Téléchargé 22 fois
Téléchargé parProf. Jacques Folon (Ph.D)
Ifc jour 1 dpo
Le document présente des informations détaillées sur les exigences du RGPD, incluant la gestion des données personnelles et les rôles des différents acteurs tels que le DPO. Il aborde les droits des personnes, les mesures de sécurité, et souligne l'importance de la transparence et de la documentation dans le processus de conformité. Enfin, il met en avant la nécessité d'une approche intégrée de la sécurité de l'information et de la protection des données dès la conception des systèmes.
Contenu connexe
Plus de Prof. Jacques Folon (Ph.D)
Ifc jour 1 dpo
- 2. GRAPHICBULB 2 Prof. Jacques Folon,Ph.D. Professor DPO GDPR Director CEO jacques.folon@ichec.be linkedin.com/in/folon Trafic, Ichec, JPCR, Reflex, CMI,… SPF Finances, Police fédérale, CIRB, L’Oréal, Province de Hainaut,…
- 3.
- 4. Question existentielle ! Qu’est-cequi fait partie du RGPD et n’est pas concerné par la sécurité de l’information ? Qu’est-ce qui fait partie de la sécurité de l’information et n’est pas concerné par le RGPD?
- 5. Un petit résumé ? TER R ITO R IA LSC O PE Non-EUEstablishedO rganizations O ffergoods or ser vices or engaging in m onitoring within the EU . PER SO NA LD A TA SENSITIVED A TA ENFO R C EM ENT LA W FU LPR O C ESSING C O NSENT R ESPO NSIB ILITIESO FD A TAC O NTR O LLER SA NDPR O C ESSO R S R IG H TSO FD A TASU B JEC TS Transparency Purpose Specificationand M inim ization A ccess and R ectification A utom ated D ecision- M aking R ightto D ata Portability R ightto Erasure D A TAB R EA C HNO TIFIC A TIO N D ataProtection O fficer (D PO ) D ata Protectionby D esign INTER NA TIO NA LD A TATR A NSFER D ataIm pact A ssessm ent R ecordof D ata ProcessingA ctivities TH EPLA YER S D ata Subjects D ataC ontrollers D ata Processors Supervisory A uthorities Identified Identifiable R acial or EthnicO rigin R eligious or Philosophical B eliefs H ealth Trade U nion M em bership Sex Life Political O pinions B iom etric D ata G enetic D ata “R ight not to be subject to a decision basedsolely on autom atedprocessing, including profiling.” Apersonal databreachis “abr each of security leading to the accidental or unlawful destr uction,loss,alter ation, unauthorized disclosure of,or access to,personal datatransm itted,storedor otherwise processed.” C ollection and processing of per sonal datam ust be for “specified,explicit and legitim ate purposes” – withconsent of datasubject or necessar y for C onsent m ust be freely given,specific, infor m ed,and unam biguous. M odel C ontractual C lauses Privacy Shield B inding C orporate R ules (B C R s) A dequate Level of D ataProtection If likely to result in ahighprivacy r isk notify datasubjects Notify super visory authorities no later than 72hour s after discovery. U pto 20 m illion euros or 4%of total annual worldwide turnover . Less serious violations: U pto 10m illion euros or 2%of total annual worldwide turnover. EUEstablishm ents M aintain adocum ented r egister of all activities involving processing of EU per sonal data. built in starting at the beginning of the design process D esignate D POif core activity involves r egular m onitoring or processing large quantities of per sonal data.. For highr isk situations www.teachpr iv acy.com GDPR W orkforce aw areness trainingbyProf.D aniel J.Solove • perform ance of a contr act • com pliance with alegal obligation • to pr otect aperson’s vital interests • taskin the public interest • legitim ate inter ests Effective Judicial R em edies: com pensation for m ater ial and non-m aterial harm . Fines Security Please askperm issionto reuse or distribute
- 6. Exercice introductif Imaginez quel’APD vous annonce sa visite suite à une plainte. Comment et que préparez-vous?
