Quel est l’impact de la conformité GDPR pour vos … est l’impact de la conformité GDPR pour vos équipes et pour leurs process ? GARANCE MATHIAS Avocat à la Cour, Cabinet Mathias

Quel est l’impact de la conformité GDPR pour vos équipes et pour leurs process ?

GARANCE MATHIASAvocat à la Cour, Cabinet Mathias Avocats

JEAN-PHILIPPE COMBESenior Technical Solutions Manager, Enterprise Sales, BlackBerry

© 2018 BlackBerry. All Rights Reserved. 42E M P O W E R I N G T H E S E C U R E L Y C O N N E C T E D W O R K F O R C E

Sommaire

1. Protection des données : Quels constats ? Quelles réactions à l’échelle européenne ? Quelles

conséquences ?

2. Protection des données : Quels enjeux ?

3. Notions & principes clés de la protection des données

4. Les principaux changements apportés par le RGPD et impacts SI

1. Protection des données :Quels constats ? Quelles réactions à l’échelle européenne ? Quelles conséquences ?


Quels constats à l’échelle européenne ? CONSTATS

28 lois de transposition de protection des données à caractère personnel (transposition de la directive 95/46/CE)

Des difficultés à faire respecter le cadre européen de protection par les GAFA

Harmonisation

Sanctions dissuasives

Vision administrative de la protection des données par les acteurs à travers la réalisation des formalités préalables auprès de la CNIL

Approche nouvelle de la protection des données au-delà de formalités à

réaliser

BESOINS


Quelles réactions à l’échelle européenne ?

25 juin 2012 : Proposition de règlement de la Commission européenne au Parlement

européen et du Conseil

12 Mars 2014 : Adoption d’une résolution législative sur la

proposition de règlement par le Parlement européen en

plénière par 621 voix pour, 10 contre et 22 abstentions

15 Juin 2015 : Les ministres de la justice européens réunis

au Conseil de l’Union européenne ont adopté une

approche générale sur la proposition de règlement

24 juin 2015 : Début des trilogues (réunions entre les

représentants de la Commission européenne, du

Parlement européen et du Conseil de l’union européenne

sur tous les points du règlement)

15 décembre 2015 : Accord de principe des institutions

européennes sur le règlement européen

27 avril 2016 : Adoption du règlement

4 mai 2016 : Publication du Règlement général sur la

protection des données au Journal Officiel de l’Union

Européenne

25 mai 2018 : Application


Quelles conséquences à l’échelle européenne ?

• Le règlement 2016/679 du Parlement européen et du Conseil, du 27avril 2016, relatif à la protection des personnes physiques à l'égard dutraitement des données à caractère personnel et à la libre circulation deces données, et abrogeant la directive 95/46/CE (Règlement général surla protection des données ou RGPD).

Applicable à partir du 25 mai 2018


Que retenir ?

En France, la protection des données fait l’objet de dispositions légales depuis 1978.

01Le RGPD s’applique à compter du 25 mai 2018.

02

2. Protection des données : Notions & principes clés


Donnée à caractère personnel

Définition

« Toute information se rapportant à une personne physique identifiée ou identifiable,

directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un

numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique,

psychique, économique, culturelle ou sociale ».


Donnée à caractère personnel

Numéro de dossier client

Numéro de Sécurité Sociale

Adresse


Notions & principes clés de la protection des données

Licéité, loyauté et transparence

Limitation des finalités

Minimisation des données

Exactitude des données

Limitation de la conservation

Sécurité des données (intégrité,

disponibilité, confidentialité des

données)

● Des anciens principes maintenus



Audit de la conformité existante

Mise en Conformité

Documentation de la Conformité

Maintien et contrôle de la

Conformité

● De nouveaux principes affirmés : l’accountability



• Evaluer le niveau de conformité juridique et technique existant.

• Définir un plan d’actions.

Audit de la conformité existante

• Actions juridiques • Actions techniques

Mise en conformité

• Elaboration de politiques et de procédures.

Documentation de la conformité

• Révision périodique des politiques et des procédures.

• Vérification périodique du respect des procédures et de leur efficacité.

