans cette formation.
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra PartnersJedha Bootcamp
L'événement
Qu'en est-il du RGPD depuis sa promulgation en 2016 ? Adopté & promulgué depuis plus de 3 ans, la compliance RGPD se lisait alors sur toutes les lèvres. En constance évolution, nous vous proposons ce soir, de mieux comprendre les tenants & aboutissants du règlement, et de se tenir au courant de ses actualités.
L'agenda
18h30 - 19h15 : La conférence
19h15 - 19h30 : Q&A
19h30 - 20h : discutons autour d'un verre avec les speakers & participants !
Présentation du partenariat VIRTUALEGIS-NYSTEK : offre conjointe pour un #accompagnement de la mise en #conformité au #RGPD et de la sécurité de votre #SI, avec, le cas échéant, une mise en conformité ou une #certification #ISO 27001-5
Un guide pratique pour comprendre les objectifs et les implications du règlement européen n° 2016/679 relatif à la protection des personnes physiques, à l’égard du traitement de leurs données à caractère personnel (GDPR / RGPD) et initier les bonnes mesures pour s'y conformer.
Le Règlement Général sur la Protection des Données entre en vigueur le 25 mai 2018. Ce règlement européen construit un cadre fort autour des données personnelles, depuis leur recueil jusqu’à leur destruction.
Dans ce livre, nous vous présentons le RGPD et ses conséquences, les mécanismes qu’il impose, et les outils à préparer pour sécuriser votre conformité.
Que vous soyez déjà dans les nuages, les pieds bien ancrés dans un datacentre, éditeur de service ou consommateur, le RGPD nous concerne tous.
Vous souhaitez estimer votre maturité RGPD ? Notre auto diagnostic, gratuit et rapide, peut vous aider. Pour un accompagnement plus poussé, GDPReady est notre offre d’accompagnement sur le chemin de la conformité RGPD.
Club Excellence Opérationnelle : RGPD pour les TPE/PMELoïc Charpentier
Le Club Excellence Organisationnelle a travaillé sur un sujet d’actualité : le RGPD. J’ai animé avec plaisir l’atelier dont l’objectif était de réfléchir à une mise en œuvre pragmatique pour les PME et mettre en avant les points de similitudes avec une démarche qualité : implication du management, processus d’amélioration, sensibilisation des équipes.
Les membres du Club sont : Visiativ, Ekium, Akrome, Ionisos, Ascotronics, LinkByNet, CESI Entreprise, Mouvement Français pour la Qualité.
L'Interactive Advertising Bureau France (IAB France) présente son Guide sur le Règlement sur la Protection des Données
Ce guide a pour vocation d'aider les entreprises membres de l'IAB France à évaluer leur conformité au RGPD et à leur indiquer les actions à mettre en place.
Entré en application le 25 mai 2018, le RGPD harmonise et met à jour les lois sur la protection des données dans l'Union européenne pour la première fois depuis plus de 20 ans. Il consolide et crée de nouveaux droits pour les citoyens européens et les citoyens vivant dans l'UE en matière de protection des données personnelles.
Le RGPD cherche également à simplifier l'environnement réglementaire pour les entreprises en harmonisant la réglementation au sein de l'UE et en mettant à leur disposition des « guichets uniques », mais aussi à exporter ce modèle à l’échelle internationale. En parallèle, le RGPD instaure un régime de sanction dissuasif à l’égard des contrevenants.
Le Guide RGPD de l’IAB France vient donc apporter un soutien concret aux entreprises de la pub digitale dans le procès de compréhension du nouveau Règlement et des tâches à mener pour se mettre en conformité, ainsi qu'un aperçu des perspectives futures.
Présentation du Petit-déjeuner GDPR du 30 mars 2017 par Mick Lévy, Directeur de l'Innovation Business chez Business & Decision.
http://blog.businessdecision.com
http://www.businessdecision.com
- As business cycles shorten and IT environments become more complex, managing technology has become difficult. The IBM Services Platform with Watson aims to address this by tapping over 30 years of IBM's IT expertise to help infrastructure run better while allowing CIOs to focus on business innovation.
- Deployed to over 800 clients, the platform enables managing IT operations autonomously through resolving issues faster, decreasing failure times, and providing assistance to human engineers. It also optimizes performance through insights that drive automation and remove the causes of issues.
This document summarizes the benefits of SoftLayer cloud infrastructure services. It highlights testimonials from customers in the UK and Germany who have improved reliability, reduced development times, and avoided issues like scaling by using SoftLayer. Data shows SoftLayer is nearly three times faster than competitors and provides lower total cost of ownership. SoftLayer offers flexible, reliable cloud services across 28 data centers globally.
The document discusses hybrid clouds, which integrate traditional IT with a combination of public, private, or managed cloud services. A hybrid cloud provides a virtual computing environment that combines services from various environments to deliver flexibility and the right service levels. Key connection points for a successful hybrid cloud include integration, data localization, operational visibility and management, security services, application portability, and standards-based infrastructure. The hybrid cloud model provides businesses flexibility to leverage the best deployment model for each workload and the ability to change models as needed to meet evolving business requirements.
The document discusses insider threats and how to mitigate them. It covers how insider threats can come from employees with malicious intent, but also from inadvertent actions like clicking a phishing link. Insider threats also include third party contractors who are given access to networks. The document provides recommendations for organizations to mitigate insider threats such as conducting background checks, monitoring unusual employee behavior, and escorting outsiders within the company's physical sites. It also discusses the ongoing threat of spam being used to distribute malware and how organizations need to protect their users from inadvertently enabling attacks through emails.
