7. Quel lien avec la normalisation ?
La norme volontaire, oriente les usages
sur un marché !
Vous souhaitez développer votre
innovation sur un marché ?
CQFD !
Workshop e-santé French Tech – Juin 2019
8. Pourquoi s’y intéresser ?
Intégrer à mon concept
ce que le marché a déjà défini
« orienter » le marché
vers MA solution.
Workshop e-santé French Tech – Juin 2019
La normalisation volontaire
=
une donnée d’entrée de votre
stratégie de développement !
9. Une petite illustration pour mieux comprendre ?
WS CYBERSÉCURITÉ RGPD - FTC - NOV 2019
Workshop e-santé French Tech – Juin 2019
10. L’étude de faisabilité
- Identifier l’intérêt de la normalisation
volontaire, pour MON projet ?
- Renforcer ma réflexion stratégique
- Outil d’aide à la décision
- Sécurisation de l’action
UN SERVICE DÉDIÉ AUX ENTREPRISES INNOVANTES
Eligible aux aides financières en soutien de l’innovation
Workshop e-santé French Tech – Juin 2019
11. 29
NOVEMBRE
2019
WS CYBERSÉCURITÉ RGPD - FTC - NOV 2019
MARCHÉS
RELATIONS
COLLABORATION
DEPLOIEMENT
CROISSANCE
ACCOMPAGNER LES ACTEURS ÉCONOMIQUES DANS LEUR DÉVELOPPEMENT :
§ Mesurer leurs progrès
§ Identifier leurs facteur clés de succès,
§ Se comparer avec d’autres organisations,
§ Valoriser les efforts réalisés et les collaborateurs.
RÉPONDRE A TOUS LES BESOINS :
§ Des solutions innovantes sur les sujets d’actualité
(RGPD, économie circulaire, innovation…)
§ Des modèles variés pour délivrer des certifications reconnues,
adaptées au rythme et au profil des acteurs
Et la certification dans tous ça?
12. Et la certification dans tous ça?
29
NOVEMBRE
2019
WS CYBERSÉCURITÉ RGPD - FTC - NOV 2019
Fournisseur
B
Client
To B
Client final
To C
C
O
N
F
I
A
N
C
E
§ 2 axes
§ La certification permet de donner confiance aux
écosystèmes, dans une phase où une startup se
développe et s’installe sur le marché
§ La certification est aussi à l’affut d’innovations pouvant
constituer des briques de prestations dans le cadre de sa
mission de tiers de confiance
14. Les normes et RGPD: des outils
Analyses d’impacts relatives à
la protection
des données ou « Privacy
Impact Assesment »
Approche par les
risques ou « Privacy by
design »
Terminologie et bonnes
pratiques générales ou
sectorielles
Outils pour répondre
aux exigences du RGPD
15. Les enjeux dans le contexte européen: 3 focus
Objets connectés: Comment
concilier le stockage
centralisé des données dans
le cloud et le traitement au
niveau local des données?
Intelligence Artificielle:
Est-il possible de développer des
systèmes d’IA avec des données
conformes au RGPD ?
Blockchain:
Comment concilier l’utilisation
de la Blockchain avec les
exigences du RGPD qui impose
le droit à l’oubli et un tiers de
confiance?
