SlideShare une entreprise Scribd logo
Expert sécurité, réseau et services informatiques
Version :
Date :
Diffusion :
RGPD/ LPD : Sécuriser l’accès aux données
personnelles, un premier pas vers la conformité
Maître Sylvain Métille – HDC
Philippe Guerber - Wallix
Eric Lederrey – Kyos
Raphael Jendrysiak – Kyos
Restreinte
1.0
22.11.2017
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
Kyos SARL
Kyos en quelques mots
• Expert sécurité, réseau et services informatiques :
‒ une offre de service cohérente,
‒ une forte proximité et réactivité,
‒ des solutions sur mesure.
• Implanté à Genève depuis novembre 2002
• Société autofinancée
• 38 employés
• Fusion par absorption avec la société Spacecom,
spécialiste réseau, en juin 2013
22.11.2017
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
Expert sécurité, réseau et services informatiques
Agenda
Approche Juridique :
Obligations & Sanctions : quelles sont les nouveautés de
la LPD révisée et du RGPD ?
Maître Sylvain Métille – HDC
- Approche Juridique
- Proposition Technologique
- Conclusion et
discussion ouverte
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
Obligations & Sanctions:
Quelles sont les nouveautés
de la LPD révisée et du RGPD
Genève, 22 novembre 2017
Sylvain Métille email: metille@hdclegal.ch Twitter: @smetille
Le cadre légal
22.11.2017
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la
conformité.
Révisions des régimes suisses et européens
• Loi fédérale sur la protection des données
(LPD) du 19 juin 1992
• 21 décembre 2016: mise en consultation de
l’avant-projet de révision totale de la LPD
• 3573 pages de commentaires formulés durant
la consultation.
• 15 septembre 2017: publication du projet par
le Conseil fédéral
• Le Parlement se prononcera en 2018
• Entrée en vigueur prévue début 2019
• Premier projet en janvier 2012 (plus de 4 ans
de négociations, près de 4.000 amendements
devant le Parlement européen)
• Texte final publié au JO en mai 2016
• Suppression des législations nationales au
profit d’un règlement européen commun,
mais:
– faculté pour les états membres de garder une
couche nationale dans des domaines réduits par
exemple en droit du travail
– les règles e-Privacy (cookies, etc.) restent en place
• Entrée en vigueur du RGPD: 25 mai 2018
22.11.2017
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la
conformité.
Champs du RGPD et entreprises suisses (1)
• Le RGPD s’applique aux traitements effectués dans le cadre des activités de
responsable du traitement ou de sous-traitant établis sur le territoire de l’UE, qu’ils
aient ou non lieu dans l’UE (critère de l’établissement)
• Mais aussi aux traitements effectués par des responsable du traitement ou des sous-
traitants non établis sur le territoire de l’UE dès lorsqu’ils visent des personnes se
trouvant sur le territoire de l’UE dans le cadre des activités suivantes (critère du
ciblage):
- Offre à ceux-ci de biens ou de services (ex: services e-commerce clairement
orientés vers des consommateurs situés au sein de l’UE); ou
- Suivi de leur comportement au sein de l’UE (ex: publicité en ligne sur Internet)
22.11.2017
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la
conformité.
Champs du RGPD et entreprises suisses (2)
• Techniquement: si le RGPD s’applique et que l’entreprise suisse n’a pas
d’établissement au sein de l’UE, nécessité pour l’entreprise de nommer un
représentant au sein de l’UE. Sauf:
- Si traitement occasionnel sans données sensibles ou relatives à des condamnations/infractions
impliquées
- S’il s’agit d’un organisme ou d’une autorité public
- Si les Etats membres de l’UE via leur couche nationale décident de changer la donne. Illustration
avec la récente loi allemande données personnelles remaniée (publiée en juillet) :
"(6) The contracting states of the European Economic Area and Switzerland shall
have equal status with the Member States of the European Union with regard to
processing for purposes in accordance with Article 2 of Regulation (EU) 2016/679.
Other states shall be regarded as third countries."
22.11.2017
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la
conformité.
Ce qui reste
22.11.2017
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la
conformité.
Révision de la LPD – Les principes restent
• Bonne foi
• Proportionnalité
• Information (renforcée)
• Exactitude
• Finalité
• Sécurité
• Protection des données par défaut (nouveau)
• Protection des données dès la conception
(nouveau)
22.11.2017
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la
conformité.
Révision de la LPD – La méthode reste
• La violation des principes ou le traitement contre la volonté de la personne
concernée est une atteinte
– L’atteinte est illicite sauf motif justificatif
• Le responsable du traitement est responsable de traiter les données de manière
conforme au droit
• La personne concernée doit se défendre contre toute atteinte
• Le PFPDT pourra ouvrir des enquêtes en cas de soupçons (et plus seulement en cas
d’erreurs de système)
22.11.2017
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la
conformité.
Les droits
22.11.2017
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la
conformité.
Quoi de neuf? – Les droits
• Un peu plus de droits pour les personnes concernées
– Des règles sur l’accès aux données post-mortem (art. 16 P-LPD)
– Mention du droit à l’effacement (art. 28 al. 2 let. c P-LPD – «Droit à l’oubli»)
– Des procédures civiles judiciaires gratuites (révision du CPC)
– Droit d’être informé et de faire valoir son point de vue en cas de décision individuelle automatisée
(art. 19 P-LPD)
22.11.2017
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la
conformité.
Quoi de neuf? – Les droits
• Mais: plusieurs absences / suppressions de droit, notamment:
– Pas de droit à la portabilité
 Message du 15 septembre 2017 (p. 43): «Le Conseil fédéral juge opportun d’attendre les résultats des
expériences au sein de l’Union européenne avant d’envisager d’introduire un droit à la portabilité des données en
Suisse.»
– Pas de protection des données personnelles de personnes morales
 Message du 15 septembre 2017 (p. 68): «(…) les textes de protection des données de l’Union européenne et du
Conseil de l’Europe ainsi que la majorité des législations étrangères ne prévoient pas une telle protection. »
– Pas de renversement du fardeau de la preuve ni d’action collective (class action)
 Message du 15 septembre 2017 (pp. 42-43): renvoi à une motion plus générale actuellement à l’étude, «Le
Conseil fédéral estime qu’il n’est pas opportun de prévoir un régime spécial, en introduisant dans la LPD un
système d’exercice collectif des droits.»
22.11.2017
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la
conformité.
Les obligations
22.11.2017
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la
conformité.
Quoi de neuf? – Les obligations
• Quelques formalités en moins
• Mais de nouvelles obligations
– Une information renforcée
– Un registre des activités de traitement
– Un devoir d’annonce des failles de sécurité
– Une analyse d’impact préalable
– La protection des données dès la conception et par défaut
22.11.2017
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la
conformité.
Quoi de neuf? – Disparitions de certaines formalités
• Disparition de l’obligation des personnes privées d’annoncer et de faire enregistrer
leurs fichiers
- Remplacée par une obligation de tenir un registre des activités de traitement (art. 11 P-LPD)
- Demeure dans les grandes lignes pour les organes fédéraux
• Disparition de l’obligation d’annoncer le transfert de données à l’étranger lorsqu’il est
justifié par des contrats types approuvés par le PFPDT
• Même approche avec le RGPD cependant certains Etats membres veulent garder
certaines formes de déclarations (ex: post mai 2018, système d’alertes éthiques
toujours à déclarer à la CNIL en France)
22.11.2017
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la
conformité.
Quoi de neuf? – Les obligations
1) Un devoir d’information étendu (et «proactif») en
cas de traitement de données personnelles (art. 17
ss P-LPD)
– Remplace le caractère uniquement reconnaissable du
traitement de données
– Devront en tout cas être communiqués: l’identité et les
coordonnées du responsable du traitement, la finalité du
traitement et les destinataires ou catégories de destinataires. Si
les données ne sont pas collectées directement auprès de la
personne: les données traitées ou les catégories de données
– Information également pour tous les cas dans lesquels une
décision importante la concernant est prise sur la base d’un
traitement automatisé (art. 19 P-LPD)
22.11.2017
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la
conformité.
Quoi de neuf? – Les obligations: une information accrue
22.11.2017
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la
conformité.
Quoi de neuf? – Les obligations
2) Un devoir de tenir un registre des activités de traitement (art. 11
P-LPD)
– A charge du responsable du traitement et du sous-traitant
– Le registre du responsable du traitement doit contenir au moins:
• *l’identité du responsable du traitement,
• la finalité du traitement,
• une description des catégories de personnes concernées et des catégories de données
personnelles traitées,
• la catégorie des destinataires,
• si possible le délai de conservation des données ou les critères pour en déterminer la
durée,
• *si possible une description générale des mesures visant à garantir la sécurité des données
• *et, en cas de communication à l’étranger, le nom de l’Etat en question et les garanties y
relatives
– Le registre du sous-traitant doit contenir l’identité du sous-traitant, les
catégories de traitement et *
– Exception possible si moins de 50 collaborateurs et risque limité
22.11.2017
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la
conformité.
Quoi de neuf? – Les obligations
• RGPD: Contenu du registre du responsable du traitement:
- Nom et coordonnées du responsable du traitement et du délégué
- Finalités du traitement
- Catégories personnes concernées et les catégories de données
- Catégories de destinataires
- Dans la mesure du possible, les délais prévus pour l’effacement
• Contenu du registre du sous-traitant :
- Nom et coordonnées du ou des sous-traitants
- Nom et coordonnées de chaque responsable du traitement pour le compte duquel le sous-traitant agit
- Catégories de traitements effectués pour le compte de chaque responsable du traitement
- Transferts de données vers un pays tiers ou à une organisation internationale
- Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles
• Pas d’obligation de tenir un registre si moins de 250 employés, SAUF:
- Si le traitement comporte un risque pour les droits et des libertés des personnes concernées
- S’il n'est pas occasionnel
- S’il porte notamment sur des données sensibles
22.11.2017
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la
conformité.
Quoi de neuf? – Les obligations
3) Un devoir d’annonce des failles de sécurité (art. 22 P-LPD)
– Le sous-traitant doit annoncer tout cas de violation de la sécurité
des données au responsable du traitement
– Le responsable du traitement doit annoncer les cas de violation des
données
• au PFPDT si risque élevé pour la personnalité de la personne concernée
• à la personne concernée si le PFPDT l’exige ou si nécessaire à sa protection
(voire au public si impossible d’atteindre autrement les personnes
concernées)
– Indication de la nature de la violation de la sécurité des données, ses
conséquences et les mesures prises ou envisagées pour y remédier
