84
Règlement européen pour la protection des personnes physiques à l'égard du traitement des DCP 1 Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com Le Règlement européen n°2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données L’impact sur l’organisation et le Plan d’actions Version 2.02 du 12/12/2016 Animateur : Denis Virole / Directeur des Services / Ageris Group Extrait du Workshop réalisé au Luxembourg le 13/12/2016 en partenariat avec HALIAN

Gdpr : impacts sur l'organisation et plan d'actions

Embed Size (px)

Citation preview

Page 1: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

1Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Le Règlement européen n°2016/679

du Parlement européen et du Conseil du 27 avril 2016

relatif à la protection des personnes physiques

à l'égard du traitement des données à caractère personnel

et à la libre circulation de ces données

L’impact sur l’organisation et le Plan d’actions

Version 2.02 du 12/12/2016

Animateur : Denis Virole / Directeur des Services / Ageris Group

Extrait du Workshop réalisé au Luxembourg le

13/12/2016 en partenariat avec HALIAN

Page 2: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

2Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Introduction

Le traitement des DCP doit être conduit pour servir l’humanité

Le droit à la protection des DCP n’est pas un droit absolu

Il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux,

conformément au principe de proportionnalité

Le Règlement respecte tous les droits fondamentaux et observe les libertés et les principes reconnus par la Charte des droits

fondamentaux de l’Union Européenne, consacrés par les traités, en particulier le respect de la vie privée et familiale, du

domicile et des communications, la protection des DCP, la liberté de pensée, de conscience et de religion, la liberté d’expression et

d’information, la liberté d’entreprise, le droit à un recours effectif et accéder à un tribunal impartial, et la diversité culturelle et

religieuse

Page 3: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

3Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

1. Prendre en compte les

évolutions technologiques

2. Prendre en compte les

nouveaux usages des

technologies de

l’information

3. Renforcer les droits des

citoyens européens

4. Responsabiliser les

dirigeants et les sous-

traitants

Internet, Mobilité, … Réseaux sociaux, enfants, profilage, …

Adulte, enfant, … Entreprise, sous-traitant, …

La protection des personnes physiques à l'égard du traitement des DCP est un droit fondamental.

L'article 8, paragraphe 1, de la Charte des droits fondamentaux de l'Union européenne et l'article 16, paragraphe 1, du traité sur le fonctionnement

de l'Union européenne disposent que toute personne a droit à la protection des données à caractère personnel la concernant.

5. Les mêmes droits pour tous les citoyens de l’Union Européenne

Introduction : Les enjeux du nouveau règlement

Page 4: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

4Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Champ d’application

Définitions

Principes

Chapitre 1: Champ d’application, définitions et principes

Page 5: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

5Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Chapitre 2: Le renforcement des droits des personnes concernées

1. Le raccourcissement

du délai de réponse

concernant les droits :

d’accès, de rectification

et de suppression et droit

d’opposition

2. Des informations plus

détaillées à fournir

pour le RT

7. Le droit pour la

personne concernée de

ne pas faire l’objet d’une

décision fondée sur un

traitement automatisé, y

compris le profilage

3. Un renforcement du

droit d’accès de la

personne concernée

6. L’instauration de

nouveaux droits: le droit

à la limitation du

traitement et le droit à la

portabilité des données

4. Des modifications

terminologiques

concernant le droit de

rectification et le droit

d’opposition de la

personne concernée

5. Une nouvelle

dénomination concernant

le droit de suppression:

