Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Work'n Coffee : Protection des données personnelles by ND & Antaes

302 views

Published on

Impacts et mise en oeuvre concrète dans les sociétés suisses

Published in: Internet
  • Be the first to comment

Work'n Coffee : Protection des données personnelles by ND & Antaes

  1. 1. WORK’N’COFFEE – 1ER MARS 2018 PROTECTION DES DONNÉES PERSONNELLES
  2. 2. AGENDA Mot d’accueil, présentation d’ANTAES et de NET DESIGN Gouvernance, risques, conformité chez ANTAES Quelles sont les nouvelles exigences réglementaires ? Quels sont les enjeux et vos challenges ? Offre «Mise en conformité RGPD / Révision LPD » d’ANTAES Protection des données chez NET DESIGN 1 2 3 4 5 6
  3. 3. Bienvenue 1.
  4. 4. & Work’n’Coffee – 01/03/18 4 ANTAES Cabinet d’ingénieurs spécialisé dans l’optimisation de la performance opérationnelle comprenant le conseil en ORGANISATION, le management des TECHNOLOGIES. Antaes emploie 170 consultants expérimentés intervenants dans les secteurs: • Banque / Finance / Assurance • Public et des Services • Industrie horlogère et d’instrumentation • Pharma et Sciences de la Vie • Agroalimentaire • Télécommunication Localisations : Genève, Lausanne, Bern, Singapore
  5. 5. talents L’AGENCE NET DESIGN 30 80 experts externes + de 3’000projets web et app conçus 100%digital + transparence intégrité humain clients lovers missions UX Design500
  6. 6. QUIZ Vous êtes plutôt thé ou café ? 1. Thé 2. Café Ce matin, vous êtes venus avec votre propre véhicule ou bien en transports en commun ? 1. Véhicule particulier 2. Transports en commun 3. En vélo 4. Autres moyens de transport A B Code WIFI: GBC/swiss@1414 https://www.mentimeter.com
  7. 7. GOUVERNANCE, RISQUES, CONFORMITÉ CHEZ ANTAES 2.
  8. 8. & Work’n’Coffee – 01/03/18 8 Contexte • Des réglementations de plus en plus nombreuses. • La gestion des risques et de la conformité consomme de plus en plus de ressources. • La gestion des référentiels et de leurs évolutions : une tâche de plus en plus spécialisée et complexe.
  9. 9. & Work’n’Coffee – 01/03/18 9 Contexte • Les régulations évoluent fréquemment et profondément • Le suivi des plans d’actions et des mesures demande des ressources qui ne sont pas toujours disponibles • La maintenance des éléments nécessaires à l’élaboration des reporting réglementaires demande des compétences pointues dans le domaine des régulations
  10. 10. & Work’n’Coffee – 01/03/18 10 Notre proposition Nous offrons une approche unique, indépendante, multi référentielle, d’accompagnement à la mise en conformité de votre organisation, la mise en conformité – compliance monitorée Identification du périmètre Assessment Mise en conformité Identification des écarts aux référentiels, des risques et des non conformités Identification des plans d’actions, des contrôles et mesures associés, définition du niveau initial Suivi périodique de la mise en conformité des processus, suivi du risque résiduel et de l’écart de conformité restant
  11. 11. 11 Compliance, mise en conformité monitorée Pilotage Gouvernance - reporting Contrôles Diagnostic / Assessment Incidents Réclamations Organisation Processes Procédures Obligation Risques Actions Régulation (s) ISO27001 GDPR ISO31000 MIFID …
  12. 12. & Work’n’Coffee – 01/03/18 12 Les régulations et référentiels transversaux ISO27001 Sécurité des systèmes d’information GDPR – PLPD - LIPAD Protection des données personnelles COBIT Gouvernance des systèmes d’information ISO31000 Gestion des risques d’entreprises Gestion des risques projets
  13. 13. & Work’n’Coffee – 01/03/18 13 Les régulations et référentiels transversaux MIFID2-LSFIN Directive concernant les marchés d'instruments financiers FATCA Foreign Account Tax Compliance Act Autres régulations CoRep-FinRep, Anacredit, BCBS 239, IFRS 9, NPEFBE, RWA optimization, Bale III,AEoI,NCD-EAR
