le gd¨r en pratique

GDPR-RGPD en pratique

Ca a l'air simple… au début

Jacques Folon, Ph.D.

Partner & GDPR Director Edge Consulting

DPO externe

Professeur Ichec

Me. de Conf .Université de Liège

Prof. Inv. Université Saint Louis

Prof. inv. Université de Lorraine

Prof. inv. ESC School of Business (Rennes)

Coach pour startups - Creative Wallonia

Keynote speaker

Derniers livres le printemps numérique

Internet et vie privée

management et RH 2.0

LE GDPR EN PRATIQUE LA RUEE VERS L'OR DES CONSULTANTS,

DES AVOCATS, DES SPECIALISTES EN SECURITE,…

4

A.CONTEXTE POLITIQUE DU GDPR B.RAPPEL QUELQUES DEFINITIONS C.RAPPEL DES 12 GRANDS PRINCIPES D.PRIVACY BY DESIGN E.RIGHTS OF THE DATA SUBJECT F.Final tips G.Q & A

A : CONTEXTE

5

Data breaches

Disastrous data breaches

So it is a real threat !

En deux mots…

12

• Le GDPR est un règlement européen concernant la protection des données personnelles

• Il s'impose aux entreprises et au secteur public

13

MAY 2018

B : RAPPEL QUELQUES DEFINITIONS…

14

UNE DONNÉE PERSONNELLE ?

15

toute information se rapportant à une personne physique identifiée ou

identifiable (ci-après dénommée «personne concernée»);

est réputée être une «personne physique identifiable» une personne physique

qui peut être identifiée, directement ou indirectement, notamment par

référence à un identifiant, tel qu'un nom, un numéro d'identification, des

données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments

spécifiques propres à son identité physique, physiologique, génétique,

psychique, économique, culturelle

TRAITEMENT DE DONNEES

16

. toute opération ou tout ensemble d'opérations effectuées ou non à

l'aide de procédés automatisés et appliquées à des données ou des

ensembles de données à caractère personnel, telles que la collecte,

l'enregistrement, l'organisation, la structuration, la conservation,

l'adaptation ou la modification, l'extraction, la consultation, l'utili

sation, la communication par transmission, la diffusion ou toute autre

forme de mise à disposition, le rapprochement ou l'interconnexion, la

limitation, l'effacement ou la destruction;

RESPONSABLE DE TRAITEMENT

17

. la personne physique ou morale, l'autorité publique, le service

ou un autre organisme qui, seul ou conjointement avec d'autres,

détermine les finalités et les moyens du traitement; lorsque les

finalités et les moyens de ce traitement sont déterminés par le

droit de l'Union ou le droit d'un État membre, le responsable du

traitement peut être désigné ou les critères spécifiques

applicables à sa désignation peuvent être prévus par le droit de

l'Union ou par le droit d'un État membre;

SOUS-TRAITANT

18

. la personne physique ou morale, l'autorité publique, le

service ou un autre organisme qui traite des données à

caractère personnel pour le compte du responsable du

traitement;

VIOLATION DE DONNEES

19

une violation de la sécurité entraînant, de manière accidentelle

ou illicite, la destruction, la perte, l'altération, la divulgation

non autorisée de données à caractère personnel transmises,

conservées ou traitées d'une autre manière, ou l'accès non

autorisé à de telles données;

CONSÉQUENCES:

NOTIFICATION PUBLIQUE !!

C : Les 12 grands principes du GDPR

20

1. Responsabilité-«accountability»2. Droitducitoyenetducollaborateur(RH)3. Privacybydesign4. Sécuritédesdonnées5. Notificationdesvols/pertesdedonnées6. Sanctionsimportantes7. Gestiondesaccèsauxdonnées(IAM)8. Licéitédestraitements(réglementationouconsentement)9. Registredestraitements10.AnalysederisquesetPIA11.Formation12.Dataprivacyofficer

1/ ACCOUNTABILITY

21

ACCOUNTABILITY ?