IBM Security QRadar SIEM
IBM Security QRadar SIEM is a next-generation SIEM platform that collects security data from across hybrid IT environments, analyzes it using advanced analytics and machine learning, and helps security teams detect, prioritize and respond to cyber threats.
This document is the copyrighted introduction to the book "APIs For Dummies, IBM Limited Edition" published by John Wiley & Sons, Inc. It provides an overview of what APIs are and why they are important for businesses. It states that APIs enable solutions like omnichannel experiences, faster innovation, mobile enterprises, and hybrid cloud environments. The book will define the nature of modern APIs and guide readers through decisions about which APIs to provide/consume and how to build an effective API platform. Key themes are that APIs should be treated as products and that an experimental approach of "trying early, learning fast, and scaling easily" is important.
IBM X-Force Threat Intelligence Quarterly,
4Q 2014
Get a closer look at today’s security risks—from new threats arising from within the
Internet of Things, to the sources of malware and botnet infections.
This document discusses IBM's Elastic Storage product. It provides an overview of Elastic Storage's key features such as extreme scalability, high performance, support for various operating systems and hardware, data lifecycle management capabilities, integration with Hadoop, and editions/pricing. It also compares Elastic Storage to alternative storage solutions and discusses how Elastic Storage can be used to build private and hybrid clouds with OpenStack.
IBM Cloud Manager with OpenStack provides an easy to deploy and manage private and hybrid cloud platform based on OpenStack. It features automated installation, integrated management through a single dashboard, and improved ROI through superior resource scheduling and a self-service portal. The solution supports heterogeneous infrastructure across IBM and x86 servers and major hypervisors. It also provides seamless hybrid cloud capabilities and access to OpenStack APIs while being backed by IBM support.
This document provides an introduction to Big Data and Analytics (BD&A). It discusses the three key attributes of Big Data: volume, velocity, and variety. Volume refers to the large amounts of data involved, often terabytes to petabytes. Velocity refers to the speed at which data moves and is analyzed. Variety means data can come in many different forms both structured and unstructured. The document introduces some common types of analytics and explains the business need for BD&A in terms of competitive advantage, return on investment, and improved customer experience. It stresses the importance of BD&A infrastructure to enable a successful BD&A solution and discusses an approach for planning and implementing infrastructure.
What is IBM Bluemix , Une nouvelle façon de coder , dans le cloudPatrick Bouillaud
The document discusses IBM Bluemix, a cloud platform for building, deploying, and managing apps. Some key points:
- Bluemix allows developers to quickly build apps using prebuilt services and deploy them in seconds using various programming languages and tools.
- It provides APIs, services, and tools from IBM and third parties to speed app development. Apps can also integrate with on-premise systems.
- Bluemix offers flexible pricing models including free trials and pay-as-you-go options so developers can start building apps immediately without large upfront costs.
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Laurent Speyser
(Conférence dessinée)
Vous êtes certainement à l’origine, ou impliqué, dans un changement au sein de votre organisation. Et peut être que cela ne se passe pas aussi bien qu’attendu…
Depuis plusieurs années, je fais régulièrement le constat de l’échec de l’adoption de l’Agilité, et plus globalement de grands changements, dans les organisations. Je vais tenter de vous expliquer pourquoi ils suscitent peu d'adhésion, peu d’engagement, et ils ne tiennent pas dans le temps.
Heureusement, il existe un autre chemin. Pour l'emprunter il s'agira de cultiver l'invitation, l'intelligence collective , la mécanique des jeux, les rites de passages, .... afin que l'agilité prenne racine.
Vous repartirez de cette conférence en ayant pris du recul sur le changement tel qu‘il est généralement opéré aujourd’hui, et en ayant découvert (ou redécouvert) le seul guide valable à suivre, à mon sens, pour un changement authentique, durable, et respectueux des individus! Et en bonus, 2 ou 3 trucs pratiques!
L'IA connaît une croissance rapide et son intégration dans le domaine éducatif soulève de nombreuses questions. Aujourd'hui, nous explorerons comment les étudiants utilisent l'IA, les perceptions des enseignants à ce sujet, et les mesures possibles pour encadrer ces usages.
Constat Actuel
L'IA est de plus en plus présente dans notre quotidien, y compris dans l'éducation. Certaines universités, comme Science Po en janvier 2023, ont interdit l'utilisation de l'IA, tandis que d'autres, comme l'Université de Prague, la considèrent comme du plagiat. Cette diversité de positions souligne la nécessité urgente d'une réponse institutionnelle pour encadrer ces usages et prévenir les risques de triche et de plagiat.
Enquête Nationale
Pour mieux comprendre ces dynamiques, une enquête nationale intitulée "L'IA dans l'enseignement" a été réalisée. Les auteurs de cette enquête sont Le Sphynx (sondage) et Compilatio (fraude académique). Elle a été diffusée dans les universités de Lyon et d'Aix-Marseille entre le 21 juin et le 15 août 2023, touchant 1242 enseignants et 4443 étudiants. Les questionnaires, conçus pour étudier les usages de l'IA et les représentations de ces usages, abordaient des thèmes comme les craintes, les opportunités et l'acceptabilité.
Résultats de l'Enquête
Les résultats montrent que 55 % des étudiants utilisent l'IA de manière occasionnelle ou fréquente, contre 34 % des enseignants. Cependant, 88 % des enseignants pensent que leurs étudiants utilisent l'IA, ce qui pourrait indiquer une surestimation des usages. Les usages identifiés incluent la recherche d'informations et la rédaction de textes, bien que ces réponses ne puissent pas être cumulées dans les choix proposés.
