Cours donné en marketing digital ichec formation continue

2. Jacques Folon, Ph.D.
CEO & Founder GDPRfolder.eu
DPO
Professeur ICHEC
Me. de Conf. Université de Liège
Prof. inv. Université Saint Louis – ESC Rennes
Keynote speaker
Derniers livres publiés
50 nuances de liberté
Le printemps numérique
Internet et vie privée, faut-il avoir peur?
jacques@gdprfolder.eu
linkedin.com/in/folon
+ 32 475 98 21 15

4. Commençons par
vous rassurer

5. Commençons par
vous rassurer

6. RASSUREZ-VOUS !
VOUS N'ETES PAS EN RETARD PAR
RAPPORT AU GDPR.
VOUS AVEZ 25 ANS DE RETARD PAR
RAPPORT À LA LOI DE 1992 !!!

7. https://gdprfolder.eu
© 2018 GDPRFOLDER.EU SPRL All Rights Reserved.
Tout le monde est concerné !
Tout le monde a des clients, des employés, des prospects, des membres
PM
E
Professions libérales
ASBL
ONG
Secteur public

8. www.companyname.com
© 2016 Ultime PowerPoint. All Rights Reserved.
8
Toute organisation ou profession libérale
gère des données à caractère personnel !
Une donnée personnelle est
toute information se rapportant à une
personne physique identifiée ou identifiable
(ci-après dénommée «personne concernée»);
est réputée être une «personne physique
identifiable» une personne physique qui peut
être identifiée, directement ou indirectement,
notamment par référence à un identifiant, tel
qu'un nom, un numéro d'identification, des
données de localisation, un identifiant en ligne,
ou à un ou plusieurs éléments spécifiques
propres à son identité physique, physiologique,
génétique, psychique, économique, culturelle

9. https://gdprfolder.eu
© 2018 GDPRFOLDER.EU SPRL All Rights Reserved.
Personnel Prospects
ContactsUtilisateurs de
vos services
Les personnes dont vous gérez les données

10. www.companyname.com
© 2016 Ultime PowerPoint. All Rights Reserved.
Il n’y avait pas de splution pour les indépendants, les PME, les ASBL
Les Petites organisations:
les oubliés du RGPD ?
Les consultants
sont trop chers
Les solutions en
ligne sont trop
complexes
Les solutions
informatiques
sont trop
techniques
Le vocabulaire est
incompréhensible

11. Vous devez
être capable
de
démontrer
que vous
êtes en
règle par
rapport au
RGPD

12. LE GDPR
LA RUEE VERS L'OR DE CONSULTANTS,
D'AVOCATS, DE SPECIALISTES EN SECURITE,…
ATTENTION AUX
"CERTIFICATION GDPR"
ELLES N'EXISTENT PAS (ENCORE)

15. 15
A.LE GDPR CA FAIT PEUR
B.LE GDPR C'EST (PAS BEAUCOUP) DU
DROIT
C.LE GDPR C'EST COMPLIQUE
D.LE GDPR CA PEUT ETRE POSITIF
E.CONTEXTE DU GDPR
F.LES 12 GRANDS PRINCIPES
G.CONCLUSION: LE DOSSIER GDPR

16. A. LE GDPR CA FAIT PEUR

17. A. LE GDPR CA FAIT PEUR: class action possible

18. A. LE GDPR CA FAIT PEUR

21. Les amendes
• Maximum 4% CA Annuel mondial
• 20 Millions €
• Quelques exemples:
• Google 50 millions
• Hôpital portugais 480.000€
• Autriche 4.800 caméra de surveillance

25. Data breach
pour
100.000
habitants

28. LE RGPD EN BELGIQUE?

30. Nouvelle(s) loi(s)
Loi du 30/7/2018
Loi du 5/9/2018
Pourquoi deux lois ???
30

32. B. LE GDPR C'EST (PAS BEAUCOUP) DU DROIT
DROIT
CONTRAT SOUS-TRAITANTS
PRIVACY POLICIES
RH (CONFIDENTIALITÉ-CODE DE CONDUITE)
INFORMATIQUE
PRIVACY BY DESIGN/DEFAULT
SECURITE DE L'INFORMATION
IAM
CODE DE CONDUITE ICT
DOCUMENTATION DES PROGRAMMES
DROIT D'ACCES
DROIT A L'OUBLI
CC81
ORGANISATION
ANALYSE DE RISQUES
ARCHIVAGE DIGITAL
GESTION DE PROJET
CHANGE MANAGEMENT
REGISTRE DE TRAITEMENT
COMMUNICATION DE CRISE (DATA BREACH)
FORMATION