- 7. Vous devez être capablede démontrer que vous êtes en règle par rapport au RGPD
- 8. Il n’existe pasde certification GDPR NI DPO
- 10. Il n’existe pasde certification GDPR NI DPO
- 11. 1. Le but:le dossier GDPR 2. DPO or not DPO? 3. Les décisions de la direction 4. La partie visible d’abord 5. La partie risquée d’abord 6. Je ne veux pas être sous-traitant 7. Les DB existantes 8. Les droits des personnes 9. Les mesures techniques 10. Les mesures organisationnelles 11. Les RH 12. Les DPIA 13. Le registre 14. Le Dossier RGPD
- 12. But à atteindre •avoir un dossier complet • Obligation de moyen • La sécurité de l’information en fait partie • Et la compliance est comprise dans ISO27002
- 13. Principe de transparence! Le dossier RGPD ne sera jamais fini !
- 14. 1. Le but:le dossier GDPR 2. DPO or not DPO? 3. Les décisions de la direction 4. La partie visible d’abord 5. La partie risquée d’abord 6. Je ne veux pas être sous-traitant 7. Les DB existantes 8. Les droits des personnes 9. Les mesures techniques 10. Les mesures organisationnelles 11. Les RH 12. Les DPIA 13. Le registre 14. Le Dossier RGPD
- 15. Jacques Folon -2019
- 16. Les autres rôleset fonctions 0 6 - 0 4 - 2 2 ROLE RGPD INFOSEC CONSEIL DPO CONSEIL => DPO (RN) OPÉRATIONNEL CHEF DE PROJET RSSI
- 18. • Soutien dela direction • Description de fonction • Certification ? • Plan d’actions • Chef de projet • Correspondants RGPD • Avis et recommandations à la direction • Rapport annuel (Analyse-bilan-plan) • KPI
- 19. LE GDPR CAPEUT ETRE POSITIF MEILLEURE CONNAISSANCE DES PROCESSUS INTERNES
- 21. 1. Le but:le dossier GDPR 2. DPO or not DPO? 3. Les décisions de la direction 4. La partie visible d’abord 5. La partie risquée d’abord 6. Je ne veux pas être sous-traitant 7. Les DB existantes 8. Les droits des personnes 9. Les mesures techniques 10. Les mesures organisationnelles 11. Les RH 12. Les DPIA 13. Le registre 14. Le Dossier RGPD
- 22. • Le DPOne décide pas ! • QUID DU RSSI? • Décisions à prendre • Acter les décisions • Quid en cas de désaccord? • Exemples de décisions
- 23. 1. Le but:le dossier GDPR 2. DPO or not DPO? 3. Les décisions de la direction 4. La partie visible d’abord 5. La partie risquée d’abord 6. Je ne veux pas être sous-traitant 7. Les DB existantes 8. Les droits des personnes 9. Les mesures techniques 10. Les mesures organisationnelles 11. Les RH 12. Les DPIA 13. Le registre 14. Le Dossier RGPD
- 24. • Le siteInternet • Double opt-in • Conservation des accords (contrat, consentement) • Cookies • Marketing digital • La collecte des données papier • Bulletins d’inscriptions • Privacy policies (plusieurs !!!) • Collaboration DPO – ICT – RSSI nécessaire
- 25. CONSENTEMENT ET PREUVE NOTONLY CONTRAT INTÉRÊT LÉGITIME CONSENTEMENT
- 27. 1. Le but:le dossier GDPR 2. DPO or not DPO? 3. Les décisions de la direction 4. La partie visible d’abord 5. La partie risquée d’abord 6. Je ne veux pas être sous-traitant 7. Les DB existantes 8. Les droits des personnes 9. Les mesures techniques 10. Les mesures organisationnelles 11. Les RH 12. Les DPIA 13. Le registre 14. Le Dossier RGPD
- 28. • Données sensibles •RH • Secrets d’affaires • Identifier les départements à risques • On commence par sécuriser les worst case • Procédure en cas de vol/perte
- 29. 1. Le but:le dossier GDPR 2. DPO or not DPO? 3. Les décisions de la direction 4. La partie visible d’abord 5. La partie risquée d’abord 6. Je ne veux pas être sous-traitant 7. Les DB existantes 8. Les droits des personnes 9. Les mesures techniques 10. Les mesures organisationnelles 11. Les RH 12. Les DPIA 13. Le registre 14. Le Dossier RGPD
- 31. • Vous avezdes sous-traitants ? • Audit (gratuite ou payante) • Sous-traitants • Données • Finalités • DPIA • Si pas d’accords quant au statut? • Vous êtes sous-traitant?
