Cours donné dans le cadre de l'executive master en RH pour ichec formation continue

1. Tout le monde aurait du être prêt le
25/5/2018 - une opportunité RH ?Jacques Folon, Ph.D.
Président & co-founder GDPRfolder
DPO
Professeur ICHEC
Me. de Conf. Université de Liège
Prof. inv. Université Saint Louis
Prof. Invité ESC Rennes
Keynote speaker
Derniers livres publiés
Le GDPR et la vie privée en questions? (sortie prévue :
mai 2018)
Le printemps numérique
Internet et vie privée, faut-il avoir peur?
jacques.folon@edge-consulting.biz
linkedin.com/in/folon
+ 32 475 98 21 15
Executive master RH

2. https://gdprfolder.eu
© 2018 GDPRFOLDER.EU SPRL All Rights Reserved.
Tout le monde est concerné !
Tout le monde a des clients, des employés, des prospects, des membres
PM
E
Professions libérales
ASBL
ONG
Secteur public

3. www.companyname.com
© 2016 Ultime PowerPoint. All Rights Reserved.
3Toute organisation ou profession libérale
gère des données à caractère personnel !
Une donnée personnelle est
toute information se rapportant à une
personne physique identifiée ou identifiable (ci-
après dénommée «personne concernée»);
est réputée être une «personne physique
identifiable» une personne physique qui peut
être identifiée, directement ou indirectement,
notamment par référence à un identifiant, tel
qu'un nom, un numéro d'identification, des
données de localisation, un identifiant en ligne,
ou à un ou plusieurs éléments spécifiques
propres à son identité physique, physiologique,
génétique, psychique, économique, culturelle

4. https://gdprfolder.eu
© 2018 GDPRFOLDER.EU SPRL All Rights Reserved.
Personnel Prospects
ContactsUtilisateurs de
vos services
Les personnes dont vous gérez les données

5. Il n’y avait pas de splution pour les indépendants, les PME, les ASBL
Les Petites organisations:
les oubliés du RGPD ?
Les consultants
sont trop chers
Les solutions
en ligne sont
trop complexes
Les solutions
informatiques
sont trop
techniques
Le vocabulaire
est
incompréhensi
ble

6. ETUDE ACERTA REALISEE EN OCTOBRE 2918

7. Vous devez
être capable
de
démontrer
que vous
êtes en règle
par rapport
au RGPD

8. 2 Etre certifié GDPR ?

9. Commençons
par vous
rassurer

10. RASSUREZ-VOUS !
VOUS N'ETES PAS EN RETARD
PAR RAPPORT AU GDPR.
VOUS AVEZ 25 ANS DE
RETARD PAR RAPPORT À LA
LOI DE 1992 !!!

11. LE GDPR
LA RUEE VERS L'OR DE CONSULTANTS,
D'AVOCATS, DE SPECIALISTES EN SECURITE,…
ATTENTION AUX
"CERTIFICATION GDPR"
ELLES N'EXISTENT PAS (ENCORE)

12. http://www.jerichotechnology.com/wp-content/uploads/2012/05/SocialMediaisChangingtheWorld.jpg

13. privacy ?????
13
http://www.fieldhousemedia.net/wp-content/uploads/2013/03/fb-privacy.jpg

14. The person who took the photo is
a real friend
14
http://cdn.motinetwork.net/motifake.com/image/demotivational-poster/1202/reality-drunk-reality-fail-drunkchicks-partyfail-demotivational-posters-1330113345.jpg

15. privacy and graph search ? Graph search…

16. 16SOURCE: http://mattmckeon.com/facebook-privacy/

17. 17

18. 18

19. 19

20. 20

21. 21

22. 22

23. 23
EN 2018

24. !24
A.LE GDPR CA FAIT PEUR
B.LE GDPR C'EST (PAS BEAUCOUP) DU
DROIT
C.LE GDPR C'EST COMPLIQUE
D.LE GDPR CA PEUT ETRE POSITIF
E.CONTEXTE DU GDPR
F.LES 12 GRANDS PRINCIPES
G.CONCLUSION: LE DOSSIER GDPR

25. A. LE GDPR CA FAIT PEUR

26. A. LE GDPR CA FAIT PEUR: class action possible

27. A. LE GDPR CA FAIT PEUR

29. B. LE GDPR C'EST (PAS BEAUCOUP) DU DROIT
DROIT
CONTRAT SOUS-TRAITANTS
PRIVACY POLICIES
RH (CONFIDENTIALITÉ-CODE DE CONDUITE)
INFORMATIQUE
PRIVACY BY DESIGN/DEFAULT
SECURITE DE L'INFORMATION
IAM
CODE DE CONDUITE ICT
DOCUMENTATION DES PROGRAMMES
DROIT D'ACCES
DROIT A L'OUBLI
CC81
ORGANISATION
ANALYSE DE RISQUES
ARCHIVAGE DIGITAL
GESTION DE PROJET
CHANGE MANAGEMENT
REGISTRE DE TRAITEMENT
COMMUNICATION DE CRISE (DATA BREACH)
FORMATION

