Upload
buithuan
View
213
Download
0
Embed Size (px)
Citation preview
RGPD … 99 Articles pour un nouveau jalon calendaire à ne pas manquer
CommissionLEGALINTECH
1
KevinPolizziVice-PrésidentAMFT.ioPrésidentJaguarNetwork&co
JeanPierreGasnierAvocatcabinetAKHEOSProfesseurassociéetDirecteurdelaChaireInnovaIon&Brevets.AMU
Quid du Numérique en Europe ?
1)DigitalisaIonmassivedesentreprisesetdelasociétédeconsommaIon2)GAFA,NATU,….quicentralisentl’essenIeldeséchangesdedonnées3)MarchéEuropéendansl’incapacitédefinancerdesstart’upsencentainesdeMeur(absencedemarchéfinanciercommun)4)Commissiondoitrégulerpourcréerunmarchédunumériqueuniquebasésurlaconfiance(trustabilité>créaIondemajors)
2
Nécessité d’adopter un nouveau règlement européen
Lenouveaurèglements’inscritdanslecadred’uneréformecomplètedesdisposi;onseuropéennesrelaIvesàlaprotecIondesdonnéesayantdébutéen2012
4
Rendreauxcitoyenslecontrôlede
leursdonnéespersonnelles
CréerunniveauélevéetuniformedeprotecIondes
donnéesàtraversl’UE,adaptéàl’èrenumérique.
Contraintes et cadre général
Unrèglementeuropéendirectementapplicabledansl’UE.
S’appliqueàtouteslesentreprisesexerçantuneacIvitédansl’UE.
S’appliqueégalementdèslorsqu’unrésidenteuropéenseradirectementviséparuntraitementdedonnées,ycomprisparinternet.
5
Opportunitéderétablirunéquilibreetd’offrirunavantageconcurrenIel!
Contraintes et cadre général
Cerèglementeuropéenpermetd’assurer la synergieentre leprogrèstechnologiqueetlecadrejuridiqueàrespecter.
6
PosiIf• RecentrerlesobjecIfsdel’entreprise• Clarifierlesystèmed’informaIon• RenforcerlesdroitsetobligaIonsdespersonnesconcernées
• Touteslesentreprisesdoivents’yconformer,cequipermetderétabliruncadreconcurrenIel
• DémarcheéthiqueetpragmaIque
NégaIf• Lesentreprisessedoiventd’invesIrpoursemegreenconformité
• Denouvellescontraintessontàintégreretàrespecter
• ImpactRH,nouvellesdocumentaIons• Délaiau24/05/2018
7
Donnéespersonnelles:touteinformaIonrelaIveàunepersonnephysique
idenIfiéeouquipeutêtreidenIfiée,directementouindirectement,
notammentparréférenceàunnumérod’idenIficaIonouàunouplusieurs
élémentsquiluisontpropres.
Responsabledutraitement:personneouorganismequidéterminelesfinalitésetlesmodalitésde
traitementdedonnéespersonnelles
Sous-traitant:toutepersonnetraitantdesdonnéesàcaractèrepersonnelpourlecompteduresponsabledutraitement.
Traitement:touteopéraIonoutoutensembled’opéraIonseffectuéesounonàl’aidedeprocédés
automaIsésetappliquésàdesdonnéesoudesensemblesdedonnéesàcaractèrepersonnel,tellequelacollecte,l’enregistrement,l’organisaIon,lastructuraIon,la
conservaIon,l’adaptaIonoulamodificaIon,l’extracIon,laconsultaIon,l’uIlisaIon,lacommissionpar
transmission,lerapprochementoul’interconnexion,lalimitaIon,l’effacementouladestrucIon.
Vocabulaire
La sécurité des données: normalisation, conformité et loi
8
ISO 9001 ISO 20000 ISO 27001 Management de
la Qualité ITIL pour
l’entreprise Management de
la sécurité PCI-DSS
Données bancaires
ASIP/HADS
Données médicales
SecNumCloud
ANSSI « Hébergeur de
confiance »
§ En mai 2018, le règlement « RGPD(1) » sera applicable dans tous les états membres de l’UE.
§ Tout le monde est concerné: personne ne peut dire ne pas stocker de données à caractère « personnel ».