– Dans les meilleurs délais
Le RGPD prévoit un système semblable et précise que la
notification à l’autorité doit se faire dans les meilleurs délais, et
si possible dans les 72 heures.
22.11.2017
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la
conformité.
Quoi de neuf? – Les obligations
4) Une obligation de mener une analyse d’impact préalable
(art. 20s P-LPD)
– A charge du responsable de traitement
– Dans tous les cas où le traitement envisagé est susceptible d’entraîner un risque accru
pour la personnalité et les droits fondamentaux de la personne concernée
– Analyse d’impact doit contenir un description du traitement envisagé, une évaluation
des risques et les mesures prévues pour protéger la personnalité et les droits
fondamentaux de la personne concernée
– Consultation du PFPDT lorsque l’analyse d’impact révèle que le traitement présente un
risque élevé. PFPDT a deux mois pour communiquer ses objections au responsable du
traitement, délai prolongeable d’un mois lorsqu’il s’agit d’un traitement de données
complexes. En cas d’objections, le PFPDT propose des mesures appropriées au
responsable du traitement
22.11.2017
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la
conformité.
Quoi de neuf? – Les obligations
Analyse d’impact obligatoire sous l’angle du
RGPD si au moins deux critères réunis
• Évaluation/scoring
• Décision automatique avec effet légal
• Surveillance systématique
• Données sensibles
• Large échelle
• Croisement de données
• Personnes vulnérables
• Usage innovant
• Transfert hors UE
• Blocage d’un droit/contrat
Analyse d’impact pas nécessaire sous l’angle du
RGPD
• Pas susceptible d’engendrer des risques élevés
• Déjà autorisé (tant que le traitement n’a pas changé
et que les conditions de mise en œuvre sont
respectées !)
• Base légale
22.11.2017
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la
conformité.
Quoi de neuf? – Les obligations
5) Protection des données dès la conception
et par défaut (art. 6 P-LPD)
– A charge du responsable du traitement et du sous-
traitant
– Dès la conception du traitement, proactivement
prendre des mesures pour minimiser les risques
d’atteinte
– Garantir par le biais de préréglages appropriés que
le seules les données nécessaires sont traitées
22.11.2017
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la
conformité.
Les sanctions
22.11.2017
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la
conformité.
Quoi de neuf? – Les sanctions
• Un nouveau régime de sanctions est prévu
– Sanction pénale de l’individu concerné
– Pas d’amende administrative contre l’entreprise
– Aucun pouvoir de sanction du PFPDT
• Introduction également
– d’une nouvelle infraction pénale d’usurpation d’identité (art.
179decies P-CP)
 Risque: peine privative de liberté d’un an au plus ou peine pécuniaire
– d’un devoir de discrétion pour toute activité professionnelle qui
requiert la connaissance de données personnelles secrètes (art. 56 P-
LPD)
 Risque: amende de CHF 250’000 au plus
22.11.2017
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la
conformité.
Quoi de neuf? – Les sanctions
• Le cadre pénal est renforcé (art. 54ss P-LPD)
– Sanctions renforcées (amende max. 250’000.-, ou 50’000.- pour les personnes
morales)
– Poursuite uniquement en cas d’infraction intentionnelle
– Système axé sur la sanction de l’individu plutôt que la personne morale. Sanction
de la personne morale seulement
 si l’amende ne dépasse pas 50’000.-
 si les mesures d’instruction pour rechercher la personne physique auteure de l’infraction
impliquerait des mesures d’instruction hors de proportion avec la peine encourue
• Le RGPD prévoit les sanctions suivantes:
– Amende de maximum 10 millions d’Euros ou, dans le cas d’une entreprise,
maximum 2% du chiffre d’affaires mondial
– Dans les cas graves, l’amende est de maximum 20 millions d’Euros ou, dans le cas
d’une entreprise de maximum 4% du chiffre d’affaires mondial
22.11.2017
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la
conformité.
Quoi de neuf? – Le PFPDT
• Pouvoirs renforcés mais limités du PFPDT
– Enquête contre un organe fédéral ou une personne privée si des indices font penser qu’il y a violation
(art. 43 P-LPD)
• Obligation des personnes concernées de fournir tous les renseignements et les documents nécessaires pour
l’enquête. Perquisitions possibles en cas de refus (art. 44 P-LPD).
– Mesures administratives (art. 45 P-LPD)
• Possible d’ordonner la suspension, la modification ou la cessation de tout ou partie du traitement ainsi que la
destruction de tout ou partie des données personnelles
• Possible de suspendre ou interdire la communication de données personnelles à l’étranger
• Possible notamment d’ordonner à l’organe fédéral ou à la personne privée de lui fournir des informations, de
prendre certaines mesures, d’informer les personnes concernées, d’établir une analyse d’impact, de le consulter,
de l’informer des violations de de la sécurité des données et de communiquer les renseignements à la personne
concernée
– Possibilité de dénoncer aux autorités de poursuite pénale des infractions et de faire valoir les droits
d’une partie plaignante dans la procédure (art. 59 P-LPD)
22.11.2017
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la
conformité.
La mise en conformité
22.11.2017
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la
conformité.
Niveau d’exigence
Rien
Politique de
traitement,
quelques principes
Directive 95/46,
LPD
RGPD,
LPD révisée
…
22.11.2017
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la
conformité.
Mise en conformité
• Je ne panique pas!
• Quel est le cadre de mes obligations (LPD et/ou RGPD)?
• Quelles données je traite (et dans quel but, avec quelles justifications)?
• Suis-je conforme? Qu’est-ce que je dois améliorer?
– Quelles sont mes relations avec les personnes concernées, sous-traitants, tiers, autorités, etc.?
– Comment sont mes contrats, procédures, registres, etc.?
– Mes équipes sont-elles formées?
22.11.2017
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la
conformité.
Conclusion
22.11.2017
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la
conformité.
Conclusion
• Les principes demeurent, mais l’idéal à atteindre devient la norme à respecter.
• Le responsable du traitement doit informer et tenir un registre des activités de
traitement. Pour cela il doit identifier les traitements et leurs buts, ses partenaires
et le fonctionnement de sa société.
• Les nouvelles obligations entreront rapidement en vigueur, il faut anticiper.
22.11.2017
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la
conformité.
Sylvain Métille
Dr, avocat, chargé de
cours à l’Université
Av. Auguste Tissot 2bis
CP 851
1001 Lausanne
T 021 310 73 10
F 021 310 73 11
metille@hdclegal.ch
www.hdclegal.ch
www.smetille.ch/blog
@smetille
22.11.2017
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la
conformité.
Expert sécurité, réseau et services informatiques
Agenda
Proposition Technologique
- Approche Juridique
- Proposition Technologique
- Conclusion et
discussion ouverte
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
UN seul utilisateur à privilège peut tout remettre en cause
Company confidential – © Copyright WALLIX 2017
Nomination parmi les leaders
dans les catégories Produits &
Innovation PAM du Leadership
Compass KuppingerCole 2017
Fiche d’identité de WALLIX
AUDIT & CONFORMITE
Mise à disposition d’une
solution contribuantà la
conformitéaux
réglementations internes
et externes par la
consolidationde rapports
d’audit et le contrôle
continudes actions
réalisées.
AUDIT
& CONFORMITE
Company confidential – © Copyright WALLIX 2017
SECURITE
DU CLOUD
SECURITE DU CLOUD
Sécuriser les
environnements de type
Cloud, Privé, Hybrideou
SaaS. Intégration et
déploiement facilités pour
sécuriser lesaccès des
Cloud Providers et de leurs
utilisateurs.
Réduire l’expositiondes
risques enoptimisant le
contrôle des sous-
traitants, des
prestataires en régie, des
astreintes ou
prestataires externes.
PRESTATAIRES
EXTERNES
& INDUSTRIAL
CONTROL
SYSTEM
(ICS/SCADA)
INDUSTRIAL
CONTROL SYSTEM
(ICS/SCADA)
Les solutions WALLIX
PRESTATAIRES
EXTERNES ET ACCES A
DISTANCE
Maitriser lesinterconnexions
des systèmes industrielsaux
réseauxIP et SI afin de réduire
les risques sur les
infrastructures critiques ou
vitales.
ACCES A
DISTANCE
Healthcare
Financial
Industry
Nous sommes tous concernés
Company confidential – © Copyright WALLIX 2017
Kyos SARL
Wallix Admin Bastion
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
SECURITE DU
CLOUD
PRESTATAIRES
EXTERNES
&
(ICS/SCADA)
ACCES A DISTANCE
prestataire
Utilisateurs a
privilèges
firewall
VPN
prestataire
Utilisateurs a
privilèges
firewall
VPN
22.11.2017
Kyos SARL
RGPD et LPD rappels de point clés
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
Gouvernance des accès à
privilèges – définition des
droits d’accès pour les
utilisateurs à forts privilèges à
tous les équipements
Le Bastion plateforme unique
pour la gestion des mots de
passe et des accès
Contrôle des Sessions:
possibilité d’autoriser ou
révoquer les accès
Remontée d’alerte en cas de
tentative de rebond
Visualisation en temps réel et
enregistrement des sessions.
Imputabilité des connexions
pour toute activité des
utilisateurs, génération de
rapports d’audit
Politique de
gouvernance en
matière de
protection des
données
Mise en place de
processus et
d’outils pour
sécuriser les
données
Contrôler et
encadrer l’accès aux
données
Documentation,
production de
preuve de
conformité
Obligations à remplir pour démontrer sa conformité
22.11.2017
Kyos SARL
Démonstration
22.11.2017
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
Kyos SARL
Et sans la solution wallix ?
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
Gouvernance des accès à
privilèges – définition des
droits d’accès pour les
utilisateurs à forts privilèges à
tous les équipements
Gestion des mots de passe et
des accès dépendant de
chaque solution. Nécessite
intégration et planification
poussée
Gestion du contrôle réparti sur
plusieurs équipements,
remontée d’alerte possible par
log centralisée. Prise d’action
immediate compliquée ou
impossible
Visualisation partielle (via les
logs), génération de rapports
d’audit.
Réservée à une personne
technique
Politique de
gouvernance en
matière de
protection des
données
Mise en place de
processus et
d’outils pour
sécuriser les
données
Contrôler et
encadrer l’accès aux
données
Documentation,
production de
preuve de
conformité
Obligations à remplir pour démontrer sa conformité
22.11.2017
Kyos SARL
La solution Wallix dans l’écosystème Kyos
22.11.2017
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
Partenaire externe
Smartphone
WAB Access
Manager
WAB Session
Manager
OTP, SMS,
PUSH, etc ...
Radius,
SAML
Radius
Radius
Expert sécurité, réseau et services informatiques
Agenda
Conclusions et discussion ouverte
- Approche Juridique
- Proposition Technologique
- Conclusion et
discussion ouverte
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
Kyos SARL
Conclusions
• On pourrait encore passer des heures sur la loi et le WAB
• Le WAB apporte un réel gain de temps et une grande facilité pour
adresser ces 4 obligations présentes dans RGPD/ LPD
• N’oubliez pas, la LPD révisée entrera en vigueur en 2019
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
22.11.2017 47
Expert sécurité, réseau et services informatiques
Contact us
Kyos SARL
Chemin Frank-Thomas, 32
1208 Genève
Tel. : +41 22 566 76 30
Fax : +41 22 734 79 03
www.kyos.ch
info@kyos.ch
Merci
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.

