Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Universitédelorraine2018 cours 5 RGPD

101 views

Published on

cours donné à L'université de Lorraine en décembre 2018

Published in: Education
  • Be the first to comment

  • Be the first to like this

Universitédelorraine2018 cours 5 RGPD

  1. 1. Tout le monde aurait du être prêt le 25/5/2018 Jacques Folon, Ph.D. Partner & GDPR Director Edge Consulting DPO ICF Member Professeur ICHEC Me. de Conf. Université de Liège Prof. inv. Université Saint Louis Keynote speaker Derniers livres publiés Le GDPR et la vie privée en questions? (sortie prévue : mai 2018) Le printemps numérique Internet et vie privée, faut-il avoir peur? jacques.folon@edge-consulting.biz linkedin.com/in/folon + 32 475 98 21 15
  2. 2. la présentation est en ligne pour vous https://fr.slideshare.net/FOLON/gdpr-horeca-novembre-2018
  3. 3. https://gdprfolder.eu © 2018 GDPRFOLDER.EU SPRL All Rights Reserved. Tout le monde est concerné ! Tout le monde a des clients, des employés, des prospects, des membres PM E Professions libérales ASBL ONG Secteur public
  4. 4. www.companyname.com © 2016 Ultime PowerPoint. All Rights Reserved. 4Toute organisation ou profession libérale gère des données à caractère personnel ! Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable (ci- après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle
  5. 5. https://gdprfolder.eu © 2018 GDPRFOLDER.EU SPRL All Rights Reserved. Personnel Prospects ContactsUtilisateurs de vos services Les personnes dont vous gérez les données
  6. 6. Il n’y avait pas de splution pour les indépendants, les PME, les ASBL Les Petites organisations: les oubliés du RGPD ? Les consultants sont trop chers Les solutions en ligne sont trop complexes Les solutions informatiques sont trop techniques Le vocabulaire est incompréhensi ble
  7. 7. ETUDE ACERTA REALISEE EN OCTOBRE 2918
  8. 8. Les prix du marché NOM PRIX ANNUEL MINIMUM PME ABONNEMENT PLURIANNUEL REGISTRE COMPLET DPIA PLAN D'ACTIONS DASHBOARD FORMATION DOCUMENTS JURIDIQUES MISE À JOUR DOSSIER GDPR AUTOMATIQUE GDPRFOLDER.EU 200 599€ POUR TROIS ANS OUI OUI OUI OUI NON OUI OUI OUI CAPTAIN DPO 1068 NON OUI OUI ? NON NON OUI OUI NON WOLTERS KLUWER 10000 NON OUI OUI OUI NON OUI OUI NON NON SMART GDPR 1200 NON OUI OUI OUI NON OUI OUI NON NON ELEA SOFTWARE 1200 NON OUI OUI OUI ? OUI OUI OUI NON COMPUTERLAND 1300 NON ? ? ? ? OUI OUI NON NON AGORIA 1700 NON OUI OUI OUI NON NON OUI OUI NON ORYGA 18.000 NON NON OUI OUI OUI OUI OUI ? NON
  9. 9. Vous devez être capable de démontrer que vous êtes en règle par rapport au RGPD
  10. 10. 1 le contexte du GDPR
  11. 11. 2 Etre cer3fié GDPR ?
  12. 12. 3. Une applica3on en cadeau de bienvenue CADEAU https://gdprfolder.eu
  13. 13. Commençons par vous rassurer
  14. 14. RASSUREZ-VOUS ! VOUS N'ETES PAS EN RETARD PAR RAPPORT AU GDPR. VOUS AVEZ 25 ANS DE RETARD PAR RAPPORT À LA LOI DE 1992 !!!
  15. 15. LE GDPR LA RUEE VERS L'OR DE CONSULTANTS, D'AVOCATS, DE SPECIALISTES EN SECURITE,… ATTENTION AUX "CERTIFICATION GDPR" ELLES N'EXISTENT PAS (ENCORE)
  16. 16. http://www.jerichotechnology.com/wp-content/uploads/2012/05/SocialMediaisChangingtheWorld.jpg
