Upload
edge-consulting-community
View
798
Download
3
Embed Size (px)
Citation preview
Jacques Folon, Ph.D.
Partner & GDPR Director
Edge Consulting
Professeur ICHEC
Me. de Conf. Université de Liège
Prof. inv. Université Saint Louis
Keynote speaker
Derniers livres Le GDPR et la vie privée en questions? (sortie
prévue : 25 mai 2018)
Le printemps numérique
Internet et vie privée, faut-il avoir peur?
linkedin.com/in/folon
+ 32 475 98 21 15LA PRESENTATION EST A VOTRE DISPOSITION EN CC SUR
WWW.SLIDESHARE.NET/FOLON
RASSUREZ-VOUS!VOUSN'ETESPASENRETARDPARRAPPORTAUGDPR.
VOUSAVEZ25ANSDERETARDPARRAPPORTÀLA
LOIDE1992!!!
LE GDPRLA RUEE VERS L'OR DE CONSULTANTS,
D'AVOCATS, DE SPECIALISTES EN SECURITE,…
ATTENTION AUX "CERTIFICATION GDPR"
ELLES N'EXISTENT PAS (ENCORE)
6
A.LE GDPR CA FAIT PEUR B.LE GDPR C'EST (PAS BEAUCOUP)DU DROIT C.LE GDPR C'EST COMPLIQUE D.COMMENT ON FAIT? E.LE GDPR CA PEUT ETRE POSITIF F.CONTEXTE DU GDPR G.RAPPEL : QUELQUES DEFINITIONS H.LES 12 GRANDS PRINCIPES >< MARKETING I.Q & A
B. LE GDPR C'EST (PAS BEAUCOUP) DU DROIT
DROIT CONTRAT SOUS-TRAITANTS PRIVACY POLICIES RH (CONFIDENTIALITÉ-CODE DE CONDUITE)
INFORMATIQUE PRIVACY BY DESIGN/DEFAULT SECURITE DE L'INFORMATION IAM CODE DE CONDUITE ICT DOCUMENTATION DES PROGRAMMES DROIT D'ACCES DROIT A L'OUBLI CC81
ORGANISATION ANALYSE DE RISQUES ARCHIVAGE DIGITAL GESTION DE PROJET CHANGE MANAGEMENT REGISTRE DE TRAITEMENT COMMUNICATION DE CRISE (DATA BREACH) FORMATION
INTÉRÊT LEGITIME ?CONSIDÉRANT 47 .Les intérêts légitimes d'un responsable du traitement, y compris ceux d'un responsable du traitement à qui les données à caractère personnel peuvent être communiquées, ou d'un tiers peuvent constituer une base juridique pour le traitement, à moins que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent, compte tenu des attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable du traitement. Un tel intérêt légitime pourrait, par exemple, exister lorsqu'il existe une relation pertinente et appropriée entre la personne concernée et le responsable du traitement dans des situations telles que celles où la personne concernée est un client du responsable du traitement ou est à son service. En tout état de cause, l'existence d'un intérêt légitime devrait faire l'objet d'une évaluation attentive, notamment afin de déterminer si une personne concernée peut raisonnablement s'attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l'objet d'un traitement à une fin donnée. Les intérêts et droits fondamentaux de la personne concernée pourraient, en particulier, prévaloir sur l'intérêt du responsable du traitement lorsque des données à caractère personnel sont traitées dans des circonstances où les personnes concernées ne s'attendent raisonnablement pas à un traitement ultérieur.
En deux mots…
27
• Le GDPR est un règlement européen concernant la protection des données personnelles
• Il s'impose aux entreprises et au secteur public
UNE DONNÉE PERSONNELLE ?
30
toute information se rapportant à une personne physique identifiée ou
identifiable (ci-après dénommée «personne concernée»);
est réputée être une «personne physique identifiable» une personne physique
qui peut être identifiée, directement ou indirectement, notamment par
référence à un identifiant, tel qu'un nom, un numéro d'identification, des
données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments
spécifiques propres à son identité physique, physiologique, génétique,
psychique, économique, culturelle
TRAITEMENT DE DONNEES
31
. toute opération ou tout ensemble d'opérations effectuées ou non à
l'aide de procédés automatisés et appliquées à des données ou des
ensembles de données à caractère personnel, telles que la collecte,
l'enregistrement, l'organisation, la structuration, la conservation,
l'adaptation ou la modification, l'extraction, la consultation, l'utili
sation, la communication par transmission, la diffusion ou toute autre
forme de mise à disposition, le rapprochement ou l'interconnexion, la
limitation, l'effacement ou la destruction;
RESPONSABLE DE TRAITEMENT
32
. la personne physique ou morale, l'autorité publique, le service
ou un autre organisme qui, seul ou conjointement avec d'autres,
détermine les finalités et les moyens du traitement; lorsque les
finalités et les moyens de ce traitement sont déterminés par le
droit de l'Union ou le droit d'un État membre, le responsable du
traitement peut être désigné ou les critères spécifiques
applicables à sa désignation peuvent être prévus par le droit de
l'Union ou par le droit d'un État membre;
SOUS-TRAITANT
33
. la personne physique ou morale, l'autorité publique, le
service ou un autre organisme qui traite des données à
caractère personnel pour le compte du responsable du
traitement;
VIOLATION DE DONNEES
34
une violation de la sécurité entraînant, de manière accidentelle
ou illicite, la destruction, la perte, l'altération, la divulgation
non autorisée de données à caractère personnel transmises,
conservées ou traitées d'une autre manière, ou l'accès non
autorisé à de telles données;
CONSÉQUENCES:
NOTIFICATION PUBLIQUE !!