- 33. 1. Le but:le dossier GDPR 2. DPO or not DPO? 3. Les décisions de la direction 4. La partie visible d’abord 5. La partie risquée d’abord 6. Je ne veux pas être sous-traitant 7. Les DB existantes 8. Les droits des personnes 9. Les mesures techniques 10. Les mesures organisationnelles 11. Les RH 12. Les DPIA 13. Le registre 14. Le Dossier RGPD
- 34. • Inventaire • Responsable(pour droit d’accès) • Shadow IT • Mise en conformité • Quantité vs qualité • Que met-on dans le dossier RGPD?
- 35. 1. Le but:le dossier GDPR 2. DPO or not DPO? 3. Les décisions de la direction 4. La partie visible d’abord 5. La partie risquée d’abord 6. Je ne veux pas être sous-traitant 7. Les DB existantes 8. Les droits des personnes 9. Les mesures techniques 10. Les mesures organisationnelles 11. Les RH 12. Les DPIA 13. Le registre 14. Le Dossier RGPD
- 36. 0 6 -0 4 - 2 2
- 37. Imaginez une demande Quefait-on ? Qui contacter? Comment répondre? Qui répond? Est-on certain de répondre en un mois?
- 38. PROTÉGEZ LES DONNÉESDE VOS CLIENTS ET MONTREZ LEUR QUE VOUS LE FAITES 3 8 TRANSPARENCE INFORMATIONS LORS DE LA COLLECTE DROIT D'ACCES DROIT DE RECTIFICATION DROIT A L'EFFACEMENT DROIT A LA LIMITATION DU TRAITEMENT PORTABILITE DROIT D'OPPOSITION AU PROFILAGE
- 39. 1. Le but:le dossier GDPR 2. DPO or not DPO? 3. Les décisions de la direction 4. La partie visible d’abord 5. La partie risquée d’abord 6. Je ne veux pas être sous-traitant 7. Les DB existantes 8. Les droits des personnes 9. Les mesures techniques 10. Les mesures organisationnelles 11. Les RH 12. Les DPIA 13. Le registre 14. Le Dossier RGPD
- 40. • Certification? • Plande sécurité? • Analyse de risques • Il faut une référence • Voir DPIA CNIL • Déclaration vs. Réalité • IAM ?