le droit à l’oubli ou le

droit à l’effacement

Les droits de recours

Page 6: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

6Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

La Loi sur la protection des données

Les droits

Art. 26 de la Loi

Le droit d’information de la

personne concernée

Art. 30 de la Loi

Le droit d’opposition

Art. 28 de la Loi

Le droit d’accès

et

Communication

Art. 28 (4) et 28 (6) de la Loi

Le droit de rectification et de

suppression

Chapitre 2: Le renforcement des droits des personnes concernées

Page 7: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

7Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Les droits

Droits existants

mais renforcés par le Règlement

Nouveaux droits

Droit

d’information

Art. 13 et 14

Droit d’accès

Art. 15

Droit de

rectification

Art. 16

Droit à

l’effacement

Art. 17

Droit

d’opposition

et

Profilage

Art. 21 et 22

Droit à la

limitation du

traitement

Art. 18

Obligation de

notification

rectification

effacement

limitation du T

Art. 19

Droit à la

portabilité

Art. 20

Les droits de recours

Droit d'introduire une

réclamation auprès d'une

autorité de contrôle

Art. 77

Droit à un recours

juridictionnel effectif

contre un responsable du

traitement ou un sous-

traitant

Art. 79

Droit à réparation et

responsabilité

Art. 82

Droit à un recours

juridictionnel effectif

contre une autorité de

contrôle

Art. 78

Représentation des

personnes

concernées

Art. 80

Le Règlement européen

Chapitre 2: Le renforcement des droits des personnes concernées

Page 8: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

8Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Lorsque le T =

art 6,1 les

intérêts

légitimes RT

Prise de

décision

automatisée

profilage ?

L’identité

du RT

Durée de

Conservation

Chapitre III: Droits de la personne concernée

Section 2: Information et accès aux données à caractère personnel

Article 13: Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée

T = art 6

Retirer son

consentement

Introduire une

réclamation

Conditionne un

contrat ?

Destinataires

Chapitre 2: Le renforcement des droits des personnes concernées2. Des informations plus détaillées à fournir pour le responsable du traitement

L'existence du droit à :• L 'accès aux DCP

• La rectification

• La imitation du T relatif à la PC

• De s'opposer au T

• Du droit à la portabilité des DCP Informations

concernant

une nlle finalité

Finalités du T

Rectification

l'effacement,

limitation T ou

non au T

portabilité

Page 9: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

9Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Effacement

T = art 6.1 les

intérêts

légitimes RT

Introduire une

réclamation

Catégories de

DCP

Destinataires

Changement

de finalité

L’identité

du RT

L'accès aux DCP

La rectification

Une limitation du T relatif à la PC

De s'opposer au T

Du droit à la portabilité des DCP

T = art 6.1 /

art 9.2

Le droit de retirer

le consentement

Finalités du T

Source

des DCP

accessibles

ou non

au public

Chapitre III: Droits de la personne concernée

Section 2: Information et accès aux données à caractère personnel

Article 14: Informations à fournir lorsque des DCP n’ont pas été collectées auprès de la personne concernée

Chapitre 2: Le renforcement des droits des personnes concernées2. Des informations plus détaillées à fournir pour le responsable du traitement

Durée de

Conservation

l'existence

d'une décision

automatisée, /

profilage

Page 10: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

10Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Réclamation auprès de

l’autorité de contrôle

Réparation du

préjudice subit

Recours juridictionnel

contre une autorité de

contrôle

Droits de recours pour

la PC

Recours juridictionnel

contre un RT ou un

sous traitant

Action collective

Chapitre 2: Le renforcement des droits des personnes concernées8. Les droits de recours

Page 11: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

11Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Chapitre 3: Le responsable du traitement et le sous-traitant: nouvelles obligations

1. La mise en œuvre de

mesures techniques et

organisationnelles ainsi

que de politiques

appropriées en matière

de protection des DCP

par le RT

2. Les responsabilités

conjointes des RT

7. L’analyse d’impact

relative à la protection

des données

3. Les nouvelles

obligations du sous

traitant

6. Notification d’une

violation de DCP à

l’autorité de contrôle et

communication à la

personne concernée le

cas échéant

4. La tenue du registre

des activités par le RT

5. Enonciation des

différentes mesures

techniques et

organisationnelles à

mettre en œuvre

Page 12: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

12Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Protection des DCP

Aide le RT de son obligation

de donner suite aux

demandes

Met à la disposition du RT toutes

les informations nécessaires

pour apporter la preuve du

respect des obligations prévues

La pseudonymisation

La minimisation des données

Pas rendues accessibles à un nombre

indéterminé de personnes physiques

Définissent de manière transparente leurs obligations respectives

Régi par un contrat + des garanties suffisantes

Veille à ce que les personnes autorisées

à traiter les DCP respectent la

confidentialité

Supprime toutes les DCP ou les renvoie au RT au terme de la prestation

• politiques appropriées en matière de protection

• mesures technique et organisationnelle

• application d'un code de conduite • certification

Ne recrute pas un autre ST sans l'autorisation écrite préalable + régi par un contrat