§ Les sanctions encourues pour non-conformité vont jusqu’à 20M€ ou 4% du CA annuel MONDIAL.
Normes et Certifications
RGPD(*) Protection données personnelles UE
25 mai 2018
Directive Européenne 2016/679
(1) RGPD: Règlementation Générale pour la Protection des Données (GDPR en anglais)
Allègement des obligations en matière de formalités préalables
SuppressiondesdéclaraIonsCNIL
ConsultaIondelaCNILpourlestraitementslesplussensiblessoumisàuneanalysed’impact
ChampdesautorisaIonsréduit
10
Accompagnement des autorités de contrôle dans les démarches des RT et ST
Ø Adop;ondeclausescontractuellestypesdesous-traitance.
Ø Interven;onenma;èred’analysed’impact(idenIficaIondescasobligatoires,délivrancedeconseils),d’élaboraIondecodesdeconduite,demécanismesdecerIficaIon,delabelsetdemarquesenmaIèredeprotecIondesdonnées.
Ø Auditdescontratsetdesprocessinternes.
11
La sous-traitance
Lerèglementencadrelespossibilitésderecoursàlasous-traitanceetdéfinituneresponsabilitéconjointedansletraitementdesdonnées
12
Les entreprises devront prévoir des clauses contractuelles types avec leurs sous traitants
• Dessupportsetdocumentsstrictementcouvertsparlesecretprofessionnel
• PrendretouteslesprécauIonsuIlesafindepréserverlasécuritéetl’intégritédesinforma;ons
• Prévoirquelescopieseffectuéeslesoitseulementdanslecasoùl’exécuIonducontratlenécessite.
• NepasuIliserlesdocumentsetinformaIonstraitésàdesfinsautresquecellesspécifiéesaucontrat
• NepasdivulguercesdocumentsouinformaIons
• EnfindecontratàprocéderàladestrucIondesdonnéesetdesdocumentsconfidenIels
13
RGPD: une sensibilisation à la gestion des données personnelles
14
Les différents volets inclus dans la GDPR:
RGPD
Analyse d’impact
Données personnelles
Portabilité des données
Consentement
Droit à l’oubli
Notification des violations
Data Protection Officer
Privacy by design
Chaque personne physique doit avoir donné son consentement explicite au stockage d’informations le concernant.
Obligation de rendre publique toute fuite (ou suspicion de fuite) de données dans
les 72h.
Sur demande de la personne physique, obligation de supprimer toutes les données personnelles le concernant.
Tous les jeux de données (Système d’information ou Bureautique) doivent être sécurisés « par
conception ».
Documenter les jeux de données pour définir la classification des informations, leur sensibilité, leur lieu de stockage. Analyser l’impact de fuite et anticiper les moyens de prévention/sécurisation.
Définir la gouvernance sur le cycle de vie des données (Collecte, Traitement, Conservation, Destruction)
Nécessité de nommer un responsable (personne physique) qui sera garante de la protection des données pour les entreprises
de plus de 200 personnes.
DPIA
Nécessité de réaliser des études d’impacts
15
Encasdetraitementdedonnéesàrisquepourlesdroitsetlibertédespersonnesconcernées,uneétuded’impactdoitêtremenée
(PIA:PrivacyImpactAssessment)
Quand?Avantlacollectedes
donnéesàrisquesetavantdemegreenœuvrele
traitement
L’étuded’impactcon;ent:• une descripIon du traitement et de ses
finalités,• une évaluaIon de la nécessité et de la
proporIonnalitédutraitement,• uneappréciaIondesrisquessurlesdroits
etlibertésdespersonnesconcernées,• les mesures envisagées pour traiter ces
risquesetseconformeraurèglement.
Nécessité de réaliser des études d’impacts
16
PIAObligatoires
Siaumoinsdeuxdecescritèressontréunis:q EvaluaIon/Scoringq DécisionautomaIqueaveceffetlégalq SurveillancesystémaIqueq Donnéessensiblesq Largeéchelleq Croisementdedonnéesq Personnesvulnérablesq Usageinnovantq TransferthorsUEq Blocaged’undroit/contrat
Nécessité de réaliser des études d’impacts
17
Principes
fondamentaux
Contexte
Risquesliésàlasécuritédesdonnées
Valida;onduPIA
ProporIonnalitéetnécessité
Mesuresprotectricesdesdroits
Etc.
