Protection des données

GDPR, AP-LPD, LPrD, …

Blaise Guignard, Executive Vice-President

CLOSETO YOU

AGENDA

2

WHY - Protection des données

WHAT - Les impacts

HOW - Comment aborder ces enjeux?

Questions / réponses

CLOSETO YOU

WHY

Qu’est-ce que la

protection des données?De quoi parle-t-on?

3

CLOSETO YOU

GLOSSAIREGDPR

General Data Protection Regulation

LPrD (VD) – LIPAD (GE)

Loi (172.65) sur la protection des

données personelles

4

✓ Impact sur le droit sujet (droits de l’individu)

✓ Impact sur la protection des données (traitements et

sécurité)

Le Droit à l’autodétermination

Protection de l’individu …

5

Musique

classique

DiabétiqueSolvable

Groupe

Sanguin

Type A

Marié

Ne fait pas

de sport

Directeur

Carte

Cumulus

Propriétaire

Protéger qui,quoi?

L’individu… (autodétermination droit des disposer de ses données , exactitude …)

Fort impact sur le droit sujet… (devoirs…rectification, information …)

Protection des données… (protéger l’individu protéger les données D.I.C / C.I.A)

✓ Classification des données (données personnelles,

sensibles, traces numériques, données insignifiantes …)

✓ Contexte et traitement (induit le risque d’atteinte …)

Est-ce la donnée qu’il faut considérer ou le

traitement qui lui est appliqué?

6

Musique

classique

DiabétiqueSolvable

Groupe

Sanguin

Type A

Marié

Ne fait pas

de sport

Directeur

Carte

Cumulus

Propriétaire

Données personnelles c’est…

Définition légale, contexte… (base légale, loi formelle …)

Autres types des données… (qualification sensibles, biométriques, traces

numériques… extension de la sphère publique)

Données insignifiantes (fragmentées… versus profilage … devoir

d’information)

7

Panorama des lois et réglementations

CstArt13 + CstArt29

+ 28CC

CEDH - ECHR Directive 95/46

(D-PD)(GDPR) Directive 16/679

+ Directive 16/680

LPD + OLPD+ Cantonales laws

Fédéral

AP-LPD

EU - US

Privacy Shield

CH - US

Privacy Shield

Lois cantonales

LIPAD (GE)

LPrD (VD)

LPrD (FR)

LIPDA (VS)

…

Conv.108

ePrivacyLois nationalesEU - US

Safe Harbor

CH - US

Safe Harbor

Précedentes Nouvelles

Jurisprudence TAF; Loi sur l’information; Loi sur l’archivage (LAr; 957CO, 962CO)

Droit du travail (321,328,330 CO); Circulaires banques; FINMA; LAMAL RS832.10, …

Lois professions spécifiques (avocat, médecin, …), recherche, statistiques, …

Lois / réglementations – le traitement est-il licite?

Pourquoi faire (finalité …)?

Individu / Personne

✓ Responsable, sous-traitant,

✓ Contrats

✓ Consentement et droit sujet

✓ Sécurité des données, des accès

et des traitements

✓ Identifier et gérer les brèches

Données / Traitements

✓ Cartographier, Classifier les

données. Quelles données?

✓ D-PIA – analyse des risques

✓ Cycle de vie des données

✓ Qualité des données

✓ Où se trouvent les données?

8

Qui?

Comment?

Quoi?

Où et Jusqu’à

quand?

Résumé

Protection des données doit se lire comme protection de la sphère privée de l’individu

le moins de données possibles, le moins longtemps possible

3 principes fandamentaux

1. Obtenir le consentement

2. Droit à l’oubli

3. Portabilité

9

Maitriser

les données et les traitements

CLOSETO YOU

WHAT

Adresser les impacts

10

11

Données et Traitements

▪ Collecte des données

«in/out»

▪ Communication

▪ Interne, externe

▪ Nationale,

Internationale

▪ Transfert

▪ Exploitation

▪ Modification

▪ Conservation

▪ Archivage

▪ Destruction

Impacts

Juridiques

Impacts

Techniques

Impacts

Organisationnels

Individu et Droits

▪ Licite,

▪ Application des principes,

▪ Devoir d’information,

▪ Droit sujet, Doit d’accès

▪ Notification,

▪ Privacy-by-Design,

▪ Privacy-by-Default,

▪ …

Atteinte à la personnalité?

Possible brèche?

… Quels risques? Quelles actions?

