Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
1Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Le Règlement européen n°2016/679
du Parlement européen et du Conseil du 27 avril 2016
relatif à la protection des personnes physiques
à l'égard du traitement des données à caractère personnel
et à la libre circulation de ces données
L’impact sur l’organisation et le Plan d’actions
Version 2.02 du 12/12/2016
Animateur : Denis Virole / Directeur des Services / Ageris Group
Extrait du Workshop réalisé au Luxembourg le 13/12/2016 en partenariat avec HALIAN
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
2Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Introduction
Le traitement des DCP doit être conduit pour servir l’humanité
Le droit à la protection des DCP n’est pas un droit absoluIl doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité
Le Règlement respecte tous les droits fondamentaux et observe les libertés et les principes reconnus par la Charte des droits fondamentaux de l’Union Européenne, consacrés par les traités, en particulier le respect de la vie privée et familiale, du domicile et des communications, la protection des DCP, la liberté de pensée, de conscience et de religion, la liberté d’expression et d’information, la liberté d’entreprise, le droit à un recours effectif et accéder à un tribunal impartial, et la diversité culturelle et religieuse
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
3Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
1. Prendre en compte les évolutions technologiques
2. Prendre en compte les nouveaux usages des
technologies de l’information
3. Renforcer les droits des citoyens européens
4. Responsabiliser les dirigeants et les sous-
traitants
Internet, Mobilité, … Réseaux sociaux, enfants, profilage, …
Adulte, enfant, … Entreprise, sous-traitant, …
La protection des personnes physiques à l'égard du traitement des DCP est un droit fondamental.
L'article 8, paragraphe 1, de la Charte des droits fondamentaux de l'Union européenne et l'article 16, paragraphe 1, du traité sur le fonctionnementde l'Union européenne disposent que toute personne a droit à la protection des données à caractère personnel la concernant.
5. Les mêmes droits pour tous les citoyens de l’Union Européenne
Introduction : Les enjeux du nouveau règlement
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
4Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Champ d’application
Définitions
Principes
Chapitre 1: Champ d’application, définitions et principes
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
5Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Chapitre 2: Le renforcement des droits des personnes concernées
1. Le raccourcissement du délai de réponse
concernant les droits : d’accès, de rectification
et de suppression et droit d’opposition
2. Des informations plus détaillées à fournir
pour le RT
7. Le droit pour la personne concernée de ne pas faire l’objet d’une décision fondée sur un traitement automatisé, y
compris le profilage
3. Un renforcement du droit d’accès de la
personne concernée
6. L’instauration de nouveaux droits: le droit
à la limitation du traitement et le droit à la portabilité des données
4. Des modifications terminologiques
concernant le droit de rectification et le droit
d’opposition de la personne concernée
5. Une nouvelle dénomination concernant le droit de suppression:
le droit à l’oubli ou le droit à l’effacement
Les droits de recours
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
6Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
La Loi sur la protection des données
Les droits
Art. 26 de la Loi
Le droit d’information de la personne concernée
Art. 30 de la Loi
Le droit d’opposition
Art. 28 de la Loi
Le droit d’accèset
Communication
Art. 28 (4) et 28 (6) de la Loi
Le droit de rectification et de suppression
Chapitre 2: Le renforcement des droits des personnes concernées
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
7Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Les droits
Droits existantsmais renforcés par le Règlement
Nouveaux droits
Droitd’information
Art. 13 et 14
Droit d’accès
Art. 15
Droit de rectification
Art. 16
Droit à l’effacement
Art. 17
Droit d’opposition
etProfilage
Art. 21 et 22
Droit à la limitation du traitement
Art. 18
Obligation de notification rectification effacement
limitation du T
Art. 19
Droit à la portabilité
Art. 20
Les droits de recours
Droit d'introduire une réclamation auprès d'une
autorité de contrôle
Art. 77
Droit à un recours juridictionnel effectif
contre un responsable du traitement ou un sous-
traitant
Art. 79
Droit à réparation et responsabilité
Art. 82
Droit à un recours juridictionnel effectif
contre une autorité de contrôle
Art. 78
Représentation des personnes concernées
Art. 80
Le Règlement européen
Chapitre 2: Le renforcement des droits des personnes concernées
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
8Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Lorsque le T = art 6,1 les intérêts
légitimes RT
Prise de décision
automatiséeprofilage ?
L’identité du RT
Durée de Conservation
Chapitre III: Droits de la personne concernée
Section 2: Information et accès aux données à caractère personnel
Article 13: Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée
T = art 6Retirer son
consentement
Introduire une réclamation
Conditionne un contrat ?
Destinataires
Chapitre 2: Le renforcement des droits des personnes concernées2. Des informations plus détaillées à fournir pour le responsable du traitement
L'existence du droit à :• L 'accès aux DCP• La rectification• La imitation du T relatif à la PC• De s'opposer au T• Du droit à la portabilité des DCP Informations
concernant une nlle finalité
Finalités du T
Rectification l'effacement,
limitation T ou non au T
portabilité
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
9Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Effacement
T = art 6.1 les intérêts
légitimes RT
Introduire une réclamation
Catégories de DCP
Destinataires
Changement de finalité
L’identité du RT
L'accès aux DCPLa rectificationUne limitation du T relatif à la PCDe s'opposer au TDu droit à la portabilité des DCP
T = art 6.1 / art 9.2
Le droit de retirer le consentement
Finalités du T
Source des DCP
accessibles ou non
au public
Chapitre III: Droits de la personne concernée
Section 2: Information et accès aux données à caractère personnel
Article 14: Informations à fournir lorsque des DCP n’ont pas été collectées auprès de la personne concernée
Chapitre 2: Le renforcement des droits des personnes concernées2. Des informations plus détaillées à fournir pour le responsable du traitement
Durée de Conservation
l'existence d'une décision automatisée, /
profilage
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
10Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Réclamation auprès de l’autorité de contrôle
Réparation du préjudice subit
Recours juridictionnel contre une autorité de
contrôle
Droits de recours pour la PC
Recours juridictionnel contre un RT ou un
sous traitant
Action collective
Chapitre 2: Le renforcement des droits des personnes concernées8. Les droits de recours
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
11Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Chapitre 3: Le responsable du traitement et le sous-traitant: nouvelles obligations
1. La mise en œuvre de mesures techniques et organisationnelles ainsi
que de politiques appropriées en matière de protection des DCP
par le RT
2. Les responsabilités conjointes des RT
7. L’analyse d’impact relative à la protection
des données
3. Les nouvelles obligations du sous
traitant
6. Notification d’une violation de DCP à
l’autorité de contrôle et communication à la
personne concernée le cas échéant
4. La tenue du registre des activités par le RT
5. Enonciation des différentes mesures
techniques et organisationnelles à
mettre en œuvre
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
12Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Protection des DCP
Aide le RT de son obligation de donner suite aux
demandes
Met à la disposition du RT toutes les informations nécessaires pour apporter la preuve du
respect des obligations prévues
La pseudonymisationLa minimisation des données
Pas rendues accessibles à un nombre indéterminé de personnes physiques
Définissent de manière transparente leurs obligations respectives
Régi par un contrat + des garanties suffisantes
Veille à ce que les personnes autorisées à traiter les DCP respectent la
confidentialité
Supprime toutes les DCP ou les renvoie au RT au terme de la prestation
• politiques appropriées en matière de protection • mesures technique et organisationnelle• application d'un code de conduite • certification
Ne recrute pas un autre ST sans l'autorisation écrite préalable + régi par un contrat
Chapitre 3: Le responsable du traitement et le sous-traitant: nouvelles obligations
Notifie la violation de DCP
Sur instruction / prend toutes les mesures requises
peut exercer les droits
Registre
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
13Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
1. Désignation du DPO
2. La fonction de DPO
3. Les missions
Chapitre 4: Le délégué à la protection des données
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
14Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Coordonnées du DPO
Désigne un DPO
Désigne un DPO
Désigne un DPO
Désigne un DPO
Coordonnées du DPO
Service public
Chapitre 4: Le délégué à la protection des données
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
15Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
1. L’élaboration de codes de conduite
2. La mise en place de mécanismes de
certification
Chapitre 5: Chapitre 5: Codes de conduite et certification
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
16Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Chapitre 6: Les transferts de données à caractère personnel vers des pays tiers
1. Principe général applicable aux transferts
de DCP hors UE
2. La décision d’adéquation
7. Le renforcement de la coopération entre EM
lors d’un transfert hors UE
3. Le transfert moyennantdes garanties
appropriées: BCR, Clauses contractuelles
Types, Code de conduite, mécanisme de
certification
6. Les obligations du RT lors d’un transfert hors
UE 4. Les BCR
5. Dérogations pour des situations particulières
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
17Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Chapitre 7: Les autorités de contrôle
1. Autorité de contrôle et
indépendance
2. Missions de l’autorité de contrôle
3. Les pouvoirs de l’autorité de
contrôle
4. L’autorité chef de file
5. Le renforcement
de la coopération
entre les autorités
6. Un Comité européen de la protection
des DCP
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
18Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
IndépendanceLibres de toute influence
Aucune activité professionnelle incompatible
1. Autorité de contrôle et
indépendance
1. Autorité de contrôle et
indépendance
1. Autorité de contrôle et
indépendance
contribue à l'application cohérente du présent règlement dans l'ensemble de l'Union
EM EM
Notifie à la Commission les dispositions légales
Prévoit qu'une ou plusieurs autorités publiques indépendantes sont chargées de surveiller l'application du règlement,
Donne les moyens humains, techniques et financiers
Un contrôle financier qui ne menace pas son indépendance
Chapitre 7: Les autorités de contrôle1. Autorité de contrôle et indépendance
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
19Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Chapitre 7: Les autorités de contrôle2. Missions de l’autorité de contrôle
• Conseille, conformément au droit de l'État membre, le parlement national, le gouvernement • Favorise la sensibilisation du Public• Encourage la sensibilisation des RT et des ST • Fournit, sur demande, à toute PC des informations sur l'exercice des droits• Encourage l'élaboration de codes de conduite• Encourage la mise en place de mécanismes de certification ainsi que de labels
• Établit et tient à jour une liste en lien avec l'obligation d'effectuer une analyse d'impact• Tient des registres internes des violations
• Facilite l'introduction des réclamations • Traite les réclamations
• Suit les évolutions • Coopère avec d'autres autorités de contrôle• Contribue aux activités du comité
• Contrôle l'application du règlement• Effectue des enquêtes • Examine périodiquement les certifications délivrées
• Adopte les clauses contractuelles types visées• Approuve les règles d'entreprise contraignantes • Rédige et publie les critères d'agrément• Procède à l'agrément d'un organisme
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
20Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Pouvoir d'enquêtePouvoir de faire adopter toutes les
mesures correctricesPouvoir consultatif
Chapitre 7: Les autorités de contrôle3. Les pouvoirs de l’autorité de contrôle
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
21Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
1. Le droit d’introduire une réclamation auprès
d’une autorité de contrôle
2. Les droits de recours
3. Les amendes administratives
Chapitre 8: Voies de recours, responsabilité et sanctions
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
22Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Règlement européen
1. Amendes administratives pouvant s’élever jusqu’à 10 000 000 euros ou dans le cas d’une entreprise jusqu’à 2% du CAannuel mondial:
• relatives au consentement des enfants en lien avec des services de la société de l’information (art. 8);• en matière de traitement ne nécessitant pas d’identification (art. 11);• en matière de protection des données dès la conception et de protection des données par défaut (art. 25);• des règles propres aux responsables conjoints du traitement (art. 26);• en matière de représentants des responsables qui ne sont pas établis dans l’Union (art. 27);• s’imposant dans la relation entre le responsable et le sous-traitant (art. 28);• en matière de traitement effectué sous l'autorité du responsable du traitement et du sous-traitant (art. 29);• relatives à la tenue du registre de toutes les catégories d’activités de traitement (art. 30);• concernant la coopération avec l’autorité de contrôle (art. 31) ;• relatives à la sécurité des traitements (art. 32) ;• relatives à la notification des violations de données à l’autorité de contrôle (art. 33) ;• relatives à la communication des violations de données aux personnes concernées (art. 34) ;• concernant l’analyse d’impact relative à la protection des DCP (art. 35) et la consultation préalable de l’autorité de
contrôle (art. 36) ;• concernant la désignation du délégué à la protection des données (art. 37), ses fonctions (art. 38), ses missions
(art. 39) ;• en matière de certification (art. 42) et de procédure de certification (art. 43);• des obligations de l’organisme de certification au sens des articles 42 et 43 (b) ;• des obligations de l’organisme chargé de surveiller le respect du code de conduite au sens de l’article 41, § 4 (c).
Les montants des amendes administratives
Chapitre 8: Voies de recours, responsabilité et sanctions3. Les amendes administratives
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
23Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Règlement européen
2. Amendes administratives pouvant s’élever jusqu’à 20 000 000 euros ou jusqu’à 4% du CA annuel mondial total :
• les principes de base des traitements, en ce compris les conditions du consentement au sens des articles 5 (Principesrelatifs au traitement des données à caractère personnel), 6 (licéité du traitement), 7 (conditions applicables auconsentement) et 9 (Traitement des catégories particulières de données à caractère personnel) ;
• des droits des personnes concernées au sens des articles 12 à 22 du Règlement ;
• des règles relatives aux transferts de données à un destinataire d’un pays tiers ou d’une organisation (art. 44 à 49) ;
• toutes les obligations mises en place par le droit national conformément au chapitre IX: le chapitre IX laisse aux Étatsmembres une certaine marge d’appréciation en matière notamment de traitements des données à caractère personnel etliberté d'expression et d'information (cfr. art 85) ; traitements d’un numéro d’identification national (art 87) etc.;
• le non-respect d’une injonction de limitation temporaire ou définitive de traitement ou de suspension du flux dedonnées, prononcée par une autorité de contrôle en vertu des articles 58, § 2 ou lorsque le responsable ne permet pasl’accès en violation de l’article 58, § 1er.
Les montants des amendes administratives
Chapitre 8: Voies de recours, responsabilité et sanctions3. Les amendes administratives
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
24Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Directive 95/46/CE relative à la protection des personnesphysiques à l’égard du traitement des DCP et à la librecirculation de ces données
Abrogation
Directive 2002/58/CE du 12 juillet 2002 concernant letraitement des données à caractère personnel et laprotection de la vie privée dans le secteur descommunications électroniques (directive vie privée etcommunications électroniques)
Aucune incidence puisque le Règlement n’impose pasd’obligations supplémentaires aux personnes physiquesou morales quant au traitement dans le cadre de lafourniture de services de communications électroniques
Loi sur la protection des données de 2002 La Loi va être très certainement modifiée, certainesdispositions vont être abrogées.
Abrogation, relation avec les autres textes
Evolutions
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
25Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Conclusion
Fondamentalement les principes et les obligations que nous connaissons aujourd’hui sont maintenus, le règlement les renforce et en crée de nouveaux
Les principales évolutions sont les suivantes : • Création de nouveaux droits pour les PC
• La responsabilité des RT est renforcée et le RT doit apporter les preuves de mise en conformité
• La responsabilité et les obligations des ST sont renforcées
• La sécurité des DCP devient un principe fondamental de la protection de la vie privée
• De nouveaux concepts sont à appliquer : EIVP / PIA, Sécurité par défaut, Privacy By Design, …
• Les missions du DPO évoluent vers le contrôle
• Les amendes administratives ont considérablement augmenté
• La coopération entre les autorités de contrôle se renforce
• Les autorités de contrôle vont définir des codes de conduite et des certifications / labels
Le délai de mise en conformité est fixé à fin mai 2018 : ce délai est cours.
Il convient de mettre en œuvre un plan d’actions permettant d’atteindre cet objectif dans les meilleursdélais : 2017 est une année importante pour la mise en conformité
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
26Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Le Plan d’actions
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
27Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
La démarche :
• Doit être adaptée au niveau de maturité de l’organisme : une approche progressive par palier doit être mise en oeuvre
• Doit impliquer la direction générale de l’organisme pour qu’elle impose la démarche
• Doit aborder des aspects « organisationnels » et « techniques »
• Nécessite de formaliser des documents (politiques, procédures, …)
• Nécessite de désigner un chef de projet pour mener à bien tous les chantiers
Le Plan d’actions : La démarche
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
28Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Le Plan d’actions : 2 objectifs
1 Augmenter la maturité
2 respecter le délai : Mai 2018
MATURITE
6/7
Processus continuellement optimisé, l'amélioration des processus est
dynamique, institutionnalisée et tient compte de l'évolution du contexte
5
Processus coordonné et
contrôlé à l'aide d'indicateurs permettant de
corriger les défauts constatés
4
Processus défini,décrit, adapté à
l'organisme, généralisé et bien
compris par le management et
par les exécutants
3
Pratiques de base mises en œuvre,
avec un engagement relatif de l'organisme vis-
à-vis des PC
2
Pratique de base mises en œuvre de manière informelle
et réactive à l'initiative de ceux
qui estiment en avoir besoin
1
Pratique inexistante ou
incomplète et le besoin n'est pas
reconnu.
TEMPS
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
29Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Le Plan d’actions : La démarche / Identifier les acteurs
Chef de projet
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
30Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Le Plan d’actions : La démarche / Identifier les fonctions DPO / CISO
DPO CISO
Information Conseil
RT
Sur les obligations RTL’identification des DCP et T Les droits des PCValidation de l’EIVP
Les enjeuxLes périmètresLa validation des risques résiduels
MOAEvènements redoutésVulnérabilités métiers
MenacesVulnérabilités IT
MOE / STSource de risques Niveau de risques
Sensibilisation formation Tous
Veille RéglementaireRéglementaire hors DCP et technique
ContrôleMOAMOEST
La conformité au Règlement et à la PPDCP
La conformité au Référentiel SSI
Coopère avec l’autorité de contrôle AC : CNPDANSSI pour le Luxembourg fonction publique
Point de Contact Pour l’AC et les PC Pour les ST, voir les MOE et MOA
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
31Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Situation effective
Pratique inexistante ou
incomplète et le besoin n'est pas
reconnu.