Chapitre 3: Le responsable du traitement et le sous-traitant: nouvelles obligations

Notifie la violation de DCP

Sur instruction / prend toutes les mesures requises

peut exercer les droits

Registre

Page 13: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

13Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

1. Désignation du DPO

2. La fonction de DPO

3. Les missions

Chapitre 4: Le délégué à la protection des données

Page 14: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

14Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Coordonnées du DPO

Désigne un DPO

Désigne un DPO

Désigne un DPO

Désigne un DPO

Coordonnées du DPO

Service public

Chapitre 4: Le délégué à la protection des données

Page 15: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

15Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

1. L’élaboration de

codes de conduite

2. La mise en place

de mécanismes de

certification

Chapitre 5: Chapitre 5: Codes de conduite et certification

Page 16: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

16Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Chapitre 6: Les transferts de données à caractère personnel vers des pays tiers

1. Principe général

applicable aux transferts

de DCP hors UE

2. La décision

d’adéquation

7. Le renforcement de la

coopération entre EM

lors d’un transfert hors

UE

3. Le transfert moyennant

des garanties

appropriées: BCR,

Clauses contractuelles

Types, Code de conduite,

mécanisme de

certification

6. Les obligations du RT

lors d’un transfert hors

UE

4. Les BCR

5. Dérogations pour des

situations particulières

Page 17: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

17Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Chapitre 7: Les autorités de contrôle

1. Autorité de

contrôle et

indépendance

2. Missions

de l’autorité

de contrôle

3. Les

pouvoirs de

l’autorité de

contrôle

4. L’autorité

chef de file

5. Le

renforcement

de la

coopération

entre

les autorités

6. Un Comité

européen de

la protection

des DCP

Page 18: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

18Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Indépendance

Libres de toute influence

Aucune activité professionnelle incompatible

1. Autorité de

contrôle et

indépendance

1. Autorité de

contrôle et

indépendance

1. Autorité de

contrôle et

indépendance

contribue à l'application cohérente du présent règlement dans l'ensemble de

l'Union

EM EM

Notifie à la Commission les dispositions légales

Prévoit qu'une ou plusieurs autorités publiques indépendantes sont chargées de

surveiller l'application du règlement,

Donne les moyens humains, techniques et financiers

Un contrôle financier qui ne menace pas son indépendance

Chapitre 7: Les autorités de contrôle1. Autorité de contrôle et indépendance

Page 19: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

19Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Chapitre 7: Les autorités de contrôle2. Missions de l’autorité de contrôle

• Conseille, conformément au droit de l'État membre, le parlement national, le gouvernement

• Favorise la sensibilisation du Public

• Encourage la sensibilisation des RT et des ST

• Fournit, sur demande, à toute PC des informations sur l'exercice des droits

• Encourage l'élaboration de codes de conduite• Encourage la mise en place de mécanismes de certification ainsi que de labels

• Établit et tient à jour une liste en lien avec l'obligation d'effectuer une analyse d'impact• Tient des registres internes des violations