- 41. 5 Politiques desécurité de l’information 6 Organisation de la sécurité de l’information 7 La sécurité des ressources humaines 8 Gestion des actifs 9 Contrôle d’accès 10 Cryptographie 11 Sécurité physique et environnementale 12 Sécurité liée à l’exploitation 13 Sécurité des communications56 14 Acquisition, développement et maintenance des systèmes d’information 15 Relations avec les fournisseurs 72 16 Gestion des incidents liés à la sécurité de l’information 17 Aspects de la sécurité de l’information dans la gestion de la continuité de l’activité 18 Conformité Normes ISO 27002
- 42. • Norme ISO27001 et 27002 concernant les systèmes de management de la sécurité de l’information • Norme ISO 29100 (Privacy Framework) • Norme ISO 29134 sur les DPIA • Norme ISO 29151 sur les bonnes pratiques en matière de vie privée • Norme ISO 27018 sur les données personnelles et le cloud public • Norme ISO 29191 sur la cryptographie • Norme ISO 20889 sur les techniques d’anonymisation • Le guide Afnor sur la protection des données et les normes volontaires • Plusieurs documents concernent la protection des données au sein du Toolkit réalisé par l’ISO 27K Forum • Mapping between GDPR and ISO 27K qui met en relation les articles du RGPD avec la norme ISO 27002 • Le mapping entre la norme 27552 et le GDPR (annexe C de la norme 27552) • Mapping entre norme ISO 27552 et ISO 29100 (annexe D de la norme ISO 27552 • Mapping entre la norme ISO 27552, 27018 et 29151 (annexe E de la norme ISO 27552) • Il ne faudra pas négliger d’effectuer une veille concernant les évolutions des normes et codes of practices réalisés dans le cadre de l’ISO. A titre d’exemple, un certain nombre de travaux sont en cours et seront publiés postérieurement : • ISO/IEC 27555 — Information technology — Security techniques — Establishing a PII deletion concept in organizations • ISO/IEC AWI 27556 Information technology -- User-centric framework for the handling of personally identifiable information (PII) based on privacy preferences • ISO 31700: concernera le privacy by design des produits et services au consommateur • Les autr es nor mes ISO et documents utiles
- 43. Les trois élémentsde la gouvernance • Politique de sécurité • Plan de sécurité • Mesures de securité 0 6 - 0 4 - 2 2
- 44. Exemples • https://cirb.brussels/fr/fichiers/gouvernance-protection-des- donnees • https://www.autoriteprotectiondonnees.be/sites/privacycommissi on/files/documents/Richtsnoeren_CBPL_V%202%200%20FR_TR A.pdf •https://www.ssi.gouv.fr/guide/pssi-guide-delaboration-de- politiques-de-securite-des-systemes-dinformation/ Gouvernance de la sécurité 0 6 - 0 4 - 2 2
- 45. PRIVACY BY DESIGNMEANS THINK PRIVACY FIRST !
- 46. • Privacy bydesign? • Il faut documenter ! • Comment faire? • Comment le démontrer? • Comment convaincre les développeurs?
- 47.
- 49. NO THERE ARESOME BENEFITS
- 50. WHAT DOES ITMEANS ? IT IS FROM THE START TO THE END OF THE PROCESS
- 51. BUT DON'T FORGET…IT'S AN ITERATIVE PROCESS
- 52. DATA QUALITY ISESSENTIAL
- 53.
- 54. Look at theentire data lifecycle
- 55.
- 56.
- 57. PRIVACY POLICY ORREGULATION OR …
- 58.
- 59. No proven consentor regulation means…
- 60.
- 61.
- 63. 2.STORE • SECURITY • ENCRYPTION •AUTHENTICATION • AVAILABILITY • CONFIDENTIALITY • IAM
- 64.
- 65.
- 66.
- 67.
- 68.
- 69.
- 70.
- 71.
- 72.
- 73.
- 74. Encryption + intransit encryption !
- 75.
- 76.
- 77.
- 78. Could you detectdata leaks?
- 79.
- 80.
- 81. Identity Access Management(GESTION DES ACCÈS) 8 1
- 82. 8 2 Quelles sontles questions à se poser?? • Les personnes sont-elles ce qu’elles disent être?? • Sont-elles des membres réels de notre communauté ? • Ont-elles reçu les autorisations nécessaires ? • Le respect de leurs données personnelles est-il mis en place?
- 83. 8 3 Exemples dequestions • Quel mot type de mot de passe donner? • Quelles sont les activités autorisées? • Quelles sont les activités interdites? • A quelle catégorie de personne cette nouvelle identité doit-elle être attachée? • A quel moment du processus d’entrée les autorisations doivent-elles être données? • Quelles modalités de contrôle sont mises en place? • Peut-on prouver tout cela à un auditeur ? • Quid de l’e-discovery?