Contenu connexe

Tendances

Programme universite des DPO - AFCDP 24 janvier 2018
Programme universite des DPO - AFCDP 24 janvier 2018Programme universite des DPO - AFCDP 24 janvier 2018
Programme universite des DPO - AFCDP 24 janvier 2018
Market iT
 
Découvrir le RGPD de façon pragmatique
Découvrir le RGPD de façon pragmatiqueDécouvrir le RGPD de façon pragmatique
Découvrir le RGPD de façon pragmatique
Nicolas Wipfli
 
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
NP6
 
Protection des données personnelles : projet de loi
Protection des données personnelles : projet de loiProtection des données personnelles : projet de loi
Protection des données personnelles : projet de loi
Société Tripalio
 
Données de santé & RGPD (Règlement Général sur la Protection des Données Per...
Données de santé & RGPD  (Règlement Général sur la Protection des Données Per...Données de santé & RGPD  (Règlement Général sur la Protection des Données Per...
Données de santé & RGPD (Règlement Général sur la Protection des Données Per...
CEEDFormation
 
Free Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentauxFree Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentaux
Michael DI ROCCO
 
Bâtiments connectés : "La protection des données doit être prise en compte tr...
Bâtiments connectés : "La protection des données doit être prise en compte tr...Bâtiments connectés : "La protection des données doit être prise en compte tr...
Bâtiments connectés : "La protection des données doit être prise en compte tr...
Pascal ALIX
 
