Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Ifc gdpr cmd sept 2019

130 views

Published on

Cours donné en marketing digital ichec formation continue

Published in: Education
  • DOWNLOAD THAT BOOKS INTO AVAILABLE FORMAT (2019 Update) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download Full EPUB Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download Full doc Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download PDF EBOOK here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download EPUB Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download doc Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... ......................................................................................................................... ................................................................................................................................... eBook is an electronic version of a traditional print book that can be read by using a personal computer or by using an eBook reader. (An eBook reader can be a software application for use on a computer such as Microsoft's free Reader application, or a book-sized computer that is used solely as a reading device such as Nuvomedia's Rocket eBook.) Users can purchase an eBook on diskette or CD, but the most popular method of getting an eBook is to purchase a downloadable file of the eBook (or other reading material) from a Web site (such as Barnes and Noble) to be read from the user's computer or reading device. Generally, an eBook can be downloaded in five minutes or less ......................................................................................................................... .............. Browse by Genre Available eBooks .............................................................................................................................. Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, ......................................................................................................................... ......................................................................................................................... .....BEST SELLER FOR EBOOK RECOMMEND............................................................. ......................................................................................................................... Blowout: Corrupted Democracy, Rogue State Russia, and the Richest, Most Destructive Industry on Earth,-- The Ride of a Lifetime: Lessons Learned from 15 Years as CEO of the Walt Disney Company,-- Call Sign Chaos: Learning to Lead,-- StrengthsFinder 2.0,-- Stillness Is the Key,-- She Said: Breaking the Sexual Harassment Story That Helped Ignite a Movement,-- Atomic Habits: An Easy & Proven Way to Build Good Habits & Break Bad Ones,-- Everything Is Figureoutable,-- What It Takes: Lessons in the Pursuit of Excellence,-- Rich Dad Poor Dad: What the Rich Teach Their Kids About Money That the Poor and Middle Class Do Not!,-- The Total Money Makeover: Classic Edition: A Proven Plan for Financial Fitness,-- Shut Up and Listen!: Hard Business Truths that Will Help You Succeed, ......................................................................................................................... .........................................................................................................................
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • Be the first to like this

Ifc gdpr cmd sept 2019

  1. 1. Jacques Folon, Ph.D. CEO & Founder GDPRfolder.eu DPO Professeur ICHEC Me. de Conf. Université de Liège Prof. inv. Université Saint Louis – ESC Rennes Keynote speaker Derniers livres publiés 50 nuances de liberté Le printemps numérique Internet et vie privée, faut-il avoir peur? jacques@gdprfolder.eu linkedin.com/in/folon + 32 475 98 21 15
  2. 2. Commençons par vous rassurer
  3. 3. Commençons par vous rassurer
  4. 4. RASSUREZ-VOUS ! VOUS N'ETES PAS EN RETARD PAR RAPPORT AU GDPR. VOUS AVEZ 25 ANS DE RETARD PAR RAPPORT À LA LOI DE 1992 !!!
