Download - Le GD¨R en pratique
![Page 1: Le GD¨R en pratique](https://reader031.vdocuments.pub/reader031/viewer/2022021923/5a647e887f8b9a4c568b49a3/html5/thumbnails/1.jpg)
GDPR-RGPD en pratique
Ca a l'air simple… au début
![Page 2: Le GD¨R en pratique](https://reader031.vdocuments.pub/reader031/viewer/2022021923/5a647e887f8b9a4c568b49a3/html5/thumbnails/2.jpg)
Jacques Folon, Ph.D.
Partner & GDPR Director Edge Consulting
DPO externe
Professeur Ichec
Me. de Conf .Université de Liège
Prof. Inv. Université Saint Louis
Prof. inv. Université de Lorraine
Prof. inv. ESC School of Business (Rennes)
Coach pour startups - Creative Wallonia
Keynote speaker
Derniers livres le printemps numérique
Internet et vie privée
management et RH 2.0
![Page 3: Le GD¨R en pratique](https://reader031.vdocuments.pub/reader031/viewer/2022021923/5a647e887f8b9a4c568b49a3/html5/thumbnails/3.jpg)
LE GDPR EN PRATIQUE LA RUEE VERS L'OR DES CONSULTANTS,
DES AVOCATS, DES SPECIALISTES EN SECURITE,…
![Page 4: Le GD¨R en pratique](https://reader031.vdocuments.pub/reader031/viewer/2022021923/5a647e887f8b9a4c568b49a3/html5/thumbnails/4.jpg)
4
A.CONTEXTE POLITIQUE DU GDPR B.RAPPEL QUELQUES DEFINITIONS C.RAPPEL DES 12 GRANDS PRINCIPES D.PRIVACY BY DESIGN E.RIGHTS OF THE DATA SUBJECT F.Final tips G.Q & A
![Page 5: Le GD¨R en pratique](https://reader031.vdocuments.pub/reader031/viewer/2022021923/5a647e887f8b9a4c568b49a3/html5/thumbnails/5.jpg)
A : CONTEXTE
5
![Page 6: Le GD¨R en pratique](https://reader031.vdocuments.pub/reader031/viewer/2022021923/5a647e887f8b9a4c568b49a3/html5/thumbnails/6.jpg)
![Page 7: Le GD¨R en pratique](https://reader031.vdocuments.pub/reader031/viewer/2022021923/5a647e887f8b9a4c568b49a3/html5/thumbnails/7.jpg)
![Page 8: Le GD¨R en pratique](https://reader031.vdocuments.pub/reader031/viewer/2022021923/5a647e887f8b9a4c568b49a3/html5/thumbnails/8.jpg)
Data breaches
![Page 9: Le GD¨R en pratique](https://reader031.vdocuments.pub/reader031/viewer/2022021923/5a647e887f8b9a4c568b49a3/html5/thumbnails/9.jpg)
Disastrous data breaches
![Page 10: Le GD¨R en pratique](https://reader031.vdocuments.pub/reader031/viewer/2022021923/5a647e887f8b9a4c568b49a3/html5/thumbnails/10.jpg)
So it is a real threat !
![Page 11: Le GD¨R en pratique](https://reader031.vdocuments.pub/reader031/viewer/2022021923/5a647e887f8b9a4c568b49a3/html5/thumbnails/11.jpg)
![Page 12: Le GD¨R en pratique](https://reader031.vdocuments.pub/reader031/viewer/2022021923/5a647e887f8b9a4c568b49a3/html5/thumbnails/12.jpg)
En deux mots…
12
• Le GDPR est un règlement européen concernant la protection des données personnelles
• Il s'impose aux entreprises et au secteur public
![Page 13: Le GD¨R en pratique](https://reader031.vdocuments.pub/reader031/viewer/2022021923/5a647e887f8b9a4c568b49a3/html5/thumbnails/13.jpg)
13
MAY 2018
![Page 14: Le GD¨R en pratique](https://reader031.vdocuments.pub/reader031/viewer/2022021923/5a647e887f8b9a4c568b49a3/html5/thumbnails/14.jpg)
B : RAPPEL QUELQUES DEFINITIONS…
14
![Page 15: Le GD¨R en pratique](https://reader031.vdocuments.pub/reader031/viewer/2022021923/5a647e887f8b9a4c568b49a3/html5/thumbnails/15.jpg)
UNE DONNÉE PERSONNELLE ?