D-PIA

Adresser les impacts, les 3 angles

12

Impacts légaux

▪ Atteinte à la personnalité (licite)

▪ Traitements (documentation)

▪ D-PIA analyse d’impacts et remédiation

▪ Analyse de contrats, sous-traitants, Cloud

Provider, BCR, …

▪ Gestion du droit sujet et consentement

Impacts techniques

▪ Sécurité des données (C.I.A, anonymisation,

pseudonymisation, chiffrement, accès aux

données, détection des brèches)

▪ Notification en cas de violation (vol de

données, accès non autorisé, …)

▪ Archivage et destruction des données (cycle de

vie complet, droit à l’oubli)

▪ Sous-traitance et transfert hors CH et EU

Adresser les impacts, les 3 angles

13

Impacts organisationnels

▪ DPO (CPD): contact avec autorités (CH,

EU), liens avec DSI, RSSI, et responsables

métiers, sous-traitant, formation, …

▪ Responsable du traitement (métier), et

sous-traitant (co-responsable), licéité

▪ Analyse de conformité (écarts, plan

d’actions, audit …) (ISO27005/ISO31000)

▪ Revoir politique de sécurité, procédures,

code de bonne conduite (ISO2700x)

▪ Veille légale (Fédéral, Cantonal)

Prérequis

▪ Données - Inventaire et cartographie des

données (volume, localisation, cycle de

vie, …)

▪ Traitements (quel traitement)

▪ Contexte, Réglementations et

jurisprudence

▪ Droit Fédéral, Privé; Droit Cantonal …

Adresser les impacts, les 3 angles

Résumé

Protection des

données

Protection de l’individu

(autodétermination)

Données personnelles,

sensibles, traces numériques

Traitement, Contexte

Licéité et application des

principes

14

Lois et

réglementations

Nouvelle LPD en cours

d’acceptation (AP-LPD)

Lois Cantonales LPrD, RLPrD

GDPR Mai 2018 (EU)

Convention 108

Privacy Schield (US)

Quelques

Impacts

D-PIA

Registre des traitements

Privacy by Design/Default

Sécurité renforcée

Consentements

Gestion des contrats

Documentation

CLOSETO YOU

HOW

Approche pragmatique

15

Conception &

Implémentation

Analyse des

risques

Amélioration

continueCollecte

Approche Itecor

16

Évaluation de la

conformité

des traitements, droits

et devoirs

Liv

rable

sPhase

sActi

vit

és

Description des

traitements et revue

des documents légaux

Cartographie des données

Analyse de Profile

Cloud ProviderRapport de conformité,

Veille légale

Conception et Implémentation

Revue des nouveaux contrats et autres documents légaux

Évaluation du niveau

du conformité

Veille légale

Plan de mitigation /

résolution des risques

Rapport

Implémentation

Org

anis

ati

on

Données personnelles

Techniq

ue

Légal

Niveau de maturité

High level Assessment

D-PIA

Data Privacy Impact

Assessment (Risques)

17

Phase «Conception / Implémentation»

Utilisateurs

Gouvernance, Risque et conformité

Sécurité Basis

Management des Données

Scan SAP solutions Évaluer Indicateurs / Remédiations

Authorisations

Processus Métiers

Exemple d’implémentation outiléé

19

✓ Collectez de l’information au sujet de la nouvelle réglementation (LPrD, GDPR + AP-LPD)

Documentez les traitements et les données

Revoir les traitements en considérant le droit sujet (notamment le consentement, la qualité des

données et la période de rétention ….)

Revoir les accès aux données

Confirmer la légalité des traitements

Revoir les transferts hors de CH et hors EU (sous-traitance aussi …)

Revoir la Privacy Notice et la documentation existantes (Procédures, SOPs, ..)

Revoir la partie sécurité et notamment comment détecter les brèches (accès, données, traitements,

anonymisation…) comment rapporter les incidents et comment les gérer (notification)

Définir un modèle de D-PIA (Analyse de risques)

Intégrer dans gestion de projet le Privacy by Design/Default concepts

Avez-vous besoin d’un DPO?

Que devez vous faire maintenant?

20

Possibles impacts sur le SI?

Archivage / RM(cycle de vie)

Anonymisation / encryption

Traitement de la réponse / notification

Cartographie des données

Sensibles + I/O (Flux)

Identity & Access Management (IAM)

Security Information&

Event Management(SIEM)

MDM(droit sujet,

consentement)+ data quality / cleansing

Security / ISO27001 / ISO 27005 / ISO 27018 / ISO 9001 (Policies)

ITIL (IM, PM, CM)

Gouvernance (Ex. DPO, Privacy-by-design PLC...)

Registre desTraitements

Détection des brèches

Incidents / Log

Anticipation du risque

Gestion du droit sujet +

consentement

Contrats

Resp. du traitementE2E

Audit, Tracabilité

Qui a accès à quoi, quand, pourquoi,

etc..

Contexte de l’entreprise

D-PIA Risques

Droit à l’oubli, data processing restreint,

Limiter le risqueS’affranchir de

restrictionsAnalyse Cloud Provider /

Saas

ContratsTiers

Mandatory