30. CODES DE CONDUITES ET CERTIFICATIONS
!30

31. C. LE GDPR C'EST COMPLIQUÉ !
"RÉGLEMENTATIONSSSSS" !

32. C.LE GDPR C'EST COMPLIQUE !

33. C. LE GDPR C'EST COMPLIQUE !
ON COMMENCE PAR QUOI ?
1/ANALYSE PRÉALABLE
2/PLAN D'ACTIONS DE MISE EN
CONFORMITÉ

34. D.Comment on fait?
UNE MÉTHODO QUI A FAIT SES PREUVES

35. COMMENT ON FAIT?

36. E.LE GDPR CA PEUT ETRE POSITIF
MEILLEURE CONNAISSANCE
DES PROCESSUS INTERNES

37. E. LE GDPR CA PEUT ETRE POSITIF
INTÉRÊT LEGITIME ?

38. INTÉRÊT LEGITIME ?
CONSIDÉRANT 47 .
Les intérêts légitimes d'un responsable du traitement, y compris ceux d'un responsable
du traitement à qui les données à caractère personnel peuvent être communiquées, ou
d'un tiers peuvent constituer une base juridique pour le traitement, à moins que les
intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent,
compte tenu des attentes raisonnables des personnes concernées fondées sur
leur relation avec le responsable du traitement. Un tel intérêt légitime pourrait, par
exemple, exister lorsqu'il existe une relation pertinente et appropriée entre la personne
concernée et le responsable du traitement dans des situations telles que celles où la
personne concernée est un client du responsable du traitement ou est à son service.
En tout état de cause, l'existence d'un intérêt légitime devrait faire l'objet d'une
évaluation attentive, notamment afin de déterminer si une personne concernée peut
raisonnablement s'attendre, au moment et dans le cadre de la collecte des données
à caractère personnel, à ce que celles-ci fassent l'objet d'un traitement à une fin
donnée.
Les intérêts et droits fondamentaux de la personne concernée pourraient, en
particulier, prévaloir sur l'intérêt du responsable du traitement lorsque des données à
caractère personnel sont traitées dans des circonstances où les personnes concernées
ne s'attendent raisonnablement pas à un traitement ultérieur.

39. E. LE GDPR CA PEUT ETRE POSITIF
POUR
VÉRIFIER LA LÉGALITÉ DES PROCESS

40. E. CONTEXTE
!40

43. From Big Brother to Big Other

44. VOLS & PERTES DE DONNÉES

45. VOLS & PERTES DE DONNÉES

46. C'EST UNE VRAIE MENACE !

47. Objectif du GDPR

48. territoire
concerné

49. En deux mots…
!49
• Le GDPR est un règlement européen
concernant la protection des données
personnelles
• Il s'impose aux entreprises et au secteur
public

50. !50
MAY 2018

51. G. RAPPEL QUELQUES DEFINITIONS…
!51

52. UNE DONNÉE PERSONNELLE ?
!52
toute information se rapportant à une personne physique identifiée ou
identifiable (ci-après dénommée «personne concernée»);
est réputée être une «personne physique identifiable» une personne physique
qui peut être identifiée, directement ou indirectement, notamment par
référence à un identifiant, tel qu'un nom, un numéro d'identification, des
données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments
spécifiques propres à son identité physique, physiologique, génétique,
psychique, économique, culturelle

53. TRAITEMENT DE DONNEES
!53
. toute opération ou tout ensemble d'opérations effectuées ou non à
l'aide de procédés automatisés et appliquées à des données ou des
ensembles de données à caractère personnel, telles que la collecte,
l'enregistrement, l'organisation, la structuration, la conservation,
l'adaptation ou la modification, l'extraction, la consultation, l'utili-
sation, la communication par transmission, la diffusion ou toute autre
forme de mise à disposition, le rapprochement ou l'interconnexion, la
limitation, l'effacement ou la destruction;

54. RESPONSABLE DE TRAITEMENT
!54
. la personne physique ou morale, l'autorité publique, le service
ou un autre organisme qui, seul ou conjointement avec d'autres,
détermine les finalités et les moyens du traitement; lorsque les
finalités et les moyens de ce traitement sont déterminés par le
droit de l'Union ou le droit d'un État membre, le responsable du
traitement peut être désigné ou les critères spécifiques
applicables à sa désignation peuvent être prévus par le droit de
l'Union ou par le droit d'un État membre;

55. SOUS-TRAITANT
!55
. la personne physique ou morale, l'autorité publique, le
service ou un autre organisme qui traite des données à
caractère personnel pour le compte du responsable du
traitement;

56. VIOLATION DE DONNEES
!56
une violation de la sécurité entraînant, de manière accidentelle
ou illicite, la destruction, la perte, l'altération, la divulgation
non autorisée de données à caractère personnel transmises,
conservées ou traitées d'une autre manière, ou l'accès non
autorisé à de telles données;
CONSÉQUENCES:
NOTIFICATION PUBLIQUE !!