33. CODES DE CONDUITES ET CERTIFICATIONS
33

34. C. LE GDPR C'EST COMPLIQUÉ !
"RÉGLEMENTATIONSSSSS" !

35. https://gdprfolder.eu
© 2018 GDPRFOLDER.EU SPRL All Rights Reserved.
CE N’EST PAS FINI…

37. C. LE GDPR C'EST COMPLIQUE !
ON COMMENCE PAR QUOI ?
1/ANALYSE PRÉALABLE
2/PLAN D'ACTIONS DE MISE EN
CONFORMITÉ

38. D.Comment on fait?
UNE MÉTHODO QUI A FAIT SES PREUVES

39. COMMENT ON FAIT?

40. E.LE GDPR CA PEUT ETRE POSITIF
MEILLEURE CONNAISSANCE
DES PROCESSUS INTERNES

41. E. CONTEXTE
41

44. PRINCIPAL
CONTEXTE:
MEDIA
SOCIAUX

45. The person
who took
the photo
is a real
friend
4
5

46. privacy ?????
4
6
http://www.fieldhousemedia.net/wp-content/uploads/2013/03/fb-privacy.jpg

47. 47SOURCE: http://mattmckeon.com/facebook-privacy/

48. 4
8

49. 4
9

50. 5
0

51. 5
1

52. 5
2

53. 5
3

54. 5
4
EN 2018

55. From Big Brother to Big Other

56. VOLS & PERTES DE DONNÉES

57. VOLS & PERTES DE DONNÉES

58. C'EST UNE VRAIE MENACE !

59. Objectif du GDPR

60. territoire
concerné

61. En deux mots…
61
• Le GDPR est un règlement européen
concernant la protection des données
personnelles
• Il s'impose aux entreprises et au secteur
public

62. 62
MAY 2018

63. G. RAPPEL QUELQUES DEFINITIONS…
63

64. UNE DONNÉE PERSONNELLE ?
64
toute information se rapportant à une personne physique identifiée ou
identifiable (ci-après dénommée «personne concernée»);
est réputée être une «personne physique identifiable» une personne physique
qui peut être identifiée, directement ou indirectement, notamment par
référence à un identifiant, tel qu'un nom, un numéro d'identification, des
données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments
spécifiques propres à son identité physique, physiologique, génétique,
psychique, économique, culturelle

65. TRAITEMENT DE DONNEES
65
. toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de
procédés automatisés et appliquées à des données ou des ensembles de données à
caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la
structuration, la conservation, l'adaptation ou la modification, l'extraction, la
consultation, l'utilisation, la communication par transmission, la diffusion ou
toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la
limitation, l'effacement ou la destruction;

66. RESPONSABLE DE TRAITEMENT
66
. la personne physique ou morale, l'autorité publique, le service ou un autre organisme
qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du
traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le
droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être
désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le
droit de l'Union ou par le droit d'un État membre;

67. SOUS-TRAITANT
67
. la personne physique ou morale, l'autorité publique, le service ou un autre
organisme qui traite des données à caractère personnel pour le compte du
responsable du traitement;

68. VIOLATION DE DONNEES
68
une violation de la sécurité entraînant, de manière accidentelle ou illicite, la
destruction, la perte, l'altération, la divulgation non autorisée de données à
caractère personnel transmises, conservées ou traitées d'une autre manière, ou
l'accès non autorisé à de telles données;
CONSÉQUENCES:
NOTIFICATION PUBLIQUE !!

69. GDPR ET SECURITÉ

70. F. Les 12 grands principes du GDPR
70
1. Responsabilité - « accountability »
2. Droit de la personne concernée (client, employé, citoyen)
3. Privacy by design
4. Sécurité des données
5. Notification des vols/pertes de données
6. Sanctions importantes
7. Gestion des accès aux données (IAM)
8. Licéité des traitements (réglementation ou consentement)
9. Registre des traitements
10.Analyse de risques et PIA
11.Formation
12.Data privacy officer

71. 1/ RESPONSABILITÉ
71

72. RESPONSABILITÉ

73. PRINCIPALE TÂCHE
DO-CU-MEN-TA-TION

74. EN PRATIQUE:
L'APD débarque suite à une plainte, une
dénonciation, d'un consommateur, d'un
concurrent…
Que faites-vous?
Que pouvez-vous leur montrer?
Qu'avez-vous préparé?
Comment se préparer?
Quel type de plainte?
Quid vol de données?
…
c'est ça l'accountability

76. 2. DROIT DE LA PERSONNE CONCERNEE

78. 2/ DROIT DE LA PERSONNE
78
TRANSPARENCE
INFORMATIONS LORS DE LA COLLECTE
DROIT D'ACCES
DROIT DE RECTIFICATION
DROIT A L'EFFACEMENT
DROIT A LA LIMITATION DU TRAITEMENT
PORTABILITE
DROIT D'OPPOSITION AU PROFILAGE