29
NOVEMBRE
2019
WS CYBERSÉCURITÉ RGPD - FTC - NOV 2019
16. Quelles thématiques ?
Privacy
Framework
Privacy Impact
Assessment
(analyse
d’impact)
Cloud et
protection de
la vie privée
Techniques de
cryptographie
Système de
management SI
Compatibilité
Blockchain et RGPD
Système de
management
protection de la vie
privée
Blockchain et
vie privée
Techniques de dé-
identification
29
NOVEMBRE
2019
WS CYBERSÉCURITÉ RGPD - FTC - NOV 2019
17. Quelques exemples
Guide- Protection des données
personnelles – l’apport des normes
volontaires (avril 2018)
Code of practice for personally identifiable
information protection (ISO/IEC 29151)
Accord AFNOR AC Z90-003 Comment
piloter le RGPD en 10 points clés –
Bonnes pratiques à l'usage des PMEs
(juin 2019)
AFNOR Spec: Anonymiser les données
personnelles sans risque de re-
identification (en cours)
Norme ISO/IEC 27701 Extension d’ISO/IEC
27001 et d’ISO/IEC 27002 au management de la
protection de la vie privée — Exigences et
lignes directrices
Norme analyse d’impact - Privacy Impact
Assesment (ISO 29134)
Code of practice for protection of personally
identifiable information (PII) in public clouds
(ISO27018)
29
NOVEMBRE
2019
WS CYBERSÉCURITÉ RGPD - FTC - NOV 2019
18. Cartographie des articles RGPD par rapport aux catégories 27701
29
NOVEMBRE
2019
WS CYBERSÉCURITÉ RGPD - FTC - NOV 2019
20. Les sujets de la Confiance Numérique
29
NOVEMBRE
2019
Leader de la certification et de
l’évaluation en France, nous
accompagnons des
organisations de tous secteurs
et de toutes tailles, à travers
le monde, à gagner en
compétitivité et faire
reconnaître leurs bonnes
pratiques par des signes de
qualité, reconnus des
professionnels et du grand
public.
21. Répondre aux enjeux du RGPD: Une réponse à chaque étapes !
29
NOVEMBRE
2019
PERSONNES ENTREPRISES OUTILS LOGICIELS
22. Pourquoi se faire certifier?
29
NOVEMBRE
2019
L’ Article 5 du RGPD impose aux responsables de traitement de pouvoir démontrer leur
conformité au RGPD
« Le responsable de traitement est responsable du respect [des principes relatifs au traitement des
données à caractère personnel] ET est en mesure de démontrer que celui-ci est respecté (responsabilité) »
L’ Article 42 du RGPD prévoit la certification comme moyen pour démontrer sa conformité
« Les autorités de contrôle et la Commission encouragent la mise en place de mécanismes de certification
en matière de protection des données ainsi que de labels et de marques en la matière, aux fins de
démontrer que les opérations de traitement effectuées par les responsables du traitement et les sous-
traitants respectent le présent règlement.»
La certification devient la preuve d’un contrôle par un tiers de confiance compte-tenu des
risques de sanction financière et de perte d’image.
RÉPONDRE AU PRINCIPE DE RESPONSABILITÉ DU RGPD
(ACCOUNTABILITY)
24. ISO 27001
29
NOVEMBRE
2019
MANAGEMENT PAR LES RISQUES
Amélioration
continue
DO
Action plan
A P
DC
ACT PLAN
CHECK
Politique de Sécurité du
Système d’Information
Analyse des risques
Probabilité
Conséquences
Plan d’action
Ressources et
compétences
Mise en oeuvre des
mesures
Surveillance
Non-conformités et actions
correctives
25. ISO 27001
29
NOVEMBRE
2019
MESURES DE SÉCURITÉ
114 mesures de sécurité à appliquer (exceptions à justifier)
› Sécurité dans les ressources humaines
› Gestion des accès
› Sécurité opérationnelle (malware, backup,…)
› Sécurité dans les communications
› Relations avec les fournisseurs
› Gestion des incidents de sécurité
› Gestion de la continuité d’activité
› Conformité au RGPD
26. AFAQ Protection des données personnelles
29
NOVEMBRE
2019
A.5 Politique de sécurité de l’information
A.6 Organisation de la sécurité de l’information