Comment atteindre la conformité au RGPD
Comment atteindre la conformité au RGPDComment atteindre la conformité au RGPD
Comment atteindre la conformité au RGPD
Forums financiers de Wallonie
 
RGPD et e-santé: transformer les obligations en opportunité
RGPD et e-santé: transformer les obligations en opportunitéRGPD et e-santé: transformer les obligations en opportunité
RGPD et e-santé: transformer les obligations en opportunité
PierreDesmarais6
 
Etes-vous Gdpr compliant?
Etes-vous Gdpr compliant?Etes-vous Gdpr compliant?
Etes-vous Gdpr compliant?
fourniermartine
 
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
Eloquant
 
Protection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentielProtection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentiel
Pierre MASSOT
 
RGPD
RGPDRGPD
SÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPDSÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPD
TelecomValley
 
Gdpr presentation
Gdpr   presentationGdpr   presentation
Gdpr presentation
Gaetan Karre
 
Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018
Pierre Ammeloot
 
Présentation GDPR - Business & Decision
Présentation GDPR - Business & DecisionPrésentation GDPR - Business & Decision
Présentation GDPR - Business & Decision
Business & Decision
 
Présentation de Jean-Daniel Zeller
Présentation de Jean-Daniel ZellerPrésentation de Jean-Daniel Zeller
Présentation de Jean-Daniel Zeller
AssociationAF
 
Les impacts du nouveau règlement européen GDPR
Les impacts du nouveau règlement européen GDPRLes impacts du nouveau règlement européen GDPR
Les impacts du nouveau règlement européen GDPR
Arismore
 
RGPD
RGPDRGPD

Tendances (20)

Programme universite des DPO - AFCDP 24 janvier 2018
Programme universite des DPO - AFCDP 24 janvier 2018Programme universite des DPO - AFCDP 24 janvier 2018
Programme universite des DPO - AFCDP 24 janvier 2018
 
Découvrir le RGPD de façon pragmatique
Découvrir le RGPD de façon pragmatiqueDécouvrir le RGPD de façon pragmatique
Découvrir le RGPD de façon pragmatique
 
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
 
Protection des données personnelles : projet de loi
Protection des données personnelles : projet de loiProtection des données personnelles : projet de loi
Protection des données personnelles : projet de loi
 
Données de santé & RGPD (Règlement Général sur la Protection des Données Per...
Données de santé & RGPD  (Règlement Général sur la Protection des Données Per...Données de santé & RGPD  (Règlement Général sur la Protection des Données Per...
Données de santé & RGPD (Règlement Général sur la Protection des Données Per...
 
Free Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentauxFree Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentaux
 
Bâtiments connectés : "La protection des données doit être prise en compte tr...
Bâtiments connectés : "La protection des données doit être prise en compte tr...Bâtiments connectés : "La protection des données doit être prise en compte tr...
Bâtiments connectés : "La protection des données doit être prise en compte tr...
 
Comment atteindre la conformité au RGPD
Comment atteindre la conformité au RGPDComment atteindre la conformité au RGPD
Comment atteindre la conformité au RGPD
 
RGPD et e-santé: transformer les obligations en opportunité
RGPD et e-santé: transformer les obligations en opportunitéRGPD et e-santé: transformer les obligations en opportunité
RGPD et e-santé: transformer les obligations en opportunité
 
Etes-vous Gdpr compliant?
Etes-vous Gdpr compliant?Etes-vous Gdpr compliant?
Etes-vous Gdpr compliant?
 
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
 
Protection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentielProtection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentiel
 
RGPD
RGPDRGPD
RGPD
 
SÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPDSÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPD
 
Gdpr presentation
Gdpr   presentationGdpr   presentation
Gdpr presentation
 
Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018
 
Présentation GDPR - Business & Decision
Présentation GDPR - Business & DecisionPrésentation GDPR - Business & Decision
Présentation GDPR - Business & Decision
 
Présentation de Jean-Daniel Zeller
Présentation de Jean-Daniel ZellerPrésentation de Jean-Daniel Zeller
Présentation de Jean-Daniel Zeller
 
Les impacts du nouveau règlement européen GDPR
Les impacts du nouveau règlement européen GDPRLes impacts du nouveau règlement européen GDPR
Les impacts du nouveau règlement européen GDPR
 
RGPD
RGPDRGPD
RGPD
 

Similaire à RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité

Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis Nystek
Pascal ALIX
 
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPDFiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
polenumerique33
 
droit.ppt
droit.pptdroit.ppt
droit.ppt
YnesZid
 
20171221-5 jni-rgpd
20171221-5 jni-rgpd20171221-5 jni-rgpd
20171221-5 jni-rgpd
ASIP Santé
 
GDPR / RGPD - Livre Blanc - Aion Solutions
GDPR / RGPD - Livre Blanc - Aion SolutionsGDPR / RGPD - Livre Blanc - Aion Solutions
GDPR / RGPD - Livre Blanc - Aion Solutions
Aïon Solutions
 
protection des données
protection des donnéesprotection des données
protection des données
SabriElBeya
 
#LOVEDATADAY : la présentation de l'événement !
#LOVEDATADAY : la présentation de l'événement !#LOVEDATADAY : la présentation de l'événement !
#LOVEDATADAY : la présentation de l'événement !
Contact SNCD
 
Le GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - DocumentLe GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - Document
Jean-Michel Tyszka
 
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
Jedha Bootcamp
 
Bmma privacy legal aspects
Bmma privacy legal aspectsBmma privacy legal aspects
Gestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsGestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligations
Claranet
 
Présentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnellesPrésentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnelles
Marseille Innovation
 
Mise en conformité rgpd
Mise en conformité rgpdMise en conformité rgpd
Mise en conformité rgpd
Stéphanie Brigas ★ DL Développement
 
Comment se mettre en conformité avec le GDPR ?
Comment se mettre en conformité avec le GDPR ?Comment se mettre en conformité avec le GDPR ?
Comment se mettre en conformité avec le GDPR ?
Pramana
 
protection_des_donnees_personnelles_vf
protection_des_donnees_personnelles_vfprotection_des_donnees_personnelles_vf
protection_des_donnees_personnelles_vfJean-Charles Croiger
 
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
Medialibs
 
earlegal #8 - Caméra - Comment concilier RGPD, loi caméra, droit à l'image et...
earlegal #8 - Caméra - Comment concilier RGPD, loi caméra, droit à l'image et...earlegal #8 - Caméra - Comment concilier RGPD, loi caméra, droit à l'image et...
earlegal #8 - Caméra - Comment concilier RGPD, loi caméra, droit à l'image et...
Lexing - Belgium
 
Lpm + rgpd études conjointe des deux grands textes
Lpm + rgpd  études conjointe des deux grands textesLpm + rgpd  études conjointe des deux grands textes
Lpm + rgpd études conjointe des deux grands textes
Didier Graf
 
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Johan-André Jeanville
 
Module 7 rencontre des attentes des autorités règlementaires - loi 64
Module 7   rencontre des attentes des autorités règlementaires - loi 64Module 7   rencontre des attentes des autorités règlementaires - loi 64
Module 7 rencontre des attentes des autorités règlementaires - loi 64
Louis-Martin Landry
 

Similaire à RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité (20)

Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis Nystek
 
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPDFiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
 
droit.ppt
droit.pptdroit.ppt
droit.ppt
 
20171221-5 jni-rgpd
20171221-5 jni-rgpd20171221-5 jni-rgpd
20171221-5 jni-rgpd
 
GDPR / RGPD - Livre Blanc - Aion Solutions
GDPR / RGPD - Livre Blanc - Aion SolutionsGDPR / RGPD - Livre Blanc - Aion Solutions
GDPR / RGPD - Livre Blanc - Aion Solutions
 
protection des données
protection des donnéesprotection des données
protection des données
 
#LOVEDATADAY : la présentation de l'événement !
#LOVEDATADAY : la présentation de l'événement !#LOVEDATADAY : la présentation de l'événement !
#LOVEDATADAY : la présentation de l'événement !
 