79. Ca a l'air simple…
Droits d'accès à… tout
Depuis longtemps
Dans toutes les bases de données
Preuve du consentement
De tout ce qui dépend du RDT
Imaginez un ministère, un annonceur multi-marques
et donc
nécessité de programmes de détection
de développement
ou pas…
analyse de risques

80. RIGHT TO ACCESS

81. DROIT A L'OUBLI, VRAIMENT ?

82. PRIVACY POLICY OR REGULATION OR …

83. CONSENTEMENT
83
«consentement» de la personne concernée, toute manifestation de
volonté, libre, spécifique, éclairée et univoque par laquelle la
personne concernée accepte, par une déclaration ou par un acte
positif clair, que des données à caractère personnel la concernant
fassent l'objet d'un traitement;
NB: IL FAUT GARDER LA PREUVE DU CONSENTEMENT

84. Un clic et c'est un contrat
attention vous devez garder la
preuve du contrat
QQ principes des T&C on line

88. Trouver le bon conseiller pour vos Conditions
générales de vente et privacy policy !

89. 3/ PRIVACY BY DESIGN
89

90. CONTEXTE

93. L’ESSENTIEL C’EST LA
DOCUMENTATION !
LES INFORMATICIENS
ADORENT ÇA !

94. PRIVACY
BY
DESIGN
9
4

95. PROACTIVE NOT REACTIVE
CE N’EST PAS QUAND LA MAISON BRULE
QU’IL FAUT SE DEMANDER OU EST
L’EXTINCTEUR
IL FAUT PREVENTIVEMENT PENSER AUX
MESURES DE SECURITE ET DE
PROTECTION DES DONNÉES

96. PRIVACY BY DEFAULT
LA PERSONNE CONCERNÉE NE DOIT RIEN
FAIRE, LES MESURES DE SECURITE ET DE
PROTECTION ONT ÉTÉ PRISES
ANTICIPATIVEMENT

97. EMBED IN DESIGN
LA PROTECTION DES DONNÉES
PERSONNELLES DOIT ÊTRE INTÉGRÉE DANS
LE DESIGN, LES PROCESS, LES
OPERATIONS, L’INFRASTRUCTURE SANS
DIMINUER LES POSSIBILITÉS D’USAGE DE LA
PERSONNE CONCERNÉE

98. FULL FONCTIONALITY:
POSITIVE SUM NOT ZERO SUM
IL EST POSSIBLE D’AVOIR LA SECURITE
ET
LA PROTECTION DE LA VIE PRIVÉE
IL NE DOIT PAS Y AVOIR DE CHOIX

99. END TO END SECURITY & PRIVACY
DURANT TOUTE LA DUREE DE VIE
DES DONNEES
COLLECTE
UTILISATION
MISE A
DISPOSITION
CONSERVATION
DESTRUCTION

100. VISIBILITY & TRANSPARENCY
VOUS DEVEZ ETRE CAPABLE DE
DEMONTRER AUX AUTORITES DE
CONTROLE QUE VOUS
RESPECTEZ LE RGPD ET QUE
VOUS TENEZ VOS PROMESSES

101. RESPECT USER PRIVACY
ET DONC RESPECTER
DROIT DACCÈS,…
TRANSPARENCE
LICÉITÉ…

104. PRIVACY BY DESIGN: PERTE DE TEMPS?

105. NO THERE ARE SOME BENEFITS

106. WHAT DOES IT MEANS ?
IT IS FROM THE START TO THE END OF THE PROCESS

107. C’EST UN PROCESSUS ITÉRATIF

108. LA QUALITÉ DES DONNÉES EST IMPORTANTE

109. LA DURÉE DE VIE COMPLÈTE DES DONNÉES

110. 1.CREATE
OR

111. EQUILIBRE A TROUVER

112. LICÉITÉ

113. CONSENTEMENT ET PREUVE

114. Si pas de consentement ou de licéité…

115. DONNÉES SENSIBLES
IF THENOR

116. PRIVACY IMPACT
ASSESMENT

117. 2.STORE
• SECURITY
• ENCRYPTION
• AUTHENTICATION
• AVAILABILITY
• CONFIDENTIALITY
• IAM

118. 3. USE

119. 4. SHARE

120. 4. SHARE

121. 5.ARCHIVE

122. 6. DESTROY

123. Ca a l'air simple…
Droits d'accès à… tout
Depuis longtemps
Dans toutes les bases de données
Preuve du consentement
De tout ce qui dépend du RDT
Imaginez un ministère, un annonceur multi-marques
et donc
nécessité de programmes de détection
de développement
ou pas…
analyse de risques

124. INFORMATION LIFECYCLE

125. 4/SECURITE DE L'INFORMATION
12
5

127. LE MAILLON FAIBLE

129. SECURITE
EXTERNE

131. QUELLES SONT LES MENACES?

132. ÊTES VOUS CAPABLE
D'IDENTIFIER
LES FUITES ?

