Contexte organisationnel pour GDPR

GDPR & DPO : contexte des organisations

JacquesFolonPartnerEdgeConsulting

MaîtredeconférencesUniversitédeLiègeProfesseurICHECProfesseurinvitéUniversitédeLorraine(Metz)VisitingprofessorESCRennesSchoolofBusiness

PROGRAMME DE LA FORMATION

JOUR 1

Introduction

Le monde change, le contexte de la sécurité en entreprise

La sécurité ISO 27002

Exercice de prise en main du rôle

Espérons que votre sécurité

ne ressemble jamais à ceci !

LE MONDE CHANGE

Bienvenue au XXIème siècle

LE MONDE CHANGE… VITE ET BRUTALEMENT

RIEN DANS CETTE VIDEO N’EXISTAIT

EN 2007 !

CONTRASTE

Source:hIp://school.stagnesoLohemia.org/OldClass5.jpg

1916

Crédit:h*p://www.gutenberg.org/files/15595/15595-h/images/imagep158.jpg

1916

Crédits:h*p://www.spacegrant.nau.edu/stargazer/Classroom%20group.JPG

2016

Crédit:h*p://www.faw.com/Events/images/044-2.jpg

2016

RESISTANCE AU CHANGEMENT

On ne change rien !

internet des objets

today 15 billion connected objects in 2020 50 billon….

http://java.sys-con.com/node/3261583

Quid des données personnelles vis à vis d’IOT?

L’ENTREPRISECHANGE

CULTURE D’ENTREPRISE

LA CULTURE D’ENTREPRISE CADRE DE LA SECURITE DE L’INFORMATION

IL Y A 20 ANS

LA CULTURE NE PEUT PLUS ETRE IDENTIQUE

DES METIERS DISPARAISSENT

DES ORGANISATIONS DISPARAISSENT

Source: http://fr.slideshare.net/briansolis/official-slideshare-for-whats-the-future-of-business

LES MEDIA SOCIAUX ONT CHANGE NOTRE VIE

ET LES COMPORTEMENTS DES COLLABORATEURS

this is what 2.0 means

NOUVEAUX MÉTIERS

DATA ANALYST CHIEF DATA OFFICER

COMMUNITY MANAGER RESPONSABLE DE VEILLE

E-CRM MANAGER USER CENTRIC DESIGNER

PILOTE DE DRONE RESPONSABLE MODELISATION

… DPO

LA FORMATIONCHANGE

SERIOUS GAMES

Role du DPO dans le cadre de la formation ?

LE RECRUTEMENT

A CHANGE

1980

71http://img.over-blog.com/600x311/3/35/60/49/Le-Recrutement-2.0.png

2000

72http://img.over-blog.com/600x311/3/35/60/49/Le-Recrutement-2.0.png

2016

73http://img.over-blog.com/600x311/3/35/60/49/Le-Recrutement-2.0.png

ORGANIGRAMME

Increasing pressure on “traditional” organizations

Formal organization/ Hierarchy

Social organization / Heterarchy

SOURCE: http://fr.slideshare.net/eteigland/building-the-networked-innovative-organization?from_search=14

ou est le DPO?

ERGONOMIE

SOURCE: http://fr.slideshare.net/bradfrostweb/for-a-futurefriendly-web-mobilism-2012

SOURCE: http://fr.slideshare.net/bradfrostweb/for-a-futurefriendly-web-mobilism-2012

COMMANDE &

CONTROLE

Fin de la gestion par commande et contrôle ?

SOURCE: www.entrepriseglobale.biz Jean-Yves Huwart

MANAGEMENT BY OBJECTIVES

LA FIN DU SILO

Communication transversale, IAM et need to have !!!

BRING YOUR OWN DEVICE

ACATAWAD!

http://fr.slideshare.net/MicrosoftEntrepreneurs/rdi105-byod-resister-ou-embrasser?qid=d1192010-03b1-49ee-a555-ab31c4e7a1cd&v=default&b=&from_search=4

DIGITAL GENERATION

http://sandstormdigital.com/2012/11/08/understanding-digital-natives/

GESTION DES CONNAISSANCES

h*p://fr.slideshare.net/brainopera/seducLon-of-the-swarm

h*p://fr.slideshare.net/brainopera/seducLon-of-the-swarm

Sourcedel’image:h*p://agiledudes.com/wp-content/uploads/brain-transfer.jpg

LES ORGANISATIONS

CHANGENT … VITE

CHOC DE VALEURS

Les valeurs

ET LA SECURITÉ ?

IMPORTANCE DES COMPORTEMENTS POUR ILLUSTRER LES VALEURS

RESEAUX SOCIAUX INTERNES

http://fr.slideshare.net/BusinessGoesSocial/why-enterprise-social-networks-fail-part-one?qid=916adb6a-2ddf-4771-87f1-11582e9cc43a&v=&b=&from_search=1

SECURITE DE L’INFORMATION

Privacy VS. Security

SECURITE

SOURCE DE L’IMAGE: http://www.techzim.co.zw/2010/05/why-organisations-should-worry-about-security-2/

Source : https://www.britestream.com/difference.html.

86

La sécurité des données personnelles est une obligation légale…

Where do one steal data?

• Banks• Hospitals• Ministries• Police• Newspapers• Telecoms• ...

Which devices are stolen?