Le GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - DocumentLe GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - Document
 
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
 
Bmma privacy legal aspects
Bmma privacy legal aspectsBmma privacy legal aspects
Bmma privacy legal aspects
 
Gestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsGestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligations
 
Présentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnellesPrésentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnelles
 
Mise en conformité rgpd
Mise en conformité rgpdMise en conformité rgpd
Mise en conformité rgpd
 
Comment se mettre en conformité avec le GDPR ?
Comment se mettre en conformité avec le GDPR ?Comment se mettre en conformité avec le GDPR ?
Comment se mettre en conformité avec le GDPR ?
 
protection_des_donnees_personnelles_vf
protection_des_donnees_personnelles_vfprotection_des_donnees_personnelles_vf
protection_des_donnees_personnelles_vf
 
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
 
earlegal #8 - Caméra - Comment concilier RGPD, loi caméra, droit à l'image et...
earlegal #8 - Caméra - Comment concilier RGPD, loi caméra, droit à l'image et...earlegal #8 - Caméra - Comment concilier RGPD, loi caméra, droit à l'image et...
earlegal #8 - Caméra - Comment concilier RGPD, loi caméra, droit à l'image et...
 
Lpm + rgpd études conjointe des deux grands textes
Lpm + rgpd  études conjointe des deux grands textesLpm + rgpd  études conjointe des deux grands textes
Lpm + rgpd études conjointe des deux grands textes
 
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
 
Module 7 rencontre des attentes des autorités règlementaires - loi 64
Module 7   rencontre des attentes des autorités règlementaires - loi 64Module 7   rencontre des attentes des autorités règlementaires - loi 64
Module 7 rencontre des attentes des autorités règlementaires - loi 64
 

Plus de Kyos

Cloud Security - Prenez le virage du cloud en gardant le contrôle de vos donn...
Cloud Security - Prenez le virage du cloud en gardant le contrôle de vos donn...Cloud Security - Prenez le virage du cloud en gardant le contrôle de vos donn...
Cloud Security - Prenez le virage du cloud en gardant le contrôle de vos donn...
Kyos
 
1. Intro - Prenez le virage du cloud en gardant le contrôle de vos données – ...
1. Intro - Prenez le virage du cloud en gardant le contrôle de vos données – ...1. Intro - Prenez le virage du cloud en gardant le contrôle de vos données – ...
1. Intro - Prenez le virage du cloud en gardant le contrôle de vos données – ...
Kyos
 
Introspect event - 5 Juillet 2018 - Kyos threat challenges
Introspect event - 5 Juillet 2018 - Kyos threat challengesIntrospect event - 5 Juillet 2018 - Kyos threat challenges
Introspect event - 5 Juillet 2018 - Kyos threat challenges
Kyos
 
21.06.2017 - KYOS Breakfast Event
21.06.2017 - KYOS Breakfast Event 21.06.2017 - KYOS Breakfast Event
21.06.2017 - KYOS Breakfast Event
Kyos
 
2017.03.30 - e-Signatures Conference for ZertES and eIDAS
2017.03.30 - e-Signatures Conference for ZertES and eIDAS 2017.03.30 - e-Signatures Conference for ZertES and eIDAS
2017.03.30 - e-Signatures Conference for ZertES and eIDAS
Kyos
 
Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !
Kyos
 
Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?
Kyos
 
Ensemble fortifions la chaîne de défense
Ensemble fortifions la chaîne de défenseEnsemble fortifions la chaîne de défense
Ensemble fortifions la chaîne de défense
Kyos
 
Echecs et hack
Echecs et hackEchecs et hack
Echecs et hack
Kyos
 
Simplifiez la sécurisation de vos données par chiffrement transparent
Simplifiez la sécurisation de vos données par chiffrement transparentSimplifiez la sécurisation de vos données par chiffrement transparent
Simplifiez la sécurisation de vos données par chiffrement transparent
Kyos
 
Gestion des accès privilégiés : Améliorez votre sécurité avec Wallix Admin Ba...
Gestion des accès privilégiés : Améliorez votre sécurité avec Wallix Admin Ba...Gestion des accès privilégiés : Améliorez votre sécurité avec Wallix Admin Ba...
Gestion des accès privilégiés : Améliorez votre sécurité avec Wallix Admin Ba...
Kyos
 
Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
Simplifiez et automatisez la gestion de votre Active Directory avec AdaxesSimplifiez et automatisez la gestion de votre Active Directory avec Adaxes
Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
Kyos
 
Collaborez, communiquez avec les solutions Mitel
Collaborez, communiquez avec les solutions MitelCollaborez, communiquez avec les solutions Mitel
Collaborez, communiquez avec les solutions Mitel
Kyos
 
La nouvelle équipe Kyos vous souhaite une année 2014 étincelante !!!
La nouvelle équipe Kyos vous souhaite une année 2014 étincelante !!!La nouvelle équipe Kyos vous souhaite une année 2014 étincelante !!!
La nouvelle équipe Kyos vous souhaite une année 2014 étincelante !!!Kyos
 
2013.06.20 - évènement Kyos-Spacecom - 04_Les nouvelles recettes du sans-fil
2013.06.20 - évènement Kyos-Spacecom - 04_Les nouvelles recettes du sans-fil2013.06.20 - évènement Kyos-Spacecom - 04_Les nouvelles recettes du sans-fil
2013.06.20 - évènement Kyos-Spacecom - 04_Les nouvelles recettes du sans-fil
Kyos
 
2013.06.20 - évènement Kyos-Spacecom - 02_Émulsion de nos nouvelles molécules IT
2013.06.20 - évènement Kyos-Spacecom - 02_Émulsion de nos nouvelles molécules IT2013.06.20 - évènement Kyos-Spacecom - 02_Émulsion de nos nouvelles molécules IT
2013.06.20 - évènement Kyos-Spacecom - 02_Émulsion de nos nouvelles molécules IT
Kyos
 
2013.06.20 - évènement Kyos-Spacecom - 01_Avant-goût du futur de Kyos et Spac...
2013.06.20 - évènement Kyos-Spacecom - 01_Avant-goût du futur de Kyos et Spac...2013.06.20 - évènement Kyos-Spacecom - 01_Avant-goût du futur de Kyos et Spac...
2013.06.20 - évènement Kyos-Spacecom - 01_Avant-goût du futur de Kyos et Spac...
Kyos
 

Plus de Kyos (17)

Cloud Security - Prenez le virage du cloud en gardant le contrôle de vos donn...
Cloud Security - Prenez le virage du cloud en gardant le contrôle de vos donn...Cloud Security - Prenez le virage du cloud en gardant le contrôle de vos donn...
Cloud Security - Prenez le virage du cloud en gardant le contrôle de vos donn...
 
1. Intro - Prenez le virage du cloud en gardant le contrôle de vos données – ...
1. Intro - Prenez le virage du cloud en gardant le contrôle de vos données – ...1. Intro - Prenez le virage du cloud en gardant le contrôle de vos données – ...
1. Intro - Prenez le virage du cloud en gardant le contrôle de vos données – ...
 
Introspect event - 5 Juillet 2018 - Kyos threat challenges
Introspect event - 5 Juillet 2018 - Kyos threat challengesIntrospect event - 5 Juillet 2018 - Kyos threat challenges
Introspect event - 5 Juillet 2018 - Kyos threat challenges
 
21.06.2017 - KYOS Breakfast Event
21.06.2017 - KYOS Breakfast Event 21.06.2017 - KYOS Breakfast Event
21.06.2017 - KYOS Breakfast Event
 
2017.03.30 - e-Signatures Conference for ZertES and eIDAS
2017.03.30 - e-Signatures Conference for ZertES and eIDAS 2017.03.30 - e-Signatures Conference for ZertES and eIDAS
2017.03.30 - e-Signatures Conference for ZertES and eIDAS
 
Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !
 
Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?
 
Ensemble fortifions la chaîne de défense
Ensemble fortifions la chaîne de défenseEnsemble fortifions la chaîne de défense
Ensemble fortifions la chaîne de défense
 
Echecs et hack
Echecs et hackEchecs et hack
Echecs et hack
 
Simplifiez la sécurisation de vos données par chiffrement transparent
Simplifiez la sécurisation de vos données par chiffrement transparentSimplifiez la sécurisation de vos données par chiffrement transparent
Simplifiez la sécurisation de vos données par chiffrement transparent
 
Gestion des accès privilégiés : Améliorez votre sécurité avec Wallix Admin Ba...
Gestion des accès privilégiés : Améliorez votre sécurité avec Wallix Admin Ba...Gestion des accès privilégiés : Améliorez votre sécurité avec Wallix Admin Ba...
Gestion des accès privilégiés : Améliorez votre sécurité avec Wallix Admin Ba...
 
Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
Simplifiez et automatisez la gestion de votre Active Directory avec AdaxesSimplifiez et automatisez la gestion de votre Active Directory avec Adaxes
Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
 
Collaborez, communiquez avec les solutions Mitel
Collaborez, communiquez avec les solutions MitelCollaborez, communiquez avec les solutions Mitel
Collaborez, communiquez avec les solutions Mitel
 
La nouvelle équipe Kyos vous souhaite une année 2014 étincelante !!!
La nouvelle équipe Kyos vous souhaite une année 2014 étincelante !!!La nouvelle équipe Kyos vous souhaite une année 2014 étincelante !!!
La nouvelle équipe Kyos vous souhaite une année 2014 étincelante !!!
 
2013.06.20 - évènement Kyos-Spacecom - 04_Les nouvelles recettes du sans-fil
2013.06.20 - évènement Kyos-Spacecom - 04_Les nouvelles recettes du sans-fil2013.06.20 - évènement Kyos-Spacecom - 04_Les nouvelles recettes du sans-fil
2013.06.20 - évènement Kyos-Spacecom - 04_Les nouvelles recettes du sans-fil
 
2013.06.20 - évènement Kyos-Spacecom - 02_Émulsion de nos nouvelles molécules IT
2013.06.20 - évènement Kyos-Spacecom - 02_Émulsion de nos nouvelles molécules IT2013.06.20 - évènement Kyos-Spacecom - 02_Émulsion de nos nouvelles molécules IT
2013.06.20 - évènement Kyos-Spacecom - 02_Émulsion de nos nouvelles molécules IT
 
2013.06.20 - évènement Kyos-Spacecom - 01_Avant-goût du futur de Kyos et Spac...
2013.06.20 - évènement Kyos-Spacecom - 01_Avant-goût du futur de Kyos et Spac...2013.06.20 - évènement Kyos-Spacecom - 01_Avant-goût du futur de Kyos et Spac...
2013.06.20 - évènement Kyos-Spacecom - 01_Avant-goût du futur de Kyos et Spac...
 

RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité

  • 1. Expert sécurité, réseau et services informatiques Version : Date : Diffusion : RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité Maître Sylvain Métille – HDC Philippe Guerber - Wallix Eric Lederrey – Kyos Raphael Jendrysiak – Kyos Restreinte 1.0 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  • 2. Kyos SARL Kyos en quelques mots • Expert sécurité, réseau et services informatiques : ‒ une offre de service cohérente, ‒ une forte proximité et réactivité, ‒ des solutions sur mesure. • Implanté à Genève depuis novembre 2002 • Société autofinancée • 38 employés • Fusion par absorption avec la société Spacecom, spécialiste réseau, en juin 2013 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  • 3. Expert sécurité, réseau et services informatiques Agenda Approche Juridique : Obligations & Sanctions : quelles sont les nouveautés de la LPD révisée et du RGPD ? Maître Sylvain Métille – HDC - Approche Juridique - Proposition Technologique - Conclusion et discussion ouverte RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  • 4. Obligations & Sanctions: Quelles sont les nouveautés de la LPD révisée et du RGPD Genève, 22 novembre 2017 Sylvain Métille email: metille@hdclegal.ch Twitter: @smetille
  • 5. Le cadre légal 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  • 6. Révisions des régimes suisses et européens • Loi fédérale sur la protection des données (LPD) du 19 juin 1992 • 21 décembre 2016: mise en consultation de l’avant-projet de révision totale de la LPD • 3573 pages de commentaires formulés durant la consultation. • 15 septembre 2017: publication du projet par le Conseil fédéral • Le Parlement se prononcera en 2018 • Entrée en vigueur prévue début 2019 • Premier projet en janvier 2012 (plus de 4 ans de négociations, près de 4.000 amendements devant le Parlement européen) • Texte final publié au JO en mai 2016 • Suppression des législations nationales au profit d’un règlement européen commun, mais: – faculté pour les états membres de garder une couche nationale dans des domaines réduits par exemple en droit du travail – les règles e-Privacy (cookies, etc.) restent en place • Entrée en vigueur du RGPD: 25 mai 2018 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  • 7. Champs du RGPD et entreprises suisses (1) • Le RGPD s’applique aux traitements effectués dans le cadre des activités de responsable du traitement ou de sous-traitant établis sur le territoire de l’UE, qu’ils aient ou non lieu dans l’UE (critère de l’établissement) • Mais aussi aux traitements effectués par des responsable du traitement ou des sous- traitants non établis sur le territoire de l’UE dès lorsqu’ils visent des personnes se trouvant sur le territoire de l’UE dans le cadre des activités suivantes (critère du ciblage): - Offre à ceux-ci de biens ou de services (ex: services e-commerce clairement orientés vers des consommateurs situés au sein de l’UE); ou - Suivi de leur comportement au sein de l’UE (ex: publicité en ligne sur Internet) 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  • 8. Champs du RGPD et entreprises suisses (2) • Techniquement: si le RGPD s’applique et que l’entreprise suisse n’a pas d’établissement au sein de l’UE, nécessité pour l’entreprise de nommer un représentant au sein de l’UE. Sauf: - Si traitement occasionnel sans données sensibles ou relatives à des condamnations/infractions impliquées - S’il s’agit d’un organisme ou d’une autorité public - Si les Etats membres de l’UE via leur couche nationale décident de changer la donne. Illustration avec la récente loi allemande données personnelles remaniée (publiée en juillet) : "(6) The contracting states of the European Economic Area and Switzerland shall have equal status with the Member States of the European Union with regard to processing for purposes in accordance with Article 2 of Regulation (EU) 2016/679. Other states shall be regarded as third countries." 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  • 9. Ce qui reste 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  • 10. Révision de la LPD – Les principes restent • Bonne foi • Proportionnalité • Information (renforcée) • Exactitude • Finalité • Sécurité • Protection des données par défaut (nouveau) • Protection des données dès la conception (nouveau) 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  • 11. Révision de la LPD – La méthode reste • La violation des principes ou le traitement contre la volonté de la personne concernée est une atteinte – L’atteinte est illicite sauf motif justificatif • Le responsable du traitement est responsable de traiter les données de manière conforme au droit • La personne concernée doit se défendre contre toute atteinte • Le PFPDT pourra ouvrir des enquêtes en cas de soupçons (et plus seulement en cas d’erreurs de système) 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  • 12. Les droits 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  • 13. Quoi de neuf? – Les droits • Un peu plus de droits pour les personnes concernées – Des règles sur l’accès aux données post-mortem (art. 16 P-LPD) – Mention du droit à l’effacement (art. 28 al. 2 let. c P-LPD – «Droit à l’oubli») – Des procédures civiles judiciaires gratuites (révision du CPC) – Droit d’être informé et de faire valoir son point de vue en cas de décision individuelle automatisée (art. 19 P-LPD) 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  • 14. Quoi de neuf? – Les droits • Mais: plusieurs absences / suppressions de droit, notamment: – Pas de droit à la portabilité  Message du 15 septembre 2017 (p. 43): «Le Conseil fédéral juge opportun d’attendre les résultats des expériences au sein de l’Union européenne avant d’envisager d’introduire un droit à la portabilité des données en Suisse.» – Pas de protection des données personnelles de personnes morales  Message du 15 septembre 2017 (p. 68): «(…) les textes de protection des données de l’Union européenne et du Conseil de l’Europe ainsi que la majorité des législations étrangères ne prévoient pas une telle protection. » – Pas de renversement du fardeau de la preuve ni d’action collective (class action)  Message du 15 septembre 2017 (pp. 42-43): renvoi à une motion plus générale actuellement à l’étude, «Le Conseil fédéral estime qu’il n’est pas opportun de prévoir un régime spécial, en introduisant dans la LPD un système d’exercice collectif des droits.» 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  • 15. Les obligations 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  • 16. Quoi de neuf? – Les obligations • Quelques formalités en moins • Mais de nouvelles obligations – Une information renforcée – Un registre des activités de traitement – Un devoir d’annonce des failles de sécurité – Une analyse d’impact préalable – La protection des données dès la conception et par défaut 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  • 17. Quoi de neuf? – Disparitions de certaines formalités • Disparition de l’obligation des personnes privées d’annoncer et de faire enregistrer leurs fichiers - Remplacée par une obligation de tenir un registre des activités de traitement (art. 11 P-LPD) - Demeure dans les grandes lignes pour les organes fédéraux • Disparition de l’obligation d’annoncer le transfert de données à l’étranger lorsqu’il est justifié par des contrats types approuvés par le PFPDT • Même approche avec le RGPD cependant certains Etats membres veulent garder certaines formes de déclarations (ex: post mai 2018, système d’alertes éthiques toujours à déclarer à la CNIL en France) 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  • 18. Quoi de neuf? – Les obligations 1) Un devoir d’information étendu (et «proactif») en cas de traitement de données personnelles (art. 17 ss P-LPD) – Remplace le caractère uniquement reconnaissable du traitement de données – Devront en tout cas être communiqués: l’identité et les coordonnées du responsable du traitement, la finalité du traitement et les destinataires ou catégories de destinataires. Si les données ne sont pas collectées directement auprès de la personne: les données traitées ou les catégories de données – Information également pour tous les cas dans lesquels une décision importante la concernant est prise sur la base d’un traitement automatisé (art. 19 P-LPD) 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  • 19. Quoi de neuf? – Les obligations: une information accrue 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  • 20. Quoi de neuf? – Les obligations 2) Un devoir de tenir un registre des activités de traitement (art. 11 P-LPD) – A charge du responsable du traitement et du sous-traitant – Le registre du responsable du traitement doit contenir au moins: • *l’identité du responsable du traitement, • la finalité du traitement, • une description des catégories de personnes concernées et des catégories de données personnelles traitées, • la catégorie des destinataires, • si possible le délai de conservation des données ou les critères pour en déterminer la durée, • *si possible une description générale des mesures visant à garantir la sécurité des données • *et, en cas de communication à l’étranger, le nom de l’Etat en question et les garanties y relatives – Le registre du sous-traitant doit contenir l’identité du sous-traitant, les catégories de traitement et * – Exception possible si moins de 50 collaborateurs et risque limité 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  • 21. Quoi de neuf? – Les obligations • RGPD: Contenu du registre du responsable du traitement: - Nom et coordonnées du responsable du traitement et du délégué - Finalités du traitement - Catégories personnes concernées et les catégories de données - Catégories de destinataires - Dans la mesure du possible, les délais prévus pour l’effacement • Contenu du registre du sous-traitant : - Nom et coordonnées du ou des sous-traitants - Nom et coordonnées de chaque responsable du traitement pour le compte duquel le sous-traitant agit - Catégories de traitements effectués pour le compte de chaque responsable du traitement - Transferts de données vers un pays tiers ou à une organisation internationale - Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles • Pas d’obligation de tenir un registre si moins de 250 employés, SAUF: - Si le traitement comporte un risque pour les droits et des libertés des personnes concernées - S’il n'est pas occasionnel - S’il porte notamment sur des données sensibles 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  • 22. Quoi de neuf? – Les obligations 3) Un devoir d’annonce des failles de sécurité (art. 22 P-LPD) – Le sous-traitant doit annoncer tout cas de violation de la sécurité des données au responsable du traitement – Le responsable du traitement doit annoncer les cas de violation des données • au PFPDT si risque élevé pour la personnalité de la personne concernée • à la personne concernée si le PFPDT l’exige ou si nécessaire à sa protection (voire au public si impossible d’atteindre autrement les personnes concernées) – Indication de la nature de la violation de la sécurité des données, ses conséquences et les mesures prises ou envisagées pour y remédier – Dans les meilleurs délais Le RGPD prévoit un système semblable et précise que la notification à l’autorité doit se faire dans les meilleurs délais, et si possible dans les 72 heures. 