Maintien et contrôle de la

conformité



Intégration de la protection des données dès la conception des outils, des applications et des traitements

Point de vigilance : prise en compte des principes de protection des données (minimisation, licéité, transparence, sécurité, etc.) à tous les stades.

Privacy by

designPar défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées et seules les personnes ayant besoin d’en connaître y ont accès.

Points de vigilance : quantité de données à caractère personnel collectées, étendue du traitement des données, durée de conservation des données et accessibilité des données.

Privacy by

default

● De nouveaux principes affirmés

3. Protection des données :quels enjeux ?


Protection des données : quels enjeux ? Conformité

Gestion des Risques


Risques

Nouvelle approche promue par le RGPD

Approche par les risques

2 CATEGORIES :

• Risques pour les personnes dont l’entreprise traite les données (salariés, clients, prospects, etc.).

• Risques pour l’entreprise.


Risques

Amendes de 20 000 000€

ou 4% du CA annuel mondial total de l’exercice

précédent maximum

Amendes de 10 000 000€ ou 2% du CA annuel mondial total de l’exercice précédent

maximum

Violation des obligations en matière de protection des données dès la conception et par défaut, absence de contrat avec les sous-traitants, insuffisance des clauses relatives à la protection des données, défaut de tenue du registre des activités de traitement, violation des règles en matière de sécurité des données, de notification des violations de données et d’analyse d’impact.

Violation des principes, violation des règles applicables au consentement, violation des règles relatives aux droits des personnes, violation des règles applicables aux transferts de données personnelles.

4. Les principaux changements apportés par le RGPD et impacts SI


Principaux changements apportés par le RGPD à prendre en compte

Généralisation du registre des activités de traitement

Renforcement des clauses contractuelles avec les prestataires, sous-traitants

Renforcement de l’obligation de sécurité des données à caractère personnel

Obligation nouvelle de notification des violations de données

Création de la fonction de Délégué à la protection des données (DPD – Data Protection Officer (DPO))

Analyse d’impact relative à la protection des données


RGPD & Impacts SI : La sécurité des données

Un enjeu à prendre en compte dans les contrats avec les prestataires (cloud, hébergement, etc.).

Nouveauté : Obligation de sécurité directement mise à la charge des sous-traitants

« 1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de

probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-

traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de

sécurité adapté au risque, y compris entre autres (…) » (article 32)


RGPD & Impacts SI : La sécurité des données Pas de mesures

de sécurité définies par le

RGPD

Mesures de sécurité à définir par l’entreprise

suivant les traitements mis

en œuvre

Documentation des mesures de sécurité définies par l’entreprise

Matérialisation des mesures

dans les SI de l’entreprise


RGPD & Impacts SIAuthentifier lesutilisateurs

• Obliger l’utilisateur à changer son mot de passe après réinitialisation.• Limiter le nombre de tentatives d’accès à un compte

Gérer les habilitations • Supprimer les permissions d’accès obsolètes• Réaliser une revue annuelle des habilitations

Tracer les accès et gérer les incidents • Prévoir un système de journalisation• Informer les utilisateurs de la mise en place du système de journalisation• Protéger les équipements de journalisation et les informations journalisées

Sécuriser les postes de travail • Prévoir une procédure de verrouillage automatique de session• Utiliser des antivirus régulièrement mis à jour • Installer un « pare-feu » (firewall) logiciel

Sécuriser l'informatique mobile • Prévoir des moyens de chiffrement des équipements mobiles• Faire des sauvegardes ou synchronisations régulières des données• Exiger un secret/code pour le déverrouillage des smartphones

Protéger le réseau informatique interne • Limiter les flux réseau au strict nécessaire• Sécuriser les accès distants des appareils informatiques nomades par VPN

Sécuriser les serveurs • Installer sans délai les mises à jour critiques • Limiter l’accès aux outils et interfaces d’administration aux seules personnes habilitées

Sécuriser les sites web • Vérifier qu'aucun mot de passe ou identifiant ne passe dans les url• Utiliser le protocole TLS et vérifier sa mise en œuvre

