Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Règlement général sur la protection des données (RGPD) de l’UE

0 views

Published on

Cette conférence a été animée par René Vergé, lors de la conférence PECB Insights 2017

Published in: Education
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (2019 Update) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://soo.gd/irt2 } ......................................................................................................................... Download Full EPUB Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download Full doc Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download PDF EBOOK here { https://soo.gd/irt2 } ......................................................................................................................... Download EPUB Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download doc Ebook here { https://soo.gd/irt2 } ......................................................................................................................... ......................................................................................................................... ................................................................................................................................... eBook is an electronic version of a traditional print book THIS can be read by using a personal computer or by using an eBook reader. (An eBook reader can be a software application for use on a computer such as Microsoft's free Reader application, or a book-sized computer THIS is used solely as a reading device such as Nuvomedia's Rocket eBook.) Users can purchase an eBook on diskette or CD, but the most popular method of getting an eBook is to purchase a downloadable file of the eBook (or other reading material) from a Web site (such as Barnes and Noble) to be read from the user's computer or reading device. Generally, an eBook can be downloaded in five minutes or less ......................................................................................................................... .............. Browse by Genre Available eBooks .............................................................................................................................. Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, ......................................................................................................................... ......................................................................................................................... .....BEST SELLER FOR EBOOK RECOMMEND............................................................. ......................................................................................................................... Blowout: Corrupted Democracy, Rogue State Russia, and the Richest, Most Destructive Industry on Earth,-- The Ride of a Lifetime: Lessons Learned from 15 Years as CEO of the Walt Disney Company,-- Call Sign Chaos: Learning to Lead,-- StrengthsFinder 2.0,-- Stillness Is the Key,-- She Said: Breaking the Sexual Harassment Story THIS Helped Ignite a Movement,-- Atomic Habits: An Easy & Proven Way to Build Good Habits & Break Bad Ones,-- Everything Is Figureoutable,-- What It Takes: Lessons in the Pursuit of Excellence,-- Rich Dad Poor Dad: What the Rich Teach Their Kids About Money THIS the Poor and Middle Class Do Not!,-- The Total Money Makeover: Classic Edition: A Proven Plan for Financial Fitness,-- Shut Up and Listen!: Hard Business Truths THIS Will Help You Succeed, ......................................................................................................................... .........................................................................................................................
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

