2. Jacques Folon, Ph.D.
CEO & Founder GDPRfolder.eu
DPO
Professeur ICHEC
Me. de Conf. Université de Liège
Prof. inv. Université Saint Louis – ESC Rennes
Keynote speaker
Derniers livres publiés
50 nuances de liberté
Le printemps numérique
Internet et vie privée, faut-il avoir peur?
jacques@gdprfolder.eu
linkedin.com/in/folon
+ 32 475 98 21 15
IFC STRATEGIE DIGITALE
3. Question de départ
Quelle organisation ou indépendant ou pme ou
asbl ou organisation publique n’est pas concernée
par le RGPD
9. DELIVRABLE : LE DOSSIER GDPR
• REGISTRE DE TRAITEMENT
• PLAN DE SECURITE
• POLITIQUE D'ARCHIVAGE
• IAM
• DECISIONS PRISES
• CONTRATS SOUS-TRAITANCE
• FORMATIONS
• BEST PRACTICES INTERNES
• CC 81
• Data breaches
• Droits d’accès
• Site internet
• Aspects RH
• Un exemple gdprfolder.eu
10. Facilité : un questionnaire didactique et rédigé en
vocabulaire simple
11. Dossier GDPR
Vous pouvez démontrer en un clic les mesures prises
en imprimant le dossier gdpr mis à jouer en permanence
16. LE GDPR
LA RUEE VERS L'OR DE CONSULTANTS,
D'AVOCATS, DE SPECIALISTES EN SECURITE,…
ATTENTION AUX
"CERTIFICATION GDPR"
ELLES N'EXISTENT PAS (ENCORE)
17.
18. 18
A.LE GDPR CA FAIT PEUR
B.LE GDPR C'EST (PAS BEAUCOUP) DU
DROIT
C.LE GDPR C'EST COMPLIQUE
D.LE GDPR CA PEUT ETRE POSITIF
E.CONTEXTE DU GDPR
F.LES 12 GRANDS PRINCIPES
G.CONCLUSION: LE DOSSIER GDPR
24. Les amendes
• Maximum 4% CA Annuel mondial
• 20 Millions €
• Quelques exemples:
• Google 50 millions
• Hôpital portugais 480.000€
• Autriche 4.800 caméra de surveillance
25. B. LE GDPR C'EST (PAS BEAUCOUP) DU DROIT
DROIT
CONTRAT SOUS-TRAITANTS
PRIVACY POLICIES
RH (CONFIDENTIALITÉ-CODE DE CONDUITE)
INFORMATIQUE
PRIVACY BY DESIGN/DEFAULT
SECURITE DE L'INFORMATION
IAM
CODE DE CONDUITE ICT
DOCUMENTATION DES PROGRAMMES
DROIT D'ACCES
DROIT A L'OUBLI
CC81
ORGANISATION
ANALYSE DE RISQUES
ARCHIVAGE DIGITAL
GESTION DE PROJET
CHANGE MANAGEMENT
REGISTRE DE TRAITEMENT
COMMUNICATION DE CRISE (DATA BREACH)
FORMATION
52. En deux mots…
52
• Le GDPR est un règlement européen
concernant la protection des données
personnelles
• Il s'impose aux entreprises et au secteur
public
55. UNE DONNÉE PERSONNELLE ?
55
toute information se rapportant à une personne physique identifiée ou
identifiable (ci-après dénommée «personne concernée»);
est réputée être une «personne physique identifiable» une personne physique
qui peut être identifiée, directement ou indirectement, notamment par
référence à un identifiant, tel qu'un nom, un numéro d'identification, des
données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments
spécifiques propres à son identité physique, physiologique, génétique,
psychique, économique, culturelle
56. TRAITEMENT DE DONNEES
56
. toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de
procédés automatisés et appliquées à des données ou des ensembles de données à
caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la
structuration, la conservation, l'adaptation ou la modification, l'extraction, la
consultation, l'utilisation, la communication par transmission, la diffusion ou
toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la
limitation, l'effacement ou la destruction;
57. RESPONSABLE DE TRAITEMENT
57
. la personne physique ou morale, l'autorité publique, le service ou un autre organisme
qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du
traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le
droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être
désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le
droit de l'Union ou par le droit d'un État membre;
58. SOUS-TRAITANT
58
. la personne physique ou morale, l'autorité publique, le service ou un autre
organisme qui traite des données à caractère personnel pour le compte du
responsable du traitement;
59. VIOLATION DE DONNEES
59
une violation de la sécurité entraînant, de manière accidentelle ou illicite, la
destruction, la perte, l'altération, la divulgation non autorisée de données à
caractère personnel transmises, conservées ou traitées d'une autre manière, ou
l'accès non autorisé à de telles données;
CONSÉQUENCES:
NOTIFICATION PUBLIQUE !!
61. F. Les 12 grands principes du GDPR
61
1. Responsabilité - « accountability »
2. Droit de la personne concernée (client, employé, citoyen)
3. Privacy by design
4. Sécurité des données
5. Notification des vols/pertes de données
6. Sanctions importantes
7. Gestion des accès aux données (IAM)
8. Licéité des traitements (réglementation ou consentement)
9. Registre des traitements
10.Analyse de risques et PIA
11.Formation
12.Data privacy officer
65. EN PRATIQUE:
L'APD débarque suite à une plainte, une
dénonciation, d'un consommateur, d'un
concurrent…
Que faites-vous?