• USB • Laptops• Hard disks• Papers• Binders• Cars

LE MAILLON FAIBLE

SOURCE:UWE|5juin2013|@awtbe|AndréBlavier&PascalPoty

ISO 27002

«ISO 27002 c’est donner des recommandations pour gérer la sécurité de l’information à l’intention de ceux qui sont responsables de définir, d’implémenter ou de maintenir la sécurité dans leur organisation.

Elle est conçue pour constituer une base commune de développement de normes de sécurité organisationnelle et de pratiques efficaces de gestion de la sécurité, et pour introduire un niveau de confiance dans les relations dans l’entreprise. »

Rappel:

ISO est avant tout un recueil de bonnes pratiques

ISO 27002 est le fil rouge de la sécurité de l’information

Pas de proposition de solutions technique

les autres départements sont concernés

Et le DPO dans tout ça?

http://jchambon.fr/professionnel/PAF/PME-PMI/s5-diaporama/images/iso27002.png

http://www.randco.fr/img/iso27002.jpg

Pour que ca marche ....

Elle ne permet pas de définir quelles sont les mesures de sécurité à mettre en oeuvre en fonction du contexte de l’entreprise. Il y a trois limites:

1.Il est aberrant d'imaginer qu'il faille mettre en œuvre l'ensemble des mesures de sécurité décrites dans la norme (pour des questions de coût et de besoins réels). Il faut démarrer la démarche par une analyse des enjeux et des risques.2.Le seconde limite est liée au cycle de normes ISO, en effet une évolution de norme prend environ 5 ans. Dans le domaine des technologies de l'information, les menaces potentielles et les mesures de sécurité liées évoluent plus rapidement que cela.3.Enfin la troisième limite est son hétérogénéité, certains domaines sont

Les limites d’ISO 27002

EXEMPLE

8 Sécurité liée aux ressources humaines            8.1 Avant le recrutement            8.1.1 Rôles et responsabilités        8.1.2 Sélection         8.1.3 Conditions d’embauche     8.2 Pendant la durée du contrat            8.2.1 Responsabilités de la direction         8.2.2 Sensibilisation, qualification et formations en matière de sécurité de l’information         8.2.3 Processus disciplinaire     8.3 Fin ou modification de contrat            8.3.1 Responsabilités en fin de contrat        8.3.2 Restitution des biens        8.3.3 Retrait des droits d’accès

LE DRH ET SON PC…

Les employés partagent des informations

Les consultants Les sous-traitants Les auditeurs externes Les comptables Le personnel d’entretien

LES CONTRATS OUBLIES

�On ne sait jamais qui sera derrière le PC �Nécessité que le responsable de sécurité soit informé �Attentions aux changements de profils

GDPR

CONTEXTE

GDPR

CALENDRIER

GDPR

TO DO

Résistance au changement

crainte du contrôle

Imposer ou convaincre ?

Positionnement du DPO

atteinte à l’activité économique

Culture d’entreprise et nationale

Besoins du business

les freins

Vous contrôlez quoi ?

CONTRÔLE DES COLLABORATEURS

161

SOURCE DE L’IMAGE: http://blog.loadingdata.nl/2011/05/chinese-privacy-protection-to-top-american/

L’EMPLOYEUR PEUT-IL TOUT CONTROLER?

VERS LE CONTREMAÎTRE ELECTRONIQUE

• Contremaître traditionnel – personne repérable, chargée de contrôler la présence physique du salarié sur son lieu de

travail et en activité

• Contremaître électronique – chargé du contrôle de la présence physique : les badges d ’accès…

• Contremaître virtuel – pouvant tout exploiter sans que le salarié en ait toujours conscience et permettant, le cas

échéant, d ’établir le profil professionnel, intellectuel ou psychologique du salarié

➨ Développement des chartes d ’information

Les emails

• Ne sont pas de la correspondance

• L’employeur peut-il les ouvrir ?

• Emails privés avec adresse privée ?

• Emails privés avec adresse professionnelle

• Emails professionnels ?169

Usage d’internet• Que faire en cas d’usage illégal ?

• Crime (pédophilie, etc.) ?

• Racisme, sexisme?

• Atteinte au droit d’auteur?

• Criminalité informatique?

• Espionnage industriel ?

• Concurrence déloyale ? 170

Le code de conduite

• Activités illégales

• Activités non autorisées durant certaines heures

• Activités autorisées avec modération

• Différence entre code de conduite et application de la CC 81

171

Contrôle des employés : équilibre

CC 81

! Principe de finalité ! Principe de proportionnalité ! Information ! Individualisation ! sanctions

3 La sécurité et/ou le fonctionnement technique de l’ensemble des systèmes informatiques en réseau de l’entreprise, en ce

compris le contrôle des coûts y afférents, ainsi que la protection physique des installations de l’entreprise

4 Le respect de bonne foi des principes et règles d’utilisation des technologies en réseau fixés dans l’entreprise

1. Prévention de faits illégaux, de faits contraires aux bonnes mœurs ou susceptibles de porter atteinte à la dignité d’autrui

2. La protection des intérêts économiques, commerciaux et financiers de l’entreprise auxquels est attaché un caractère de confidentialité ainsi que la lutte contre les pratiques contraires

Les 4 finalités

Bref vous ne pouvez pas accepter d’être

complètement coincé ou…

Sinon votre sécurité ce sera ça…

LA PEUR EST PRESENTE

NOUS SOMMES FACE A UN NOUVEAU MONDE QUI CHANGE RAPIDEMENT

ET QUI NECESSITE QUE NOUS CHANGIONS ENSEMBLE

processus complexe

191

BONNE CHANCE A TOUS

QUESTIONS ?