57. F. Les 12 grands principes du GDPR
!57
1. Responsabilité - « accountability »
2. Droit de la personne concernée (client, employé, citoyen)
3. Privacy by design
4. Sécurité des données
5. Notification des vols/pertes de données
6. Sanctions importantes
7. Gestion des accès aux données (IAM)
8. Licéité des traitements (réglementation ou consentement)
9. Registre des traitements
10.Analyse de risques et PIA
11.Formation
12.Data privacy officer

58. 1/ RESPONSABILITÉ
!58

59. RESPONSABILITÉ

60. PRINCIPALE TÂCHE
DO-CU-MEN-TA-TION

61. EN PRATIQUE:
L'APD débarque suite à une plainte, une
dénonciation, d'un consommateur, d'un
concurrent…
Que faites-vous?
Que pouvez-vous leur montrer?
Qu'avez-vous préparé?
Comment se préparer?
Quel type de plainte?
Quid vol de données?
…
c'est ça l'accountability

63. 2. DROIT DE LA PERSONNE CONCERNEE

65. 2/ DROIT DE LA PERSONNE
!65
TRANSPARENCE
INFORMATIONS LORS DE LA COLLECTE
DROIT D'ACCES
DROIT DE RECTIFICATION
DROIT A L'EFFACEMENT
DROIT A LA LIMITATION DU TRAITEMENT
PORTABILITE
DROIT D'OPPOSITION AU PROFILAGE

66. Ca a l'air simple…
Droits d'accès à… tout
Depuis longtemps
Dans toutes les bases de données
Preuve du consentement
De tout ce qui dépend du RDT
Imaginez un ministère, un annonceur multi-marques
et donc
nécessité de programmes de détection
de développement
ou pas…
analyse de risques

67. RIGHT TO ACCESS

68. DROIT A L'OUBLI, VRAIMENT ?

69. PRIVACY POLICY OR REGULATION OR …

70. INFORMATIONS A FOURNIR (1)
!70

71. INFORMATIONS A FOURNIR (2)
!71

72. INFORMATIONS A FOURNIR (3)
!72

73. INFORMATIONS A FOURNIR (4)
!73

74. INFORMATIONS A FOURNIR (5)
!74

75. INFORMATIONS A FOURNIR (6)
!75

76. CONSENTEMENT
!76
«consentement» de la personne concernée, toute
manifestation de volonté, libre, spécifique,
éclairée et univoque par laquelle la personne
concernée accepte, par une déclaration ou par un
acte positif clair, que des données à caractère
personnel la concernant fassent l'objet d'un
traitement;
NB: IL FAUT GARDER LA PREUVE DU

77. Un clic et c'est un contrat
attention vous devez garder la
preuve du contrat
QQ principes des T&C on line

80. Le seul lecteur important est le juge !

81. Trouver le bon conseiller pour vos Conditions
générales de vente et privacy policy !

82. 3/ PRIVACY BY DESIGN
!82

83. Ca a l'air simple…
Droits d'accès à… tout
Depuis longtemps
Dans toutes les bases de données
Preuve du consentement
De tout ce qui dépend du RDT
Imaginez un ministère, un annonceur multi-marques
et donc
nécessité de programmes de détection
de développement
ou pas…
analyse de risques

84. INFORMATION LIFECYCLE

85. Look at the entire data lifecycle

86. 1.CREATE
OR

87. BALANCE TEST NEEDED

88. PRIVACY POLICY OR REGULATION OR …

89. CONSENT & EVIDENCES

90. SENSITIVE DATA
IF THENOR

91. 2.STORE
• SECURITY
• ENCRYPTION
• AUTHENTICATION
• AVAILABILITY
• CONFIDENTIALITY
• IAM

92. 3. USE

93. 4. SHARE

94. 4. SHARE

95. 5.ARCHIVE

96. 6. DESTROY

97. 4/SECURITE DE L'INFORMATION
!97

98. LE MAILLON FAIBLE…

99. LE MAILLON FAIBLE

100. SECURITE
SOURCE DE L’IMAGE: http://www.techzim.co.zw/2010/05/why-organisations-should-worry-about-
security-2/

101. Source : https://www.britestream.com/difference.html.

102. QUELLES SONT LES MENACES?

103. ÊTES VOUS CAPABLE D'IDENTIFIER LES FUITES ?