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  • 23. Quoi de neuf? – Les obligations 4) Une obligation de mener une analyse d’impact préalable (art. 20s P-LPD) – A charge du responsable de traitement – Dans tous les cas où le traitement envisagé est susceptible d’entraîner un risque accru pour la personnalité et les droits fondamentaux de la personne concernée – Analyse d’impact doit contenir un description du traitement envisagé, une évaluation des risques et les mesures prévues pour protéger la personnalité et les droits fondamentaux de la personne concernée – Consultation du PFPDT lorsque l’analyse d’impact révèle que le traitement présente un risque élevé. PFPDT a deux mois pour communiquer ses objections au responsable du traitement, délai prolongeable d’un mois lorsqu’il s’agit d’un traitement de données complexes. En cas d’objections, le PFPDT propose des mesures appropriées au responsable du traitement 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  • 24. Quoi de neuf? – Les obligations Analyse d’impact obligatoire sous l’angle du RGPD si au moins deux critères réunis • Évaluation/scoring • Décision automatique avec effet légal • Surveillance systématique • Données sensibles • Large échelle • Croisement de données • Personnes vulnérables • Usage innovant • Transfert hors UE • Blocage d’un droit/contrat Analyse d’impact pas nécessaire sous l’angle du RGPD • Pas susceptible d’engendrer des risques élevés • Déjà autorisé (tant que le traitement n’a pas changé et que les conditions de mise en œuvre sont respectées !) • Base légale 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  • 25. Quoi de neuf? – Les obligations 5) Protection des données dès la conception et par défaut (art. 6 P-LPD) – A charge du responsable du traitement et du sous- traitant – Dès la conception du traitement, proactivement prendre des mesures pour minimiser les risques d’atteinte – Garantir par le biais de préréglages appropriés que le seules les données nécessaires sont traitées 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  • 26. Les sanctions 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  • 27. Quoi de neuf? – Les sanctions • Un nouveau régime de sanctions est prévu – Sanction pénale de l’individu concerné – Pas d’amende administrative contre l’entreprise – Aucun pouvoir de sanction du PFPDT • Introduction également – d’une nouvelle infraction pénale d’usurpation d’identité (art. 179decies P-CP)  Risque: peine privative de liberté d’un an au plus ou peine pécuniaire – d’un devoir de discrétion pour toute activité professionnelle qui requiert la connaissance de données personnelles secrètes (art. 56 P- LPD)  Risque: amende de CHF 250’000 au plus 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  • 28. Quoi de neuf? – Les sanctions • Le cadre pénal est renforcé (art. 54ss P-LPD) – Sanctions renforcées (amende max. 250’000.-, ou 50’000.- pour les personnes morales) – Poursuite uniquement en cas d’infraction intentionnelle – Système axé sur la sanction de l’individu plutôt que la personne morale. Sanction de la personne morale seulement  si l’amende ne dépasse pas 50’000.-  si les mesures d’instruction pour rechercher la personne physique auteure de l’infraction impliquerait des mesures d’instruction hors de proportion avec la peine encourue • Le RGPD prévoit les sanctions suivantes: – Amende de maximum 10 millions d’Euros ou, dans le cas d’une entreprise, maximum 2% du chiffre d’affaires mondial – Dans les cas graves, l’amende est de maximum 20 millions d’Euros ou, dans le cas d’une entreprise de maximum 4% du chiffre d’affaires mondial 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  • 29. Quoi de neuf? – Le PFPDT • Pouvoirs renforcés mais limités du PFPDT – Enquête contre un organe fédéral ou une personne privée si des indices font penser qu’il y a violation (art. 43 P-LPD) • Obligation des personnes concernées de fournir tous les renseignements et les documents nécessaires pour l’enquête. Perquisitions possibles en cas de refus (art. 44 P-LPD). – Mesures administratives (art. 45 P-LPD) • Possible d’ordonner la suspension, la modification ou la cessation de tout ou partie du traitement ainsi que la destruction de tout ou partie des données personnelles • Possible de suspendre ou interdire la communication de données personnelles à l’étranger • Possible notamment d’ordonner à l’organe fédéral ou à la personne privée de lui fournir des informations, de prendre certaines mesures, d’informer les personnes concernées, d’établir une analyse d’impact, de le consulter, de l’informer des violations de de la sécurité des données et de communiquer les renseignements à la personne concernée – Possibilité de dénoncer aux autorités de poursuite pénale des infractions et de faire valoir les droits d’une partie plaignante dans la procédure (art. 59 P-LPD) 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  • 30. La mise en conformité 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  • 31. Niveau d’exigence Rien Politique de traitement, quelques principes Directive 95/46, LPD RGPD, LPD révisée … 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  • 32. Mise en conformité • Je ne panique pas! • Quel est le cadre de mes obligations (LPD et/ou RGPD)? • Quelles données je traite (et dans quel but, avec quelles justifications)? • Suis-je conforme? Qu’est-ce que je dois améliorer? – Quelles sont mes relations avec les personnes concernées, sous-traitants, tiers, autorités, etc.? – Comment sont mes contrats, procédures, registres, etc.? – Mes équipes sont-elles formées? 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  • 33. Conclusion 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  • 34. Conclusion • Les principes demeurent, mais l’idéal à atteindre devient la norme à respecter. • Le responsable du traitement doit informer et tenir un registre des activités de traitement. Pour cela il doit identifier les traitements et leurs buts, ses partenaires et le fonctionnement de sa société. • Les nouvelles obligations entreront rapidement en vigueur, il faut anticiper. 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  • 35. Sylvain Métille Dr, avocat, chargé de cours à l’Université Av. Auguste Tissot 2bis CP 851 1001 Lausanne T 021 310 73 10 F 021 310 73 11 metille@hdclegal.ch www.hdclegal.ch www.smetille.ch/blog @smetille 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  • 36. Expert sécurité, réseau et services informatiques Agenda Proposition Technologique - Approche Juridique - Proposition Technologique - Conclusion et discussion ouverte RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  • 37. UN seul utilisateur à privilège peut tout remettre en cause Company confidential – © Copyright WALLIX 2017 Nomination parmi les leaders dans les catégories Produits & Innovation PAM du Leadership Compass KuppingerCole 2017 Fiche d’identité de WALLIX
  • 38. AUDIT & CONFORMITE Mise à disposition d’une solution contribuantà la conformitéaux réglementations internes et externes par la consolidationde rapports d’audit et le contrôle continudes actions réalisées. AUDIT & CONFORMITE Company confidential – © Copyright WALLIX 2017 SECURITE DU CLOUD SECURITE DU CLOUD Sécuriser les environnements de type Cloud, Privé, Hybrideou SaaS. Intégration et déploiement facilités pour sécuriser lesaccès des Cloud Providers et de leurs utilisateurs. Réduire l’expositiondes risques enoptimisant le contrôle des sous- traitants, des prestataires en régie, des astreintes ou prestataires externes. PRESTATAIRES EXTERNES & INDUSTRIAL CONTROL SYSTEM (ICS/SCADA) INDUSTRIAL CONTROL SYSTEM (ICS/SCADA) Les solutions WALLIX PRESTATAIRES EXTERNES ET ACCES A DISTANCE Maitriser lesinterconnexions des systèmes industrielsaux réseauxIP et SI afin de réduire les risques sur les infrastructures critiques ou vitales. ACCES A DISTANCE
  • 39.
  • 40. Healthcare Financial Industry Nous sommes tous concernés Company confidential – © Copyright WALLIX 2017
  • 41. Kyos SARL Wallix Admin Bastion RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité. SECURITE DU CLOUD PRESTATAIRES EXTERNES & (ICS/SCADA) ACCES A DISTANCE prestataire Utilisateurs a privilèges firewall VPN prestataire Utilisateurs a privilèges firewall VPN 22.11.2017
  • 42. Kyos SARL RGPD et LPD rappels de point clés RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité. Gouvernance des accès à privilèges – définition des droits d’accès pour les utilisateurs à forts privilèges à tous les équipements Le Bastion plateforme unique pour la gestion des mots de passe et des accès Contrôle des Sessions: possibilité d’autoriser ou révoquer les accès Remontée d’alerte en cas de tentative de rebond Visualisation en temps réel et enregistrement des sessions. Imputabilité des connexions pour toute activité des utilisateurs, génération de rapports d’audit Politique de gouvernance en matière de protection des données Mise en place de processus et d’outils pour sécuriser les données Contrôler et encadrer l’accès aux données Documentation, production de preuve de conformité Obligations à remplir pour démontrer sa conformité 22.11.2017
  • 43. Kyos SARL Démonstration 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  • 44. Kyos SARL Et sans la solution wallix ? RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité. Gouvernance des accès à privilèges – définition des droits d’accès pour les utilisateurs à forts privilèges à tous les équipements Gestion des mots de passe et des accès dépendant de chaque solution. Nécessite intégration et planification poussée Gestion du contrôle réparti sur plusieurs équipements, remontée d’alerte possible par log centralisée. Prise d’action immediate compliquée ou impossible Visualisation partielle (via les logs), génération de rapports d’audit. Réservée à une personne technique Politique de gouvernance en matière de protection des données Mise en place de processus et d’outils pour sécuriser les données Contrôler et encadrer l’accès aux données Documentation, production de preuve de conformité Obligations à remplir pour démontrer sa conformité 22.11.2017
  • 45. Kyos SARL La solution Wallix dans l’écosystème Kyos 22.11.2017 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité. Partenaire externe Smartphone WAB Access Manager WAB Session Manager OTP, SMS, PUSH, etc ... Radius, SAML Radius Radius
  • 46. Expert sécurité, réseau et services informatiques Agenda Conclusions et discussion ouverte - Approche Juridique - Proposition Technologique - Conclusion et discussion ouverte RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.
  • 47. Kyos SARL Conclusions • On pourrait encore passer des heures sur la loi et le WAB • Le WAB apporte un réel gain de temps et une grande facilité pour adresser ces 4 obligations présentes dans RGPD/ LPD • N’oubliez pas, la LPD révisée entrera en vigueur en 2019 RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité. 22.11.2017 47
  • 48.
  • 49. Expert sécurité, réseau et services informatiques Contact us Kyos SARL Chemin Frank-Thomas, 32 1208 Genève Tel. : +41 22 566 76 30 Fax : +41 22 734 79 03 www.kyos.ch info@kyos.ch Merci RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.