Supportdedonnées
Données
DescripIonfoncIonnelle
Mesuresexistantesouprévues
AppréciaIondesrisques
EvaluaIon
Pland’acIon
Décision
Juridique-mé8ers Exper8setechnique
Privacy by design
18
7principesfondamentaux:
1. PrendredesmesuresproacIvesetnonréacIves2. AssurerlaprotecIonimplicitedelavieprivée3. IntégrerlaprotecIondelavieprivéedansla
concepIondessystèmesetdespraIques4. AssurerunefoncIonnalitéintégraleselonun
paradigmeàsommeposiIveetnonàsommenulle5. Assurerlasécuritédeboutenbout,pendanttoutela
périodedeconservaIondesrenseignements6. Assurerlavisibilitéetlatransparence7. RespectdesuIlisateurs
IntégrerlaprotecIondela«vieprivée»danslaconcepIondes
ouIlstechnologiques
Privacy by default
19
GaranIrleplushautniveaudeprotecIondesdonnéespardestraitementsquiprivilégientla
protecIon
3mécanismessontàprivilégier
Notification de violation ou fuite de données
20
SileresponsabledutraitementconstateuneviolaIonde
donnéesàcaractèrepersonnel
NoIficaIonàl’autoritédetraitementdansles72heuresdelaprisedeconnaissance.
L’informaIondespersonnesconcernéesestrequisesicegeviolaIonoufuiteest
suscepIbled’engendrerunrisqueélevépourlesdroitsetlibertésd’unepersonne
ATTENTION:ilfautsécuriserlescontratsaveclessous-traitantspournepasbloquercegenoIficaIon.Eneffet,silecontratneprévoitpaslatransmissiondesinformaIonsuIles,leresponsabledutraitementnepourrapasprocéderàcegenoIficaIon.Responsabilisa;oncontractuelledessous-traitants.
Portabilité des données
21
Lapersonneconcernéeparletraitementdeses
donnéespeut:
Récupérerlesdonnéesfourniesdansunformat
structuréetlisible
Transmegrelibrementsesdonnéesàun
autreresponsabledutraitement
Maîtrisedesdonnées
Traitement des données des mineurs
22
Desdisposi;onsspécifiquespourlesmineursdemoinsde16ans,pouvantêtreramenéparlesEtatsmembresauminimumà
13ans
Devenuadulte,leconsentementdonnésuruntraitementdoitpouvoirêtrereIréetlesdonnéeseffacées
LeconsentementdoitêtrerecueilliauprèsduItulairedel’autorité
parentale
L’informaIonsurlestraitementsdedonnéeslesconcernantdoitêtrerédigéeendestermesclairsetsimples,quel’enfantpeutaisément
comprendre
Sanctions
Sanc;onsAdministra;ves• de10à20millionsd’eurosselonlacatégoriedel’infracIon
• Voirde2%à4%duchiffred’affairesannuelmondialdel’exerciceprécédent
Ac;onsdegroupe• LeRGPDouvrelavoieauxacIondegroupe
• PourlesdommagesconsécuIfsàuneviolaIondelaloiinformaIqueetlibertéetduRGPD
• Recoursouvertàtous,cesacIonspassentparunintermédiaire,uneassociaIondédiéeouunsyndicatreprésentaIfdesalariésetfoncIonnaires.
• JouepourlacessaIondumanquementETlarépara;ondupréjudiceàcompterdu25mai2018
Dommagesetintérêts• PossibilitédeprocédureindividuelleenindemnisaIondupréjudice,exercéeparlesuIlisateursdumondeenIer.
• Sanc;oncivilesavecoctroiededommagesetintérêts.
• Sanc;onspénalesavecdesamendespénalespouvantallerjusqu’à1500000€,cumulablesavecdesdommagesetintérêtspourlesparIesciviles.