- 84. 1. Le but:le dossier GDPR 2. DPO or not DPO? 3. Les décisions de la direction 4. La partie visible d’abord 5. La partie risquée d’abord 6. Je ne veux pas être sous-traitant 7. Les DB existantes 8. Les droits des personnes 9. Les mesures techniques 10. Les mesures organisationnelles 11. Les RH 12. Les DPIA 13. Le registre 14. Le Dossier RGPD
- 85.
- 86. • Il yen a aussi dans la 27002 • Inventaire physique • RH • Formation • Charte informatique • Clauses de confidentialité • CC 81
- 87.
- 88. • le registredes incidents les décisions de la direction les raisons des choix les transferts à l’APD Le non transfert les droits d’accès …
- 89. 1. Le but:le dossier GDPR 2. DPO or not DPO? 3. Les décisions de la direction 4. La partie visible d’abord 5. La partie risquée d’abord 6. Je ne veux pas être sous-traitant 7. Les DB existantes 8. Les droits des personnes 9. Les mesures techniques 10. Les mesures organisationnelles 11. Les RH 12. Les DPIA 13. Le registre 14. Le Dossier RGPD
- 90. • Un bonpartenaire • Principe de transparence • CC 81 • Clauses de confidentialité • Charte informatique • Quid des syndicats? • Données sensibles
- 91. 1. Le but:le dossier GDPR 2. DPO or not DPO? 3. Les décisions de la direction 4. La partie visible d’abord 5. La partie risquée d’abord 6. Je ne veux pas être sous-traitant 7. Les DB existantes 8. Les droits des personnes 9. Les mesures techniques 10. Les mesures organisationnelles 11. Les RH 12. Les DPIA 13. Le registre 14. Le Dossier RGPD
- 92. • Outil dela CNIL • Comment faire? • Qui autour de la table? • On commence par quoi? • Actualisation?
- 93. 1. Le but:le dossier GDPR 2. DPO or not DPO? 3. Les décisions de la direction 4. La partie visible d’abord 5. La partie risquée d’abord 6. Je ne veux pas être sous-traitant 7. Les DB existantes 8. Les droits des personnes 9. Les mesures techniques 10. Les mesures organisationnelles 11. Les RH 12. Les DPIA 13. Le registre 14. Le Dossier RGPD
- 94. 9/ REGISTRE DESTRAITEMENTS 9 4
- 96. • Quel formatchoisir? • Comment faire? • Anticiper les simultanéités • Log de non-conformité • Méthode de classement • Il faut retrouver les preuves!
- 97. 1. Le but:le dossier GDPR 2. DPO or not DPO? 3. Les décisions de la direction 4. La partie visible d’abord 5. La partie risquée d’abord 6. Je ne veux pas être sous-traitant 7. Les DB existantes 8. Les droits des personnes 9. Les mesures techniques 10. Les mesures organisationnelles 11. Les RH 12. Les DPIA 13. Le registre 14. Le Dossier RGPD
- 98.
- 99. 99 COMMENT DÉMONTRER QU’ONEST EN RÈGLE? COMMENT RASSURER SES CLIENTS
- 100.
- 101. https://gdprfolder.eu © 2018 GDPRFOLDER.EUSPRL All Rights Reserved. 02 03 04 05 01 NOUVELLES LOIS NATIONALES JURISPRUDENCE NATIONALE ET EUROPÉENNE NOUVELLES PROCÉDURES ADLINISTRATIVES RECOMMANDATIONS DES AUTORITÉS DE PROTECTION DES DONNÉES NOUVELLES DIRECTIVES EUROPÉENNES Mises à jour permanentes Le GDPR n’en finit pas d’évoluer !
- 102.