Analyse Critique
Une analyse plus approfondie révèle que les enseignants peinent à percevoir les bénéfices de l'IA pour l'apprentissage, contrairement aux étudiants. La question de savoir si l'IA améliore les notes sans développer les compétences reste débattue. Est-ce un dopage académique ou une opportunité pour un apprentissage plus efficace ?
Acceptabilité et Éthique
L'enquête révèle que beaucoup d'étudiants jugent acceptable d'utiliser l'IA pour rédiger leurs devoirs, et même un quart des enseignants partagent cet avis. Cela pose des questions éthiques cruciales : copier-coller est-il tricher ? Utiliser l'IA sous supervision ou pour des traductions est-il acceptable ? La réponse n'est pas simple et nécessite un débat ouvert.
Propositions et Solutions
Pour encadrer ces usages, plusieurs solutions sont proposées. Plutôt que d'interdire l'IA, il est suggéré de fixer des règles pour une utilisation responsable. Des innovations pédagogiques peuvent également être explorées, comme la création de situations de concurrence professionnelle ou l'utilisation de détecteurs d'IA.
Conclusion
En conclusion, bien que l'étude présente des limites, elle souligne un besoin urgent de régulation. Une charte institutionnelle pourrait fournir un cadre pour une utilisation éthique.
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...Horgix
This is the slide deck of a talk by Alexis "Horgix" Chotard and Laurentiu Capatina presented at the MongoDB Paris User Group in June 2024 about the feedback on how PayFit move away from a monolithic hell of a self-hosted MongoDB cluster to managed alternatives. Pitch below.
March 15, 2023, 6:59 AM: a MongoDB cluster collapses. Tough luck, this cluster contains 95% of user data and is absolutely vital for even minimal operation of our application. To worsen matters, this cluster is 7 years behind on versions, is not scalable, and barely observable. Furthermore, even the data model would quickly raise eyebrows: applications communicating with each other by reading/writing in the same MongoDB documents, documents reaching the maximum limit of 16MiB with hundreds of levels of nesting, and so forth. The incident will last several days and result in the loss of many users. We've seen better scenarios.
Let's explore how PayFit found itself in this hellish situation and, more importantly, how we managed to overcome it!
On the agenda: technical stabilization, untangling data models, breaking apart a Single Point of Failure (SPOF) into several elements with a more restricted blast radius, transitioning to managed services, improving internal accesses, regaining control over risky operations, and ultimately, approaching a technical migration when it impacts all development teams.
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...OCTO Technology
Par Nicolas Bordier (Consultant numérique responsable @OCTO Technology) et Alaric Rougnon-Glasson (Sustainable Tech Consultant @OCTO Technology)
Sur un exemple très concret d’audit d’éco-conception de l’outil de bilan carbone C’Bilan développé par ICDC (Caisse des dépôts et consignations) nous allons expliquer en quoi l’ACV (analyse de cycle de vie) a été déterminante pour identifier les pistes d’actions pour réduire jusqu'à 82% de l’empreinte environnementale du service.
Vidéo Youtube : https://www.youtube.com/watch?v=7R8oL2P_DkU
Compte-rendu :
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Protection des données personnelles Se mettre en conformité : Pourquoi ? Comment ?
1. IBM – Isabelle Renard Avocat – Parker Williborg
Livre blanc
GDPR
Protection des données personnelles
Se mettre en conformité : Pourquoi ? Comment ?
Une nouvelle réglementation européenne sur la protection des données personnelles va entrer en vigueur en
mai 2018. Les sanctions peuvent aller jusqu’à 4% du chiffre d’affaires annuel mondial. Parker Williborg, Maître
Isabelle Renard et IBM proposent une démarche opérationnelle outillée de mise en conformité GDPR
développée dans ce livre blanc.
Sommaire
1. La GDPR : une vraie révolution !
1.1.La GDPR : un changement de paradigme
1.2.Deux idées-forces : protection de la donnée personnelle dès la conception & auto-responsabilisation de
l’entreprise
1.3.La mise en œuvre d’un plan de progrès
1.4.Le Data Protection Officer (DPO)
1.5.La GDPR s’applique aux entreprises en dehors de l’Europe
1.6.La GDPR prend en compte la situation des groupes
1.7.La GDPR donne les moyens aux personnes de se placer au centre du contrôle de leurs données
2. Démarche opérationnelle de mise en conformité
2.1.Pilotage de la GDPR
2.2.Un large champ d’application
2.3.Préparer la mise en œuvre
2.4.Renforcer la documentation et le contrôle
3. De l’état des lieux à la mise en place des outillages d’une conformité durable
2. 2/14
1. La GDPR : une vraie révolution !
La GDPR (General Data Protection Regulation / Règlement sur la Protection des Données Personnelles) est le
fruit d’un compromis. Elle donne les moyens aux personnes de se replacer au centre du contrôle de leurs
données personnelles. Corrélativement, les entreprises doivent adopter un comportement responsable quant à
l’usage qu’elles font de ces données, dans une logique d’autorégulation encadrée.
1.1 La GDPR : un changement de paradigme
La GDPR constituera le cadre réglementaire européen de la protection des données personnelles à compter du
25 mai 2018. Il s’agit d’un règlement et non d’une directive : la GDPR sera donc directement applicable dans les
états membres, sans délai de transposition1.