23
La désignation d’un Délégué à la protection des données (DPO)
Toutorganismepublic
TouteslesentreprisesdèslorsqueleursacIvitésdebaselesconduit(dufaitdelanature,portéeet/oufinalitédecesacIvités)àeffectuerunsuivirégulieretsystémaIquedespersonnesàgrandeéchelle
ToutesentreprisesdèslorsqueleursacIvitésdebaselesamèneàtraiteràgrandeéchelledesdonnéessensiblesouquionttraitàdescondamnaIonsetinfracIonspénales
Désigna;onobligatoire
PourtouteslesautresentreprisesleDPOestfacultaIf,néanmoinsc’estunatoutmajeur,carilpermetauxentreprisesd’iden;fierlesrisquesencourus,dedialogueraveclesautorités,deréduirelesrisquesdeconten;eux,etc.
Désigna;onfaculta;ve
24
Sontconsidéréescommedesdonnéessensibles,notamment,lesdonnéesgéné;ques,biométriques,ouafférentesàlasanté,àlareligion,auxopinionspoli;quesouàl’appartenancesyndicale
LeG29considèrequelessociétés
d’assuranceeffectuedestraitementsàgrandeéchelle.
La désignation d’un Délégué à la protection des données (DPO)
Informeretconseillerleresponsabledutraitementoulesous-traitantetleursemployéssurlesrisques
encourus
ContrôlerlerespectdurèglementetdudroitnaIonalenmaIèredeprotecIondesdonnées
Conseillerl’organismesurlaréalisaIond’étudesd’impactetenvérifierl’exécuIon
Coopéreravecl’autoritédecontrôleetêtresonpointde
contact
Rôlesprincipaux
25
S’informersurlecontenudesnouvellesobligaIonsetgénérerlaconnaissancedesrisques
nouveauxauprèsdesentreprises
Sensibiliserlesdécideurssurl’impactdecesnouvellesrèglesetconcevoirdesacIonsde
sensibilisaIon
Réaliserl’inventairedestraitementsdedonnéesde
l’organisme
PiloterlaconformitéenconInu,idenIfierlesrisquesnouveauxetexistant,vérifierquelesrisques
soientcouverts.
Missionsd’accompagnement
L’externalisation du DPO
26
LeDPObénéficiedecertainesdisposiIonsinscritesdanslerèglement:
1. Ilestindépendantetnereçoitpas
d’instrucIonsdanslecadredesamission
2. IlnepeutpasêtrerelevédesesfoncIons(iladonclestatutd’unsalariéprotégéetestprotégécontrelelicenciement)
3. Ilrapportedirectementauchefd’entreprise
4. Ilestsoumisausecretprofessionnel(saufviaàvisdel’autoritédecontrôle)
5. Ilnepeutêtreenconflitd’intérêts.
Disponibleàlacarte=
maitrisedescoûts
Pasdeconflit
d’intérêts
Indépendant
ExperIseassurée
Remplacementfacilité
Disponibleimmédiatement
Renfortpossible
rapidementencasdebesoin
Lanomina;ond’unDPOeninterneestpérilleuse.Privilégierunprestataireextérieurademul;plesavantages.
La valorisation du DPO
• Tarifd’unDPOexternalisé500€la½journée• Enpartantsurunbesoinmoyende4/5journéesparmoisafindemegreenconformitél’entreprise,fournirladocumentaIon,idenIfierlesrisquesetassurerleviragetechnologique.
• LaFrenchTechvialaCommissionLEGALINTECHalacapacitédemegreàdisposiIondesentreprisesdeladocumentaIon,desclausestypes,desplansd’acIontype,etc.,permegantauxentreprisesdegagnerentemps,argentetefficacité.
27
Les apports du RGPD
CartographiersesapplicaIonsetsonsystèmed’informaIon.>>IdenIfieretrecenserlestraitementsdedonnéesmisesenœuvre
PrioriserlesacIonsàmener
Organiserlesprocessusinternes
Documenterlaconformité
29
Cartographier les traitements de données mis en oeuvre
30
Lesfluxenindiquantl’origineetladesInaIondesdonnéespouridenIfierleséventuelstransfertsdedonnéeshorsdel’UE
LesobjecIfspoursuivisparlesopéraIonsdetraitementdedonnées
Lescatégoriesdedonnéespersonnellestraitées
Lesdifférentstraitementsdedonnéespersonnelles
Lesacteursquitraitentcesdonnées
Tenirunregistreinternedestraitements
Envérifierlaconformitéaurèglement
AprèsavoiridenIfiéles
traitementsdedonnées
personnelles,ilfaut,pour
chacund’eux,idenIfierles
acIonsàmenerauregarddes
risquesquefontpeserle
traitementdedonnéessurles
personnesconcernées
S’assurerque seules lesdonnées strictementnécessaires à lapoursuitede sesobjecIfssontcollectéesettraitées.
