Upload
vulien
View
234
Download
0
Embed Size (px)
Citation preview
CLOSETO YOU
AGENDA
2
WHY - Protection des données
WHAT - Les impacts
HOW - Comment aborder ces enjeux?
Questions / réponses
CLOSETO YOU
GLOSSAIREGDPR
General Data Protection Regulation
LPrD (VD) – LIPAD (GE)
Loi (172.65) sur la protection des
données personelles
4
✓ Impact sur le droit sujet (droits de l’individu)
✓ Impact sur la protection des données (traitements et
sécurité)
Le Droit à l’autodétermination
Protection de l’individu …
5
Musique
classique
DiabétiqueSolvable
Groupe
Sanguin
Type A
Marié
Ne fait pas
de sport
Directeur
Carte
Cumulus
Propriétaire
Protéger qui,quoi?
L’individu… (autodétermination droit des disposer de ses données , exactitude …)
Fort impact sur le droit sujet… (devoirs…rectification, information …)
Protection des données… (protéger l’individu protéger les données D.I.C / C.I.A)
✓ Classification des données (données personnelles,
sensibles, traces numériques, données insignifiantes …)
✓ Contexte et traitement (induit le risque d’atteinte …)
Est-ce la donnée qu’il faut considérer ou le
traitement qui lui est appliqué?
6
Musique
classique
DiabétiqueSolvable
Groupe
Sanguin
Type A
Marié
Ne fait pas
de sport
Directeur
Carte
Cumulus
Propriétaire
Données personnelles c’est…
Définition légale, contexte… (base légale, loi formelle …)
Autres types des données… (qualification sensibles, biométriques, traces
numériques… extension de la sphère publique)
Données insignifiantes (fragmentées… versus profilage … devoir
d’information)
7
Panorama des lois et réglementations
CstArt13 + CstArt29
+ 28CC
CEDH - ECHR Directive 95/46
(D-PD)(GDPR) Directive 16/679
+ Directive 16/680
LPD + OLPD+ Cantonales laws
Fédéral
AP-LPD
EU - US
Privacy Shield
CH - US
Privacy Shield
Lois cantonales
LIPAD (GE)
LPrD (VD)
LPrD (FR)
LIPDA (VS)
…
Conv.108
ePrivacyLois nationalesEU - US
Safe Harbor
CH - US
Safe Harbor
Précedentes Nouvelles
Jurisprudence TAF; Loi sur l’information; Loi sur l’archivage (LAr; 957CO, 962CO)
Droit du travail (321,328,330 CO); Circulaires banques; FINMA; LAMAL RS832.10, …
Lois professions spécifiques (avocat, médecin, …), recherche, statistiques, …
Lois / réglementations – le traitement est-il licite?
Pourquoi faire (finalité …)?
Individu / Personne
✓ Responsable, sous-traitant,
✓ Contrats
✓ Consentement et droit sujet
✓ Sécurité des données, des accès
et des traitements
✓ Identifier et gérer les brèches
Données / Traitements
✓ Cartographier, Classifier les
données. Quelles données?
✓ D-PIA – analyse des risques
✓ Cycle de vie des données
✓ Qualité des données
✓ Où se trouvent les données?
8
Qui?
Comment?
Quoi?
Où et Jusqu’à
quand?
Résumé
Protection des données doit se lire comme protection de la sphère privée de l’individu
le moins de données possibles, le moins longtemps possible
3 principes fandamentaux
1. Obtenir le consentement
2. Droit à l’oubli
3. Portabilité
9
Maitriser
les données et les traitements
11
Données et Traitements
▪ Collecte des données
«in/out»
▪ Communication
▪ Interne, externe
▪ Nationale,
Internationale
▪ Transfert
▪ Exploitation
▪ Modification
▪ Conservation
▪ Archivage
▪ Destruction
Impacts
Juridiques
Impacts
Techniques
Impacts
Organisationnels
Individu et Droits
▪ Licite,
▪ Application des principes,
▪ Devoir d’information,
▪ Droit sujet, Doit d’accès
▪ Notification,
▪ Privacy-by-Design,
▪ Privacy-by-Default,
▪ …
Atteinte à la personnalité?
Possible brèche?
… Quels risques? Quelles actions?