La GDPR ne constitue pas une modification « à la marge » de la Loi Informatique et Libertés. Elle représente un
véritable changement de paradigme dans la façon dont les entreprises devront désormais prendre en compte la
dimension « données personnelles » inhérente à leurs activités.
Jusqu’ici, la conformité à la réglementation sur les données personnelles se bornait à s’assurer que les
déclarations ou les demandes d’autorisation imposées par la Loi Informatique et Libertés avaient été faites.
C’est souvent en cas de contrôle de la CNIL que les non conformités apparaissaient : données non effacées à
l’issue de leur durée utile, mal sécurisées, diffusées de façon inappropriées, ou détournées des objectifs pour
lesquels elles avaient été collectées. Ces non-conformités faisaient l’objet de corrections a posteriori plus ou
moins complètes, sans entraîner de réflexion de fond sur l’organisation et la gestion de la donnée dans
l’entreprise.
Avec la GDPR, l’ère des déclarations de pure forme et
des justifications a posteriori est terminée.
1
En pratique, la Loi Informatique et Libertés actuelle sera remplacée par la GDPR, qui constitue un socle minimum de
protection des données. La future Loi Informatique et Libertés comprendra, en plus du socle de la GDPR, des dispositions
complémentaires sur les points où la GDPR laisse aux Etats Membres un degré de liberté.
3. 3/14
1.2 Deux idées-forces : protection de la donnée personnelle dès la
conception & auto-responsabilité de l’entreprise
La nouvelle réglementation repose sur deux idées-forces. La première est d’amener les entreprises à intégrer la
protection de la donnée personnelle dans la conception même des applications et des processus métiers2. La
seconde est d’imposer à l’entreprise d’être en mesure de démontrer à tout moment qu’elle a pris les mesures
juridiques, organisationnelles et techniques nécessaires pour respecter les objectifs poursuivis par le règlement.
Ces mesures ne sont pas uniformes. Elles dépendent du type de données traitées et du type de traitement
considéré : elles doivent être proportionnées au risque, c’est-à-dire au préjudice qui résulterait pour les
personnes de leur utilisation inappropriée (voir Encadrés 1 et 2). Cette seconde idée est le principe dit
d’« Accountability », littéralement de « capacité à rendre compte », traduit de façon moins parlante en français
par le « principe de responsabilité ».
L’auto-responsabilisation a un prix : l’ignorer pourra coûter une amende pouvant atteindre la somme la
plus élevée entre 20 millions d’euros et 4% du chiffre d’affaires total annuel.
Reste à savoir de quelle façon l’entreprise va réaliser en pratique sa mise en conformité, dans un délai qui est
finalement très court compte tenu du changement de perspective radical introduit par la GDPR. La réponse tient
dans la mise en œuvre d’un plan de progrès continu et itératif selon trois axes : analyse juridique, méthode et
outillage.
Encadré 1 : Les données particulières (ex-données sensibles)
Encadré 2 : Le numéro de sécurité sociale (NIR)
2 « Privacy by design »
Les données particulières :
Origine raciale ou ethnique
Opinions politiques
Convictions religieuses ou philosophiques
Appartenance syndicale
Données génétiques
Données biométriques aux fins d'identifier une personne physique de manière unique
Données concernant la santé
Données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique
Le traitement du NIR (Numéro d'Inscription au Répertoire) est laissé à l’appréciation de chaque pays. En
France, le régime actuel sera vraisemblablement reconduit, l’autorisation étant remplacée par une validation
de l’analyse d’impact par la CNIL.
4. 4/14
1.3 La mise en œuvre d’un plan de progrès : 3 axes
1.3.1 L’analyse juridique
L’analyse juridique est un préalable structurant à toute démarche de conformité. Elle permet, sur la base d’une
connaissance approfondie de la réglementation, d’identifier les zones sensibles tant dans les applications
back office que dans les opérations cœur de métier de l’entreprise, d’évaluer le risque afférent, et de prioriser
leur encadrement.
Elle permet également d’évaluer le positionnement de l’entreprise dans la chaîne de traitement des
données. Selon que l’entreprise est responsable de traitement, sous-traitant, ou co-responsable (voir Encadré
3) avec un ou plusieurs tiers, il faudra mettre en place des organisations et des structures contractuelles
différentes.
Encadré 3 : Définitions
1.3.2 La méthode
La façon méthodique de traduire en mesures pratiques les résultats de l’analyse juridique consiste en la
réalisation d’une analyse d’impact, ou « PIA » : Privacy Impact Assessment. Cette opération consiste à
identifier méthodiquement, pour chaque traitement ou type de traitement, les risques que les données
personnelles soient diffusées et utilisées à tort, conservées sans limite, gérées de façon incontrôlée, etc. Face à
ces risques, le PIA identifie les mesures d’ores et déjà mises en place, et/ou celles devant être mises en place.
La GDPR rend le PIA obligatoire dans certains cas (voir Encadré 4), et il doit alors être soumis à la CNIL avant
que le traitement puisse être mis en œuvre : dans ce cas, la GDPR maintient un contrôle a priori comparable à
celui de l’actuelle procédure d’autorisation mais de façon plus interactive, dans le cadre d’un dialogue
pragmatique avec la CNIL sur le caractère suffisant des mesures proposées dans le PIA.
Responsable de traitement
Entité qui détermine, seule ou conjointement avec
d’autres, les finalités et les moyens du traitement.
Sous-traitant
Entité qui traite des données personnelles pour le
compte d’un responsable de traitement.
Responsabilité conjointe
Lorsque plusieurs responsables de traitement
déterminent conjointement les finalités et les moyens
du traitement, ils sont responsables conjointement.