15
toute information se rapportant à une personne physique identifiée ou
identifiable (ci-après dénommée «personne concernée»);
est réputée être une «personne physique identifiable» une personne physique
qui peut être identifiée, directement ou indirectement, notamment par
référence à un identifiant, tel qu'un nom, un numéro d'identification, des
données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments
spécifiques propres à son identité physique, physiologique, génétique,
psychique, économique, culturelle
![Page 16: Le GD¨R en pratique](https://reader031.vdocuments.pub/reader031/viewer/2022021923/5a647e887f8b9a4c568b49a3/html5/thumbnails/16.jpg)
TRAITEMENT DE DONNEES
16
. toute opération ou tout ensemble d'opérations effectuées ou non à
l'aide de procédés automatisés et appliquées à des données ou des
ensembles de données à caractère personnel, telles que la collecte,
l'enregistrement, l'organisation, la structuration, la conservation,
l'adaptation ou la modification, l'extraction, la consultation, l'utili
sation, la communication par transmission, la diffusion ou toute autre
forme de mise à disposition, le rapprochement ou l'interconnexion, la
limitation, l'effacement ou la destruction;
![Page 17: Le GD¨R en pratique](https://reader031.vdocuments.pub/reader031/viewer/2022021923/5a647e887f8b9a4c568b49a3/html5/thumbnails/17.jpg)
RESPONSABLE DE TRAITEMENT
17
. la personne physique ou morale, l'autorité publique, le service
ou un autre organisme qui, seul ou conjointement avec d'autres,
détermine les finalités et les moyens du traitement; lorsque les
finalités et les moyens de ce traitement sont déterminés par le
droit de l'Union ou le droit d'un État membre, le responsable du
traitement peut être désigné ou les critères spécifiques
applicables à sa désignation peuvent être prévus par le droit de
l'Union ou par le droit d'un État membre;
![Page 18: Le GD¨R en pratique](https://reader031.vdocuments.pub/reader031/viewer/2022021923/5a647e887f8b9a4c568b49a3/html5/thumbnails/18.jpg)
SOUS-TRAITANT
18
. la personne physique ou morale, l'autorité publique, le
service ou un autre organisme qui traite des données à
caractère personnel pour le compte du responsable du
traitement;
![Page 19: Le GD¨R en pratique](https://reader031.vdocuments.pub/reader031/viewer/2022021923/5a647e887f8b9a4c568b49a3/html5/thumbnails/19.jpg)
VIOLATION DE DONNEES
19
une violation de la sécurité entraînant, de manière accidentelle
ou illicite, la destruction, la perte, l'altération, la divulgation
non autorisée de données à caractère personnel transmises,
conservées ou traitées d'une autre manière, ou l'accès non
autorisé à de telles données;
CONSÉQUENCES:
NOTIFICATION PUBLIQUE !!
![Page 20: Le GD¨R en pratique](https://reader031.vdocuments.pub/reader031/viewer/2022021923/5a647e887f8b9a4c568b49a3/html5/thumbnails/20.jpg)
C : Les 12 grands principes du GDPR
20
1. Responsabilité-«accountability»2. Droitducitoyenetducollaborateur(RH)3. Privacybydesign4. Sécuritédesdonnées5. Notificationdesvols/pertesdedonnées6. Sanctionsimportantes7. Gestiondesaccèsauxdonnées(IAM)8. Licéitédestraitements(réglementationouconsentement)9. Registredestraitements10.AnalysederisquesetPIA11.Formation12.Dataprivacyofficer
![Page 21: Le GD¨R en pratique](https://reader031.vdocuments.pub/reader031/viewer/2022021923/5a647e887f8b9a4c568b49a3/html5/thumbnails/21.jpg)
1/ ACCOUNTABILITY
21
![Page 22: Le GD¨R en pratique](https://reader031.vdocuments.pub/reader031/viewer/2022021923/5a647e887f8b9a4c568b49a3/html5/thumbnails/22.jpg)
ACCOUNTABILITY ?