Pratique de base mises en œuvre de manière informelle
et réactive à l'initiative de ceux
qui estiment en avoir besoin
Pratiques de base mises en œuvre,
avec un engagement
relatif de l'organisme vis-à-
vis des PC
Processus défini,décrit, adapté à
l'organisme, généralisé et bien
compris par le management et par
les exécutants
Processus coordonné et
contrôlé à l'aide d'indicateurs permettant de
corriger les défauts constatés
Processus continuellement optimisé : l'amélioration des processus est
dynamique, institutionnalisée et tient compte de l'évolution du contexte
6
LabellisationCertification
5
Code de conduite
4
Contrôle des mesures
juridiques
3
Respect des droits de la PC
+Relations avec l’autorité de Ctl
+Contrats
2
PolitiqueGénérale de
protection de la VP
Noti. Viol DCP
Registre1
SensibilisationDG+
Directions métiers
Le Plan d’actions : Les mesures juridiques
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
32Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Situation effective
Pratique inexistante ou
incomplète et le besoin n'est pas
reconnu.
Pratique de base mises en œuvre
de manière informelle et
réactive à l'initiative de
ceux qui estiment en avoir besoin
Pratiques de base mises en œuvre,
avec un engagement
relatif de l'organisme vis-à-
vis des PC
Processus défini,décrit, adapté à
l'organisme, généralisé et bien
compris par le management et
par les exécutants
Processus coordonné et
contrôlé à l'aide d'indicateurs permettant de
corriger les défauts constatés
Processus continuellement optimisé : l'amélioration des processus est
dynamique, institutionnalisée et tient compte de l'évolution du contexte
6
Produits certifiés
5
Système de management
4
Ctl des mesures techniques
3
EIVPSecurity by
design +
PAS
2
Politiques de Sécurité SIOrganisationSecurity by defaultSécurité périphérique
1
Sensibilisation
Sécurité en profondeur
Le Plan d’actions : Les mesures organisationnelles et techniques
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
33Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Situation effective
Pratique inexistante ou
incomplète et le besoin n'est pas
reconnu.
Pratique de base mises en œuvre de manière informelle
et réactive à l'initiative de ceux
qui estiment en avoir besoin
Pratiques de base mises en œuvre,
avec un engagement
relatif de l'organisme vis-à-
vis des PC
Processus défini,décrit, adapté à
l'organisme, généralisé et bien
compris par le management et par
les exécutants
Processus coordonné et
contrôlé à l'aide d'indicateurs permettant de
corriger les défauts constatés
Processus continuellement optimisé : l'amélioration des processus est
dynamique, institutionnalisée et tient compte de l'évolution du contexte
6
LabellisationCertification
5
Code de conduite
4
Contrôle des mesures
juridiques
3
Respect des droits de la PC
+Relations avec l’autorité de Ctl
+Contrats
2
PolitiqueGénérale de
protection de la VP
OrganisationNoti. Viol DCP
Registre1
SensibilisationDG+
Directions métiers
Le Plan d’actions : Les mesures juridiques / Sensibilisation du RT
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
34Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Analyses et commentaires d’AGERIS Group
Le montant des sanctions administratives a considérablement augmenté, ce qui démontre la volonté desautorités compétentes de renforcer la protection de la vie privée des citoyens européens et de pousser les organismes àse mettre en conformité avec la législation.
Il est fort probable (en tout les cas il faut le souhaiter) que la médiatisation des actions engagées par une autorité decontrôle et cette augmentation du montant des actions deviennent dissuasives et poussent les responsablesd’organismes à engager les démarches nécessaires de mise en conformité.
Une sensibilisation sur ces risques juridiques, médiatiques, …. est à engager en interne pour pousser àla mise en œuvre de la gouvernance adéquate et renforcer les démarche de mise en conformité.
Le Plan d’actions : Les mesures juridiques / Sensibilisation du RT
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
35Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Loi de 2002 Application actuelle
Règlement européen Application le 25 mai 2018
Obligations du RT
Prendre toutes précautions utiles au regard de lanature des données et des risques présentés parle traitement, pour préserver la sécurité des DCPet notamment empêcher qu’elles soientdéformées, endommagées ou que des tiers nonautorisés puissent y avoir accès.
• Mise en place de mesures techniques et organisationnelles nécessaires au respect des DCP: « privacy by design », « privacy by default ».
• Véritable «responsabilisation» / principe «d’accountability»: obligation de démontrer la conformité au nouveau Règlement à tout moment.
• Suppression des obligations déclaratives dès lors que pas de risques pour la vie privée.
Obligations du ST
Doit présenter des garanties suffisantes pourassurer la mise en œuvre des mesures desécurité et de confidentialité.
Aucune responsabilité en cas de non-respect decette obligation. Seul le RT est responsable.
• Le ST ne devra pas recruter un autre ST sans l’autorisationécrite préalable, spécifique ou générale du RT;
• La relation entre le RT et le ST devra être régie par un contrat(le Règlement détaille ce que doit contenir le contrat entre leRT et le ST);
• Lorsqu’un ST recrute un autre ST, ce dernier sera soumis auxmêmes obligations que le ST.
Communication de la violation de DCP à
l’autorité de contrôle
Uniquement pour les fournisseurs de services decommunications électroniques accessibles aupublic sur les réseaux publics de communicationdans l’UE.
Notification à l’autorité de contrôle dans les meilleurs délais et sipossible dans les 72 heures au plus tard après en avoir prisconnaissance.
Communication à la PC de la violation des
DCP la concernant
Egalement pour les fournisseurs de services decommunications électroniques.
Communication à la PC (sauf dans certains cas).
EIVPEIVP concernant les traitements de DCPsensibles.Mais aucune spécifications.
Une EIVP devra être effectuée par le RT avec l’aide du DPO dans3 cas :• Evaluation systématique et approfondie d’aspects personnels
concernant des personnes physiques qui est fondée sur un traitement automatisé y compris le profilage,
• Le traitement à grande échelle de catégories particulières de données visées à l’article 9 et 10 (biométrie, santé etc.).
• La surveillance systématique à grande échelle d’une zone accessible au public
Introduction : Plan d’actions / La sensibilisation du RT
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
36Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique. Ce contrat ou cet autre acte juridique prévoit, notamment, que le ST :
Agit sur instruction du
RT
Assure la sécurité et la
confidentialité des données
Aide et conseil le RT
Démontre le respect du règlement
Ne traite les DCP que sur instruction documentée du RT
Veille à ce que les personnesautorisées à traiter les DCPs'engagent à respecter laconfidentialité ou soient soumisesà une obligation légale appropriéede confidentialité
Prend toutes les mesuresrequises en vertu de l'article 32(sécurité du traitement)
Aide le RT, par des mesures techniques et organisationnellesappropriées, dans toute la mesure du possible, à s'acquitterde son obligation de donner suite aux demandes
Aide le RT à garantir le respect des obligations prévuesaux articles 32 à 36
Supprime toutes les DCP ou les renvoie au RT au terme dela prestation de services relatifs au T, et détruit les copiesexistantes
Met à la disposition duresponsable du traitementtoutes les informationsnécessaires pour démontrerle respect des obligations etpour permettre la réalisationd'audits et contribuer à cesaudits
L'application d'un code deconduite approuvé ou d'unmécanisme de certificationapprouvé pour démontrerl'existence des garantiessuffisantes
Le Plan d’actions : Les mesures juridiques / Sensibilisation du RT
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
37Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Devoirs Droits
Respecte le Règlement engage sa responsabilitéDéfinit des règlesInforme les personnels sur:
Les risquesLes règlesLes dispositifs de surveillanceLes éventuels contrôlesLes niveaux de responsabilité individuelle
Met en place les dispositifs de protectionValide les risques résiduelsContractualise avec le ST Répond aux demandes des PCAnalyse / ContrôleInforme l’autorité de contrôle des violations de DCP
Droit de connaitre :• Les règles • Les responsabilités• Les dispositifs de surveillance• Les contrôles Droit d’exercer les droits de la personne concernée
Respecte les lois et les règles Devoir de loyauté Informe le RT des éventuels incidents
Définit des règlesMet en place des dispositifs de surveillanceMet en place des dispositifs de contrôleEngage la responsabilité des utilisateurs Engage la responsabilité du sous traitant
Le Plan d’actions : Les mesures juridiques / Sensibilisation des collaborateurs
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
38Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Situation effective
Pratique inexistante ou
incomplète et le besoin n'est pas
reconnu.