Ils doivent définir par contrat leurs obligations
respectives, notamment en matière de respect des
droits des personnes et d’information des personnes.
5. 5/14
Encadré 4 : Traitements à risque : Le PIA est obligatoire dans certains cas
Lorsque le PIA n’est pas obligatoire, il reste néanmoins nécessaire pour démontrer la conformité de l’entreprise
aux principes de la GDPR : le PIA est le tableau de bord de la conformité de l’entreprise et de son respect
du principe d’« Accountability ».
En cas de contrôle, la CNIL pourra s’appuyer sur deux bases documentaires : l’une est le « registre des activités
de traitement », répertoriant de façon détaillée tous les traitements effectués dans l’entreprise3 ; la seconde est
constituée des PIA qui auront été effectués. L’absence de ce socle documentaire minimum sera, en soi, une
infraction à la GDPR susceptible d’entraîner des sanctions s’il n’y est pas remédié rapidement, et ce en
l’absence même de toute faille ou de tout préjudice avéré.
1.3.3 L’outillage
Les systèmes d’information des entreprises sont maintenant d’une grande complexité et comportent de multiples
gisements de données non structurées qui constituent des failles béantes dans la gestion de la sécurité des
données. La conformité reste alors un concept théorique en l’absence de mesures pratiques permettant de
savoir où sont les données personnelles de tel ou tel type dans le système d’information. La mise en œuvre d’un
outillage permettant de repérer ces données est le complément indispensable de l’analyse juridique et de la
mise en œuvre d’une méthode adaptée.
3
La tenue du registre des activités de traitement est obligatoire au-dessus de 250 employés. Dans tous les cas il doit être
tenu en cas de traitements comportant des risques ou portant sur des données particulières.
Certains traitements à risque rendant obligatoire une analyse d’impact
Lorsqu'un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la
nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé
pour les droits et libertés des personnes physiques.
Evaluation systématique et approfondie d'aspects personnels concernant des personnes physiques, qui
est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des
décisions produisant des effets juridiques à l'égard d'une personne physique ou l'affectant de manière
significative de façon similaire
Traitement à grande échelle de « catégories particulières » de données
Traitement de données à caractère personnel relatives à des condamnations pénales et à des infractions
Surveillance systématique à grande échelle d'une zone accessible au public.
La liste de ces traitements sera établie de façon précise et publiée par la CNIL.
6. 6/14
1.4 Le Data Protection Officer (DPO)
Le « Délégué à la Protection des Données », ou « Data Protection Officer », est l’héritier de l’actuel
Correspondant Informatique et Libertés (CIL). Il peut être salarié de l’entreprise ou lié par un contrat de service à
celle-ci. Il rapporte directement au niveau le plus élevé de la direction de l’entreprise et ne doit recevoir aucune
instruction dans l’exercice de ses missions, dont le socle minimum est défini par le règlement : information de
l’entreprise sur l’étendue de ses obligations ; contrôle du respect de la règlementation ; formation du personnel
et gestion des audits internes ; conseil pour la conduite des études d’impact ; coopération avec la CNIL et point
de contact…
Aux termes du règlement, la nomination d’un DPO est a minima obligatoire dans le secteur public, en cas de
traitement à grande échelle de données particulières, et en cas de traitement exigeant le suivi régulier et
systématique de personnes, étant précisé qu’il est possible de nommer un seul DPO pour un groupe
d’entreprises. Ces conditions seront précisées dans le cadre de la mise à jour de la Loi Informatique et Libertés.
1.5 La GDPR s’applique aux entreprises en dehors de l’Europe
La GDPR s’applique à toute entreprise ayant des activités impactant des personnes sur le territoire européen,
même si l’entreprise est établie en dehors de l’Europe. L’objectif recherché est de ne pas créer de distorsion de
concurrence entre les entreprises européennes, tenues par principe à la GDPR, et des entreprises étrangères
opérant sur le territoire européen au travers de réseaux virtuels.
1.6 La GDPR prend en compte la situation des groupes
La GDPR introduit la notion d’autorité de contrôle « chef de file », qui est celle de l’établissement principal d’un
groupe établi sur plusieurs pays en Europe. Les différentes autorités de contrôle devront coopérer pour leurs
prises de décision, notamment les sanctions, concernant les opérations transfrontalières du groupe.
Corrélativement, la GDPR met en place un contrôle de cohérence entre les autorités de chaque état membre.
1.7 La GDPR donne les moyens aux personnes de se placer au centre
du contrôle de leurs données
Par principe, un traitement de données personnelles n’est licite que si la personne y a consenti de façon claire,
indubitable et démontrable a posteriori, ce qui imposera aux entreprises de mettre en place une traçabilité
efficace de l’existence de ce consentement. Il existe un certain nombre d’exceptions à ce principe de
consentement, telle que par exemple l’exécution d’un contrat entre la personne et le responsable du traitement,
dont le contour sera précisé par la CNIL.
Chaque personne doit être informée de ses droits (droit d’accès, droit de rectification, droit à l’oubli, droit à la
limitation du traitement, droit à la portabilité, droit d’opposition) par l’entreprise qui les traite, que les données
aient été collectées directement par l’entreprise ou indirectement.
Enfin, le délai de réponse à une demande d’information d’une personne est enfermé dans un délai d’un mois, ce
qui est très court en l’absence d’une organisation adéquate.
De façon générale, la GDPR renforce et précise de façon très substantielle les droits des personnes sur leurs
données, de même que les contraintes mises à la charge des entreprises pour répondre aux demandes.