H. Les 12 grands principes du GDPR Vont-ils tuer le marketing digital?
35
1. Responsabilité-«accountability»2. Droitdelapersonneconcernée(client,employé,citoyen)3. Privacybydesign4. Sécuritédesdonnées5. Notificationdesvols/pertesdedonnées6. Sanctionsimportantes7. Gestiondesaccèsauxdonnées(IAM)8. Licéitédestraitements(réglementationouconsentement)9. Registredestraitements10.AnalysederisquesetPIA11.Formation12.Dataprivacyofficer
EN PRATIQUE:
L'APD débarque suite à une plainte, une dénonciation, d'un consommateur, d'un concurrent…
Que faites-vous? Que pouvez-vous leur montrer? Qu'avez-vous préparé? Comment se préparer? Quel type de plainte? Quid vol de données? … c'est ça l'accountability
2/ DROIT DE LA PERSONNE
43
TRANSPARENCE INFORMATIONS LORS DE LA COLLECTE DROIT D'ACCES DROIT DE RECTIFICATION DROIT A L'EFFACEMENT DROIT A LA LIMITATION DU TRAITEMENT PORTABILITE DROIT D'OPPOSITION AU PROFILAGE
Ca a l'air simple…
Droits d'accès à… tout Depuis longtemps Dans toutes les bases de données Preuve du consentement De tout ce qui dépend du RDT Imaginez un ministère, un annonceur multi-marques et donc
nécessité de programmes de détection de développement
ou pas… analyse de risques
Ne pas oublier Plan de sécurité de l'information Archivage Destruction des données ISO 2700X audit de sécurité Test de pénétration, …
Préparer la communication de crise
1/ dans quels cas doit-on prévenir l'APD? 2/ Si on prévient l'APD et après?
GESTION DES PROFILS
NEED TO HAVE ACCESS !!
La question qui tue:
puis-je voir votre procédure de gestion des profils et la documentation quant aux besoins d'accès?
UNE FICHE BIEN UTILE
NOM ET COORDONNEES DU RESPONSABLE DE TRAITEMENT FINALITES DU TRAITEMENT CATÉGORIES DE PERSONNES CONCERNEES CATEGORIE DE DESTINATAIRES PAYS TIERS DELAIS D'EFFACEMENT MESURES DE SECURITE TECHNIQUES ET ORGANISATIONELLES
MÉTHODOLOGIE
Proof Of Concept RDT ou SST ? Attention=> log de non conformité lien vers les consentement, les décisions, les sources Le registre sert à se défendre !
Différents types de formation
Pas (encore) de formation "certifiante"
Sensibilisation de la direction (1h00) Formation de base du personnel (2h00) Quelques formation externes plus approfondies
3/5 jours Technofutur 6 jours ICHEC Formation continue Un an Infosafe/Datasafe (ICHEC-UNAMUR-CRIDS) …
Formation pour registre (1/2 jour) Formation privacy by design (1 jour) Formation DPO/chef de projet GDPR
4 fonctions différentes !!
GDPR Sécuritédel’information
Conseil DataPrivacyOfficer(DPO) InformationSecurityAdvisor(ISA)
Miseenœuvre ChefdeprojetGDPRoucorrespondantGDPRdansles
diversdépartements
Responsabledelasécuritédessystèmesd’information
(RSSI)
Indépendance rapporter à >< hiérarchie description de fonction conflit d'intérêt interne ou DPOaaS mutualisation
SOURCES• https://www.slideshare.net/TrishMcGinity/csa-privacy-by-design-amp-gdpr-austin-chambers-11417?
qid=b15cffa4-6e24-40ca-8c3b-7230dd1cae30&v=&b=&from_search=1#
• https://www.slideshare.net/mactvdp/training-privacy-by-design?qid=c5022dbe-afbd-4905-aba4-1a92b1382de1&v=&b=&from_search=3
• `https://ico.org.uk/for-organisations/guide-to-data-protection/privacy-by-design/
• https://www.bdb-law.co.uk/blogs/no-blogs/conducting-a-privacy-impact-assessment-the-what-the-why-and-the-how/
• https://www.slideshare.net/DragonBe/privacy-by-design-82454527?qid=2ba69b5e-bf28-40f4-b1ec-fc8328355fec&v=&b=&from_search=4
• https://www.slideshare.net/markieturbo/advantages-of-privacy-by-design-in-ioe?qid=f2e5fc34-f946-4fd4-bace-c3fc244a8b7e&v=&b=&from_search=8
• https://www.slideshare.net/feyeleanor/dont-ask-dont-tell-the-virtues-of-privacy-by-design?qid=1b0459a2-a969-467b-947d-6a0e3304f432&v=&b=&from_search=14
• https://www.slideshare.net/kristyngreenwood/privacy-by-design-white-papaer?qid=1b0459a2-a969-467b-947d-6a0e3304f432&v=&b=&from_search=17