133. Concrètement ca veut dire quoi?

135. Ne pas oublier
Plan de sécurité de l'information
Archivage
Destruction des données
ISO 2700X
audit de sécurité
Test de pénétration, …

136. 86
La sécurité des données
personnelles est une obligation
légale…

137. MENACES ?

138. Final tips

139. DERNIERS CONSEILS

143. Encryption + in transit encryption !

144. Mobile device management

145. Processors & subcontractors

146. VÉRIFIER LES DIVERGENCES

147. 5/ NOTIFICATION DES VOLS/PERTES
147

148. Préparer la communication de crise
1/ dans quels cas doit-on prévenir l'APD?
2/ Si on prévient l'APD et après?

149. 6/ SANCTIONS
149

150. 7/ Identity Access Management
(GESTION DES ACCÈS)
15
0

151. GESTION DES PROFILS
NEED TO HAVE ACCESS !!
La question qui tue:
puis-je voir votre procédure de gestion des profils et la documentation quant aux besoins d'accès?

152. 8. LICEITE
CONSENTEMENT (ET PREUVE)

153. Consentement pour quelle finalité ?
Privacy policy?
Preuve du consentement?

154. Cookies

157. VOUS AVEZ UNE BASE DE DONNEES
MAIS POUVEZ-VOUS PROUVER QUE VOUS
AVEZ LES CONSENTEMENTS?

158. DONNEES PUBLIQUES ?

159. 9/ REGISTRE DES TRAITEMENTS
159

161. UNE FICHE BIEN UTILE
NOM ET COORDONNEES DU RESPONSABLE DE
TRAITEMENT
FINALITES DU TRAITEMENT
CATÉGORIES DE PERSONNES CONCERNEES
CATEGORIE DE DESTINATAIRES
PAYS TIERS
DELAIS D'EFFACEMENT
MESURES DE SECURITE TECHNIQUES ET
ORGANISATIONELLES

162. MÉTHODOLOGIE
Proof Of Concept
RDT ou SST ?
Attention=> log de non conformité
lien vers les consentement, les décisions,
les sources
Le registre sert à se défendre !

163. 10/ ANALYSE DE RISQUES /PIA
163

164. Quand ?
Utile même si pas indispensable
Permet de se poser les bonnes
questions
Bon sens

165. 11/ FORMATIONS
165

167. 12/ DATA PRIVACY OFFICER
167

169. 4 missions différentes !!
GDPR Sécurité de l’information
Conseil Data Privacy Officer (DPO) Information Security Advisor
(ISA)
Mise en œuvre Chef de projet GDPR ou
correspondant GDPR dans les
divers départements
Responsable de la sécurité des
systèmes d’information (RSSI)

171. DELIVRABLE : LE DOSSIER GDPR
• REGISTRE DE TRAITEMENT
• PLAN DE SECURITE
• POLITIQUE D'ARCHIVAGE
• IAM
• DECISIONS PRISES
• CONTRATS SOUS-TRAITANCE
• FORMATIONS
• BEST PRACTICES INTERNES
• CC 81

172. Facilité : un questionnaire didactique et rédigé en
vocabulaire simple

173. Dossier GDPR
Vous pouvez démontrer en un clic les mesures prises
en imprimant le dossier gdpr mis à jouer en permanence

175. https://gdprfolder.eu
© 2018 GDPRFOLDER.EU SPRL All Rights Reserved.
02
03
04
05
01
NOUVELLES LOIS BELGES
JURISPRUDENCE NATIONALE ET EUROPÉENNE
NOUVELLES PROCÉDURES ADLINISTRATIVES
RECOMMANDATIONS DES AUTORITÉS DE
PROTECTION DES DONNÉES
NOUVELLES DIRECTIVES EUROPÉENNES
Mises à jour permanentes
Le GDPR n’en finit pas d’évoluer !

176. Documents juridiques
• PRIVACY POLICY
• CONTRAT DE SOUS-TRAITANCE
• CLAUSES DE CONFIDENTIALITÉ
• CHARTE INFORMATIQUE
• DÉCISIONS INTERNES
176

178. Créez en
quelques
heures votre
dossier

179. RAPPEL

181. BONNE CHANCE A TOUS