  14. 14. & Work’n’Coffee – 01/03/18 14 Les régulations et référentiels transversaux Bonnes pratiques GMP: Good Manufacturing Practice GDP: Good Documentation Practice GLP: Good Laboratory Practice ISO13485 Medical devices
  15. 15. L’équipe d’experts Protection des données personnelles/ Gouvernance-Risques-Compliance 15 DIANE, CONSULTANTE SENIOR ET PORTEUSE DE L’OFFRE GDPR Conformité réglementaire, sécurité de l’information, Banque, Gestion de Projets EMILIE, CONSULTANTE SENIOR/ RESPONSABLE PROJET Gestion de Projets THIERRY, PROJECT DIRECTOR Gouvernance, Compliance et Régulation CEDRIC, CONSULTANT SENIOR Banque, Conformité CLAUDE, CONSULTANT Chef de Projet RGPD pour le leader européen de l’imagerie médicale PHILIPPE, BIG DATA ARCHITECTE SENIOR Banque, Gestion de Projets NORBERT, PRACTICE LEADER Secteur public, Gestion de Projets EXPERTISE INDEPENDANCE REGULARITE RIGUEUR EXPERIENCE
  16. 16. QUELLES SONT LES NOUVELLES EXIGENCES RÉGLEMENTAIRES EN MATIERE DE PROTECTION DES DONNEES? 3.
  17. 17. & Work’n’Coffee – 01/03/18 17 UNE DONNEE PERSONNELLE, C’EST QUOI? Toute information permettant d’identifier de manière unique une personne, directement ou indirectement, (nom, photo, email, info biométriques, photo de face, vidéo de face, Adresse IP, donnée génomique, examens médicaux, profil de media sociaux et bien d’autres).
  18. 18. & Work’n’Coffee – 01/03/18 18 PROJET DE RÉVISION TOTALE DE LA LOI SUR LA PROTECTION DES DONNÉES SUISSE (P- LPD) Pour quand ? • 2019 Les objectifs : • Harmoniser le droit suisse avec le RGPD • Renforcer les droits des citoyens suisses en matière de protection des données. Qui est concerné ? • Tout individu ou organisation détenant des données personnelles en Suisse. Quelles sont les pénalités en cas de non-conformité ? • Une procédure criminelle et une amende maximale de 250 K CHF. • 50 K CHF d’amende administrative peut être décidée contre l’organisation si aucun individu ne peut être identifié.
  19. 19. & Work’n’Coffee – 01/03/18 19 GDPR Consentement Analyse d’impacts Notification de fuite de données Privauté dès la conception Conseiller à la Protection des Données Droit d’accès à ses propres données Information Registre de traitement des données P-LPD Par rapport au RGPD de l’UE : • Pas de portabilité des données • Pas d’inversion du fardeau de la preuve • Des sanctions peu dissuasives • Une procédure pénale pour les sanctions • Pas de protection des données personnelles d’une personne morale • Délai relatif d’annonce des failles de sécurité • Pas d’actions collectives
  20. 20. & Work’n’Coffee – 01/03/18 20 RÈGLEMENT GÉNÉRAL RELATIF À LA PROTECTION DES DONNÉES (RGPD) APPLICABLE EN SUISSE Pour quand ? • 25 Mai 2018 Ses objectifs sont : • Protéger les données personnelles des résidents Européens • Harmoniser le cadre réglementaire pour les données des résidents européens Qui est concerné par ce règlement ? • Toutes les entreprises suisses qui traitent et/ou stockent des données personnelles de résidents européens, où que soit située l’entité concernée Quelles sont les pénalités en cas de non respect ? • La pénalité maximum est de 4% du Chiffre d’Affaires annuel global ou 20 Millions € Cela peut même concerner la boulangerie du village !
  21. 21. QUIZ Quels éléments sont des données personnelles? 1. Photo d’une personne 2. Adresse IP 3. Référence d’un produit 4. Numéro de facture 5. ADN 6. Date de naissance et commune 7. Groupe sanguin A
  22. 22. & Work’n’Coffee – 01/03/18 22 Zoom sur le droit à l’oubli
  23. 23. QUIZ Un centre commercial a-t-il le droit de tracer votre mobile pour analyser votre parcours dans les boutiques ? 1. Oui, tout le temps 2. Oui, seulement quand vous vous trouvez dans le centre commercial 3. Non, en aucun cas A
  24. 24. & Work’n’Coffee – 01/03/18 24 Zoom sur la portabilité des données Principe • Droit de recevoir ses données communiquées à un responsable de traitement nécessaire à l’exécution d’un contrat (art. 20.1) … Comment? • Dans un format structuré • Couramment utilisé • Lisible par machine … et de les transmettre à un autre responsable sans que le responsable du traitement initial y fasse obstacle.