7. 7/14
2. Démarche opérationnelle de mise en conformité
La GDPR est aussi un « voyage » vers la conformité qui nécessite une démarche opérationnelle outillée fondée
sur un état des lieux relevant les écarts pour mieux les réduire dans une trajectoire dont la cible pourra être
une certification de l’organisation. (voir Figure 1)
Figure 1 : Etablir un diagnostic GDPR et définir une trajectoire
2.1 Pilotage de la GDPR
Les enjeux de la GDPR sont multiples. Très rapidement se pose la question du meilleur positionnement du
pilotage et du contrôle de la GDPR dans l’organisation. Pour y répondre, les dispositifs mis en place sont assez
variés, au regard de l’importance accordée à la maîtrise des données en général et aux données personnelles
en particulier, ainsi qu’aux efforts déjà déployés dans cette direction.
Le pilotage peut se rapprocher de celui mis en œuvre pour le suivi de la politique Informatique et Libertés, des
CIL et des relations avec l’autorité nationale de contrôle. Il est aussi légitime de le positionner dans les
structures de mise en conformité à la réglementation, de maîtrise et de gouvernance de l’information et des
données voire de la sécurité ; sans oublier la mise en place d’un pilotage spécifique de la GDPR.
La nomination d’un DPO devient une obligation pour les entreprises de plus de 250 salariés. Cependant, la
structure de pilotage reste à définir au cas par cas, avec des référents des différents métiers les plus exposés
aux risques de la GDPR et en pensant à bien mettre en place les liaisons avec les programmes et politiques
présentant des adhérences4.
4
Exemples : Sécurité, Suivi de la réglementation, Gouvernance des données, …
8. 8/14
Ces structures doivent être à même de cadrer l’installation et le déploiement de la GDPR mais être capables
également de gérer des situations de crise. Par exemple, en cas de fuite ou de perte de données personnelles,
la structure doit être à même de garantir une réactivité certaine pour respecter les délais inscrits dans la
réglementation5 .
2.2 Un large champ d’application
Avec la GDPR, le champ d’application des mesures de protection des données personnelles se trouve élargi :
Le consentement des personnes doit être explicite : l’autorisation doit impérativement être accompagnée
d’une action d’autorisation de la personne et ne plus laisser la place à l’autorisation « par défaut » (ex. : case
à cocher pré-remplie, positionnement sur une page web valant office d’autorisation, …)
Droits des citoyens : le devoir d’échange d’informations avec les personnes physiques est renforcé ;
les personnes ayant confié leurs données personnelles sont en droit de demander à tout moment un état
des lieux ou de faire opposition à l’exploitation de ses données, voire de demander leurs destructions6 dans
des délais resserrés7.
Le principe de responsabilité de la mise en conformité est étendu aux sous-traitants, partenaires (ex. :
hébergeur, prestataire de services e-marketing, …) responsables de tout ou partie de l’exploitation des
données personnelles de ressortissants de l’Union Européenne. Il appartient au responsable des traitements
de s’assurer qu’ils sont conformes ou en voie de mise en conformité à l’aide des moyens de contrôle qui lui
paraîssent appropriés (ex. : audit, demande de révision des dispositifs d’information pour les clients, …). La
compréhension de la réglementation européenne et le délai de réactivité n’étant pas toujours au rendez-
vous, il est fortement recommandé d’anticiper cette demande.
Il est exigé une maîtrise des données personnelles et de leurs traitements dans le Système
d’Information (SI) à divers titres : une durée de rétention doit pouvoir être appliquée aux données
personnelles, elles doivent pouvoir être restituées ou détruites sur demande ou à l’issue de leur durée de
conservation, les données sensibles au regard de la loi ou perçues comme telles, doivent faire l’objet d’un
traitement spécifique (ex. : pseudonymisation, anonymisation, cryptage, …). Le périmètre est étendu au
« Shadow IT »8 car il n’est pas rare d’y retrouver la génération plus ou moins spontanée de référentiels de
données personnelles sur les serveurs et les postes de travail. Sans aller jusqu’à la réécriture des
applications concernées, la démarche demande a minima la maîtrise de la localisation numérique (et des
échanges) de ces données.
Nul n’est censé ignorer la loi, il est indispensable de pouvoir informer au plus tôt les personnes qui
confient leurs données personnelles de même que les personnes en charge de leur traitement. Le champ du
possible est très large, de la publication des notices d’information à la formation au diagnostic GDPR des
applications. A noter que les collaborateurs internes sont aussi bien concernés que les personnes physiques
externes.
5
72 heures pour alerter l’autorité de contrôle
6 Procédure de « droit à l’oubli »
7
Un mois
8
L’IT échappant au contrôle direct de la Direction des Systèmes d’Information
9. 9/14
La sécurité des données également. La maîtrise des données personnelles et de leur confidentialité est
un enjeu majeur, l’actualité est riche en nouvelles de fuite massive de données personnelles confidentielles,
parfois suivies de leur publication sur des sites publics, voire de leur revente. Il faut donc pouvoir prévenir
ces risques, ce qui est dans le champ d’application de la politique de sécurité, mais, devant le fait établi, il
faut pouvoir rapidement alerter les autorités de contrôle voire les personnes, ce qui, là, est dans le champ
d’application de la GDPR.