• Facilite l'introduction des réclamations • Traite les réclamations

• Suit les évolutions

• Coopère avec d'autres autorités de contrôle• Contribue aux activités du comité

• Contrôle l'application du règlement

• Effectue des enquêtes • Examine périodiquement les certifications délivrées

• Adopte les clauses contractuelles types visées

• Approuve les règles d'entreprise contraignantes

• Rédige et publie les critères d'agrément• Procède à l'agrément d'un organisme

Page 20: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

20Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Pouvoir d'enquêtePouvoir de faire adopter toutes les

mesures correctricesPouvoir consultatif

Chapitre 7: Les autorités de contrôle3. Les pouvoirs de l’autorité de contrôle

Page 21: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

21Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

1. Le droit d’introduire

une réclamation auprès

d’une autorité de

contrôle

2. Les droits de

recours

3. Les amendes

administratives

Chapitre 8: Voies de recours, responsabilité et sanctions

Page 22: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

22Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Règlement européen

1. Amendes administratives pouvant s’élever jusqu’à 10 000 000 euros ou dans le cas d’une entreprise jusqu’à 2% du CA

annuel mondial:

• relatives au consentement des enfants en lien avec des services de la société de l’information (art. 8);

• en matière de traitement ne nécessitant pas d’identification (art. 11);

• en matière de protection des données dès la conception et de protection des données par défaut (art. 25);

• des règles propres aux responsables conjoints du traitement (art. 26);

• en matière de représentants des responsables qui ne sont pas établis dans l’Union (art. 27);

• s’imposant dans la relation entre le responsable et le sous-traitant (art. 28);

• en matière de traitement effectué sous l'autorité du responsable du traitement et du sous-traitant (art. 29);

• relatives à la tenue du registre de toutes les catégories d’activités de traitement (art. 30);

• concernant la coopération avec l’autorité de contrôle (art. 31) ;

• relatives à la sécurité des traitements (art. 32) ;

• relatives à la notification des violations de données à l’autorité de contrôle (art. 33) ;

• relatives à la communication des violations de données aux personnes concernées (art. 34) ;

• concernant l’analyse d’impact relative à la protection des DCP (art. 35) et la consultation préalable de l’autorité de

contrôle (art. 36) ;

• concernant la désignation du délégué à la protection des données (art. 37), ses fonctions (art. 38), ses missions

(art. 39) ;

• en matière de certification (art. 42) et de procédure de certification (art. 43);

• des obligations de l’organisme de certification au sens des articles 42 et 43 (b) ;

• des obligations de l’organisme chargé de surveiller le respect du code de conduite au sens de l’article 41, § 4 (c).

Les montants des amendes administratives

Chapitre 8: Voies de recours, responsabilité et sanctions3. Les amendes administratives

Page 23: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

23Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Règlement européen

2. Amendes administratives pouvant s’élever jusqu’à 20 000 000 euros ou jusqu’à 4% du CA annuel mondial total :

• les principes de base des traitements, en ce compris les conditions du consentement au sens des articles 5 (Principes

relatifs au traitement des données à caractère personnel), 6 (licéité du traitement), 7 (conditions applicables au

consentement) et 9 (Traitement des catégories particulières de données à caractère personnel) ;

• des droits des personnes concernées au sens des articles 12 à 22 du Règlement ;

• des règles relatives aux transferts de données à un destinataire d’un pays tiers ou d’une organisation (art. 44 à 49) ;

• toutes les obligations mises en place par le droit national conformément au chapitre IX: le chapitre IX laisse aux États

membres une certaine marge d’appréciation en matière notamment de traitements des données à caractère personnel et

liberté d'expression et d'information (cfr. art 85) ; traitements d’un numéro d’identification national (art 87) etc.;

• le non-respect d’une injonction de limitation temporaire ou définitive de traitement ou de suspension du flux de

données, prononcée par une autorité de contrôle en vertu des articles 58, § 2 ou lorsque le responsable ne permet pas

l’accès en violation de l’article 58, § 1er.