IdenIfierlabasejuridiquesurlaquellesefondeletraitement(consentementdelapersonne,intérêtlégiIme,contrat,obligaIonlégale)
Réviserlesmen;onsd’informa;onafinqu’ellessoientconformesauxexigencesdurèglement(arIcles12,13et14durèglement)
Vérifier que les sous-traitants connaissent leurs nouvelles obligaIons et leursresponsabilités, s’assurer de l’existence de clauses contractuelles rappelant lesobligaIons du sous-traitant en maIère de sécurité, de confidenIalité et deprotecIondesdonnéespersonnellestraitéesetdenoIficaIon.
Prévoir lesmodalités d'exercice desdroits des personnes concernées (droit d'accès, derecIficaIon,droitàlaportabilité,retraitduconsentement...)
Vérifierlesmesuresdesécuritémisesenplace.31
Prioriser les actions à mener
Prioriser les actions à mener
Vigilanceetrèglespar;culièresàappliquerpourlescassuivants:(étudesd’impact,informa8onrenforcée,autorisa8onpréalable,clausescontractuelles,recueildu
consentement,etc:analyserlaLCENetlenouveaurèglementnécessaire).
Donnéessensibles
Traitementapourobjetoupoureffet:- la surveillance systémaIque à grande échelled'unezoneaccessibleaupublic- l'évaluaIon systémaIque et approfondied'aspects personnels, y compris le profilage, surla base de laquelle vous prenez des décisionsproduisant des effets juridiques à l'égard d'unepersonne physique ou l'affectant de manièresignificaIve.
Transfertdedonnéeshorsdel’UE:-vérifierquelepaysverslequellesdonnées sont transmises estreconnuadéquatparlaCommissioneuropéenne-sinonencadrerlestransferts
32
Megreenplacedesprocéduresinternes
garanIssantlaprotecIondesdonnéesàtout
momentenprenantencomptelesévénementsquipeuventsurveniraucoursdelavied’untraitement
Failledesécurité
GesIondesdemandesderecIficaIonoud’accèsetderévocaIonduconsentement
ModificaIondesdonnéescollectées
Changementde
prestataire
33
Organiser les processus internes
Pourprouverlaconformitéaurèglement
ConsItueretregrouperladocumentaIon
nécessaire(dynamique)
34
Documenter la conformité
DOCUMENTATIONSURVOSTRAITEMENTSDEDONNÉES
PERSONNELLES
INFORMATIONDESPERSONNES
CONTRATSQUIDÉFINISSENTLESRÔLESETLESRESPONSABILITÉSDES
ACTEURS
Leregistredestraitements(pourlesresponsablesdetraitements)oudescatégoriesd’acIvitésdetraitements(pourlessous-traitants)
Lesmen;onsd’informa;on
Lescontratsaveclessous-traitants
Lesanalysesd’impactsurlaprotec;ondesdonnées(PIA)pourlestraitementssuscepIblesd'engendrerdesrisquesélevéspourlesdroitsetlibertésdespersonnes
Lesmodèlesderecueilduconsentementdespersonnesconcernées,
Lesprocéduresinternesencasdeviola;onsdedonnées
L'encadrementdestransfertsdedonnéeshorsdel'Unioneuropéenne(notamment,lesclausescontractuellestypes,lesBCRetcerIficaIons)
Lesprocéduresmisesenplacepourl'exercicedesdroits
Lespreuvesquelespersonnesconcernéesontdonnéleurconsentementlorsqueletraitementdeleursdonnéesreposesurcegebase.
35
Documenter la conformité
§ StructurerlesprocessusITetmaîtriserlesdonnées§ Valoriserl’acIfdesdonnéessécurisées§ Sécuriserlescessionsd’entreprises§ Développerunclimatdeconfiance§ AvantageconcurrenIel§ AssurerlalibrecirculaIondesfluxdedonnées§ Créerunmarchédeladonnée§ UnificaIondesconceptssurl’ensembledumarchéeuropéen§ DisInguerlesentrepriseseuropéennesauplaninternaIonal
36
De nouvelles opportunités pour les entreprises
Mais également de nouvelles opportunités pour vous!