  5. 5. https://gdprfolder.eu © 2018 GDPRFOLDER.EU SPRL All Rights Reserved. Tout le monde est concerné ! Tout le monde a des clients, des employés, des prospects, des membres PM E Professions libérales ASBL ONG Secteur public
  6. 6. www.companyname.com © 2016 Ultime PowerPoint. All Rights Reserved. 8 Toute organisation ou profession libérale gère des données à caractère personnel ! Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle
  7. 7. https://gdprfolder.eu © 2018 GDPRFOLDER.EU SPRL All Rights Reserved. Personnel Prospects ContactsUtilisateurs de vos services Les personnes dont vous gérez les données
  8. 8. www.companyname.com © 2016 Ultime PowerPoint. All Rights Reserved. Il n’y avait pas de splution pour les indépendants, les PME, les ASBL Les Petites organisations: les oubliés du RGPD ? Les consultants sont trop chers Les solutions en ligne sont trop complexes Les solutions informatiques sont trop techniques Le vocabulaire est incompréhensible
  9. 9. Vous devez être capable de démontrer que vous êtes en règle par rapport au RGPD
  10. 10. LE GDPR LA RUEE VERS L'OR DE CONSULTANTS, D'AVOCATS, DE SPECIALISTES EN SECURITE,… ATTENTION AUX "CERTIFICATION GDPR" ELLES N'EXISTENT PAS (ENCORE)
  11. 11. 15 A.LE GDPR CA FAIT PEUR B.LE GDPR C'EST (PAS BEAUCOUP) DU DROIT C.LE GDPR C'EST COMPLIQUE D.LE GDPR CA PEUT ETRE POSITIF E.CONTEXTE DU GDPR F.LES 12 GRANDS PRINCIPES G.CONCLUSION: LE DOSSIER GDPR
  12. 12. A. LE GDPR CA FAIT PEUR
  13. 13. A. LE GDPR CA FAIT PEUR: class action possible
  14. 14. A. LE GDPR CA FAIT PEUR
  15. 15. Les amendes • Maximum 4% CA Annuel mondial • 20 Millions € • Quelques exemples: • Google 50 millions • Hôpital portugais 480.000€ • Autriche 4.800 caméra de surveillance
  16. 16. Data breach pour 100.000 habitants
  17. 17. LE RGPD EN BELGIQUE?
  18. 18. Nouvelle(s) loi(s) Loi du 30/7/2018 Loi du 5/9/2018 Pourquoi deux lois ??? 30
  19. 19. B. LE GDPR C'EST (PAS BEAUCOUP) DU DROIT DROIT CONTRAT SOUS-TRAITANTS PRIVACY POLICIES RH (CONFIDENTIALITÉ-CODE DE CONDUITE) INFORMATIQUE PRIVACY BY DESIGN/DEFAULT SECURITE DE L'INFORMATION IAM CODE DE CONDUITE ICT DOCUMENTATION DES PROGRAMMES DROIT D'ACCES DROIT A L'OUBLI CC81 ORGANISATION ANALYSE DE RISQUES ARCHIVAGE DIGITAL GESTION DE PROJET CHANGE MANAGEMENT REGISTRE DE TRAITEMENT COMMUNICATION DE CRISE (DATA BREACH) FORMATION
  20. 20. CODES DE CONDUITES ET CERTIFICATIONS 33
  21. 21. C. LE GDPR C'EST COMPLIQUÉ ! "RÉGLEMENTATIONSSSSS" !
  22. 22. https://gdprfolder.eu © 2018 GDPRFOLDER.EU SPRL All Rights Reserved. CE N’EST PAS FINI…
  23. 23. C. LE GDPR C'EST COMPLIQUE ! ON COMMENCE PAR QUOI ? 1/ANALYSE PRÉALABLE 2/PLAN D'ACTIONS DE MISE EN CONFORMITÉ
  24. 24. D.Comment on fait? UNE MÉTHODO QUI A FAIT SES PREUVES
  25. 25. COMMENT ON FAIT?
  26. 26. E.LE GDPR CA PEUT ETRE POSITIF MEILLEURE CONNAISSANCE DES PROCESSUS INTERNES
  27. 27. E. CONTEXTE 41
  28. 28. PRINCIPAL CONTEXTE: MEDIA SOCIAUX
  29. 29. The person who took the photo is a real friend 4 5
  30. 30. privacy ????? 4 6 http://www.fieldhousemedia.net/wp-content/uploads/2013/03/fb-privacy.jpg
  31. 31. 47SOURCE: http://mattmckeon.com/facebook-privacy/
  32. 32. 4 8
  33. 33. 4 9
  34. 34. 5 0
  35. 35. 5 1
  36. 36. 5 2
  37. 37. 5 3
  38. 38. 5 4 EN 2018
  39. 39. From Big Brother to Big Other
  40. 40. VOLS & PERTES DE DONNÉES
  41. 41. VOLS & PERTES DE DONNÉES
  42. 42. C'EST UNE VRAIE MENACE !