Pratique de base mises en œuvre de manière informelle
et réactive à l'initiative de ceux
qui estiment en avoir besoin
Pratiques de base mises en œuvre,
avec un engagement
relatif de l'organisme vis-à-
vis des PC
Processus défini,décrit, adapté à
l'organisme, généralisé et bien
compris par le management et par
les exécutants
Processus coordonné et
contrôlé à l'aide d'indicateurs permettant de
corriger les défauts constatés
Processus continuellement optimisé : l'amélioration des processus est
dynamique, institutionnalisée et tient compte de l'évolution du contexte
6
LabellisationCertification
5
Code de conduite
4
Contrôle des mesures
juridiques
3
Respect des droits de la PC
+Relations avec l’autorité de Ctl
+Contrats
2
PolitiqueGénérale de
protection de la VP
OrganisationNoti. Viol DCP
Registre1
SensibilisationDG+
Directions métiers
Plan d’actions / Politique / Notification violation de DCP / Registre
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
39Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
La Politique de protection de la Vie PrivéeObjectifs de la Politique
Domaine d’application de la Politique
• Définitions• Rôles et responsabilités des acteurs impactés dans la protection de la vie privée• Le Responsable des traitements• Sa responsabilité
Protection des données dès la conception et par défaut
Responsables conjoints du traitement
Registre des traitements
Le DPO
• La désignation du DPO• Les missions du DPO• Les fonctions du DPO• Relais DPO• Fin de mission/remplacement du DPO
Les autres acteurs impliqués dans les traitements
• Acteurs Internes• Les Directions métiers et les RDPO• Le RSSI• La Direction des systèmes d’Information• Responsable de la Sécurité des biens et des personnes
Acteurs externes
• Sous-traitants externes• Destinataires et tiers autorisés
Le Plan d’actions : Les mesures juridiques / Politique de protection de la VP
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
40Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
La PolitiquePrincipes relatifs aux traitements des données à caractère personnel
• Licéité des traitements• Règles applicables au consentement des personnes• Traitements portant sur des données particulières• Traitement comportant des données sensibles• Traitement comportant des données perçues comme sensibles• Règles complémentaires sur ces types de traitements
Droits des personnes
Transparence des informations et des communications et modalités d’exercice des droits
Présentation générale des droits : d’accès, de rectification, de suppression, de limitation et d’opposition de la personne
concernée
• Cas particulier du droit de rectification de la personne concernée
• Cas particulier du droit à l’oubli ou droit à l’effacement
• Cas particulier du droit à la limitation du traitement
• Obligation de notification en cas de rectification, limitation ou effacement
• Cas particulier du droit à la portabilité des données
• Cas particulier du droit d’opposition
• Profilage ou décision individuelle automatisée
Sécurité des données
Sécurité du traitement
Etude d’Impact sur la Vie Privée
Le Plan d’actions : Les mesures juridiques / Politique de protection de la VP
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
41Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
La PolitiqueNotification à la Commission de contrôle d’une violation de données
Communication à la personne d’une violation de données à caractère personnel
Code de conduite et certification
• Code de conduite• Labellisation
Culture protection de la vie privée
• Sensibilisation des nouveaux arrivés• Formation• Ateliers
Veille juridique et technologique
Contrôle de conformité et revue de Direction
Contrôle de la Commission de contrôle
• Mesures en cas de manquements
Modifications
Pérennité de la politique de gestion des données à caractère personnel
Communication et mise en œuvre de la politique de gestion des données à caractère personnel
Le Plan d’actions : Les mesures juridiques / Sensibilisation des collaborateurs
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
42Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Directives Règles
Registre des T de DCPDéclarer tous les traitements au DPO Mettre à jour le registre des T Rendre accessible le registre des T Vérifier régulièrement le registre des T
Garantie de licéité des T
Agir avec loyauté et transparence lors de la collecte des DCP Démontrer que le consentement des PC est respecté Respecter les finalités déterminées lors de la collecte des DCPLimiter les informations collectées dans les formulaires papiers ou numériques au strict nécessaireLimiter la conservation des données au strict nécessaire
Traitements de DCP sensibles ou perçues
comme sensibles
Respecter le cadre légal relatif au T des DCP sensibles Interdire/ réglementer le traitement des données relatives aux condamnations pénales et aux infractions Limiter l’accès aux DCP aux seuls professionnels habilités Interdire l’usage du NIR comme identifiant unique ?Limiter l’accès et l’usage des données bancaires au strict nécessaireLimiter l’accès aux données sur les difficultés sociales des personnes aux seules personnes habilitéesRéaliser des évaluations d’impact sur la vie privée des PC par les T de DCP sensibles.Limiter l’usage des zones de commentaires a des informations d’ordre général
Respect des droits des PC
S’assurer que les mentions légales sont conformes aux obligationsPermettre aux PC d’exercer leurs droits :• d’accès • de rectification • d’opposition • à l’oubli • à la limitation du T de leurs DCP Notifier aux destinataires les modifications apportées aux DCP suite aux demandes des PC Interdire/Réglementer le profilage ou les décisions individuelles automatisées d’une PC
Sécurité des DCP Appliquer les mesures de sécurité définies dans la Politique de Sécurité des SI (PSSI)
Violation de DCPFormaliser la notification de violation de DCPCommuniquer à la personne concernée la violation de ses DCP
Renforcement de la culture protection de la vie privée
Sensibiliser tous les agents à la culture « protection des DCP » Informatique et Libertés Former les agents sur la mise en œuvre de la politique de protection des DCP
Evolution de la politique
Assurer une veille juridique et technologique sur le domaine informatique et libertésContrôler régulièrement la mise en œuvre des directives de la politique Réviser régulièrement la politique
Le Plan d’actions : Les mesures juridiques / Politique de protection de la VP
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
43Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Remontée d’incident :• Perte de Confidentialité DCP• Perte d’Intégrité de DCP• Perte de Disponibilité de DCP• …
Le texte européen prévoit une notification à l’autorité decontrôle dans les meilleurs délais et si possible dans les 72heures au plus tard après en avoir pris connaissance.
Cette notification n’est pas ici cantonnée à un acteur enparticulier mais à tous les acteurs dès lors qu’une atteinte auxDCP est intervenue.
• Description de la nature de la violation de DCP,• Communication du nom et coordonnées du DPO,• Description des conséquences probables de la violation,• Description des mesures prises ou celles que le RT
propose de prendre.
Et l’article 34 du Règlement prévoit la communication à la PCdans les meilleurs délais.Cette disposition prévoit trois cas dans lesquels lacommunication n’est pas nécessaire:
• Le RT a mis en place le chiffrement etc.• Le RT a pris des mesures ultérieures garantissant le
respect des droits et libertés afin qu’une nouvelle violationne soit plus susceptible de se matérialiser,
• La communication exigerait des efforts disproportionnés.
Le Plan d’actions : Les mesures juridiques / La notification de violation de DCP
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
44Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
disposer d’une organisationpermettant de
détecter et de traiter les
événements susceptibles d’affecter les
libertés et la VP des PC
Définir les rôles et responsabilités ainsi que les procédures de remontées d’informations et de réaction, en cas de violation de DCP.
Établir un annuaire des personnes en charges de gérer les violations de DCP.
Élaborer un plan de réaction en cas de violation de DCP pour chaque risque élevé, le tenir à jour et le tester périodiquement.
Tester le plan au moins une fois tous les deux ans.
Permettre de qualifier les violations de DCP selon leur impact sur les libertés et la vie privée des PC
Tenir à jour un inventaire des violations de DCP.
Consigner le contexte des violations de DCP, leurs effets, les mesures prises pour y remédier…
Étudier la possibilité d’améliorer les mesures de sécurité en fonction des violations de DCP qui ont eu lieu
La notification des PC décrit au minimum la nature de la violation de DCP et les points de contact auprès desquels des informations supplémentaires peuvent être obtenues
La notification faite à l’autorité nationale compétente décrit les conséquences de la violation de DCP, et les mesures proposées ou prises par le fournisseur pour y remédierIl est important d’être en capacité de recueillir, conserver et présenter des preuves lorsqu’une action en justice est engagée suite à un incident
Le Plan d’actions : Les mesures juridiques / La notification de violation de DCP
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
45Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Le nom et les coordonnées du RT et, le cas échéant, duresponsable conjoint du traitement, du représentant duresponsable du traitement et du DPO
RT: Mr. Thierry RAMARD, 16 rue de Pont-à-Mousson, 57000 Metz.DPO: Justine Bertaud, 16 rue de Pont-à-Mousson, 57000 Metz.
Les finalités du T
Gestion de clientèle, gestion du personnel, dispositif de vidéosurveillanceayant pour finalité la sécurité des biens et des personnes, dispositifbiométrique reposant sur un stockage des gabarits en base mis en œuvrepour contrôler l’accès aux locaux, appareils et applications informatiquesutilisés sur les lieux de travail.