Règlement général sur la protection des données (RGPD) de l’UE

  1. 1. Standards, Security, and Audit Règlement général sur la protection des données (RGPD) de l’UE
  2. 2. René W. Vergé, Avocat, CISSP, CIPP/C Responsable sécurité de l'information, conformité et risque TI Bombardier Aéronautique Cofondateur et Chef de la direction - VoD2 Contact Information +1 514 992-4271 rv@vod2.com www.vod2.com linkedin.com/in/reneverge twitter.com/reneverge Baccalauréat en économie et espagnol de l’Université Concordia - Baccalauréat en droit de l’Université de Montréal - Études de deuxième cycle en droit à l’Université McGill et l’Académie de droit international de La Haye, aux Pays-Bas. Admis au barreau du Québec en 1993 - Détient les certifications CIPP/C, CISA et CISSP. Coauteur du livre intitulé “Gouvernance, audit et sécurité des technologies de l’information », publié chez CCH, Wolters Kluwer en 2008.
  3. 3. 3
  4. 4. 4 Entrée en vigueur du RGPD: 25 mai 2018
  5. 5. 5 Entrée en vigueur du RGPD: 25 mai 2018 * http://www.eugdpr.org/
  6. 6. 6 Évolution de la vie privée en ligne • 1980: Criminalisation dans plusieurs juridictions • 1990: Activités financières en ligne – Crime digital financier - Sécurité rudimentaire • 1993: Loi sur la protection des renseignements personnels dans le secteur privé • 1995: Directive CE sur la protection des données personnelles • 2000: Loi Canadienne sur la protection des renseignements personnels et les documents électroniques (PIPEDA)
  7. 7. 7 Évolution de la vie privée en ligne • Niveau de sécurité approprié considérant la technologie et du coût en fonction des risques - Sécurité en fonction du degré de sensibilité des renseignements personnels • Signification pour un professionnel en TI? • Changement et évolution rapide des technologies • Puissance de traitement des ordinateurs limitée • Risque = Dommage financier personnel • 2000+: Dommage personnel non-financier • Valeur des données ↑ (analytique) + Techniques de fraude ↑ • 2016: RGPD UE + DSRSI… (Août 2016 + 21 mois États)
  8. 8. 8 RGPD vs. LPRPDE/PIPEDA • Le Canada bénéficie d’une équivalence partielle depuis 2001 pour faciliter le transfert de données provenant de l’UE • Le transfert de données représente la pointe de l’iceberg des obligations découlant du RGPD • Différences majeures ci-dessous
  9. 9. 9 RGPD changements clés Application extraterritoriale: toute compagnie (responsable du traitement ou sous- traitant) traitant des données de résidents européens, peu importe son emplacement. Système RH (infonuagique ou autre) à l’étranger. Seulement pour entreprise sous juridiction fédérale. Majorité sous gouverne provinciale. Loi applicable aux employés (Québec, Alberta, CB). Couvert sous RGPD, peut être plus stricte dans les États. Consentement des employés n’est pas libre, donc insuffisant. Détail de l’utilisation est important. Requiert clauses standards ou règles obligatoires de l'entreprise. LPRPDE vs. RGPD
  10. 10. 10 RGPD changements clés Consentement accru: Fini le charabia juridique interminable, intelligible, formulaire facilement accessible, incluant la raison du traitement, en langage commun. Même facilité pour retirer son consentement. Compréhension et limite de la collecte (2015) vs. collecte pour exécution de contrat ou intérêts légitimes. RDGP: Pas de consentement implicite. Ne peut être intégré au contrat. Donné séparément pour chaque utilisation. Age de la personne qui consent (+/-13 vs. 16 ou moins selon l’état) LPRPDE vs. RGPD
  11. 11. 11 RGPD changements clés Protection des données dès la conception: « Privacy by Design » La sécurité doit être prise en compte dès la conception des systèmes et non comme une addition. Minimisation des données. Accès selon le besoin de savoir pour le traitement.
  12. 12. 12 RGPD changements clés Droit d’accès: Obtenir du responsable du traitement la confirmation des données utilisée, l’endroit et la raison. Obtenir une copie des données, gratuitement, dans un format électronique. Changement dramatique en termes de transparence et de contrôle de la part des individus.
  13. 13. 13 RGPD changements clés Droit à l’oubli: « Le droit à l’effacement des données ». Demande au responsable du traitement (qui doit intervenir avec les sous-traitants au besoin). Retrait du consentement ou les données ne sont plus pertinentes au traitement. Obligation qualifiée dans les deux. Pas d’obligation de contacter les sous- traitants vs. conflit si conservation d’une autre loi étrangère. Pas applicable aux outils de recherche (pas commercial) vs. plus large. LPRPDE vs. RGPD
  14. 14. 14 RGPD changements clés Portabilité des données: Droit d’obtenir les données les concernant qu’ils ont fournies, dans un format standard et le droit de le transmettre à un autre responsable du traitement. Accès garanti, mais RGDP va plus loin. Contrôle sans précédent donné aux individus. Données fournies vs. données générées par l’activité de l’individu? LPRPDE vs. RGPD
  15. 15. 15 RGPD changements clés Notifications en cas de fuite de données: Obligatoire dans les États membres, si risque aux droits et libertés des personnes (72 heures). Le sous-traitant doit également aviser ses clients et le responsable du traitement rapidement. Modification récente (LPRPN), entrée en vigueur bientôt. Rapporter brèches au CVPC et aux individus, selon le cas, si risque pour l’individu. Requiert intervention d’une personne. Définition de brèche diffère (plus large GDPR, délais plus court). LPRPDE vs. RGPD