  43. 43. Objectif du GDPR
  44. 44. territoire concerné
  45. 45. En deux mots… 61 • Le GDPR est un règlement européen concernant la protection des données personnelles • Il s'impose aux entreprises et au secteur public
  46. 46. 62 MAY 2018
  47. 47. G. RAPPEL QUELQUES DEFINITIONS… 63
  48. 48. UNE DONNÉE PERSONNELLE ? 64 toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle
  49. 49. TRAITEMENT DE DONNEES 65 . toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction;
  50. 50. RESPONSABLE DE TRAITEMENT 66 . la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre;
  51. 51. SOUS-TRAITANT 67 . la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement;
  52. 52. VIOLATION DE DONNEES 68 une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données; CONSÉQUENCES: NOTIFICATION PUBLIQUE !!
  53. 53. GDPR ET SECURITÉ
  54. 54. F. Les 12 grands principes du GDPR 70 1. Responsabilité - « accountability » 2. Droit de la personne concernée (client, employé, citoyen) 3. Privacy by design 4. Sécurité des données 5. Notification des vols/pertes de données 6. Sanctions importantes 7. Gestion des accès aux données (IAM) 8. Licéité des traitements (réglementation ou consentement) 9. Registre des traitements 10.Analyse de risques et PIA 11.Formation 12.Data privacy officer
  55. 55. 1/ RESPONSABILITÉ 71
  56. 56. RESPONSABILITÉ
  57. 57. PRINCIPALE TÂCHE DO-CU-MEN-TA-TION
  58. 58. EN PRATIQUE: L'APD débarque suite à une plainte, une dénonciation, d'un consommateur, d'un concurrent… Que faites-vous? Que pouvez-vous leur montrer? Qu'avez-vous préparé? Comment se préparer? Quel type de plainte? Quid vol de données? … c'est ça l'accountability
  59. 59. 2. DROIT DE LA PERSONNE CONCERNEE
  60. 60. 2/ DROIT DE LA PERSONNE 78 TRANSPARENCE INFORMATIONS LORS DE LA COLLECTE DROIT D'ACCES DROIT DE RECTIFICATION DROIT A L'EFFACEMENT DROIT A LA LIMITATION DU TRAITEMENT PORTABILITE DROIT D'OPPOSITION AU PROFILAGE
  61. 61. Ca a l'air simple… Droits d'accès à… tout Depuis longtemps Dans toutes les bases de données Preuve du consentement De tout ce qui dépend du RDT Imaginez un ministère, un annonceur multi-marques et donc nécessité de programmes de détection de développement ou pas… analyse de risques
  62. 62. RIGHT TO ACCESS
  63. 63. DROIT A L'OUBLI, VRAIMENT ?
  64. 64. PRIVACY POLICY OR REGULATION OR …
  65. 65. CONSENTEMENT 83 «consentement» de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement; NB: IL FAUT GARDER LA PREUVE DU CONSENTEMENT
  66. 66. Un clic et c'est un contrat attention vous devez garder la preuve du contrat QQ principes des T&C on line
  67. 67. Trouver le bon conseiller pour vos Conditions générales de vente et privacy policy !
  68. 68. 3/ PRIVACY BY DESIGN 89
  69. 69. CONTEXTE
  70. 70. L’ESSENTIEL C’EST LA DOCUMENTATION ! LES INFORMATICIENS ADORENT ÇA !
