GDPR

(General Data Protection Regulation)

Jean-Michel TYSZKA

https://www.linkedin.com/in/jeanmicheltyszka/

Le GDPR en deux mots

Risque & Difficultés à attendre

Opportunités

Qu’est-ce que le GDPR ?

« Cette règlementation […] définit les droits des individus et

établit les obligations de ceux qui traitent et de ceux qui sont

responsables du traitement des données. Elle établit

également les méthodes permettant d’assurer la conformité

ainsi que la portée des sanctions qui pourraient être infligées

aux personnes qui ne respectent pas les règles. » *

* préambule de la page du Conseil Européen

Quand ?

Entrée en vigueur le 24 mai 2016

Applicable le 25 mai 2018

Mais :

Fin 2014, 52% des sondés ont répondu ne pas être prêts; 56% ne

savaient pas exactement à quoi correspond le sigle GDPR 1

En Sept 2015 : si 2/3 (69%) des professionnels de l’IT ont pris

consciences que le GDPR va impacter leur business, presque 1/5

(18%) n’ont toujours aucune idée quant à savoir s’ils seront impactés

Selon une étude récente moins de 10% des entreprises pensent être

prêtes à temps 2

1 Sondage Ipswitch réalisé fin 2014 sur 316 entreprises européennes

2 http://www.lexpress.fr/actualites/1/societe/donnees-personnelles-la-cnil-exhorte-les-societes-

a-se-preparer_1893219.html?socid=8a3ZW8qL

Portée & sanctions

Toute organisation localisée dans l’UE ou hors UE mais traitant

des données concernant un citoyen de l’UE

Principe de limitation de la collecte de données à caractère

personnel au minimum indispensable

Contrevenants s’exposent à de lourdes sanctions; max de :

4% du CA annuel mondial de l’exercice précédent

20 millions d’euros

Données à Caractère Personnel (DCP)

Etendue très large :

Identité individuelle : noms, prénoms, lieu / date de naissance, numéro de sécurité sociale, adresses (physique et électronique), numéro de téléphone, plaque d'immatriculation d'un véhicule, photo ou vidéo, etc…

Informations professionnelles : statut professionnel, salaire, etc…

Données bancaires & fiscales : N° carte bancaire, IBAN, situation fiscale, etc…

Vie personnelle : centres d’intérêt, cookies et autres traces internet, etc…

Localisation : tel que géolocalisation (GPS ou GSM), adresse IP, etc…

Données « sensibles » (nécessitant une attention particulière) :

Vie perso : origines raciales ou ethniques, habitudes de vie, préférences religieuses, philosophiques, politiques, syndicales, orientation sexuelle, etc…

Données médicales, génétiques, biométriques : empreintes digitales, ADN, etc…

Données légales : infractions, condamnations, etc…

Données concernant des mineurs.

Articles Emblématiques (1/4)

Droit d’accès aux données & à leur portabilité :

Droit de savoir si des données concernant l’individu font l’objet

de traitements et, le cas échéant, à quelle fin; droit d’en

connaitre leur source et leur durée de rétention prévue

Possibilité de demander à ce qu’elles soient rectifiées

Droit d’exiger d’en recevoir une copie sous un format « structuré,

couramment utilisé et lisible par machine »

L’individu pourra demander à une entreprise de transférer

directement ce fichier à une autre entreprise « lorsque cela est

techniquement possible »

Droit à l’oubli : les individus pourront demander au

responsable du traitement, pour peu que leur demande soit

légitime, de :

Supprimer leurs DCP définitivement de l’ensemble de ses

systèmes,

Cesser de les disséminer,

Demander, le cas échéant, aux entreprises tierces à qui il les aura

fournies, d’en cesser tout traitement

Le responsable du traitement aura 30 jours pour s’exécuter

Articles Emblématiques (2/4)

« Privacy by Design / Ethic by Design » : GDPR doit être pris en

compte, dès la conception et tout au long du cycle de vie

des produits et services

Mise en place par exemple de mesure telles que :

La minimisation des données : ne collecter que des données

adéquates, pertinentes et limitées à la finalité du traitement,

La pseudonymisation, anonymisation ou cryptage pour ne plus pouvoir associer des données à une personne physique sans avoir

recours à des informations supplémentaires,

La limitation de finalité et des durées de conservation

Ethique des algorithmes : les traitements ne devront en aucun

cas porter atteinte à la vie privée d’un individu

Articles Emblématiques (3/4)

Notification de violation :

Informer les autorités compétentes dans un délai max de 72H

suite à la détection d’une violation pour leur indiquer les

catégories de données, les enregistrements affectés et le nombre

approximatif de personnes concernées

Si la violation est susceptible d’engendrer un risque élevé, la

personne concernée devra en être informée dans les meilleurs

délais

Cette exigence est assortie d’une obligation de moyens en

termes de mise en place d’un niveau de sécurité adapté au

risque

Articles Emblématiques (4/4)

Méthodologie La CNIL recommande de procéder en 6 étapes :