  17. 17. privacy ????? 18 http://www.fieldhousemedia.net/wp-content/uploads/2013/03/fb-privacy.jpg
  18. 18. The person who took the photo is a real friend 19 http://cdn.motinetwork.net/motifake.com/image/demotivational-poster/1202/reality-drunk-reality-fail-drunkchicks-partyfail-demotivational-posters-1330113345.jpg
  19. 19. privacy and graph search ?
  20. 20. 21SOURCE: http://mattmckeon.com/facebook-privacy/
  21. 21. 22
  22. 22. 23
  23. 23. 24
  24. 24. 25
  25. 25. 26
  26. 26. 27
  27. 27. 28 EN 2018
  28. 28. !29 A.LE GDPR CA FAIT PEUR B.LE GDPR C'EST (PAS BEAUCOUP) DU DROIT C.LE GDPR C'EST COMPLIQUE D.LE GDPR CA PEUT ETRE POSITIF E.CONTEXTE DU GDPR F.LES 12 GRANDS PRINCIPES G.CONCLUSION: LE DOSSIER GDPR
  29. 29. A. LE GDPR CA FAIT PEUR
  30. 30. A. LE GDPR CA FAIT PEUR: class action possible
  31. 31. A. LE GDPR CA FAIT PEUR
  32. 32. B. LE GDPR C'EST (PAS BEAUCOUP) DU DROIT DROIT CONTRAT SOUS-TRAITANTS PRIVACY POLICIES RH (CONFIDENTIALITÉ-CODE DE CONDUITE) INFORMATIQUE PRIVACY BY DESIGN/DEFAULT SECURITE DE L'INFORMATION IAM CODE DE CONDUITE ICT DOCUMENTATION DES PROGRAMMES DROIT D'ACCES DROIT A L'OUBLI CC81 ORGANISATION ANALYSE DE RISQUES ARCHIVAGE DIGITAL GESTION DE PROJET CHANGE MANAGEMENT REGISTRE DE TRAITEMENT COMMUNICATION DE CRISE (DATA BREACH) FORMATION
  33. 33. CODES DE CONDUITES ET CERTIFICATIONS !35
  34. 34. C. LE GDPR C'EST COMPLIQUÉ ! "RÉGLEMENTATIONSSSSS" !
  35. 35. C.LE GDPR C'EST COMPLIQUE !
  36. 36. C. LE GDPR C'EST COMPLIQUE ! ON COMMENCE PAR QUOI ? 1/ANALYSE PRÉALABLE 2/PLAN D'ACTIONS DE MISE EN CONFORMITÉ
  37. 37. D.Comment on fait? UNE MÉTHODO QUI A FAIT SES PREUVES
  38. 38. COMMENT ON FAIT?
  39. 39. E.LE GDPR CA PEUT ETRE POSITIF MEILLEURE CONNAISSANCE DES PROCESSUS INTERNES
  40. 40. E. LE GDPR CA PEUT ETRE POSITIF INTÉRÊT LEGITIME ?
  41. 41. INTÉRÊT LEGITIME ? CONSIDÉRANT 47 . Les intérêts légitimes d'un responsable du traitement, y compris ceux d'un responsable du traitement à qui les données à caractère personnel peuvent être communiquées, ou d'un tiers peuvent constituer une base juridique pour le traitement, à moins que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent, compte tenu des attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable du traitement. Un tel intérêt légitime pourrait, par exemple, exister lorsqu'il existe une relation pertinente et appropriée entre la personne concernée et le responsable du traitement dans des situations telles que celles où la personne concernée est un client du responsable du traitement ou est à son service. En tout état de cause, l'existence d'un intérêt légitime devrait faire l'objet d'une évaluation attentive, notamment afin de déterminer si une personne concernée peut raisonnablement s'attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l'objet d'un traitement à une fin donnée. Les intérêts et droits fondamentaux de la personne concernée pourraient, en particulier, prévaloir sur l'intérêt du responsable du traitement lorsque des données à caractère personnel sont traitées dans des circonstances où les personnes concernées ne s'attendent raisonnablement pas à un traitement ultérieur. 