104. Concrètement ca veut dire quoi?

106. Ne pas oublier
Plan de sécurité de l'information
Archivage
Destruction des données
ISO 2700X
audit de sécurité
Test de pénétration, …

107. 86
La sécurité des données
personnelles est une
obligation légale…

108. 5/ NOTIFICATION DES VOLS/PERTES
!108

109. Préparer la communication de crise
1/ dans quels cas doit-on prévenir l'APD?
2/ Si on prévient l'APD et après?

110. 6/ SANCTIONS
!110

111. 7/ Identity Access Management
(GESTION DES ACCÈS)
!111

112. GESTION DES PROFILS
NEED TO HAVE ACCESS !!
La question qui tue:
puis-je voir votre procédure de gestion des profils et la documentation quant aux besoins d'accès?

113. 8. LICEITE
CONSENTEMENT (ET PREUVE)

114. Consentement pour quelle finalité ?
Privacy policy?
Preuve du consentement?

115. Consentement - B2B - Intérêt légitime

119. Cookies

120. VOUS AVEZ UNE BASE DE DONNEES
MAIS POUVEZ-VOUS PROUVER QUE
VOUS AVEZ LES CONSENTEMENTS?

121. DONNEES PUBLIQUES ?

122. 9/ REGISTRE DES TRAITEMENTS
!122

123. REGISTRE DES TRAITEMENTS
!123

125. UNE FICHE BIEN UTILE
NOM ET COORDONNEES DU RESPONSABLE DE
TRAITEMENT
FINALITES DU TRAITEMENT
CATÉGORIES DE PERSONNES CONCERNEES
CATEGORIE DE DESTINATAIRES
PAYS TIERS
DELAIS D'EFFACEMENT
MESURES DE SECURITE TECHNIQUES ET
ORGANISATIONELLES

126. MÉTHODOLOGIE
Proof Of Concept
RDT ou SST ?
Attention=> log de non conformité
lien vers les consentement, les décisions,
les sources
Le registre sert à se défendre !

127. 10/ ANALYSE DE RISQUES /PIA
!127

128. Quand ?
Utile même si pas indispensable
Permet de se poser les bonnes
questions
Bon sens

129. 11/ FORMATIONS
!129

131. 12/ DATA PRIVACY OFFICER
!131

133. 4 missions différentes !!
GDPR Sécurité de l’information
Conseil Data Privacy Officer (DPO) Information Security Advisor
(ISA)
Mise en œuvre Chef de projet GDPR ou
correspondant GDPR dans les
divers départements
Responsable de la sécurité des
systèmes d’information (RSSI)

135. DELIVRABLE : LE DOSSIER GDPR
• REGISTRE DE TRAITEMENT
• PLAN DE SECURITE
• POLITIQUE D'ARCHIVAGE
• IAM
• DECISIONS PRISES
• CONTRATS SOUS-TRAITANCE
• FORMATIONS
• BEST PRACTICES INTERNES
• CC 81

136. Dossier GDPR
Vous pouvez démontrer en un clic les mesures prises
en imprimant le dossier gdpr mis à jouer en permanence

137. ARBORESCENCE DU QUESTIONNAIRE

138. CONCLUSION

139. BONNE CHANCE A TOUS

140. SOURCES
• https://www.slideshare.net/TrishMcGinity/csa-privacy-by-design-amp-gdpr-austin-chambers-11417?
qid=b15cffa4-6e24-40ca-8c3b-7230dd1cae30&v=&b=&from_search=1#
• https://www.slideshare.net/mactvdp/training-privacy-by-design?qid=c5022dbe-afbd-4905-
aba4-1a92b1382de1&v=&b=&from_search=3
• `https://ico.org.uk/for-organisations/guide-to-data-protection/privacy-by-design/
• https://www.bdb-law.co.uk/blogs/no-blogs/conducting-a-privacy-impact-assessment-the-what-the-why-and-the-
how/
• https://www.slideshare.net/DragonBe/privacy-by-design-82454527?qid=2ba69b5e-bf28-40f4-b1ec-
fc8328355fec&v=&b=&from_search=4
• https://www.slideshare.net/markieturbo/advantages-of-privacy-by-design-in-ioe?qid=f2e5fc34-f946-4fd4-bace-
c3fc244a8b7e&v=&b=&from_search=8
• https://www.slideshare.net/feyeleanor/dont-ask-dont-tell-the-virtues-of-privacy-by-design?qid=1b0459a2-
a969-467b-947d-6a0e3304f432&v=&b=&from_search=14
• https://www.slideshare.net/kristyngreenwood/privacy-by-design-white-papaer?qid=1b0459a2-
a969-467b-947d-6a0e3304f432&v=&b=&from_search=17