D-PIA
Adresser les impacts, les 3 angles
12
Impacts légaux
▪ Atteinte à la personnalité (licite)
▪ Traitements (documentation)
▪ D-PIA analyse d’impacts et remédiation
▪ Analyse de contrats, sous-traitants, Cloud
Provider, BCR, …
▪ Gestion du droit sujet et consentement
Impacts techniques
▪ Sécurité des données (C.I.A, anonymisation,
pseudonymisation, chiffrement, accès aux
données, détection des brèches)
▪ Notification en cas de violation (vol de
données, accès non autorisé, …)
▪ Archivage et destruction des données (cycle de
vie complet, droit à l’oubli)
▪ Sous-traitance et transfert hors CH et EU
Adresser les impacts, les 3 angles
13
Impacts organisationnels
▪ DPO (CPD): contact avec autorités (CH,
EU), liens avec DSI, RSSI, et responsables
métiers, sous-traitant, formation, …
▪ Responsable du traitement (métier), et
sous-traitant (co-responsable), licéité
▪ Analyse de conformité (écarts, plan
d’actions, audit …) (ISO27005/ISO31000)
▪ Revoir politique de sécurité, procédures,
code de bonne conduite (ISO2700x)
▪ Veille légale (Fédéral, Cantonal)
Prérequis
▪ Données - Inventaire et cartographie des
données (volume, localisation, cycle de
vie, …)
▪ Traitements (quel traitement)
▪ Contexte, Réglementations et
jurisprudence
▪ Droit Fédéral, Privé; Droit Cantonal …
Adresser les impacts, les 3 angles
Résumé
Protection des
données
Protection de l’individu
(autodétermination)
Données personnelles,
sensibles, traces numériques
Traitement, Contexte
Licéité et application des
principes
14
Lois et
réglementations
Nouvelle LPD en cours
d’acceptation (AP-LPD)
Lois Cantonales LPrD, RLPrD
GDPR Mai 2018 (EU)
Convention 108
Privacy Schield (US)
Quelques
Impacts
D-PIA
Registre des traitements
Privacy by Design/Default
Sécurité renforcée
Consentements
Gestion des contrats
Documentation
Conception &
Implémentation
Analyse des
risques
Amélioration
continueCollecte
Approche Itecor
16
Évaluation de la
conformité
des traitements, droits
et devoirs
Liv
rable
sPhase
sActi
vit
és
Description des
traitements et revue
des documents légaux
Cartographie des données
Analyse de Profile
Cloud ProviderRapport de conformité,
Veille légale
Conception et Implémentation
Revue des nouveaux contrats et autres documents légaux
Évaluation du niveau
du conformité
Veille légale
Plan de mitigation /
résolution des risques
Rapport
Implémentation
Org
anis
ati
on
Données personnelles
Techniq
ue
Légal
Niveau de maturité
High level Assessment
D-PIA
Data Privacy Impact
Assessment (Risques)
Utilisateurs
Gouvernance, Risque et conformité
Sécurité Basis
Management des Données
Scan SAP solutions Évaluer Indicateurs / Remédiations
Authorisations
Processus Métiers
Exemple d’implémentation outiléé
19
✓ Collectez de l’information au sujet de la nouvelle réglementation (LPrD, GDPR + AP-LPD)
Documentez les traitements et les données
Revoir les traitements en considérant le droit sujet (notamment le consentement, la qualité des
données et la période de rétention ….)
Revoir les accès aux données
Confirmer la légalité des traitements
Revoir les transferts hors de CH et hors EU (sous-traitance aussi …)
Revoir la Privacy Notice et la documentation existantes (Procédures, SOPs, ..)
Revoir la partie sécurité et notamment comment détecter les brèches (accès, données, traitements,
anonymisation…) comment rapporter les incidents et comment les gérer (notification)
Définir un modèle de D-PIA (Analyse de risques)
Intégrer dans gestion de projet le Privacy by Design/Default concepts
Avez-vous besoin d’un DPO?
Que devez vous faire maintenant?
20
Possibles impacts sur le SI?
Archivage / RM(cycle de vie)
Anonymisation / encryption
Traitement de la réponse / notification
Cartographie des données
Sensibles + I/O (Flux)
Identity & Access Management (IAM)
Security Information&
Event Management(SIEM)
MDM(droit sujet,
consentement)+ data quality / cleansing
Security / ISO27001 / ISO 27005 / ISO 27018 / ISO 9001 (Policies)
ITIL (IM, PM, CM)
Gouvernance (Ex. DPO, Privacy-by-design PLC...)
Registre desTraitements
Détection des brèches
Incidents / Log
Anticipation du risque
Gestion du droit sujet +
consentement
Contrats
Resp. du traitementE2E
Audit, Tracabilité
Qui a accès à quoi, quand, pourquoi,
etc..
Contexte de l’entreprise
D-PIA Risques
Droit à l’oubli, data processing restreint,
Limiter le risqueS’affranchir de
restrictionsAnalyse Cloud Provider /
Saas
ContratsTiers
Mandatory