2.3 Préparer la mise en oeuvre
L’étendue des nouvelles actions à entreprendre et, en conséquence, des moyens à engager, peut être très
importante ; elles nécessitent des compétences multiples, du pilotage à l’accompagnement au changement,
en passant par l’expertise SI et sécurité numérique. Il est donc indispensable de :
Mesurer les écarts de conformité GDPR. Cet exercice nécessite en tout premier lieu une interprétation de
la réglementation, le champ d’application et les priorités ne seront pas les mêmes pour une entreprise de
vente en ligne avec une forte activité en liaison avec les personnes physiques que pour une entreprise
essentiellement en liaison avec les entreprises. Il s’avère ensuite nécessaire d’identifier les écarts GDPR sur
différents axes : le réglementaire, la maîtrise du cycle de vie des données personnelles et de leurs
traitements, le devoir d’information auprès des personnes, l’accompagnement au changement,
l’appropriation de la politique et le contrôle de son application.
Pouvoir très rapidement répondre aux questions concernant la nature des données personnelles
traitées, leur localisation et les volumes en jeu. Cet exercice demande la maîtrise des processus et des
référentiels de données « embarquant » les données personnelles et leurs traitements ; il demande souvent
aussi un exercice d’examen des sources numériques de données « à risque »9 pour analyser la présence
des patterns de données personnelles et les volumes associés.
Evaluer les risques et les priorités. Il y a nécessité d’ordonnancer les actions à entreprendre ; la mise en
œuvre de la GDPR demande la constitution d’une trajectoire dans la durée, nécessitant une estimation des
risques déterminée principalement par la criticité des données personnelles10, leur volume, et leur
localisation dans des sources numériques « à risque ». La préparation de la mise en œuvre permet de situer
les priorités, voire les urgences, réparties entre des mesures préventives11 et des mesures curatives12.
9
Exemples : bases clients, infrastructure cloud pour l’hébergement des données, cookies, ...
10
Données identifiées comme sensibles au niveau de la loi ou perçues comme telles
11
Exemples.: actualisation de la conception des applications avec le principe de « Privacy by Design », formations, …
12
Exemples : insertion des mentions obligatoires dans les sites existants en ligne, mise en place de processus de
destruction des données personnelles, …
10. 10/14
2.4 Renforcer la documentation et le contrôle
Le principe d’« Accountability » (ou de responsabilisation), apporté par la GDPR, nécessite le renforcement de
plusieurs démarches :
La création et le maintien de la documentation des données personnelles et de leurs traitements,
documentation qui doit être ouverte et auditable par l’autorité de contrôle. Le PIA, véritable tableau de bord
des données personnelles, en constitue l’élément majeur, avec la description du cycle de vie, des risques et
des mesures de mise en conformité.
Le diagnostic GDPR et le contrôle de la mise en œuvre des mesures de mise en conformité, à appliquer
à soi-même ou à diligenter auprès de ses partenaires et sous-traitants.
L’audit Flash / GDPR Assessment : compte tenu des échéances rapprochées, la trajectoire de mise en
conformité et le plan des premières actions à entreprendre deviennent des outils indispensables. Un premier
exercice doit permettre d’établir deux livrables déterminants pour la suite des opérations : le plan des PIA et
le plan des mesures complémentaires.
Dans un premier temps, l’exercice doit pouvoir réunir les principaux référents et s’effectuer dans un périmètre
prioritaire13. Le diagnostic et les recommandations doivent pouvoir être établis dans un temps comprimé14, tout
en réunissant les expertises appropriées15. L’approche doit combiner une analyse des processus embarquant
des données personnelles et l’examen technique des zones de données numériques « à risque ».
Tous les services et directions du responsable de traitement sont concernés, de près ou de loin, par les données
personnelles. Elles demandent des actions de fond, mais aussi des gestes, des formules qui doivent
accompagner l’organisation dans ses relations quotidiennes avec les clients, les nouveaux collaborateurs, les
fournisseurs, etc. L’accompagnement au changement prend ici une dimension toute particulière, applicable à
tous les niveaux de responsabilité, pour intégrer les enjeux et les actions à entreprendre.
Ici, comme pour d’autres enjeux réglementaires, la conformité induit d’autres valeurs ajoutées comme le
renforcement de l’image de probité, la maîtrise de ces données numériques du client qui apporteront, si
nécessaire, d’autres arguments pour la mise en œuvre de la GDPR.
La démarche opérationnelle de mise en conformité nécessite de répondre à des
exigences d’exploration, de traitement des données personnelles, d’enregistrement
des règles dans des délais contraints, ce qui rend l’usage d’outillages indispensable
dans ce programme GDPR.
13
L’évaluation de la priorité peut prendre en compte le niveau de criticité des données à examiner, les métiers gérant les
relations avec les personnes, la densité des données personnelles dans la zone étudiée, l’exposition aux risques des
traitements effectués…
14
De 3 mois à 6 mois
15
Réglementaire, organisationnelle, fonctionnelle, technique et sécurité
11. 11/14
3. De l’état des lieux à la mise en place des outillages
d’une conformité durable
Du point de vue de la mise en œuvre de la GDPR, l’application de la réglementation se traduit, selon IBM, par
cinq domaines de transformation (voir Figure 2) : le droit des citoyens, la gestion du consentement, la sécurité
des données personnelles, le principe d’« Accountability » et celui de « Privacy by Design ».
Pour chacun de ces principes nous avons identifié des fonctions essentielles à la fois dans la phase d’état des
lieux (analyse d’écart) et dans la phase de trajectoire de mise en conformité. Chacune de ses fonctions pourra
ensuite être appuyée ou accélérée par la mise en œuvre d’une solution technologique.