Encadrer la maintenance et la destruction des données

• Enregistrez les interventions de maintenance dans une main courante• Effacez les données de tout matériel avant sa mise au rebut • Encadrez par un responsable de l’organisme les interventions par des tiers

Sauvegarder et prévoirla continuité d'activité

• Effectuer des sauvegardes régulières• Prévoir et testez régulièrement la continuité d'activité

Encadrer les développements informatiques

• Tester les solutions sur des données fictives ou anonymisées

Quelques questions proposées par la CNIL pour évaluer le niveau de sécurité


RGPD & Impacts SI

Exig

ence

s à

l’éga

rd d

es

sous

-trai

tant

s

Exigences au stade du cahier des charges

Exigences contractuelles (Annexe relative aux mesures

de sécurité attendues par l’entreprise et modalités d’audit)

Attention : L’entreprise n’est pas déchargée de son obligation de sécurité lorsqu’il a recours à des sous-traitants.


La sécurité des données a posteriori : Les violations de données

Définition

« Violation de la sécurité entraînant, de manière accidentelle ou illicite, la

destruction, la perte, l'altération, la divulgation non autorisée de données à

caractère personnel transmises, conservées ou traitées d'une autre

manière, ou l'accès non autorisé à de telles données. ».


La sécurité des données a posteriori : Les violations de données

Catégories de violation de données identifiées par les autorités de contrôle

Les atteintes à la confidentialité : l’accessibilité ou la divulgation aux tiers, sans autorisation, des données, éventuellement accidentellement.

L’indisponibilité : les données sont détruites en tout ou partie ou sont temporairement inaccessibles ce qui entraine des risques.

L’atteinte à l’intégrité : cas dans lesquels les données sont modifiées, sans autorisation, éventuellement de façon accidentelle.


La sécurité des données a posteriori : les violations de données

Débiteur de l’obligation : Le responsable du traitement de données à caractère personnel

1Obligation de notification à l’autorité de contrôle compétente dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, sauf si la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.

2Obligation de notification aux personnes concernées si la violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique.

3Impact sur les relations avec les sous-traitants : Le sous-traitant doit notifier au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.

4


Que retenir ?

Une ou plusieurs politiques de sécurité doivent être

définies (Charte informatique, politique de

sécurité des systèmes d’information, etc.).

Les mesures de sécurité des données traitées

doivent être documentées.

Une Annexe relative à la sécurité des données doit être intégrée aux contrats

conclus avec les sous-traitants.

Les mesures de sécurité définies doivent être

maintenues, contrôlées et mises à jour.

MATHIAS AVOCATS19 rue Vernier – 75017 PARIS

Tél.: 01 43 80 02 01E-mail: [email protected]

69


ConfidentialitéCollecte

Protection

Traitement

Suppression

SécuritéConfidentialité

Intégrité

Disponibilité


Comment BlackBerry accompagneles clients vers la conformitéRGPD

Impliquer nos experts Cybersecurity Consulting

Identifier les écartsavec la directive RGPD et proposer des actions correctives

Passer en revue les outils pour protéger vos données, auditer les actifs et réagir aux incidents

BlackBerry Workspaces, BlackBerry Mobility Suites et UEM, SDK et applications Dynamics, EID et 2FA

Proposer un accompagnementProfessional Services pour mettre en œuvre la solution

Procéder à une évaluation pour suivre au plus près les menaces de cybersécurité dans le monde entier


Cas client :Acteur de la réassurance


Chiffrement à tous les niveaux

Sécurité associée au fichier

Authentification utilisateur

Gestion des droits numériques (GDN)

Suivi et reporting de toutes les activités relatives aux fichiers

Tous les fichiers sont protégés :

Protégez tous vos fichiers avec BlackBerry Workspaces

Sécurité au niveau des

fichiers assurée partout où les fichiers sont

envoyés

Cloud File Sharing

#BBSWT

Documents

Quel est l’impact de la conformité GDPR pour vos … est l’impact de la conformité GDPR pour vos équipes et pour leurs process ? GARANCE MATHIAS Avocat à la Cour, Cabinet Mathias