Une description des catégories de PC et des catégories de DCPLes salariés, les clients de l’entreprise etc.Nom, prénom, date de naissance, adresse postale, adresse courriel, relevéd’identité bancaire etc.
Les catégories de destinataires auxquels les DCP personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales
Les personnes gérant la sécurité d’accès aux locaux, les personnes gérantle restaurant d’entreprise, les personnes chargées de la gestion dupersonnel (RH par ex.), les instances représentatives du personnel etc.
Les transferts de DCP vers un pays tiers ou à une organisationinternationale, y compris l’identification de ce pays tiers ou decette organisation internationale et, dans le cas des transfertsvisés à l’art. 49, paragraphe 1, deuxième alinéa, les documentsattestant de l’existence de garanties appropriées.
Binding Corporate Rules (BCR), Clause contractuelle type (CCT), paysassurant un niveau de protection suffisant.
Les délais prévus pour l’effacement des différentes catégoriesde données
1 mois pour la vidéosurveillance, le temps de la période d’emploi de lapersonne concernée (après possibilité d’archivage) etc.
Une description générale des mesures de sécurité techniques etorganisationnelles
Contrôle d’accès, habilitation, cloisonner les DCP, réduire les vulnérabilitésdes logiciels, lutte contre les codes malveillants, chiffrer les DCP,anonymiser les DCP, contrôler l’accès physique aux locaux, prévenir lesrisques (incendie, inondation etc.) etc.
Le Plan d’actions : Les mesures juridiques / Le Registre
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
46Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Situation effective
Pratique inexistante ou
incomplète et le besoin n'est pas
reconnu.
Pratique de base mises en œuvre de manière informelle
et réactive à l'initiative de ceux
qui estiment en avoir besoin
Pratiques de base mises en œuvre,
avec un engagement
relatif de l'organisme vis-à-
vis des PC
Processus défini,décrit, adapté à
l'organisme, généralisé et bien
compris par le management et par
les exécutants
Processus coordonné et
contrôlé à l'aide d'indicateurs permettant de
corriger les défauts constatés
Processus continuellement optimisé : l'amélioration des processus est
dynamique, institutionnalisée et tient compte de l'évolution du contexte
6
LabellisationCertification
5
Code de conduite
4
Contrôle des mesures
juridiques
3
Respect des droits de la PC
+Relations avec l’autorité de Ctl
+Contrats
2
PolitiqueGénérale de
protection de la VP
OrganisationNoti. Viol DCP
Registre1
SensibilisationDG+
Directions métiers
Le Plan d’actions : Les mesures juridiques / Le Respect des droits de la PC
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
47Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Analyses et commentaires d’AGERIS Group
Le raccourcissement des délais de réponse impose de revoir les procédures internes pour respecter ce délai qui peut paraitre court.
Les modalités de réponse se précisent, il est important d’en tenir compte pour éviter tout litige avec la personne exerçant ses droits.
Concernant les informations complémentaires à fournir au moment de la collecte des DCP, il convient de revoir toutes les mentions légalesdes formulaires papiers et numériques.
Enfin, concernant les informations à fournir aux PC souhaitant y accéder, il convient de revoir les procédures de conservation de toutes lesinformations susceptibles d’être demandées.
La prise en compte de ces éléments dès la phase de conception d’un nouveau projet est nécessaire (voir chapitre relatif au « Privacy ByDesign »)
Règlement européen Application le 25 mai 2018
Délai de réponse aux demandes de droit des PC
1 mois (prolongation de deux mois compte tenu de la complexité et du nombre de demandes)
L’exercice des droits Possibilité d’exercer ses droits par voie électronique (lorsque cela est possible et lorsque le RT les a collectées parce vecteur).
Les mentions d’informations
13 mentions d’informations obligatoires lorsque les DCP ont été collectées directement auprès de la personne; 14lorsqu’elles ont été collectées indirectement.
La réponse à une demande au droit d’accès
9 mentions obligatoires à fournir
Nouveaux droitsLe droit à la portabilité de ses DCPLe droit à la limitation du T.
Le Plan d’actions : Les mesures juridiques / Le Respect des droits de la PC
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
48Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
1. La garantie de licéité des traitements
Objectif : S’engager à mettre en œuvre tous les moyens pour garantir la licéité des T en conformité avec les obligations légales en vigueur (art. 5 et 6 du Règlement n°2016/679).
Respect des droits de la PC
2. T de DCP sensibles ou perçues comme sensibles
Objectif : S’engager à appliquer des procédures et des moyens spécifiques aux T des DCP sensibles ou perçues comme sensible afin de limiter les risques pour les PC et de respecter les obligations légales concernant leurs T .
3. Respect des droits des PC
Objectif : S’engager à informer les PC des droits dont elles disposent légalement et à mettre en œuvre tous les moyens leur permettant de les exercer.
Le Plan d’actions : Les mesures juridiques / Le Respect des droits de la PC
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
49Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Situation effective
Pratique inexistante ou
incomplète et le besoin n'est pas
reconnu.
Pratique de base mises en œuvre de manière informelle
et réactive à l'initiative de ceux
qui estiment en avoir besoin
Pratiques de base mises en œuvre,
avec un engagement
relatif de l'organisme vis-à-
vis des PC
Processus défini,décrit, adapté à
l'organisme, généralisé et bien
compris par le management et par
les exécutants
Processus coordonné et
contrôlé à l'aide d'indicateurs permettant de
corriger les défauts constatés
Processus continuellement optimisé : l'amélioration des processus est
dynamique, institutionnalisée et tient compte de l'évolution du contexte
6
LabellisationCertification
5
Code de conuite
4
Contrôle des mesures
juridiques
3
Respect des droits de la PC
+Relations avec l’autorité de Ctl
+Contrats
2
PolitiqueGénérale de
protection de la VP
OrganisationNoti. Viol DCP
Registre1
SensibilisationDG+
Directions métiers
Le Plan d’actions : Les mesures juridiques / Le Contrôle
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
50Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Contrôle de la
Commission
Des DéclarationsDu RegistreDu Bilan
Contrôle des mesures
Les actions transverses
• L’organisation de protection de
la VP
• Le comité de suivi, validation
• La politique de protection de la
VP
• Les contrats avec le ST
• La communication de la
politique PDCP aux personnes
qui doivent l’appliquer.
• L’Intégration de la protection de
la VP dans les projets
• La supervision de la protection
de la VP
Sur les éléments
La Minimisation des DCPLa Gestion de la durée de conservation des DCPLe respect des droits de la PC concernéesLe consentement des PC L’exercice du droit d’oppositionL’exercice du droit d’accès directL’exercice du droit de rectification Le Cloisonnement des DCPLe Chiffrement des DCPPseudonynimisation des DCP
Sur les sources de
risques
L’éloignement des sources de risquesLe marquage des documents contenant des DCPLa gestion des personnes qui ont un accès légitimeLe contrôle de l’accès logique des personnesLa gestion des tiers qui ont un accès légitime aux DCPLa lutte contre les codes malveillantsLe contrôle de l’accès physique des personnesLa protection contre les sources de risques non humaines
Sur les supports
La réduction des vulnérabilités :• des logiciels• des matériels• des canaux informatiques• des personnes• des documents papier
Sur les impacts
Sauvegarder les DCPProtéger les archives de DCPContrôler l’intégrité des DCPTracer l’activité sur le SIGérer les violations de DCP
Contrôle des PIA
Du contexte du PIA
Des mesures du PIA
De l’analyse des
risques
Des décisions
Le Plan d’actions : Les mesures juridiques / Le Contrôle
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
51Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Situation effective
Pratique inexistante ou
incomplète et le besoin n'est pas
reconnu.
Pratique de base mises en œuvre de manière informelle
et réactive à l'initiative de ceux
qui estiment en avoir besoin
Pratiques de base mises en œuvre,
avec un engagement
relatif de l'organisme vis-à-
vis des PC
Processus défini,décrit, adapté à
l'organisme, généralisé et bien
compris par le management et par
les exécutants
Processus coordonné et
contrôlé à l'aide d'indicateurs permettant de
corriger les défauts constatés
Processus continuellement optimisé : l'amélioration des processus est
dynamique, institutionnalisée et tient compte de l'évolution du contexte
6
LabellisationCertification
5
Code de conduite
4
Contrôle des mesures
juridiques
3
Respect des droits de la PC
+Relations avec l’autorité de Ctl
+Contrats
2
PolitiqueGénérale de
protection de la VP
OrganisationNoti. Viol DCP
Registre1
SensibilisationDG+
Directions métiers
Le Plan d’actions : Les mesures juridiques / Code de conduite
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
52Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Les associations (AFCDP, ADPL etc.) ou des organismes représentant des RT ou ST peuvent élaborer des Codes de conduite
Objectifs:
L’élaboration d’un Code de conduite a pour objectif d’encourager la bonne application du Règlement européen relatif à laprotection des DCP en prenant en compte la spécificité des différents secteurs de T et des besoins spécifiques des micro,petites et moyennes entreprises.