![Page 23: Le GD¨R en pratique](https://reader031.vdocuments.pub/reader031/viewer/2022021923/5a647e887f8b9a4c568b49a3/html5/thumbnails/23.jpg)
EN PRATIQUE:
L'APD débarque suite à une plainte, une dénonciation…
Que faites-vous? Que pouvez-vous leur montrer? Qu'avez-vous préparé? Comment se préparer? Quel type de plainte? Quid vol de données? … c'est ça l'accountability
![Page 24: Le GD¨R en pratique](https://reader031.vdocuments.pub/reader031/viewer/2022021923/5a647e887f8b9a4c568b49a3/html5/thumbnails/24.jpg)
2/ DROIT DE LA PERSONNE
24
TRANSPARENCE INFORMATIONS LORS DE LA COLLECTE DROIT D'ACCES DROIT DE RECTIFICATION DROIT A L'EFFACEMENT DROIT A LA LIMITATION DU TRAITEMENT PORTABILITE DROIT D'OPPOSITION AU PROFILAGE
![Page 25: Le GD¨R en pratique](https://reader031.vdocuments.pub/reader031/viewer/2022021923/5a647e887f8b9a4c568b49a3/html5/thumbnails/25.jpg)
![Page 26: Le GD¨R en pratique](https://reader031.vdocuments.pub/reader031/viewer/2022021923/5a647e887f8b9a4c568b49a3/html5/thumbnails/26.jpg)
Ca a l'air simple…
Droits d'accès à… tout Depuis longtemps Dans toutes les bases de données De tout ce qui dépend du RDT Imaginez un ministère, la ville de Bruxelles,…
et donc
nécessité de programmes de détection de développement
ou pas analyse de risques
![Page 27: Le GD¨R en pratique](https://reader031.vdocuments.pub/reader031/viewer/2022021923/5a647e887f8b9a4c568b49a3/html5/thumbnails/27.jpg)
3.PRIVACYBYDESIGNMEANSTHINKPRIVACYFIRST!
![Page 28: Le GD¨R en pratique](https://reader031.vdocuments.pub/reader031/viewer/2022021923/5a647e887f8b9a4c568b49a3/html5/thumbnails/28.jpg)
3/ PRIVACY BY DESIGN
28
![Page 29: Le GD¨R en pratique](https://reader031.vdocuments.pub/reader031/viewer/2022021923/5a647e887f8b9a4c568b49a3/html5/thumbnails/29.jpg)
![Page 30: Le GD¨R en pratique](https://reader031.vdocuments.pub/reader031/viewer/2022021923/5a647e887f8b9a4c568b49a3/html5/thumbnails/30.jpg)
![Page 31: Le GD¨R en pratique](https://reader031.vdocuments.pub/reader031/viewer/2022021923/5a647e887f8b9a4c568b49a3/html5/thumbnails/31.jpg)
4/SECURITE DE L'INFORMATION
31
![Page 32: Le GD¨R en pratique](https://reader031.vdocuments.pub/reader031/viewer/2022021923/5a647e887f8b9a4c568b49a3/html5/thumbnails/32.jpg)
Mesures techniques et organisationnelles
![Page 33: Le GD¨R en pratique](https://reader031.vdocuments.pub/reader031/viewer/2022021923/5a647e887f8b9a4c568b49a3/html5/thumbnails/33.jpg)
Concrètement ca veut dire quoi?
