View
548
Download
1
Category
Preview:
Citation preview
GDPR
(General Data Protection Regulation)
Jean-Michel TYSZKA
https://www.linkedin.com/in/jeanmicheltyszka/
Qu’est-ce que le GDPR ?
« Cette règlementation […] définit les droits des individus et
établit les obligations de ceux qui traitent et de ceux qui sont
responsables du traitement des données. Elle établit
également les méthodes permettant d’assurer la conformité
ainsi que la portée des sanctions qui pourraient être infligées
aux personnes qui ne respectent pas les règles. » *
* préambule de la page du Conseil Européen
Quand ?
Entrée en vigueur le 24 mai 2016
Applicable le 25 mai 2018
Mais :
Fin 2014, 52% des sondés ont répondu ne pas être prêts; 56% ne
savaient pas exactement à quoi correspond le sigle GDPR 1
En Sept 2015 : si 2/3 (69%) des professionnels de l’IT ont pris
consciences que le GDPR va impacter leur business, presque 1/5
(18%) n’ont toujours aucune idée quant à savoir s’ils seront impactés
Selon une étude récente moins de 10% des entreprises pensent être
prêtes à temps 2
1 Sondage Ipswitch réalisé fin 2014 sur 316 entreprises européennes
2 http://www.lexpress.fr/actualites/1/societe/donnees-personnelles-la-cnil-exhorte-les-societes-
a-se-preparer_1893219.html?socid=8a3ZW8qL
Portée & sanctions
Toute organisation localisée dans l’UE ou hors UE mais traitant
des données concernant un citoyen de l’UE
Principe de limitation de la collecte de données à caractère
personnel au minimum indispensable
Contrevenants s’exposent à de lourdes sanctions; max de :
4% du CA annuel mondial de l’exercice précédent
20 millions d’euros
Données à Caractère Personnel (DCP)
Etendue très large :
Identité individuelle : noms, prénoms, lieu / date de naissance, numéro de sécurité sociale, adresses (physique et électronique), numéro de téléphone, plaque d'immatriculation d'un véhicule, photo ou vidéo, etc…
Informations professionnelles : statut professionnel, salaire, etc…
Données bancaires & fiscales : N° carte bancaire, IBAN, situation fiscale, etc…
Vie personnelle : centres d’intérêt, cookies et autres traces internet, etc…
Localisation : tel que géolocalisation (GPS ou GSM), adresse IP, etc…
Données « sensibles » (nécessitant une attention particulière) :
Vie perso : origines raciales ou ethniques, habitudes de vie, préférences religieuses, philosophiques, politiques, syndicales, orientation sexuelle, etc…
Données médicales, génétiques, biométriques : empreintes digitales, ADN, etc…
Données légales : infractions, condamnations, etc…
Données concernant des mineurs.
Articles Emblématiques (1/4)
Droit d’accès aux données & à leur portabilité :
Droit de savoir si des données concernant l’individu font l’objet
de traitements et, le cas échéant, à quelle fin; droit d’en
connaitre leur source et leur durée de rétention prévue
Possibilité de demander à ce qu’elles soient rectifiées
Droit d’exiger d’en recevoir une copie sous un format « structuré,
couramment utilisé et lisible par machine »
L’individu pourra demander à une entreprise de transférer
directement ce fichier à une autre entreprise « lorsque cela est
techniquement possible »
Droit à l’oubli : les individus pourront demander au
responsable du traitement, pour peu que leur demande soit
légitime, de :
Supprimer leurs DCP définitivement de l’ensemble de ses
systèmes,
Cesser de les disséminer,
Demander, le cas échéant, aux entreprises tierces à qui il les aura
fournies, d’en cesser tout traitement
Le responsable du traitement aura 30 jours pour s’exécuter
Articles Emblématiques (2/4)
« Privacy by Design / Ethic by Design » : GDPR doit être pris en
compte, dès la conception et tout au long du cycle de vie
des produits et services
Mise en place par exemple de mesure telles que :
La minimisation des données : ne collecter que des données
adéquates, pertinentes et limitées à la finalité du traitement,
La pseudonymisation, anonymisation ou cryptage pour ne plus pouvoir associer des données à une personne physique sans avoir
recours à des informations supplémentaires,
La limitation de finalité et des durées de conservation
Ethique des algorithmes : les traitements ne devront en aucun
cas porter atteinte à la vie privée d’un individu
Articles Emblématiques (3/4)
Notification de violation :
Informer les autorités compétentes dans un délai max de 72H
suite à la détection d’une violation pour leur indiquer les
catégories de données, les enregistrements affectés et le nombre
approximatif de personnes concernées
Si la violation est susceptible d’engendrer un risque élevé, la
personne concernée devra en être informée dans les meilleurs
délais
Cette exigence est assortie d’une obligation de moyens en
termes de mise en place d’un niveau de sécurité adapté au
risque
Articles Emblématiques (4/4)
Risques inhérents à la mise en place du GDPR (1/5)
Harmonisation Européenne de la gestion des DCP mais les Etats
conservent le droit de modifier la portée de certains articles tels
que :
La licéité du traitement,
Le consentement obligatoire des enfants (13 ou 16 ans),
La définition du caractère « particulier » de certaines DCP,
La désignation d’autorités de contrôle nationales (La CNIL en
France), des moyens dont elles disposeront et des pouvoirs qu’elles
auront de faire appliquer le GDPR,
Les sanctions mêmes
Risque de concours au « moins disant » pour attirer les
entreprises sur le territoire national, mettant à mal cette
harmonisation
Mise en place/refonte des processus métiers :
Licéité du traitement : tout traitement portant sur une DCP doit
être licite et conforme à la ou aux finalité(s) pour la/les-quelle(s) la donnée a été collectée. En outre, le responsable du traitement
doit chercher à minimiser les données collectées.Quid des projets Big Data, machine learning ou deep learning ?