  25. 25. QUIZ Je suis une régie et fait appel à plusieurs sous-traitants. Ces derniers sont-ils soumis aux obligations ? 1. Oui 2. Non Un chirurgien réputé des HUG réalise une opération sur un patient français. Ce patient est en droit de demander la restitution de toutes ses données personnelles. 1. Vrai 2. Faux A B
  26. 26. & Work’n’Coffee – 01/03/18 26 Le RGPD s’applique-t-il à votre entreprise? (1/ 2) A. Votre entreprise traite-elle des données de personnes européennes (par ex. analyse de données clients y compris de citoyens européens, analyse de données des visiteurs de sites Internet ou des utilisateurs d’applications)? • Oui • Non B. Votre entreprise a-t-elle une succursale ou filiale sur le territoire de l’UE? • Oui • Non
  27. 27. & Work’n’Coffee – 01/03/18 27 Le RGPD s’applique-t-il à votre entreprise? (2/ 2) D. Votre entreprise offre-t-elle des biens ou services à des personnes dans l’UE (par ex. par de la vente à distance ou en exploitant des plateformes de commande en ligne)? • Oui • Non E. Une entreprise située dans l’UE traite-t-elle des données pour vous (p. ex. fournisseur de services de cloud)? • Oui • Non F. Votre entreprise traite-t-elle des données sur mandat d’une entreprise située dans l’UE ou participe-t-elle au traitement de données d’entreprises dans l’UE (p. ex. dans un centre de calcul suisse) ? • Oui • Non
  28. 28. & Work’n’Coffee – 01/03/18 28 Pour ceux qui ne sont pas concernés par le RGPD Ne pas se réjouir trop vite… Enjeu réglementaire avec la révision LPD en cours Enjeu compétitivité: • Confiance des clients/consommateurs et des partenaires • Réputation • Arguments de vente/ Se démarquer par rapport à la concurrence
  29. 29. QUIZ J’habite au Grand Saconnex. Des bus des TPG vont jusqu’à Ferney Voltaire. Les TPG doivent-ils se mettre en conformité vis-à-vis du RGPD ? 1. Oui 2. Non Source : article 3 RGPD et considérant 23 RGPD – « Offre de biens ou de services à des personnes concernées dans l'Union européenne » Le Règlement s'applique-t-il à des entreprises hors de l'UE ? 1. Oui 2. Non A B
  30. 30. & Work’n’Coffee – 01/03/18 30 Que faire à ce stade? • Nécessité d’informer et d’obtenir le consentement de la personne dont les données sont traitées • Assurer le « Privacy by design » et le « Privacy by default » • Désigner un représentant dans l’UE • Tenir un registre des activités de traitement • Analyser les transferts transfrontaliers de données personnelles (bases légales, pays en adéquation, Privacy Shield …) • Déclarer les cas de violation des données à l’autorité de contrôle • Formaliser les relations de sous-traitance, maîtriser et contrôler ses sous-traitants Appliquer le principe de précaution • Evaluation du degré de maturité de votre organisation • Procéder à une analyse d’impacts relative à la protection des données • Par défaut, il convient de respecter les exigences les plus élevées • Assurez le risque cyber • Clarifier les responsabilités (qui sont les responsables des traitements réels ?) • Régler des amendes en cas de violation du RGPD.
  31. 31. QUELS SONT LES ENJEUX ET VOS CHALLENGES ? 3.
  32. 32. Ce n’est qu’une histoire d’argent ou d’amendes ? Non. C’est aussi un enjeu de réputation, de marché et de sécurité !
  33. 33. QUIZ L’accès aux marchés publics européens nécessite la conformité au RGPD. 1. Vrai 2. Faux Qui sont les tiers concernés par le RGPD? 1. Mes clients 2. Mes clients et mes fournisseurs 3. Mes clients, mes fournisseurs et mes salariés A B
  34. 34. & Work’n’Coffee – 01/03/18 34 VOS CHALLENGES Quelles données personnelles stockez- vous et où ? Avez-vous un mapping des traitements de données personnelles ? Pouvez-vous répondre aux requêtes de vos utilisateurs ? Comment prouvez- vous que vous êtes conformes ? Comment évitez vous les fuites de données ? Etes vous capable de supprimer les données personnelles ?