![Page 34: Le GD¨R en pratique](https://reader031.vdocuments.pub/reader031/viewer/2022021923/5a647e887f8b9a4c568b49a3/html5/thumbnails/34.jpg)
Ne pas oublier Plan de sécurité de l'information Archivage Destruction des données ISO 2700X audit de sécurité Test de pénétration, …
![Page 35: Le GD¨R en pratique](https://reader031.vdocuments.pub/reader031/viewer/2022021923/5a647e887f8b9a4c568b49a3/html5/thumbnails/35.jpg)
DON'T FORGET THE HUMAN
![Page 36: Le GD¨R en pratique](https://reader031.vdocuments.pub/reader031/viewer/2022021923/5a647e887f8b9a4c568b49a3/html5/thumbnails/36.jpg)
5/ NOTIFICATION DES VOLS/PERTES
36
![Page 37: Le GD¨R en pratique](https://reader031.vdocuments.pub/reader031/viewer/2022021923/5a647e887f8b9a4c568b49a3/html5/thumbnails/37.jpg)
Préparer la communication de crise
1/ dans quels cas doit-on prévenir l'APD? 2/ Si on prévient l'APD et après?
![Page 38: Le GD¨R en pratique](https://reader031.vdocuments.pub/reader031/viewer/2022021923/5a647e887f8b9a4c568b49a3/html5/thumbnails/38.jpg)
6/ SANCTIONS
38
![Page 39: Le GD¨R en pratique](https://reader031.vdocuments.pub/reader031/viewer/2022021923/5a647e887f8b9a4c568b49a3/html5/thumbnails/39.jpg)
7/ IAM (GESTION DES ACCÈS)
39
![Page 40: Le GD¨R en pratique](https://reader031.vdocuments.pub/reader031/viewer/2022021923/5a647e887f8b9a4c568b49a3/html5/thumbnails/40.jpg)
To be continued Voir les cours à ce sujet
La question qui tue: puis-je voir votre procédure de gestion des profils et la documentation quant aux besoins d'accès?
![Page 41: Le GD¨R en pratique](https://reader031.vdocuments.pub/reader031/viewer/2022021923/5a647e887f8b9a4c568b49a3/html5/thumbnails/41.jpg)
8/ LICEITE
41
![Page 42: Le GD¨R en pratique](https://reader031.vdocuments.pub/reader031/viewer/2022021923/5a647e887f8b9a4c568b49a3/html5/thumbnails/42.jpg)
Secteur public Quelle est la règle légale qui nous autorise à effectuer ce traitement?
![Page 43: Le GD¨R en pratique](https://reader031.vdocuments.pub/reader031/viewer/2022021923/5a647e887f8b9a4c568b49a3/html5/thumbnails/43.jpg)
Consentement ? privacy policy? Preuve du consentement?
![Page 44: Le GD¨R en pratique](https://reader031.vdocuments.pub/reader031/viewer/2022021923/5a647e887f8b9a4c568b49a3/html5/thumbnails/44.jpg)
9/ REGISTRE DES TRAITEMENTS
44
![Page 45: Le GD¨R en pratique](https://reader031.vdocuments.pub/reader031/viewer/2022021923/5a647e887f8b9a4c568b49a3/html5/thumbnails/45.jpg)
Méthode:
POC RDT ou SST ? Fiche APD Attention=> log de non conformité lien vers les consentement, les décisions, les sources le registre sert à se défendre !