Consentement : obligation de conserver les consentements individuels: cela implique, outre les modification nécessaires à la
récolte et au stockage des infos, des traitements potentiellement
différenciés selon les individus.
Droit à l’oubli : Nécessite d’automatiser (1) le processus de prise en compte de ce droit à l’oubli et (2) celui de mise en
application
Risques inhérents à la mise en place du GDPR (2/5)
Mise en place/refonte des processus métiers
Droit de portabilité : Gros défi
Harmonisation des formats de transferts des DCP
Question de l’utilisation ultérieure des DCP par le 1er responsable
Quid des DCP « générées » non « communiquées » par la personne (facturation, trafic, localisation, IOT…) ?
Privacy by design : requiert une nouvelle gouvernance projet entre IT, juridique & opérationnel
Impacts sur l’organisation :
Revue des postes,
Nouvelles compétences,
Redéfinition du schéma directeur
Risques inhérents à la mise en place du GDPR (3/5)
Aspects Légaux :
Champ d'application territorial :
Concerne potentiellement les organisation hors UE : comment faire exécuter les décisions ?
Surtout si plusieurs responsables conjoints du traitement transnationaux ?
Responsabilité du responsable du traitement : estimation des
risques à leur juste valeur pour y répondre par des mesures
adaptées constituera un grand challenge
Risques inhérents à la mise en place du GDPR (4/5)
Aspects Juridiques :
Nouvelles règles d’entreprises contraignantes : il faut revoir les règles internes d’entreprise et les faire respecter
Sous-traitance : impose d’amender et adapter les contrats existants
Notification de violation de DCP :
Aux autorités : difficile balance entre les sanctions dont l’organisation pourrait faire l’objet avec la crainte du préjudice à l’image & confiance qu’elle inspire
A la personne : choix cornélien entre la communication et le risque d’une sanction
Risques inhérents à la mise en place du GDPR (5/5)
Difficultés de gouvernance /
organisationnelles
Réticences des partie prenantes (Direction, Métiers, BUs, DSI)
Réticences au changement (nouvelle organisation, nouvelles
exigences du Privacy by Design) : DPO doit veiller au grain
Manque de méthodologie / de compétences
Budgétaires :
Estimation grosses mailles du budget cartographie mais
impossible pour l’ensemble de la mise en conformité.
Equilibre entre risques & « plaqué or » délicat à trouver
Délais : procéder par étapes en parant au plus pressé
Cas particulier
Transferts ou divulgations non autorisés hors UE : organisations prises en étau entre GDPR et injonctions légales étrangères
situation ingérable
Plus politique que juridique ?
Opportunité pour les Européens
Pour 57 % des européens, la divulgation de DCP pose un réel
problème,
94 % estiment nécessaire un consentement explicite pour autoriser
la collecte de DCP (74% dans tous les cas, 12% sur internet et 8%
pour les DCP sensibles),
90 % trouvent important de bénéficier des mêmes droits et de la même protection dans tous les pays de l'UE,
70 % sont préoccupés à l'idée que leurs DCP puissent être utilisées
à des fins autres que celle pour laquelle elles ont été collectées,
Seulement 15 % ont le sentiment de contrôler totalement les
informations qu'ils fournissent en ligne
* Eurobaromètre 2015-431
Opportunités pour les organisations
Européennes (1/4)
Reprendre la main sur la donnée : l’impact de la
transformation digitale sur le résultat opérationnel de
l’entreprise est évalué à +/- 60% (de +40% en cas de succès à
-20% en cas d’échec) 1.
➢ Nouvelle règlementation + maturité numérique sont des
déclencheurs idéaux pour lancer la Transformation numérique
➢ La connaissance des donnée sera décisive pour initier des projets
Big Data
➢ Mise à dispo d’outils « self-service » : Data Preparation, Data
Discovery, Data Governance, Dataviz, Data Science
1 Etude McKinsey 2014 « accélérer la mutation numérique des entreprises
en France »
Opportunités pour les organisations
Européennes (2/4)
Reprendre la main sur la sécurité du SI :
➢ GDPR entend permettre plus de transparence et donc de
confiance dans le monde numérique.