Ce que doit contenir le Code:
le traitement loyal et transparent;
• les intérêts légitimes poursuivis par les RT dans les contextes spécifiques;
• la collecte des DCP; la pseudonymisation des DCP;
• les informations communiquées au public et aux personnes concernées;
• l’exercice des droits des personnes concernées;
• les informations communiquées aux enfants et la protection dont bénéficient les enfants;
• les mesures et les procédures concernant la sécurité du traitement;
• la notification aux autorités de contrôle des violations de DCP; le transfert de DCP vers des pays tiers;
• les procédures extrajudiciaires et autres procédures de règlement des litiges
Une fois que le Code de conduite est approuvé par l’autorité de contrôle, celle-ci l’enregistre et le publie.
La réalisation de Codes de conduite
Le Plan d’actions : Les mesures juridiques / Le Code de conduite
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
53Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Situation effective
Pratique inexistante ou
incomplète et le besoin n'est pas
reconnu.
Pratique de base mises en œuvre de manière informelle
et réactive à l'initiative de ceux
qui estiment en avoir besoin
Pratiques de base mises en œuvre,
avec un engagement
relatif de l'organisme vis-à-
vis des PC
Processus défini,décrit, adapté à
l'organisme, généralisé et bien
compris par le management et par
les exécutants
Processus coordonné et
contrôlé à l'aide d'indicateurs permettant de
corriger les défauts constatés
Processus continuellement optimisé : l'amélioration des processus est
dynamique, institutionnalisée et tient compte de l'évolution du contexte
6
Labellisation Certification
5
Code de conduite
4
Contrôle des mesures
juridiques
3
Respect des droits de la PC
+Relations avec l’autorité de Ctl
+Contrats
2
PolitiqueGénérale de
protection de la VP
OrganisationNoti. Viol DCP
Registre1
SensibilisationDG+
Directions métiers
Le Plan d’actions : Les mesures juridiques / Labellisation Certification
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
54Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
L'idée de base est la capacité à s'appuyer sur un tiers pour considérer qu'une partie des ressources du SI (hébergeant des DCP) que l'on met en œuvre répond à des exigences de sécurité à notre convenance;
• Je (ou une instance extérieure) définis des objectifs de sécurité, des moyens de les vérifier et des niveaux d'assurance de l'atteinte de ces objectifs;
• Des composantes sont réalisées avec un objectif de conformité à ces définitions
• Des tiers en lesquels j'ai "confiance" garantissent cette conformité
• Intérêts direct :
• Ne pas avoir à analyser soi-même la façon dont la sécurité est assurée au sein d'une des composantes
• Technique d'interfaçage avec des composants achetés
• Technique d'interfaçage entre partie d'un SI (par exemple entre filiales d'un groupe ou entre partenaires commerciaux)
• Mécanique permettant de coopérer sans avoir à "inspecter" l'autre
• Intérêt indirect :
• Formalisme utilisable éventuellement de façon privée
• Écueils :
• Nécessité de formaliser les règles
• Nécessité de mettre en place des diapositifs récurrents d’audit et contrôles
Le Plan d’actions : Les mesures juridiques / La Certification
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
55Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Exigences relatives à la politique de protection des DCP
Exigences relatives au DPO
Exigences relatives à l’analyse de la conformité
Exigences relatives au contrôle de la conformité
dans le tempsExigences relatives à la
gestion des réclamations et à l’exercice du droit des
PC
Exigences relatives à la journalisation des
évènements de sécurité
Exigences relatives à la gestion des violations de
DCP
Exigences relatives à la formation
Le Plan d’actions : Les mesures juridiques / La Labellisation / Certification
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
56Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Devenir organisme de certification
Comment ?
Il faut obtenir un agrément de la part de l’autorité de contrôle de son Etat ou par un organisme national d’accréditationdésigné.
Pour cela, il faut prouver que les tâches et les missions n’entrainent pas de conflits d’intérêts;Prouver son expertise en matière de protection des DCP;Le respect de certains critères,La mise en place de procédures en vue de la délivrance, de l’examen périodique et du retrait d’une certification, de labelset de marques pour traiter les violations de la certification ou la manière dont la certification a été appliquée par un RT ouun ST.
Quels pouvoirs ?
Délivrer ou retirer une certification initialement délivrée à une entreprise.
Les organismes de certification doivent communiquer à l’autorité de contrôle les raisons de la délivrance ou du retrait dela certification à l’entreprise
Durée 5 ans
Comment devenir organisme de certification ?
Le Plan d’actions : Les mesures juridiques / La Certification
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
57Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Situation effective
Pratique inexistante ou
incomplète et le besoin n'est pas
reconnu.
Pratique de base mises en œuvre
de manière informelle et
réactive à l'initiative de
ceux qui estiment en avoir besoin
Pratiques de base mises en œuvre,
avec un engagement
relatif de l'organisme vis-à-
vis des PC
Processus défini,décrit, adapté à
l'organisme, généralisé et bien
compris par le management et
par les exécutants
Processus coordonné et
contrôlé à l'aide d'indicateurs permettant de
corriger les défauts constatés
Processus continuellement optimisé : l'amélioration des processus est
dynamique, institutionnalisée et tient compte de l'évolution du contexte
6
Produits certifiés
5
Système de management
4
Ctl des mesures techniques
3
EIVPSecurity by
design +
PAS
2
Politiques de Sécurité SIOrganisationSecurity by defaultSécurité périphérique
1
Sensibilisation
Sécurité en profondeur
Le Plan d’actions : Les mesures organisationnelles et techniques
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
58Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
1. Participer à la sensibilisation du personnel
8.La manipulation des outils supportant
des DCP
2.Identifier les TEvaluer la sensibilité
des DCP au DPOExprimer les
évènements redoutésParticiper au PIA
7.La manipulation des DCP, documents
3.Habilitation et choix des personnes
affectées aux taches sensibles sur les T de
DCP
6. Comportements généraux à
l’intérieur et à l’extérieur des établissements
4.Identification et gestion des personnels
stratégiques traitant les DCP
5. Management de la conformité et
sécurité lors de sous-traitance
9.Contrôle
Le Plan d’actions : Les mesures organisationnelles et techniques / La sensibilisation
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
59Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Situation effective
Pratique inexistante ou
incomplète et le besoin n'est pas
reconnu.
Pratique de base mises en œuvre
de manière informelle et
réactive à l'initiative de
ceux qui estiment en avoir besoin
Pratiques de base mises en œuvre,
avec un engagement
relatif de l'organisme vis-à-
vis des PC
Processus défini,décrit, adapté à
l'organisme, généralisé et bien
compris par le management et
par les exécutants
Processus coordonné et
contrôlé à l'aide d'indicateurs permettant de
corriger les défauts constatés
Processus continuellement optimisé : l'amélioration des processus est
dynamique, institutionnalisée et tient compte de l'évolution du contexte
6
Produits certifiés
5
Système de management
4
Ctl des mesures techniques
3
EIVPSecurity by
design +
PAS
2
Politiques de Sécurité SIOrganisationSecurity by defaultSécurité périphérique
1
Sensibilisation
Sécurité en profondeur
Le Plan d’actions : Les mesures organisationnelles et techniques / Politique de sécurité
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
60Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Le renforcement de la sécurité
La mise en œuvre de politiques :
• Les règles fonctionnelles et organisationnelles structurant la protection des DCP
• L’engagement de la direction et les responsabilités métiers,, DSI, SSI
• Les enjeux, responsabilités et missions de la SSI / PDCP
Plans de SécuritéGuides et manuelsChartes utilisateurs
Procédures
• La mise en œuvre architecturale des règles fonctionnelles et la définition des procédures , consignes et règles de sécurité opérationnelles et de management
Politique de Sécurité Système d’Information
Charte éthique pour la sécurité de l’information et la protection de la VP
Politique générale de sécurité de l’information Protection des DCP
Directives protection des DCP
Le Plan d’actions : Les mesures organisationnelles et techniques / Politique de sécurité
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
61Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Article 27 Représentants des RT des ST qui ne sont pas établis dans l'UnionLorsque l'article 3, paragraphe 2, s'applique, le RT ou le ST désigne par écrit un représentant dans l'Union.
Le représentant est établi dans un des États membres dans lesquels se trouvent les personnes physiques dont les DCP font l'objet d'un T lié àl'offre de biens ou de services, ou dont le comportement fait l'objet d'un suivi.
Le représentant est mandaté par le RT ou le ST pour être la personne à qui, notamment, les autorités de contrôle et les PC doivent s'adresser,en plus ou à la place du RT ou du ST, pour toutes les questions relatives au traitement, aux fins d'assurer le respect du présent règlement.