  35. 35. & Work’n’Coffee – 01/03/18 35 La maturité des entreprises suisses Nous observons sur le terrain Suisse Romand des disparités de maturité importantes, principalement sur les thèmes : • Classification des actifs informationnels pour identifier les données personnelles, Marquage des données (qu’est-ce qui est sensible, qu’est-ce qu’on peut faire avec, …) • Cartographie des processus et des traitements (pour identifier exhaustivement les traitements de données personnelles soumises à la LPD et /ou au RGPD) • Programme de sensibilisation, directives aux employés, chartes • Définition claire des responsabilités internes à l’entreprise (accountability) • Organisation de la sécurité de l’information (faut-il un DPO/ un SGPD/ un CISO ?) • Organisation de la protection des données (DPO ? SGPD?).
  36. 36. QUIZ Quel est le pourcentage de fuite de données où le personnel interne était impliqué ? 1. 10% 2. 50% 3. 25% Quel est le pourcentage d’entreprises qui reconnaissent ne pas savoir où se trouvent leurs données confidentielles ? 1. 75% 2. 5% 3. 68% Source: Gartner & Verizon Data Breach Report 2017 A B
  37. 37. OFFRE «MISE EN CONFORMITE RGPD ET REVISION LPD» D’ANTAES 4.
  38. 38. & Work’n’Coffee – 01/03/18 38 ANTAES SERVICES, SOLUTIONS & PARTENAIRES STRATEGIQUES REGLEMENTAIRE & CONFORMITE DIGITALISEE DATA MANAGEMENT IMPLEMENTATIONCOMMUNICATION GESTION DE PROJET
  39. 39. & Work’n’Coffee – 01/03/18 39 NOTRE APPROCHE Aujourd’hui Modèle de risque Facteur humain Technologie Processus Mise en conformité héroïque Manque d’information/best practices Cadre technologie inadapté Digitalisation de la conformité Solutions intégrant la privauté par défaut Culture et stratégie basées sur la privautéRisques Temps Conduite du changement RGPD 25 mai 2018 P-LPD 2019 L’IA comme levier pour prendre des décisions et proposer des produits adaptés aux clients Modèle de risque
  40. 40. & Work’n’Coffee – 01/03/18 40 Notre méthodologie et livrables Livrables Une approche étape par étape centrée Client • Kick Off • Diagnostic RGPD • Planning d’implémentation et plans d’actions • Formation et stratégie de communication IDENTIFIER MONITORER • Moniting de la conformité • Maintien de l’inventaire de données • Reporting digitalisé de conformité • Inventaire des applications • Inventaire des processus • Etude d’impacts sur la vie privée (PIA) EXECUTER FORMER/INFORMER • Communication (conscientisation, statut de projet,…) • Ateliers • Formations • Tableaux de bord
  41. 41. LA MISE EN CONFORMITÉ CHEZ NET DESIGN 6.
  42. 42. & Work’n’Coffee – 01/03/18 42 NOTRE ROLE Net Design intervient sur toute la partie Digitale pour des corrections, mises à jour ou des mises en place de nouvelles fonctionnalités pour être en conformité. Cela concerne : • les sites internet, • les intranet/extranet, • les applications mobiles, • les emailings, • les Landings Pages • Plus largement, tout ce qui concerne les relations entre vous et vous vos internautes, au niveau digital.
  43. 43. & Work’n’Coffee – 01/03/18 43 NOTRE ROLE Les actions que nous aurons à mener sont « sur-mesure » car elles découleront de la stratégie de mise en conformité, mise en place par le DPO ou votre partenaire ANTAES. INTERVENTION NET DESIGN SUR LA PARTIE DIGITALE
  44. 44. & Work’n’Coffee – 01/03/18 44 Exemple d’interventions courantes Intervention pour mise en conformité RGPD de niveau 1 • Modifications des formulaires pour consentement éclairé • Modification des conditions générales d’utilisation / de vente • Mise en place d’un formulaire spécifique pour les demandes de suppression ou d’accès aux données personnelles • Modification des tunnels de commandes/devis pour gestion des opt’in • Sécurisation des données en passant en protocole HTTPS
  45. 45. NOS PARTENAIRES STRATÉGIQUES 7.
  46. 46. & Work’n’Coffee – 01/03/18 46 MERCI de votre attention

×