Le GDPR en deux mots

Risque & Difficultés à attendre

Opportunités

Risques inhérents à la mise en place du GDPR (1/5)

Harmonisation Européenne de la gestion des DCP mais les Etats

conservent le droit de modifier la portée de certains articles tels

que :

La licéité du traitement,

Le consentement obligatoire des enfants (13 ou 16 ans),

La définition du caractère « particulier » de certaines DCP,

La désignation d’autorités de contrôle nationales (La CNIL en

France), des moyens dont elles disposeront et des pouvoirs qu’elles

auront de faire appliquer le GDPR,

Les sanctions mêmes

Risque de concours au « moins disant » pour attirer les

entreprises sur le territoire national, mettant à mal cette

harmonisation

Mise en place/refonte des processus métiers :

Licéité du traitement : tout traitement portant sur une DCP doit

être licite et conforme à la ou aux finalité(s) pour la/les-quelle(s) la donnée a été collectée. En outre, le responsable du traitement

doit chercher à minimiser les données collectées.Quid des projets Big Data, machine learning ou deep learning ?

Consentement : obligation de conserver les consentements individuels: cela implique, outre les modification nécessaires à la

récolte et au stockage des infos, des traitements potentiellement

différenciés selon les individus.

Droit à l’oubli : Nécessite d’automatiser (1) le processus de prise en compte de ce droit à l’oubli et (2) celui de mise en

application

Risques inhérents à la mise en place du GDPR (2/5)

Mise en place/refonte des processus métiers

Droit de portabilité : Gros défi

Harmonisation des formats de transferts des DCP

Question de l’utilisation ultérieure des DCP par le 1er responsable

Quid des DCP « générées » non « communiquées » par la personne (facturation, trafic, localisation, IOT…) ?

Privacy by design : requiert une nouvelle gouvernance projet entre IT, juridique & opérationnel

Impacts sur l’organisation :

Revue des postes,

Nouvelles compétences,

Redéfinition du schéma directeur

Risques inhérents à la mise en place du GDPR (3/5)

Aspects Légaux :

Champ d'application territorial :

Concerne potentiellement les organisation hors UE : comment faire exécuter les décisions ?

Surtout si plusieurs responsables conjoints du traitement transnationaux ?

Responsabilité du responsable du traitement : estimation des

risques à leur juste valeur pour y répondre par des mesures

adaptées constituera un grand challenge

Risques inhérents à la mise en place du GDPR (4/5)

Aspects Juridiques :

Nouvelles règles d’entreprises contraignantes : il faut revoir les règles internes d’entreprise et les faire respecter

Sous-traitance : impose d’amender et adapter les contrats existants

Notification de violation de DCP :

Aux autorités : difficile balance entre les sanctions dont l’organisation pourrait faire l’objet avec la crainte du préjudice à l’image & confiance qu’elle inspire

A la personne : choix cornélien entre la communication et le risque d’une sanction

Risques inhérents à la mise en place du GDPR (5/5)

Difficultés de gouvernance /

organisationnelles

Réticences des partie prenantes (Direction, Métiers, BUs, DSI)

Réticences au changement (nouvelle organisation, nouvelles

exigences du Privacy by Design) : DPO doit veiller au grain

Manque de méthodologie / de compétences

Budgétaires :

Estimation grosses mailles du budget cartographie mais

impossible pour l’ensemble de la mise en conformité.

Equilibre entre risques & « plaqué or » délicat à trouver

Délais : procéder par étapes en parant au plus pressé

Cas particulier

Transferts ou divulgations non autorisés hors UE : organisations prises en étau entre GDPR et injonctions légales étrangères

situation ingérable

Plus politique que juridique ?

Le GDPR en deux mots

Risque & Difficultés à attendre

Opportunités

Opportunité pour les Européens

Pour 57 % des européens, la divulgation de DCP pose un réel

problème,

94 % estiment nécessaire un consentement explicite pour autoriser

la collecte de DCP (74% dans tous les cas, 12% sur internet et 8%

pour les DCP sensibles),

90 % trouvent important de bénéficier des mêmes droits et de la même protection dans tous les pays de l'UE,

70 % sont préoccupés à l'idée que leurs DCP puissent être utilisées

à des fins autres que celle pour laquelle elles ont été collectées,

Seulement 15 % ont le sentiment de contrôler totalement les

informations qu'ils fournissent en ligne

* Eurobaromètre 2015-431

Opportunités pour les organisations

Européennes (1/4)

Reprendre la main sur la donnée : l’impact de la

transformation digitale sur le résultat opérationnel de

l’entreprise est évalué à +/- 60% (de +40% en cas de succès à

-20% en cas d’échec) 1.

➢ Nouvelle règlementation + maturité numérique sont des

déclencheurs idéaux pour lancer la Transformation numérique

➢ La connaissance des donnée sera décisive pour initier des projets

Big Data

➢ Mise à dispo d’outils « self-service » : Data Preparation, Data

Discovery, Data Governance, Dataviz, Data Science

1 Etude McKinsey 2014 « accélérer la mutation numérique des entreprises

en France »

Opportunités pour les organisations

Européennes (2/4)

Reprendre la main sur la sécurité du SI :

➢ GDPR entend permettre plus de transparence et donc de

confiance dans le monde numérique.