Les montants des amendes administratives

Chapitre 8: Voies de recours, responsabilité et sanctions3. Les amendes administratives

Page 24: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

24Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Directive 95/46/CE relative à la protection des personnes

physiques à l’égard du traitement des DCP et à la libre

circulation de ces données

Abrogation

Directive 2002/58/CE du 12 juillet 2002 concernant le

traitement des données à caractère personnel et la

protection de la vie privée dans le secteur des

communications électroniques (directive vie privée et

communications électroniques)

Aucune incidence puisque le Règlement n’impose pas

d’obligations supplémentaires aux personnes physiques

ou morales quant au traitement dans le cadre de la

fourniture de services de communications électroniques

Loi sur la protection des données de 2002 La Loi va être très certainement modifiée, certaines

dispositions vont être abrogées.

Abrogation, relation avec les autres textes

Evolutions

Page 25: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

25Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Conclusion

Fondamentalement les principes et les obligations que nous connaissons aujourd’hui sont maintenus, le règlement les

renforce et en crée de nouveaux

Les principales évolutions sont les suivantes :

• Création de nouveaux droits pour les PC

• La responsabilité des RT est renforcée et le RT doit apporter les preuves de mise en conformité

• La responsabilité et les obligations des ST sont renforcées

• La sécurité des DCP devient un principe fondamental de la protection de la vie privée

• De nouveaux concepts sont à appliquer : EIVP / PIA, Sécurité par défaut, Privacy By Design, …

• Les missions du DPO évoluent vers le contrôle

• Les amendes administratives ont considérablement augmenté

• La coopération entre les autorités de contrôle se renforce

• Les autorités de contrôle vont définir des codes de conduite et des certifications / labels

Le délai de mise en conformité est fixé à fin mai 2018 : ce délai est cours.

Il convient de mettre en œuvre un plan d’actions permettant d’atteindre cet objectif dans les meilleurs

délais : 2017 est une année importante pour la mise en conformité

Page 26: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

26Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Le Plan d’actions

Page 27: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

27Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

La démarche :

• Doit être adaptée au niveau de maturité de l’organisme : une approche progressive par palier doit être

mise en oeuvre

• Doit impliquer la direction générale de l’organisme pour qu’elle impose la démarche

• Doit aborder des aspects « organisationnels » et « techniques »

• Nécessite de formaliser des documents (politiques, procédures, …)

• Nécessite de désigner un chef de projet pour mener à bien tous les chantiers

Le Plan d’actions : La démarche

Page 28: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

28Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Le Plan d’actions : 2 objectifs

1 Augmenter la maturité

2 respecter le délai : Mai 2018

M

A

T

U

R

I

T

E

6/7

Processus continuellement optimisé,

l'amélioration des processus est

dynamique, institutionnalisée et tient

compte de l'évolution du contexte

5

Processus

coordonné et

contrôlé à l'aide

d'indicateurs

permettant de

corriger les

défauts constatés

4

Processus défini,

décrit, adapté à

l'organisme,

généralisé et bien

compris par le

management et

par les exécutants

3

Pratiques de base

mises en œuvre,

avec un

engagement relatif

de l'organisme vis-

à-vis des PC

2

Pratique de base

mises en œuvre de

manière informelle

et réactive à

l'initiative de ceux

qui estiment en

avoir besoin

1

Pratique

inexistante ou

incomplète et le

besoin n'est pas

reconnu.

TEMPS

Page 29: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

29Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Le Plan d’actions : La démarche / Identifier les acteurs

Chef de projet

Page 30: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

30Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Le Plan d’actions : La démarche / Identifier les fonctions DPO / CISO

DPO CISO

Information Conseil

RT

Sur les obligations RT

L’identification des DCP et T

Les droits des PC

Validation de l’EIVP

Les enjeux

Les périmètres

La validation des risques résiduels

MOAEvènements redoutés

Vulnérabilités métiers

Menaces

Vulnérabilités IT

MOE / STSource de risques

Niveau de risques

Sensibilisation formation Tous

Veille RéglementaireRéglementaire hors DCP et

technique

ContrôleMOA

MOE

ST

La conformité au Règlement et à la

PPDCPLa conformité au Référentiel SSI

Coopère avec l’autorité de contrôle AC : CNPDANSSI pour le Luxembourg fonction

publique

Point de Contact Pour l’AC et les PC Pour les ST, voir les MOE et MOA

Page 31: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

31Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Situation

effective

Pratique

inexistante ou

incomplète et le

besoin n'est pas

reconnu.