![Page 46: Le GD¨R en pratique](https://reader031.vdocuments.pub/reader031/viewer/2022021923/5a647e887f8b9a4c568b49a3/html5/thumbnails/46.jpg)
10/ ANALYSE DE RISQUES /PIA
46
![Page 47: Le GD¨R en pratique](https://reader031.vdocuments.pub/reader031/viewer/2022021923/5a647e887f8b9a4c568b49a3/html5/thumbnails/47.jpg)
Quand ? Utile même si pas
indispensable Permet de se poser les bonnes
questions Bon sens
![Page 48: Le GD¨R en pratique](https://reader031.vdocuments.pub/reader031/viewer/2022021923/5a647e887f8b9a4c568b49a3/html5/thumbnails/48.jpg)
11/ FORMATIONS
48
![Page 49: Le GD¨R en pratique](https://reader031.vdocuments.pub/reader031/viewer/2022021923/5a647e887f8b9a4c568b49a3/html5/thumbnails/49.jpg)
Différents types de formation
Pas (encore) de formation certifiante Sensibilisation de la direction (1h00) Formation de base du personnel (2h00) Formation approfondie (5/6 jours ou… Datasafe) Formation pour registre (1/2 jour) Formation privacy by design (1 jour) Formation DPO/chef de projet GDPR
![Page 50: Le GD¨R en pratique](https://reader031.vdocuments.pub/reader031/viewer/2022021923/5a647e887f8b9a4c568b49a3/html5/thumbnails/50.jpg)
12/ DATA PRIVACY OFFICER
50
![Page 51: Le GD¨R en pratique](https://reader031.vdocuments.pub/reader031/viewer/2022021923/5a647e887f8b9a4c568b49a3/html5/thumbnails/51.jpg)
4 fonctions différentes !!
GDPR Sécuritédel’information
Conseil DataPrivacyOfficer(DPO) Information Security Advisor(ISA)
Miseenœuvre Chef de projet GDPR oucorrespondantGDPRdans lesdiversdépartements
Responsabledelasécuritédessystèmesd’information(RSSI)
![Page 52: Le GD¨R en pratique](https://reader031.vdocuments.pub/reader031/viewer/2022021923/5a647e887f8b9a4c568b49a3/html5/thumbnails/52.jpg)
Indépendance rapporter à >< hiérarchie description de fonction conflit d'intérêt interne ou DPOaaS mutualisation
![Page 53: Le GD¨R en pratique](https://reader031.vdocuments.pub/reader031/viewer/2022021923/5a647e887f8b9a4c568b49a3/html5/thumbnails/53.jpg)
Last words
![Page 54: Le GD¨R en pratique](https://reader031.vdocuments.pub/reader031/viewer/2022021923/5a647e887f8b9a4c568b49a3/html5/thumbnails/54.jpg)
SOURCES• https://www.slideshare.net/TrishMcGinity/csa-privacy-by-design-amp-gdpr-austin-chambers-11417?
qid=b15cffa4-6e24-40ca-8c3b-7230dd1cae30&v=&b=&from_search=1#
• https://www.slideshare.net/mactvdp/training-privacy-by-design?qid=c5022dbe-afbd-4905-aba4-1a92b1382de1&v=&b=&from_search=3
• `https://ico.org.uk/for-organisations/guide-to-data-protection/privacy-by-design/
• https://www.bdb-law.co.uk/blogs/no-blogs/conducting-a-privacy-impact-assessment-the-what-the-why-and-the-how/
• https://www.slideshare.net/DragonBe/privacy-by-design-82454527?qid=2ba69b5e-bf28-40f4-b1ec-fc8328355fec&v=&b=&from_search=4
• https://www.slideshare.net/markieturbo/advantages-of-privacy-by-design-in-ioe?qid=f2e5fc34-f946-4fd4-bace-c3fc244a8b7e&v=&b=&from_search=8
• https://www.slideshare.net/feyeleanor/dont-ask-dont-tell-the-virtues-of-privacy-by-design?qid=1b0459a2-a969-467b-947d-6a0e3304f432&v=&b=&from_search=14
• https://www.slideshare.net/kristyngreenwood/privacy-by-design-white-papaer?qid=1b0459a2-a969-467b-947d-6a0e3304f432&v=&b=&from_search=17
![Page 55: Le GD¨R en pratique](https://reader031.vdocuments.pub/reader031/viewer/2022021923/5a647e887f8b9a4c568b49a3/html5/thumbnails/55.jpg)
55