  71. 71. PRIVACY BY DESIGN 9 4
  72. 72. PROACTIVE NOT REACTIVE CE N’EST PAS QUAND LA MAISON BRULE QU’IL FAUT SE DEMANDER OU EST L’EXTINCTEUR IL FAUT PREVENTIVEMENT PENSER AUX MESURES DE SECURITE ET DE PROTECTION DES DONNÉES
  73. 73. PRIVACY BY DEFAULT LA PERSONNE CONCERNÉE NE DOIT RIEN FAIRE, LES MESURES DE SECURITE ET DE PROTECTION ONT ÉTÉ PRISES ANTICIPATIVEMENT
  74. 74. EMBED IN DESIGN LA PROTECTION DES DONNÉES PERSONNELLES DOIT ÊTRE INTÉGRÉE DANS LE DESIGN, LES PROCESS, LES OPERATIONS, L’INFRASTRUCTURE SANS DIMINUER LES POSSIBILITÉS D’USAGE DE LA PERSONNE CONCERNÉE
  75. 75. FULL FONCTIONALITY: POSITIVE SUM NOT ZERO SUM IL EST POSSIBLE D’AVOIR LA SECURITE ET LA PROTECTION DE LA VIE PRIVÉE IL NE DOIT PAS Y AVOIR DE CHOIX
  76. 76. END TO END SECURITY & PRIVACY DURANT TOUTE LA DUREE DE VIE DES DONNEES COLLECTE UTILISATION MISE A DISPOSITION CONSERVATION DESTRUCTION
  77. 77. VISIBILITY & TRANSPARENCY VOUS DEVEZ ETRE CAPABLE DE DEMONTRER AUX AUTORITES DE CONTROLE QUE VOUS RESPECTEZ LE RGPD ET QUE VOUS TENEZ VOS PROMESSES
  78. 78. RESPECT USER PRIVACY ET DONC RESPECTER DROIT DACCÈS,… TRANSPARENCE LICÉITÉ…
  79. 79. PRIVACY BY DESIGN: PERTE DE TEMPS?
  80. 80. NO THERE ARE SOME BENEFITS
  81. 81. WHAT DOES IT MEANS ? IT IS FROM THE START TO THE END OF THE PROCESS
  82. 82. C’EST UN PROCESSUS ITÉRATIF
  83. 83. LA QUALITÉ DES DONNÉES EST IMPORTANTE
  84. 84. LA DURÉE DE VIE COMPLÈTE DES DONNÉES
  85. 85. 1.CREATE OR
  86. 86. EQUILIBRE A TROUVER
  87. 87. LICÉITÉ
  88. 88. CONSENTEMENT ET PREUVE
  89. 89. Si pas de consentement ou de licéité…
  90. 90. DONNÉES SENSIBLES IF THENOR
  91. 91. PRIVACY IMPACT ASSESMENT
  92. 92. 2.STORE • SECURITY • ENCRYPTION • AUTHENTICATION • AVAILABILITY • CONFIDENTIALITY • IAM
  93. 93. 3. USE
  94. 94. 4. SHARE
  95. 95. 4. SHARE
  96. 96. 5.ARCHIVE
  97. 97. 6. DESTROY
  98. 98. Ca a l'air simple… Droits d'accès à… tout Depuis longtemps Dans toutes les bases de données Preuve du consentement De tout ce qui dépend du RDT Imaginez un ministère, un annonceur multi-marques et donc nécessité de programmes de détection de développement ou pas… analyse de risques
  99. 99. INFORMATION LIFECYCLE
  100. 100. 4/SECURITE DE L'INFORMATION 12 5
  101. 101. LE MAILLON FAIBLE
  102. 102. SECURITE EXTERNE
  103. 103. QUELLES SONT LES MENACES?
  104. 104. ÊTES VOUS CAPABLE D'IDENTIFIER LES FUITES ?
  105. 105. Concrètement ca veut dire quoi?
  106. 106. Ne pas oublier Plan de sécurité de l'information Archivage Destruction des données ISO 2700X audit de sécurité Test de pénétration, …
  107. 107. 86 La sécurité des données personnelles est une obligation légale…
  108. 108. MENACES ?
  109. 109. Final tips
  110. 110. DERNIERS CONSEILS
  111. 111. Encryption + in transit encryption !