5La désignation d'un représentant par le RT ou le ST est sans préjudice d'actions en justice qui pourraient être intentées contre le RT ou le ST .
Le Plan d’actions : Les mesures organisationnelles et techniques : le Représentant
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
62Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Informer Conseillerle RT / ST
dans la MEOdes T
Registre ?
Contrôler le respect
Conseil pour l’EIVP
Pont de contact
Coopère avec l’AC
Le Plan d’actions : Les mesures organisationnelles et techniques : le DPO
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
63Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
L’organisationVoie
HiérarchiqueVoie
Fonctionnelle
Protection des DCP
Voie Fonctionnelle
SSI
Comité de pilotage et suivi PDCP
Managers
Relais
Direction Générale
Le Plan d’actions : Les mesures organisationnelles et techniques : le DPO
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
64Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
• Dès que l’on sort de l’étape « best practices auto justifiées-sécurité informatique / by default » sous responsabilité des maîtrises d’œuvre (et que l’on cherche l’adhésion des métiers,) les besoins de sécurité classifiés doivent être à l’origine de la formalisation des exigences de sécurité adaptées, (règles, obligations et interdits).
• Or ces exigences de sécurité (règles, obligations et interdits) sont susceptibles d’être ressentis comme des contraintes allant à l’encontre d’objectifs de productivité du métier
• Certaines interdictions ou obligations techniques ou comportementales brident les services que veulent mettre en œuvre certaines directions de projet
• La prise en compte native de la sécurité dans les projets est identifiée comme un facteur potentiel de ralentissement
• Dans tous les cas il y a plusieurs divergences d’analyse potentielles :
• Entre la maitrise d’ouvrage et le DPO• Entre la maîtrise d’ouvrage en charge du projet et la maîtrise d’œuvre • Entre la maîtrise d’ouvrage , la maîtrise d’œuvre d’une part et la SSI d’autre part• Entre la maîtrise d’œuvre et la SSI• Entre le DPO et le RSSI
L’arbitre ne pourra se prononcer avec raison que si les mesures « divergence « peuvent être adossées à des besoins, des enjeux ou a MINIMA À DES RISQUES
Besoin d’arbitrage Arbitre
Entre la maîtrise d’ouvrage en charge du projet et la maîtrise d’œuvre Direction / Comité de pilotage /
Entre la MOA, la Maitrise d’œuvre d’une part et la SSI / DPO d’autre partDirection / Comité de pilotage
Entre SSI et DSIDirection / Comité de pilotage
Validation / Homologation RT
Le Plan d’actions : Les mesures organisationnelles et techniques / Le Comité de validation
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
65Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Contexte
Evènements redoutés
Menaces
Risques
Mesures
Un « risque accepté » est caractérisé par la conjonction des 3 éléments suivants :
1. connaissance de l’existence d’un risque associé à une défaillance de sécurité par les décideurs métiers;
2. mesure du risque par les intervenants autorisés, en fonction d’un référentiel (critères, calcul et seuils d’impact, etc.) opposable ;
3. arbitrage et autorisation d’assumer les conséquences du risque, en tenant compte des mesures de réduction, selon les principes de délégation en vigueur.
L’instance de décision locale désignée par le RT doit réunir toutes les parties prenantes (un représentant de la direction, les représentants Métier ou leur maîtrise
d’ouvrage, les dépositaires des ressources, les tiers subissant des impacts collatéraux…) afin d’évaluer le risque dans son ensemble.
Risques Résiduels
Validation ?
Le Plan d’actions : Les mesures organisationnelles et techniques / Le Comité de validation
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
66Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
• La pseudonymisation et le chiffrement des données à caractère personnel;
• des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des
systèmes et des services de traitement;
• des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des
délais appropriés en cas d'incident physique ou technique;
• une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et
organisationnelles pour assurer la sécurité du traitement.
Le Plan d’actions : Les mesures organisationnelles et techniques / Security by default
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
67Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Objectif : faire perdre le caractère identifiant des données à caractère personnel (DCP).
Une « véritable » anonymisation implique nécessairement une perte (irréversible) d’information. Dans certains cas, le simple fait d’effacer ou de noircir une partie des données peut suffire à atteindre l’objectif souhaité.
La « pseudonymisation » peut être définie comme le remplacement d'un nom par un pseudonyme. C’est le processus par lequel les DCP perdent leur caractère identifiant (de manière directe).
Les DCP restent liées à la même personne dans tous les dossiers et systèmes informatiques sans que l’identité ne soit révélée. Elle peut être opérée avec ou sans la possibilité de retour vers les noms ou identités (pseudonymisation réversible ou irréversible).
Recommandations : supprimer une partie suffisante des DCP Si ce n’est pas possible, déterminer les solutions qui satisfont le mieux possible les besoins fonctionnels.
Recommandations : s’il est nécessaire que des personnes habilitées puissent vérifier que des données pseudonymisées correspondent à des données originales qu’ils ont en leur possession, pratiquer une double pseudonymisation avec deux clés secrètes détenues par deux organismes différents ;
Utiliser uniquement des DCP pseudonymisées ou des données fictives pour les phases de développement et de test.
Dans certains cas, il est conseillé d’appliquer une double pseudonymisation : c’est l’application d’une seconde fonction de pseudonymisation sur la donnée pseudonymisée au moyen de la première fonction de pseudonymisation .Ces deux fonctions doivent utiliser des secrets différents qui sont détenus par des organismes distincts.
Le Plan d’actions : Les mesures organisationnelles et techniques / Security by default /
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
68Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
WEBpublic
DMZ
DMZ
DMZ
ApplicatifMétier
stratégique
Poste de travailComposant d’intendance(administration et sécurité)
Deuxième niveaude Firewall
Premier niveaude Firewall
Le risque est donc dese perméabiliser :
. De l’intérieur,si les sas applicatif ne
sontpas à jour,
si les postes de travail ne sont pas à jour et ne
respectent pas les règlesd’implémentation,
si les administrateurs etutilisateurs ne respectent
pas ces règles.
. De l’extérieur,si les Firewall ne sont
pas à jour.
Le Plan d’actions : Les mesures organisationnelles et techniques / EIVP /Security by default / la sécurité périphérique
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
69Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Situation effective
Pratique inexistante ou
incomplète et le besoin n'est pas
reconnu.
Pratique de base mises en œuvre
de manière informelle et
réactive à l'initiative de
ceux qui estiment en avoir besoin
Pratiques de base mises en œuvre,
avec un engagement
relatif de l'organisme vis-à-
vis des PC
Processus défini,décrit, adapté à
l'organisme, généralisé et bien
compris par le management et
par les exécutants
Processus coordonné et
contrôlé à l'aide d'indicateurs permettant de
corriger les défauts constatés
Processus continuellement optimisé : l'amélioration des processus est
dynamique, institutionnalisée et tient compte de l'évolution du contexte
6
Produits certifiés
5
Système de management
4
Ctl des mesures techniques
3
EIVPSecurity by
design +
PAS
2
Politiques de Sécurité SISecurity by default
Sécurité périphérique
1
Sensibilisation
Sécurité en profondeur
Le Plan d’actions : Les mesures organisationnelles et techniques / EIVP /Security by design
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
70Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Etapes de la méthodeMaîtrise
d’OuvrageMaîtrise d’Œuvre
1.1. Description générale
Approuve
Consultée
Informée
Réalise
Informé1.2. Description détaillée
2.1. Mesures de nature juridique
2.2. Mesures traitant les risques Consulté
3.2. Événements redoutés
Réalise3.3. Menaces
Consultée
3.4. Risques
4.1. Évaluation RéaliseInformé
4.2 Objectifs Consultée
4.3 Plan d’actions Réalise Consulté
4.4 Validation formelle Réalise Informées Consulté Informé
Le Plan d’actions : Les mesures organisationnelles et techniques / EIVP /Security by design
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
71Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Accès illégitime aux DCP
Impacts corporels
Impacts matériels
Impacts moraux
Modification non désirée des DCP
Impacts corporels
Impacts matériels
Impacts moraux
Disparition des DCP
Impacts corporels
Impacts matériels
Impacts moraux
Le Plan d’actions : Les mesures organisationnelles et techniques / EIVP /Security by design / Etude d’impact
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
72Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Menaces
Sources humaines
internes
agissant accidentellement
agissant de manière délibérée
Sources humaines
externes
agissant accidentellement
agissant de manière délibérée
Sources non humaines
internes
externes
Vraisemblance
Vraisemblance
Vraisemblance
Événements redoutés
Accès illégitime aux DCP
Modification non désirée des DCP
Disparition des DCP
Vulnérabilités
Matériels
Logiciels
Canaux informatiques
Personnes
Documents papier
Canaux papier
Le Plan d’actions : Les mesures organisationnelles et techniques / EIVP /Security by design / Evaluation de la vraisemblance
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
73Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Gra
vité
4. Maximal
3. Important
2. Limitée
1. Négligeable
Cartographie des risques
1. Négligeable 2. Limitée 3. Important 4. Maximal
Vraisemblance
Accès illégitime aux DCP
Un schéma tel que ci-dessous peut être utilisé pour présenter la cartographie des risques
Accès illégitime aux DCP
Le Plan d’actions : Les mesures organisationnelles et techniques / EIVP /Security by design / Evaluation du n) du risque
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
74Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
4. Décision
4.1 Evaluation
Non Oui
4.2 Objectifs 4.3 Plan d’actions
4.4 Validation
Fin d’Etude d’impact sur la vie privée
Décision : la validation de l’étude d’impact sur la vie privéeL’Objectif est de décider d’accepter ou non la manière dont l’étude a été gérée et les risques résiduels.