  42. 42. E. LE GDPR CA PEUT ETRE POSITIF POUR VÉRIFIER LA LÉGALITÉ DES PROCESS
  43. 43. E. CONTEXTE !45
  44. 44. From Big Brother to Big Other
  45. 45. VOLS & PERTES DE DONNÉES
  46. 46. VOLS & PERTES DE DONNÉES
  47. 47. C'EST UNE VRAIE MENACE !
  48. 48. Objectif du GDPR
  49. 49. territoire concerné
  50. 50. En deux mots… !54 • Le GDPR est un règlement européen concernant la protection des données personnelles • Il s'impose aux entreprises et au secteur public
  51. 51. !55 MAY 2018
  52. 52. G. RAPPEL QUELQUES DEFINITIONS… !56
  53. 53. UNE DONNÉE PERSONNELLE ? !57 toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle
  54. 54. TRAITEMENT DE DONNEES !58 . toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utili- sation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction; 

  55. 55. RESPONSABLE DE TRAITEMENT !59 . la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre; 

  56. 56. SOUS-TRAITANT !60 . la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement; 

  57. 57. VIOLATION DE DONNEES !61 une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données; CONSÉQUENCES: NOTIFICATION PUBLIQUE !!
  58. 58. F. Les 12 grands principes du GDPR !62 1. Responsabilité - « accountability » 2. Droit de la personne concernée (client, employé, citoyen) 3. Privacy by design 4. Sécurité des données 5. Notification des vols/pertes de données 6. Sanctions importantes 7. Gestion des accès aux données (IAM) 8. Licéité des traitements (réglementation ou consentement) 9. Registre des traitements 10.Analyse de risques et PIA 11.Formation 12.Data privacy officer
  59. 59. 1/ RESPONSABILITÉ !63
  60. 60. RESPONSABILITÉ
  61. 61. PRINCIPALE TÂCHE DO-CU-MEN-TA-TION
  62. 62. EN PRATIQUE: L'APD débarque suite à une plainte, une dénonciation, d'un consommateur, d'un concurrent… Que faites-vous? Que pouvez-vous leur montrer? Qu'avez-vous préparé? Comment se préparer? Quel type de plainte? Quid vol de données? … c'est ça l'accountability
  63. 63. 2. DROIT DE LA PERSONNE CONCERNEE
  64. 64. 2/ DROIT DE LA PERSONNE !70 TRANSPARENCE INFORMATIONS LORS DE LA COLLECTE DROIT D'ACCES DROIT DE RECTIFICATION DROIT A L'EFFACEMENT DROIT A LA LIMITATION DU TRAITEMENT PORTABILITE DROIT D'OPPOSITION AU PROFILAGE
  65. 65. Ca a l'air simple… Droits d'accès à… tout Depuis longtemps Dans toutes les bases de données Preuve du consentement De tout ce qui dépend du RDT Imaginez un ministère, un annonceur multi-marques et donc nécessité de programmes de détection de développement ou pas… analyse de risques
  66. 66. RIGHT TO ACCESS
  67. 67. DROIT A L'OUBLI, VRAIMENT ?
  68. 68. PRIVACY POLICY OR REGULATION OR …
  69. 69. INFORMATIONS A FOURNIR (1) !75
  70. 70. INFORMATIONS A FOURNIR (2) !76
  71. 71. INFORMATIONS A FOURNIR (3) !77
  72. 72. INFORMATIONS A FOURNIR (4) !78
  73. 73. INFORMATIONS A FOURNIR (5) !79
  74. 74. INFORMATIONS A FOURNIR (6) !80
  75. 75. CONSENTEMENT !81 «consentement» de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement; NB: IL FAUT GARDER LA PREUVE DU CONSENTEMENT
  76. 76. Un clic et c'est un contrat attention vous devez garder la preuve du contrat QQ principes des T&C on line
  77. 77. Le seul lecteur important est le juge !
  78. 78. Trouver le bon conseiller pour vos Conditions générales de vente et privacy policy !
  79. 79. 3/ PRIVACY BY DESIGN !87
  80. 80. Ca a l'air simple… Droits d'accès à… tout Depuis longtemps Dans toutes les bases de données Preuve du consentement De tout ce qui dépend du RDT Imaginez un ministère, un annonceur multi-marques et donc nécessité de programmes de détection de développement ou pas… analyse de risques
  81. 81. INFORMATION LIFECYCLE
  82. 82. Look at the entire data lifecycle
  83. 83. 1.CREATE OR
  84. 84. BALANCE TEST NEEDED
  85. 85. PRIVACY POLICY OR REGULATION OR …
  86. 86. CONSENT & EVIDENCES
  87. 87. SENSITIVE DATA IF THENOR
  88. 88. 2.STORE • SECURITY • ENCRYPTION • AUTHENTICATION • AVAILABILITY • CONFIDENTIALITY • IAM
  89. 89. 3. USE
  90. 90. 4. SHARE
  91. 91. 4. SHARE