  112. 112. Mobile device management
  113. 113. Processors & subcontractors
  114. 114. VÉRIFIER LES DIVERGENCES
  115. 115. 5/ NOTIFICATION DES VOLS/PERTES 147
  116. 116. Préparer la communication de crise 1/ dans quels cas doit-on prévenir l'APD? 2/ Si on prévient l'APD et après?
  117. 117. 6/ SANCTIONS 149
  118. 118. 7/ Identity Access Management (GESTION DES ACCÈS) 15 0
  119. 119. GESTION DES PROFILS NEED TO HAVE ACCESS !! La question qui tue: puis-je voir votre procédure de gestion des profils et la documentation quant aux besoins d'accès?
  120. 120. 8. LICEITE CONSENTEMENT (ET PREUVE)
  121. 121. Consentement pour quelle finalité ? Privacy policy? Preuve du consentement?
  122. 122. Cookies
  123. 123. VOUS AVEZ UNE BASE DE DONNEES MAIS POUVEZ-VOUS PROUVER QUE VOUS AVEZ LES CONSENTEMENTS?
  124. 124. DONNEES PUBLIQUES ?
  125. 125. 9/ REGISTRE DES TRAITEMENTS 159
  126. 126. UNE FICHE BIEN UTILE NOM ET COORDONNEES DU RESPONSABLE DE TRAITEMENT FINALITES DU TRAITEMENT CATÉGORIES DE PERSONNES CONCERNEES CATEGORIE DE DESTINATAIRES PAYS TIERS DELAIS D'EFFACEMENT MESURES DE SECURITE TECHNIQUES ET ORGANISATIONELLES
  127. 127. MÉTHODOLOGIE Proof Of Concept RDT ou SST ? Attention=> log de non conformité lien vers les consentement, les décisions, les sources Le registre sert à se défendre !
  128. 128. 10/ ANALYSE DE RISQUES /PIA 163
  129. 129. Quand ? Utile même si pas indispensable Permet de se poser les bonnes questions Bon sens
  130. 130. 11/ FORMATIONS 165
  131. 131. 12/ DATA PRIVACY OFFICER 167
  132. 132. 4 missions différentes !! GDPR Sécurité de l’information Conseil Data Privacy Officer (DPO) Information Security Advisor (ISA) Mise en œuvre Chef de projet GDPR ou correspondant GDPR dans les divers départements Responsable de la sécurité des systèmes d’information (RSSI)
  133. 133. DELIVRABLE : LE DOSSIER GDPR • REGISTRE DE TRAITEMENT • PLAN DE SECURITE • POLITIQUE D'ARCHIVAGE • IAM • DECISIONS PRISES • CONTRATS SOUS-TRAITANCE • FORMATIONS • BEST PRACTICES INTERNES • CC 81
  134. 134. Facilité : un questionnaire didactique et rédigé en vocabulaire simple
  135. 135. Dossier GDPR Vous pouvez démontrer en un clic les mesures prises en imprimant le dossier gdpr mis à jouer en permanence
  136. 136. https://gdprfolder.eu © 2018 GDPRFOLDER.EU SPRL All Rights Reserved. 02 03 04 05 01 NOUVELLES LOIS BELGES JURISPRUDENCE NATIONALE ET EUROPÉENNE NOUVELLES PROCÉDURES ADLINISTRATIVES RECOMMANDATIONS DES AUTORITÉS DE PROTECTION DES DONNÉES NOUVELLES DIRECTIVES EUROPÉENNES Mises à jour permanentes Le GDPR n’en finit pas d’évoluer !
  137. 137. Documents juridiques • PRIVACY POLICY • CONTRAT DE SOUS-TRAITANCE • CLAUSES DE CONFIDENTIALITÉ • CHARTE INFORMATIQUE • DÉCISIONS INTERNES 176
  138. 138. Créez en quelques heures votre dossier
  139. 139. RAPPEL
  140. 140. BONNE CHANCE A TOUS

×