Source : – CNIL http://www.cnil.fr
Le Plan d’actions : Les mesures organisationnelles et techniques / EIVP /Security by design / la validation
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
75Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Appliquer les principes de défense en profondeur à l’architecture matérielle et logicielle des centres informatiques.
La sécurisation d’une architecture doit être assurée mais de façon distribuée, tout au long de la chaîne de liaison, en prenant en compte l’ensemble des composants de l’architecture (réseau, système, applicatif)
Le principe de défense en profondeur doit être respecté, en particulier par la mise en œuvre successive de « zones démilitarisées » (DMZ), d’environnements de sécurité en zone d’hébergement, de machines virtuelles ou physiques dédiées, de réseaux locaux virtuels (VLAN) appropriés, d’un filtrage strict des flux applicatifs et d’administration.
Les premiers niveaux de défense protègent les ressources de niveaux inférieurs contre les attaques à large spectreLes niveaux inférieurs assurent la protection contre les attaques ciblées sur un objectif précis
Le Plan d’actions : Les mesures organisationnelles et techniques / EIVP /Security by design / la sécurité en profondeur
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
76Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Le Plan d’Assurance Sécurité est un document contractuel décrivant l’ensemble des dispositions spécifiques mises en œuvre pour garantir le respect des exigences de sécurité du
donneur d’ordre, le RT .
Il doit être annexé au contrat
Le Plan d’actions : Les mesures organisationnelles et techniques / le PAS
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
77Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
N° d’exigences
N°Maturité
Localisation
DCP
SantéNon
sensibles
Certifiéou
Agrée
Non CertifiéAgréé
Non CertifiéAgréé
CertifiéNon
certifiéNon
certifié
Territoire national
Territoire national
Interdit parla France
Territoire national
Territoire national
En dehorsde l’UE
PAS++++
PAS+++++
PAS ++++++
PAS+
PAS++
PAS+++
Le Plan d’actions : Les mesures organisationnelles et techniques / le PAS
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
78Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Situation effective
Pratique inexistante ou
incomplète et le besoin n'est pas
reconnu.
Pratique de base mises en œuvre
de manière informelle et
réactive à l'initiative de
ceux qui estiment en avoir besoin
Pratiques de base mises en œuvre,
avec un engagement
relatif de l'organisme vis-à-
vis des PC
Processus défini,décrit, adapté à
l'organisme, généralisé et bien
compris par le management et
par les exécutants
Processus coordonné et
contrôlé à l'aide d'indicateurs permettant de
corriger les défauts constatés
Processus continuellement optimisé : l'amélioration des processus est
dynamique, institutionnalisée et tient compte de l'évolution du contexte
6
Produits certifiés
5
Système de management
4
Ctl des mesures techniques
3
EIVPSecurity by
design +
PAS
2
Politiques de Sécurité SISecurity by default
Sécurité périphérique
1
Sensibilisation
Sécurité en profondeur
Le Plan d’actions : Les mesures organisationnelles et techniques / Contrôle des mesures techniques
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
79Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Le Plan d’actions : Les mesures organisationnelles et techniques / Contrôle des mesures techniques
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
80Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Situation effective
Pratique inexistante ou
incomplète et le besoin n'est pas
reconnu.
Pratique de base mises en œuvre
de manière informelle et
réactive à l'initiative de
ceux qui estiment en avoir besoin
Pratiques de base mises en œuvre,
avec un engagement
relatif de l'organisme vis-à-
vis des PC
Processus défini,décrit, adapté à
l'organisme, généralisé et bien
compris par le management et
par les exécutants
Processus coordonné et
contrôlé à l'aide d'indicateurs permettant de
corriger les défauts constatés
Processus continuellement optimisé : l'amélioration des processus est
dynamique, institutionnalisée et tient compte de l'évolution du contexte
6
Produits certifiés
5
Système de management
4
Ctl des mesures techniques
3
EIVPSecurity by
design +
PAS
2
Politiques de Sécurité SISecurity by default
Sécurité périphérique
1
Sensibilisation
Sécurité en profondeur
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
81Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Pourquoi mettre en œuvre un Système de Management de Sécurité des DCP ?
Pour protéger, dans la durée, les DCP et les systèmes d’information qui les hébergent
Pour renforcer la confiance (vis-à-vis PC /des clients / usagers et des fournisseurs ou en interne).
Pour améliorer les processus et l’organisation interne en matière de protection de DCP
Un SMSI – Système de Management de la Sécurité de l’Information est un ensemble d’éléments interactifs permettant à unorganisme d’établir une politique et des objectifs en matière de sécurité de l’information, d’appliquer la politique, d’atteindre cesobjectifs et de contrôler l’atteinte de ces objectifs.
Le SMSI est établi, documenté, mis en œuvre et entretenu. Son efficacité est mesurée par rapport aux objectifs de l’entité, et cettemesure permet d’améliorer en permanence le SMSI.
Le SMSI est cohérent avec les autres systèmes de management de l’entité, notamment avec les systèmes de management de laqualité, de la sécurité des conditions de travail, et de l’environnement.
L’existence d’un SMSI dans l’organisme permet de renforcer la confiance dans le mode de gestion de la sécurité del’information »
Le Plan d’actions : Les mesures organisationnelles et techniques / Contrôle des mesures techniques
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
82Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
Situation effective
Pratique inexistante ou
incomplète et le besoin n'est pas
reconnu.
Pratique de base mises en œuvre
de manière informelle et
réactive à l'initiative de
ceux qui estiment en avoir besoin
Pratiques de base mises en œuvre,
avec un engagement
relatif de l'organisme vis-à-
vis des PC
Processus défini,décrit, adapté à
l'organisme, généralisé et bien
compris par le management et
par les exécutants
Processus coordonné et
contrôlé à l'aide d'indicateurs permettant de
corriger les défauts constatés
Processus continuellement optimisé : l'amélioration des processus est
dynamique, institutionnalisée et tient compte de l'évolution du contexte
6
Produits certifiés
5
Système de management
4
Ctl des mesures techniques
3
EIVPSecurity by
design +
PAS
2
Politiques de Sécurité SISecurity by default
Sécurité périphérique
1
Sensibilisation
Sécurité en profondeur
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
83Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
La certification permet d’attester par une tierce partie indépendante et impartiale qu’un produit atteint, à un instant donné, un niveau de sécurité représenté par les services de sécurité qu’il offre et sa résistance à un niveau d’attaques donné : en France, quel que soit le type d’évaluation, la certification s’appuie systématiquement, outre des vérifications de conformité, sur des tests d’intrusion pour déterminer le niveau de sécurité réellement atteint par le produit.
La certification permet de répondre principalement à trois types d’objectifs.
1. Il peut s’agir d’objectifs règlementaires, tels que l’application de Règlements ou de directives européennes ou
nationales.
2. L’objectif peut être aussi contractuel, au travers de donneurs d’ordres publics ou privés qui exigent contractuellement
la certification de produits avant leur usage.
3. Enfin des entreprises peuvent souhaiter se démarquer en certifiant leurs produits (objectif commercial).
Le Plan d’actions : Les mesures organisationnelles et techniques / les produits certifiés
Règl
emen
t eur
opée
n po
ur la
pro
tect
ion
des
pers
onne
s ph
ysiq
ues
à l'é
gard
du
trai
tem
ent d
es D
CP
84Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com
La mise en conformité au règlement européen est imposé dans un délai court fin mai 2018) :il convient de démarrer dans les meilleurs délais la démarche de mise en conformité
La démarche :
• Doit être adaptée au niveau de maturité de l’organisme : une approche progressive par palier doit être mise en oeuvre
• Doit impliquer la direction générale de l’organisme pour qu’elle impose la démarche
• Doit aborder des aspects « juridiques » et « techniques »
• Nécessite de formaliser des documents (politiques, procédures, …) puis de les mettre en apllication
• Nécessite de désigner un chef de projet pour mener à bien tous les chantiers
Le délai de mise en conformité est fixé à fin mai 2018 : ce délai est court.
Il convient de mettre en œuvre un plan d’actions permettant d’atteindre cet objectif dans les meilleurs délais : 2017 est une année importante pour la mise en conformité
Plan d’actions : Conclusion