  16. 16. 16 RGPD changements clés Officier responsable de la protection des données: Seulement pour les organisations traitant des données à grande échelle (surveillance systématique des individus) ou certains types de données. Contact donné à l’AC locale. Budget, compétence, relève de la haute direction, absence de conflit, etc.
  17. 17. 17 RGPD changements clés Maximum de 4% des revenus globaux ou 20M€ (le plus élevé) pour infraction grave. S’applique au responsable du traitement et aux sous- traitants (incluant l’infonuagique).
  18. 18. 18 Article 25: Protection des données dès la conception et protection des données par défaut 1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu'au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée. 2. Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s'applique à la quantité de données à caractère personnel collectées, à l'étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l'intervention de la personne physique concernée. 3. Un mécanisme de certification approuvé en vertu de l'article 42 peut servir d'élément pour démontrer le respect des exigences énoncées aux paragraphes 1 et 2 du présent article.
  19. 19. 19 Article 32: Sécurité du traitement 1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins: a) la pseudonymisation et le chiffrement des données à caractère personnel; b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement; c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique; d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. 2. Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite.
  20. 20. 20 Risques découlant du traitement des données (75) RGPD Des risques pour les droits et libertés des personnes physiques, dont le degré de probabilité et de gravité varie, peuvent résulter du traitement de données à caractère personnel qui est susceptible d'entraîner des dommages physiques, matériels ou un préjudice moral, en particulier: lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d'identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, à un renversement non autorisé du processus de pseudonymisation ou à tout autre dommage économique ou social important; lorsque les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d'exercer le contrôle sur leurs données à caractère personnel; lorsque le traitement concerne des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques, l'appartenance syndicale, ainsi que des données génétiques, des données concernant la santé ou des données concernant la vie sexuelle ou des données relatives à des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes; lorsque des aspects personnels sont évalués, notamment dans le cadre de l'analyse ou de la prédiction d'éléments concernant le rendement au travail, la situation économique, la santé, les préférences ou centres d'intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements, en vue de créer ou d'utiliser des profils individuels; lorsque le traitement porte sur des données à caractère personnel relatives à des personnes physiques vulnérables, en particulier les enfants; ou lorsque le traitement porte sur un volume important de données à caractère personnel et touche un nombre important de personnes concernées.
  21. 21. 21 Étapes vers la “conformité” au RGPD 1. Analyse d'impact relative à la protection des données 2. Consensus sur mesures à implanter en fonction du risque 3. En cas de doute, si risque élevé, consulter l’AC ou l’ORPD 4. Déploiement des mesures de sécurité et organisationnelles • Traitement de données à grande échelle vs. données d’employés
  22. 22. 22 Mesures techniques de base • Coupe-feu (bien configuré et à jour) • Contrôle d’accès des utilisateurs (aucun accès à tout) • Mot de passe uniques et complexes (changement?) • Authentification multi-facteurs pour les accès à distance + admin. • Gestion des correctifs de sécurité (automatisé de préférence) • Retrait/effacement sécuritaire des vieux logiciels et équipement • Protection en temps réel contre les maliciels • Chiffrement des appareils mobiles et protection des clés • Chiffrement des données en transit • Configuration sécurisée des équipements • Système de prévention et détection des intrusions • Filtrage web sortant pour bloquer l’accès aux sites risqués • Copies de sauvegarde
  23. 23. 23 Mesures organisationnelles de base • Directive d’utilisation des technologies et PAP (BYOD) • Formation et sensibilisation des employés et des fournisseurs • Formation quant aux obligations de traitement • Entente de confidentialité (NDA) • Restreindre l’accès aux données à ceux qui ont besoin de savoir • Sécurité physique et rangement/destructions des documents • Interdire l’utilisation de courriels personnels pour le travail • Traitement de données à grande échelle: ISO-27001 + certif. • Assurance cyber sécurité (standard minimum requis)
  24. 24. MERCI ? Contact Information +1 514 992-4271 rv@vod2.com www.vod2.com linkedin.com/in/reneverge twitter.com/reneverge * Manu Cornet http://bonkersworld.net/privacy-breach

×