  92. 92. 5.ARCHIVE
  93. 93. 6. DESTROY
  94. 94. 4/SECURITE DE L'INFORMATION !102
  95. 95. LE MAILLON FAIBLE…
  96. 96. LE MAILLON FAIBLE
  97. 97. SECURITE SOURCE DE L’IMAGE: http://www.techzim.co.zw/2010/05/why-organisations-should-worry-about- security-2/
  98. 98. Source : https://www.britestream.com/difference.html.
  99. 99. QUELLES SONT LES MENACES?
  100. 100. ÊTES VOUS CAPABLE D'IDENTIFIER LES FUITES ?
  101. 101. Concrètement ca veut dire quoi?
  102. 102. Ne pas oublier Plan de sécurité de l'information Archivage Destruction des données ISO 2700X audit de sécurité Test de pénétration, …
  103. 103. 86 La sécurité des données personnelles est une obligation légale…
  104. 104. 5/ NOTIFICATION DES VOLS/PERTES !113
  105. 105. Préparer la communication de crise 1/ dans quels cas doit-on prévenir l'APD? 2/ Si on prévient l'APD et après?
  106. 106. 6/ SANCTIONS !115
  107. 107. 7/ Identity Access Management (GESTION DES ACCÈS) !116
  108. 108. GESTION DES PROFILS NEED TO HAVE ACCESS !! La question qui tue: puis-je voir votre procédure de gestion des profils et la documentation quant aux besoins d'accès?
  109. 109. 8. LICEITE CONSENTEMENT (ET PREUVE)
  110. 110. Consentement pour quelle finalité ? Privacy policy? Preuve du consentement?
  111. 111. Consentement - B2B - Intérêt légitime
  112. 112. Cookies
  113. 113. VOUS AVEZ UNE BASE DE DONNEES MAIS POUVEZ-VOUS PROUVER QUE VOUS AVEZ LES CONSENTEMENTS?
  114. 114. DONNEES PUBLIQUES ?
  115. 115. 9/ REGISTRE DES TRAITEMENTS !127
  116. 116. REGISTRE DES TRAITEMENTS !128
  117. 117. UNE FICHE BIEN UTILE NOM ET COORDONNEES DU RESPONSABLE DE TRAITEMENT FINALITES DU TRAITEMENT CATÉGORIES DE PERSONNES CONCERNEES CATEGORIE DE DESTINATAIRES PAYS TIERS DELAIS D'EFFACEMENT MESURES DE SECURITE TECHNIQUES ET ORGANISATIONELLES
  118. 118. MÉTHODOLOGIE Proof Of Concept RDT ou SST ? Attention=> log de non conformité lien vers les consentement, les décisions, les sources Le registre sert à se défendre !
  119. 119. 10/ ANALYSE DE RISQUES /PIA !132
  120. 120. Quand ? Utile même si pas indispensable Permet de se poser les bonnes questions Bon sens
  121. 121. 11/ FORMATIONS !134
  122. 122. 12/ DATA PRIVACY OFFICER !136
  123. 123. 4 missions différentes !! GDPR Sécurité de l’information Conseil Data Privacy Officer (DPO) Information Security Advisor (ISA) Mise en œuvre Chef de projet GDPR ou correspondant GDPR dans les divers départements Responsable de la sécurité des systèmes d’information (RSSI)
  124. 124. DELIVRABLE : LE DOSSIER GDPR • REGISTRE DE TRAITEMENT • PLAN DE SECURITE • POLITIQUE D'ARCHIVAGE • IAM • DECISIONS PRISES • CONTRATS SOUS-TRAITANCE • FORMATIONS • BEST PRACTICES INTERNES • CC 81
  125. 125. Dossier GDPR Vous pouvez démontrer en un clic les mesures prises en imprimant le dossier gdpr mis à jouer en permanence
  126. 126. ARBORESCENCE DU QUESTIONNAIRE
  127. 127. CONCLUSION
  128. 128. BONNE CHANCE A TOUS
  129. 129. !145
  130. 130. SOURCES • https://www.slideshare.net/TrishMcGinity/csa-privacy-by-design-amp-gdpr-austin-chambers-11417? qid=b15cffa4-6e24-40ca-8c3b-7230dd1cae30&v=&b=&from_search=1# • https://www.slideshare.net/mactvdp/training-privacy-by-design?qid=c5022dbe-afbd-4905- aba4-1a92b1382de1&v=&b=&from_search=3 • `https://ico.org.uk/for-organisations/guide-to-data-protection/privacy-by-design/ • https://www.bdb-law.co.uk/blogs/no-blogs/conducting-a-privacy-impact-assessment-the-what-the-why-and-the- how/ • https://www.slideshare.net/DragonBe/privacy-by-design-82454527?qid=2ba69b5e-bf28-40f4-b1ec- fc8328355fec&v=&b=&from_search=4 • https://www.slideshare.net/markieturbo/advantages-of-privacy-by-design-in-ioe?qid=f2e5fc34-f946-4fd4-bace- c3fc244a8b7e&v=&b=&from_search=8 • https://www.slideshare.net/feyeleanor/dont-ask-dont-tell-the-virtues-of-privacy-by-design?qid=1b0459a2- a969-467b-947d-6a0e3304f432&v=&b=&from_search=14 • https://www.slideshare.net/kristyngreenwood/privacy-by-design-white-papaer?qid=1b0459a2- a969-467b-947d-6a0e3304f432&v=&b=&from_search=17 •

×