Décisif:

➢ 75 % entreprises ignorent que l’expérience « vie privée » perçue est l’un des 3 critères recherchés en priorité par les clients 1

➢ 88 % des consommateurs considèrent la sécurité des DCP comme LE facteur le plus important lors d’achats en ligne 1

1 Etudes Symantec 2015 et 2016

Opportunités pour les organisations

Européennes (3/4)

Droit à la portabilité opter pour une architecture plus

ouverte :

Mise en place & utilisation d’APIs pour échanger des données

avec l’extérieur (e.g. Open Data)

Opportunités pour les organisations

Européennes (4/4)

Opportunité pour les acteurs du Big Data Européens :

Acteurs européens sont les 1ers & les plus exposés à ces problématiques, sauront ils attraper la balle au bond pour intégrer le Privacy by Design?

Idem pour les « Sous-traitants » (Cloud, ESN, etc…)

Pendant ce temps – Aux Etats Unis, le Congrès abroge un texte protégeant la vie privée sur Internet (29/3) 1:

Les fournisseurs d’accès Internet pourront vendre les données de leurs clients à des tiers sans autorisation explicite,

Si Donald Trump promulgue la loi votée mardi, les fournisseurs d'accès comme Verizon ou Comcast pourront suivre les comportements de leurs clients sur Internet et utiliser leurs données financières et personnelles sans leur autorisation pour pouvoir vendre de l'espace publicitaire particulièrement bien ciblé. Cela doit leur permettre de rivaliser plus équitablement avec Google ou Facebook, qui sont régulés par d'autres textes réglementaires et qui valorisent mieux l'information collectée pour s'imposer sur un marché de la publicité en ligne estimé à 83 milliards de dollars. 1

1 « Les Echos » du 29/3/2017

Et Demain ?

On parle déjà de « Privacy by Using » ?

Identifiant Numérique Unique

Objets connectés, robots & le GDPR

Et Demain : Privacy By Using

http://blog.businessdecision.com/bigdata/2016/11/gdpr-nouvelles-contraintes-opportunites/

Et demain : Identifiant

Numérique Unique Lors d’un achat en ligne, il sera possible de fournir son

Identifiant Numérique Unique (INU)

Le vendeur ne récupèrera que les données

nécessaires au paiement

Il fournira alors cet INU au livreur qui pourra l’utiliser

pour retrouver l’adresse de l’acheteur sans connaitre

le contenu ni le montant du paquet

Et Demain : IOT 2020 : 26 milliards d’objets connectés / 300 milliards de dollars

de CA !

+ de données + de gouvernance !

2 gros challenges :

Flots de données aux antipodes du GDPR : on est loin du « Privacy

by Design »

Confiance & Sécurité

Chaine de prestataires : plus personne n’est responsable

Chaque nouvel IOT est 1 porte d’entrée dans le SI … ce qui pose potentiellement de sérieux risques de sécurité

« Ne parlez pas de choses trop personnelles ou trop sensibles devant votre télévision, parce que celle-ci vous écoute ! » (Samsung au sujet de ses « smart TV »)

IN FINE

Une route pavée de difficultés:

Inhérentes au GDPR (Harmonisation ?, refonte organisation,

aspects légaux & judiciaires)

Exogènes (Réticences, manque de méthodo / compétences,

budgétaires, délais)

Mais offre également de nombreuses Opportunités:

Pour les Européens,

Pour les organisations Reprendre la main sur leurs données & la

sécurité de leur SI

Mise en place d’une architecture plus ouverte

Opportunités pour les entreprises Européennes

Remerciements /

Webographie

Merci Mr. Antoine Vigneron, enseignant au CNAM

RÉFÉRENCE LIRE EN LIGNE

Conseil Européen - Le règlement général sur la

protection des données

http://www.consilium.europa.eu/fr/policies/data-protection-reform/data-protection-regulation/

CNIL (Commission nationale de l'informatique

et des libertés)

https://www.cnil.fr/professionnel

CIGREF - Valorisation des données dans les

grandes entreprises - Maturité, pratiques et

modèle

http://www.cigref.fr/wp/wp-

content/uploads/2016/11/CIGREF-Valorisation-des-donnees-Pratiques-Modele-2016.pdf

gdpr.expert https://www.gdpr-expert.eu/#textesofficiels

GlobalSecurityMag.fr - GDPR : 5 changements

majeurs pour les entreprises

http://www.globalsecuritymag.fr/GDPR-5-changements-majeurs-pour,20170227,69261.html

NOVENCIA - 10 questions pour comprendre le

GDPR

https://www.novencia.com/gdpr-10-questions/

BusinessDecision.com – Big Data & Blog Digital http://blog.businessdecision.com/bigdata/2016/11/gdpr-

nouvelles-contraintes-opportunites/

CIL consulting http://www.protection-des-donnees.fr/gdpr-pourrait-bien-

booster-croissance-acteurs-europeens-big-data/