A.12 Sécurité opérationnelle
A.9 Gestion des accès
A.7 Sécurité des ressources humaines
A.13 Sécurité dans les communications
A.14 Acquisition, développement et maintenance
A.15 Relations avec les fournisseurs
A.10 Cryptographie
A.8 Gestion des actifs
A.11 Sécurité physique et environnementale
A.17 Gestion de la continuité de l’activité
A.16 Gestion des incidents de sécurité de l’information
Registre des traitements
Data Protection Officer
Notification des violation
Privacy-by-design
Privacy-by-default
Information des personnes
Réponse aux demandes
d’exercice des droits
RÉFÉRENTIEL INSPIRÉ PAR ISO 27001 ET FOCALISÉ SUR LES ENJEUX DU RGPD
27. AFAQ Protection des données personnelles
29
NOVEMBRE
2019
UN CONTROLE DES PRINCIPES DU RGPD
SÉCURITÉ DE
L’INFORMATION
DÉTECTION ET
TRAITEMENT DES
VIOLATIONS DE DONNÉES
Chapitre 1
Chapitre 3
Chapitre 5
Chapitre 7
MOYENS DE COLLECTE
ET DEMANDES
D’EXERCICE DE
DROIT DES PERSONNES
Chapitre 2
Chapitre 4
Chapitre 6
CONCEPTION, ANALYSE
ET ÉVOLUTION DES
TRAITEMENTS
MAÎTRISE DE
LA SOUS-TRAITANCE
EFFICACITÉ ET
AMÉLIORATION
Politique de protection, Rôle
du DPO, …
Registre des traitements, PIA,
Etude de minimisation,…
Mesures pour traiter les
risques, Droits d’accès,…
Contrat, Contrôle de la sous-
traitance,…
Recueil des consentements,
Demandes d’effacement,
Demandes d’accès,…
Détection des incidents de
sécurité, Notification à la CNIL,…
Efficacité des mesures de
sécurité, Actions correctives,…
ORGANISATION
28. AFAQ Protection des données personnelles
29
NOVEMBRE
2019
LES SIGNES DE RECONNAISSANCE
Un certificat délivré par AFNOR Certification pour 3 ans
› A l’issue d’un audit initial sur site (puis 1 audit de
surveillance court par an)
› Pour un périmètre de certification (activités, sites) choisi
par l’organisme
Durant toute la durée de validité du certificat:
› Référencement dans l’annuaire des certifiés d’AFNOR
Certification
› Possibilité d’utiliser le logo
29. Certification des compétences du DPO
29
NOVEMBRE
2019
POUR QUI ? PRÉ-REQUIS CERTIFICATION INITIALE
EXPERIENCE
PROFESSIONNELLE
Au moins 2 ans dans des projets,
activités ou tâches en lien avec
les missions du DPO s'agissant de
la protection des données
personnelles
Au moins 2 ans d’expérience
professionnelle
FORMATION Formation facultative
Au moins 35 heures en matière
de protection des données
personnelles dispensée par un
organisme de formation.
=> En savoir plus sur les pré-requis : http://cdn.afnor.org/download/documents/CC093-i-DPO.pdf
30. Certification des compétences du DPO
29
NOVEMBRE
2019
WS CYBERSÉCURITÉ RGPD - FTC - NOV 2019
MODALITÉS D’ÉVALUATION
50%
30%
20%
QCM - 100 questions – 2 heures
General data protection regulations and
compliance measures
Responsability
Technical and organisational measures
for data security with regard to risks
32. Un référentiel réalisé par des experts
29
NOVEMBRE
2019
EN RÉPONSE AU BESOIN DU MARCHÉ
Co-construit avec notre partenaire
l’association d’éditeurs de logiciels
Privacy Tech, le Label vient répondre
au besoin des éditeurs de disposer
d’un signe reconnaissance en lien avec
les enjeux du RGPD
Sécurité des données assurée
L’éditeur accompagne les utilisateurs de
son logiciel pour les analyses d’impacts
Le logiciel permet à l’utilisateur de réaliser
l’exercice des droits des personnes
Le logiciel assure la traçabilité des actions
WS CYBERSÉCURITÉ RGPD - FTC - NOV 2019
33. 29
NOVEMBRE
2019
WS CYBERSÉCURITÉ RGPD - FTC - NOV 2019
BRICE GILBERT
+33(0)1 41 62 62 23
BRICE.GILBERT@AFNOR.ORG
SANDRA DI GIOVANNI
+33(0)1 41 62 60 83
SANDRA.DIGIOVANNI@AFNOR.
ORG
JEAN-FRANÇOIS LEGENDRE
+33(0)1 41 62 83 57
JEANFRANÇOIS.LEGENDRE@AFNOR.
ORG
Contacts