EN PRATIQUE:

L'APD débarque suite à une plainte, une dénonciation…

Que faites-vous? Que pouvez-vous leur montrer? Qu'avez-vous préparé? Comment se préparer? Quel type de plainte? Quid vol de données? … c'est ça l'accountability

2/ DROIT DE LA PERSONNE

24

TRANSPARENCE INFORMATIONS LORS DE LA COLLECTE DROIT D'ACCES DROIT DE RECTIFICATION DROIT A L'EFFACEMENT DROIT A LA LIMITATION DU TRAITEMENT PORTABILITE DROIT D'OPPOSITION AU PROFILAGE

Ca a l'air simple…

Droits d'accès à… tout Depuis longtemps Dans toutes les bases de données De tout ce qui dépend du RDT Imaginez un ministère, la ville de Bruxelles,…

et donc

nécessité de programmes de détection de développement

ou pas analyse de risques

3.PRIVACYBYDESIGNMEANSTHINKPRIVACYFIRST!

3/ PRIVACY BY DESIGN

28

4/SECURITE DE L'INFORMATION

31

Mesures techniques et organisationnelles

Concrètement ca veut dire quoi?

Ne pas oublier Plan de sécurité de l'information Archivage Destruction des données ISO 2700X audit de sécurité Test de pénétration, …

DON'T FORGET THE HUMAN

5/ NOTIFICATION DES VOLS/PERTES

36

Préparer la communication de crise

1/ dans quels cas doit-on prévenir l'APD? 2/ Si on prévient l'APD et après?

6/ SANCTIONS

38

7/ IAM (GESTION DES ACCÈS)

39

To be continued Voir les cours à ce sujet

La question qui tue: puis-je voir votre procédure de gestion des profils et la documentation quant aux besoins d'accès?

8/ LICEITE

41

Secteur public Quelle est la règle légale qui nous autorise à effectuer ce traitement?

Consentement ? privacy policy? Preuve du consentement?

9/ REGISTRE DES TRAITEMENTS

44

Méthode:

POC RDT ou SST ? Fiche APD Attention=> log de non conformité lien vers les consentement, les décisions, les sources le registre sert à se défendre !

10/ ANALYSE DE RISQUES /PIA

46

Quand ? Utile même si pas

indispensable Permet de se poser les bonnes

questions Bon sens

11/ FORMATIONS

48

Différents types de formation

Pas (encore) de formation certifiante Sensibilisation de la direction (1h00) Formation de base du personnel (2h00) Formation approfondie (5/6 jours ou… Datasafe) Formation pour registre (1/2 jour) Formation privacy by design (1 jour) Formation DPO/chef de projet GDPR

12/ DATA PRIVACY OFFICER

50

4 fonctions différentes !!

GDPR Sécuritédel’information

Conseil DataPrivacyOfficer(DPO) Information Security Advisor(ISA)

Miseenœuvre Chef de projet GDPR oucorrespondantGDPRdans lesdiversdépartements

Responsabledelasécuritédessystèmesd’information(RSSI)

Indépendance rapporter à >< hiérarchie description de fonction conflit d'intérêt interne ou DPOaaS mutualisation

Last words

SOURCES• https://www.slideshare.net/TrishMcGinity/csa-privacy-by-design-amp-gdpr-austin-chambers-11417?

qid=b15cffa4-6e24-40ca-8c3b-7230dd1cae30&v=&b=&from_search=1#

• https://www.slideshare.net/mactvdp/training-privacy-by-design?qid=c5022dbe-afbd-4905-aba4-1a92b1382de1&v=&b=&from_search=3

• `https://ico.org.uk/for-organisations/guide-to-data-protection/privacy-by-design/

• https://www.bdb-law.co.uk/blogs/no-blogs/conducting-a-privacy-impact-assessment-the-what-the-why-and-the-how/

• https://www.slideshare.net/DragonBe/privacy-by-design-82454527?qid=2ba69b5e-bf28-40f4-b1ec-fc8328355fec&v=&b=&from_search=4

• https://www.slideshare.net/markieturbo/advantages-of-privacy-by-design-in-ioe?qid=f2e5fc34-f946-4fd4-bace-c3fc244a8b7e&v=&b=&from_search=8

• https://www.slideshare.net/feyeleanor/dont-ask-dont-tell-the-virtues-of-privacy-by-design?qid=1b0459a2-a969-467b-947d-6a0e3304f432&v=&b=&from_search=14

• https://www.slideshare.net/kristyngreenwood/privacy-by-design-white-papaer?qid=1b0459a2-a969-467b-947d-6a0e3304f432&v=&b=&from_search=17

55