Décisif:
➢ 75 % entreprises ignorent que l’expérience « vie privée » perçue est l’un des 3 critères recherchés en priorité par les clients 1
➢ 88 % des consommateurs considèrent la sécurité des DCP comme LE facteur le plus important lors d’achats en ligne 1
1 Etudes Symantec 2015 et 2016
Opportunités pour les organisations
Européennes (3/4)
Droit à la portabilité opter pour une architecture plus
ouverte :
Mise en place & utilisation d’APIs pour échanger des données
avec l’extérieur (e.g. Open Data)
Opportunités pour les organisations
Européennes (4/4)
Opportunité pour les acteurs du Big Data Européens :
Acteurs européens sont les 1ers & les plus exposés à ces problématiques, sauront ils attraper la balle au bond pour intégrer le Privacy by Design?
Idem pour les « Sous-traitants » (Cloud, ESN, etc…)
Pendant ce temps – Aux Etats Unis, le Congrès abroge un texte protégeant la vie privée sur Internet (29/3) 1:
Les fournisseurs d’accès Internet pourront vendre les données de leurs clients à des tiers sans autorisation explicite,
Si Donald Trump promulgue la loi votée mardi, les fournisseurs d'accès comme Verizon ou Comcast pourront suivre les comportements de leurs clients sur Internet et utiliser leurs données financières et personnelles sans leur autorisation pour pouvoir vendre de l'espace publicitaire particulièrement bien ciblé. Cela doit leur permettre de rivaliser plus équitablement avec Google ou Facebook, qui sont régulés par d'autres textes réglementaires et qui valorisent mieux l'information collectée pour s'imposer sur un marché de la publicité en ligne estimé à 83 milliards de dollars. 1
1 « Les Echos » du 29/3/2017
Et Demain ?
On parle déjà de « Privacy by Using » ?
Identifiant Numérique Unique
Objets connectés, robots & le GDPR
Et Demain : Privacy By Using
http://blog.businessdecision.com/bigdata/2016/11/gdpr-nouvelles-contraintes-opportunites/
Et demain : Identifiant
Numérique Unique Lors d’un achat en ligne, il sera possible de fournir son
Identifiant Numérique Unique (INU)
Le vendeur ne récupèrera que les données
nécessaires au paiement
Il fournira alors cet INU au livreur qui pourra l’utiliser
pour retrouver l’adresse de l’acheteur sans connaitre
le contenu ni le montant du paquet
Et Demain : IOT 2020 : 26 milliards d’objets connectés / 300 milliards de dollars
de CA !
+ de données + de gouvernance !
2 gros challenges :
Flots de données aux antipodes du GDPR : on est loin du « Privacy
by Design »
Confiance & Sécurité
Chaine de prestataires : plus personne n’est responsable
Chaque nouvel IOT est 1 porte d’entrée dans le SI … ce qui pose potentiellement de sérieux risques de sécurité
« Ne parlez pas de choses trop personnelles ou trop sensibles devant votre télévision, parce que celle-ci vous écoute ! » (Samsung au sujet de ses « smart TV »)
IN FINE
Une route pavée de difficultés:
Inhérentes au GDPR (Harmonisation ?, refonte organisation,
aspects légaux & judiciaires)
Exogènes (Réticences, manque de méthodo / compétences,
budgétaires, délais)
Mais offre également de nombreuses Opportunités:
Pour les Européens,
Pour les organisations Reprendre la main sur leurs données & la
sécurité de leur SI
Mise en place d’une architecture plus ouverte
Opportunités pour les entreprises Européennes
Remerciements /
Webographie
Merci Mr. Antoine Vigneron, enseignant au CNAM
RÉFÉRENCE LIRE EN LIGNE
Conseil Européen - Le règlement général sur la
protection des données
http://www.consilium.europa.eu/fr/policies/data-protection-reform/data-protection-regulation/
CNIL (Commission nationale de l'informatique
et des libertés)
https://www.cnil.fr/professionnel
CIGREF - Valorisation des données dans les
grandes entreprises - Maturité, pratiques et
modèle
http://www.cigref.fr/wp/wp-
content/uploads/2016/11/CIGREF-Valorisation-des-donnees-Pratiques-Modele-2016.pdf
gdpr.expert https://www.gdpr-expert.eu/#textesofficiels
GlobalSecurityMag.fr - GDPR : 5 changements
majeurs pour les entreprises
http://www.globalsecuritymag.fr/GDPR-5-changements-majeurs-pour,20170227,69261.html
NOVENCIA - 10 questions pour comprendre le
GDPR
https://www.novencia.com/gdpr-10-questions/
BusinessDecision.com – Big Data & Blog Digital http://blog.businessdecision.com/bigdata/2016/11/gdpr-
nouvelles-contraintes-opportunites/
CIL consulting http://www.protection-des-donnees.fr/gdpr-pourrait-bien-
booster-croissance-acteurs-europeens-big-data/
Recommended