Figure 2 : Cinq domaines de la transformation pour une conformité GDPR durable : Les fonctions technologiques répondant
aux exigences -selon IBM
12. 12/14
1. Droit des citoyens - En phase d’état des lieux, la cartographie a pour objectif de localiser les endroits où
pourraient se trouver des données particulières (données personnelles / sensibles…). En effet un des sujets
des projets de mise en conformité GDPR est de savoir où se trouvent les données, notamment en explorant
les zones à risque. Par exemple, des informations sensibles au sens GDPR se trouvent fréquemment dans
des emails ou des serveurs de fichiers (Shadow IT, données non structurées, commentaires de textes, ...).
Des solutions d’exploration de données à base de reconnaissance de catégories (numéro de sécurité
sociale, appartenance syndicale, …) aident à la cartographie.
En phase de Trajectoire de mise en conformité GDPR, des processus de traitement nécessaires à cette
mise en conformité pourront être définis. Les principaux processus impactés sont :
Anonymisation ou Data Masking - Surtout utilisé lorsque des données quittent un environnement
sécurisé servant au métier pour aller vers des environnements techniques autres. Il s’agit par
exemple des données de production recopiées en environnement de test pour mener des tests de
non-régression logiciels. La problématique de ce processus est de transformer les données afin
qu’elles soient représentatives (pour la qualité des tests) mais pas réelles (pour respecter les
obligations). Il s’agira également de transformer les données de manière à préserver l’intégrité du
jeu d’essai (par exemple sans casser les liens d’intégrité référentiels dans une base relationnelle).
Chiffrement - Il s’agit de l’encryption des supports de stockage au niveau du stockage physique. La
GDPR insiste sur l'importance de chiffrer les informations pour les protéger. En effet, une fuite de
données chiffrées n'est pas réellement une fuite puisque ces données sont illisibles et ne pourront
donc pas être exploitées. Le règlement GDPR mentionne même explicitement ce cas comme une
exception à l'obligation de communication d'un incident (Article 34 - 3a). Le chiffrement des fichiers,
des bases de données ou des environnements Big Data est donc une des pratiques de base de la
protection de l'information.
Suppression - Il s’agit de répondre à la demande d’un citoyen d’effacer les données le concernant
de manière cohérente et auditable. De plus, si une donnée ne peut pas être conservée plus d’un
certain temps (carte de crédit après un achat) ou si on a découvert qu’elle était présente à tort, il
faudra l’effacer de manière cohérente (sans mettre en péril le comportement de l’application)
auditable (démontrer qu’un effacement a eu lieu) et permanente (irréversible).
Mise en quarantaine des données - Ce processus permet de limiter l’accès à un document dont le
contenu est soupçonné d’être en écart de conformité du point de vue GDPR, le temps de l’analyser
pour décider du traitement qui doit lui être associé.
Restitution & Transfert - Un citoyen peut faire valoir son droit à l’oubli, son droit de rectification ou
celui de portabilité des données personnelles. Des processus doivent être mis en place pour
collecter les informations puis les mettre à jour ou les transférer vers un tiers (nouvel opérateur
téléphonique par exemple) afin de pouvoir effectuer les traitements qui dérivent de l’exercice de ces
droits. Ces processus doivent être auditables.
2. Gestion du consentement - Le consentement d’un citoyen pour la collecte, l’utilisation (dans un but
déterminé) et la détention de ses données doit être explicite et démontrable. Des processus de recueil et de
suivi de ce consentement doivent être mis en place.
13. 13/14
3. Sécurité des données - Pendant l’état des lieux on analysera la sécurité des données : Il faudra vérifier que
les processus de protection sont bien définis et mis en œuvre puis contrôler leur bon fonctionnement.
En phase de trajectoire de mise en conformité, on devra organiser la sécurité opérationnelle :
Mettre en place une protection opérationnelle des données : suivre en temps réel l’accès aux
données et empêcher les accès non-conformes.
Gérer les incidents : à chaque incident détecté un processus d’alerte doit être déclenché (selon le
cas : vers l’autorité de contrôle, la victime et/ou les services concernés pour remédier au problème).
Contrôler l’activité des utilisateurs : il faudra vérifier que les utilisateurs de données, y compris les
utilisateurs privilégiés, ont un accès aux données qui soit adéquat vis-à-vis de règles définies et des
fonctions de cet utilisateur. Par exemple, on ne pourra pas accepter d’un administrateur de bases de
données qu’il s’attribue des droits pour effectuer des actions qui n’entrent pas dans son champ
d’action.
4. Accountability - Les règles définies pour la protection des données doivent être formalisées dans un
référentiel. Ce référentiel peut être non seulement un outil d’enregistrement des règles mais peut aussi être
un outil d’exécution automatisée de ces mêmes règles. En phase d’audit, on vérifiera l’existence et la
documentation des règles alors qu’en phase de trajectoire on pourra aussi s’intéresser à leur automatisation.
5. Privacy by Design - Les applications doivent être conçues de manière à intégrer la protection des données
personnelles. Les développeurs doivent être sensibilisés au sujet, de plus l’outillage de développement et de
test pourra prendre en compte les problématiques de failles de sécurité. De la même manière, les données
et l’infrastructure (par exemple les terminaux) doivent faire l’objet d’une protection permanente dès la phase
de conception du système.
Le délai pour se conformer aux exigences de la nouvelle règlementation est très bref.
Pour accompagner les entreprises et organisations dans leurs projets, Parker Williborg,
Maître Isabelle Renard et IBM proposent une offre unique, associant trois expertises -
juridique, méthodologique et technologique- et qui est à ce jour une des plus
développée sur le marché français.