§ L’idenIficaIonderisquesnouveauxpermetdesourcerlesnouveauxbesoinsentermed’assurancechezlesentreprises.
§ C’estlàlerôleclefduDPO,dontlamissionestnotammentd’idenIfierlesrisquesàassurer,ceuxquiexistent,maiségalementceuxquidevrontl’être.
§ Unmarchénouveau,encoursdematuraIon,àconquérir.
37
5 Points de contrôle RGPD
38
1. RGPDSuis-jeconcerné?
q Est-cequemastructureeffectuedestraitementsdedonnéespersonnelles?
q Suis-jeunresponsabledetraitement?Unsous-traitant?
q Unco-responsable?q LeRèglementeuropéenm’estt-il
applicable?
2.DOCUMENTATIONETANALYSED’IMPACTLesbonnespraIques
q AnalyseduTraitement:yat-ildesdonnées«sensibles»?DestraitementsparIculiers?Destraitementssoumisàuneanalysed’impact?
q Dois-jemegreenplaceunregistre(obligatoireengénéral,etrecommandédanstouslescas)?
q Quellesmesuresdesécuritémegreenplace?q Faut-ildésignerunDPO?Eninterne?Externalisé?q Miseenplacedemécanismeetprocédureinternepour
démontrerlerespectdesrèglesrelaIveàlaprotecIondesdonnées(principed’accountability).
3.COLLECTELesgrandsprincipes
q ApplicaIonduprincipedeminimisaIondesdonnéesq ApplicaIonduprincipedelimitaIondesfinalitésq ApplicaIondesprincipesdePrivacybydesignetPrivacybydefaultq LimiterladuréedeconservaIonàcequieststrictementnécessaireq ApplicaIonduprincipeselonlaquellelacollectedesdonnéesetloyaleETlicite
4.INFORMATIONSOBLIGATOIRESQuellessontlesinformaIonsàcommuniquerobligatoirement?Parquelmoyen?
q IdenIfierleresponsabledutraitement,lafinalitédutraitementetlefondement,lesdroitsdespersonnesconcernées,laduréedeconservaIon,etc.
q DeterminereninternelamodalitédecommunicaIondesinformaIons
5.GERERL’INTERNATIONAL
q LedroitàuneinformaIonrenforcéedespersonnesconcernées.
q Miseenplacedecontratafind’encadrerlesfluxenvoyésendehorsdel’UE.
q Miseenplacedeprocédureinternerenforcée.
RGPD
DOCUMENTATIONETANALYSED’IMPACT
COLLECTE
INFORMATIONSOBLIGATOIRES
GERERL’INTERNATIONAL
39
La prochaine étape
DanslescouloirsdelaCommission
del’UE
Lepaquetcybersécurité
(unedirecIveetuneproposiIonderèglementsontendiscussion)
RèglementUEàvenirsurlalibrecirculaIondes
données
Lepaquetobjetconnecté
(discussionsavancées)
LepaquetIoT(encoursdediscussion)
Ladata,etplusgénéralementtoutcequiconcernelenumériqueestunedespréoccupaIonsmajeuresdel’UE,quiadécidédemegreenplacerapidementunelégislaIonassociée.Lesdonnéespersonnellesnesontquelepremierjalon.
EtreproacIfpermegraàtousd’idenIfierenamontlesbesoinsdenosclients,etdeproposerdesoffresadaptées.
40
A vous de jouer : cartographie
Systèmed'informationXXXau01/01/2018
Application RTO RPO Fournisseur Traitements DonnéesPersonnelles Stratégiedesecurité Stockage Sauvegarde GDPR
Coutiers2000 1H 1H TOTOCORP Gestiondescontratsclients OUI AUCUNE DISTANT NON OUI
Messagerie 24H 24H OVH Relationsclients/fournisseurs OUI AUCUNE DISTANT(SAAS) OUI OUI
Stockagedefichiers 24H 24H INFO2000 Gestiondesfactures OUI AUCUNE LOCAL OUI OUI
XXX
ZZZ
RTO:RecoveryTimeObjecIveRPO:RecoveryPointObjecIveDISTANT=SOUS-TRAITANT