Que pouvez-vous leur montrer?
Qu'avez-vous préparé?
Comment se préparer?
Quel type de plainte?
Quid vol de données?
…
c'est ça l'accountability
69. 2/ DROIT DE LA PERSONNE
69
TRANSPARENCE
INFORMATIONS LORS DE LA COLLECTE
DROIT D'ACCES
DROIT DE RECTIFICATION
DROIT A L'EFFACEMENT
DROIT A LA LIMITATION DU TRAITEMENT
PORTABILITE
DROIT D'OPPOSITION AU PROFILAGE
70. Ca a l'air simple…
Droits d'accès à… tout
Depuis longtemps
Dans toutes les bases de données
Preuve du consentement
De tout ce qui dépend du RDT
Imaginez un ministère, un annonceur multi-marques
et donc
nécessité de programmes de détection
de développement
ou pas…
analyse de risques
74. CONSENTEMENT
74
«consentement» de la personne concernée, toute manifestation de
volonté, libre, spécifique, éclairée et univoque par laquelle la
personne concernée accepte, par une déclaration ou par un acte
positif clair, que des données à caractère personnel la concernant
fassent l'objet d'un traitement;
NB: IL FAUT GARDER LA PREUVE DU CONSENTEMENT
IL N’Y A PAS QUE LE CONSENTEMENT !
75. Un clic et c'est un contrat
attention vous devez garder la
preuve du contrat
QQ principes des T&C on line
76.
77.
78.
79. Trouver le bon conseiller pour vos Conditions
générales de vente et privacy policy !
86. PROACTIVE NOT REACTIVE
CE N’EST PAS QUAND LA MAISON BRULE
QU’IL FAUT SE DEMANDER OU EST
L’EXTINCTEUR
IL FAUT PREVENTIVEMENT PENSER AUX
MESURES DE SECURITE ET DE
PROTECTION DES DONNÉES
87. PRIVACY BY DEFAULT
LA PERSONNE CONCERNÉE NE DOIT RIEN
FAIRE, LES MESURES DE SECURITE ET DE
PROTECTION ONT ÉTÉ PRISES
ANTICIPATIVEMENT
88. EMBED IN DESIGN
LA PROTECTION DES DONNÉES
PERSONNELLES DOIT ÊTRE INTÉGRÉE DANS
LE DESIGN, LES PROCESS, LES
OPERATIONS, L’INFRASTRUCTURE SANS
DIMINUER LES POSSIBILITÉS D’USAGE DE LA
PERSONNE CONCERNÉE
89. FULL FONCTIONALITY:
POSITIVE SUM NOT ZERO SUM
IL EST POSSIBLE D’AVOIR LA SECURITE
ET
LA PROTECTION DE LA VIE PRIVÉE
IL NE DOIT PAS Y AVOIR DE CHOIX
90. END TO END SECURITY & PRIVACY
DURANT TOUTE LA DUREE DE VIE
DES DONNEES
COLLECTE
UTILISATION
MISE A
DISPOSITION
CONSERVATION
DESTRUCTION
91. VISIBILITY & TRANSPARENCY
VOUS DEVEZ ETRE CAPABLE DE
DEMONTRER AUX AUTORITES DE
CONTROLE QUE VOUS
RESPECTEZ LE RGPD ET QUE
VOUS TENEZ VOS PROMESSES
114. Ca a l'air simple…
Droits d'accès à… tout
Depuis longtemps
Dans toutes les bases de données
Preuve du consentement
De tout ce qui dépend du RDT
Imaginez un ministère, un annonceur multi-marques
et donc
nécessité de programmes de détection
de développement
ou pas…
analyse de risques
142. GESTION DES PROFILS
NEED TO HAVE ACCESS !!
La question qui tue:
puis-je voir votre procédure de gestion des profils et la documentation quant aux besoins d'accès?
152. UNE FICHE BIEN UTILE
NOM ET COORDONNEES DU RESPONSABLE DE
TRAITEMENT
FINALITES DU TRAITEMENT
CATÉGORIES DE PERSONNES CONCERNEES
CATEGORIE DE DESTINATAIRES
PAYS TIERS
DELAIS D'EFFACEMENT
MESURES DE SECURITE TECHNIQUES ET
ORGANISATIONELLES
153. MÉTHODOLOGIE
Proof Of Concept
RDT ou SST ?
Attention=> log de non conformité
lien vers les consentement, les décisions,
les sources
Le registre sert à se défendre !
160. 4 missions différentes !!
GDPR Sécurité de l’information
Conseil Data Privacy Officer (DPO) Information Security Advisor
(ISA)
Mise en œuvre Chef de projet GDPR ou
correspondant GDPR dans les
divers départements
Responsable de la sécurité des
systèmes d’information (RSSI)
161.
162. DELIVRABLE : LE DOSSIER GDPR
• REGISTRE DE TRAITEMENT
• PLAN DE SECURITE
• POLITIQUE D'ARCHIVAGE
• IAM
• DECISIONS PRISES
• CONTRATS SOUS-TRAITANCE
• FORMATIONS
• BEST PRACTICES INTERNES
• CC 81
163. Facilité : un questionnaire didactique et rédigé en
vocabulaire simple
164. Dossier GDPR
Vous pouvez démontrer en un clic les mesures prises
en imprimant le dossier gdpr mis à jouer en permanence