Pratique de base

mises en œuvre de

manière informelle

et réactive à

l'initiative de ceux

qui estiment en

avoir besoin

Pratiques de base

mises en œuvre,

avec un

engagement

relatif de

l'organisme vis-à-

vis des PC

Processus défini,

décrit, adapté à

l'organisme,

généralisé et bien

compris par le

management et par

les exécutants

Processus

coordonné et

contrôlé à l'aide

d'indicateurs

permettant de

corriger les

défauts constatés

Processus continuellement optimisé :

l'amélioration des processus est

dynamique, institutionnalisée et tient

compte de l'évolution du contexte

6

Labellisation

Certification

5

Code de conduite

4

Contrôle des

mesures

juridiques

3

Respect des

droits de la PC

+

Relations avec

l’autorité de Ctl

+

Contrats

2

Politique

Générale de

protection de la

VP

Noti. Viol DCP

Registre1

Sensibilisation

DG

+

Directions

métiers

Le Plan d’actions : Les mesures juridiques

Page 32: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

32Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Situation

effective

Pratique

inexistante ou

incomplète et le

besoin n'est pas

reconnu.

Pratique de base

mises en œuvre

de manière

informelle et

réactive à

l'initiative de

ceux qui estiment

en avoir besoin

Pratiques de base

mises en œuvre,

avec un

engagement

relatif de

l'organisme vis-à-

vis des PC

Processus défini,

décrit, adapté à

l'organisme,

généralisé et bien

compris par le

management et

par les

exécutants

Processus

coordonné et

contrôlé à l'aide

d'indicateurs

permettant de

corriger les

défauts constatés

Processus continuellement optimisé :

l'amélioration des processus est

dynamique, institutionnalisée et tient

compte de l'évolution du contexte

6

Produits certifiés

5

Système de management

4

Ctl des mesures

techniques

3

EIVP

Security by

design

+

PAS

2

Politiques de Sécurité SI

Organisation

Security by default

Sécurité périphérique

1

Sensibilisation

Sécurité en profondeur

Le Plan d’actions : Les mesures organisationnelles et techniques

Page 33: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

33Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Situation

effective

Pratique

inexistante ou

incomplète et le

besoin n'est pas

reconnu.

Pratique de base

mises en œuvre de

manière informelle

et réactive à

l'initiative de ceux

qui estiment en

avoir besoin

Pratiques de base

mises en œuvre,

avec un

engagement

relatif de

l'organisme vis-à-

vis des PC

Processus défini,

décrit, adapté à

l'organisme,

généralisé et bien

compris par le

management et par

les exécutants

Processus

coordonné et

contrôlé à l'aide

d'indicateurs

permettant de

corriger les

défauts constatés

Processus continuellement optimisé :

l'amélioration des processus est

dynamique, institutionnalisée et tient

compte de l'évolution du contexte

6

Labellisation

Certification

5

Code de conduite

4

Contrôle des

mesures

juridiques

3

Respect des

droits de la PC

+

Relations avec

l’autorité de Ctl

+

Contrats

2

Politique

Générale de

protection de la

VP

Organisation

Noti. Viol DCP

Registre1

Sensibilisation

DG

+

Directions

métiers

Le Plan d’actions : Les mesures juridiques / Sensibilisation du RT

Page 34: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

34Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Analyses et commentaires d’AGERIS Group

Le montant des sanctions administratives a considérablement augmenté, ce qui démontre la volonté des

autorités compétentes de renforcer la protection de la vie privée des citoyens européens et de pousser les organismes à

se mettre en conformité avec la législation.

Il est fort probable (en tout les cas il faut le souhaiter) que la médiatisation des actions engagées par une autorité de

contrôle et cette augmentation du montant des actions deviennent dissuasives et poussent les responsables

d’organismes à engager les démarches nécessaires de mise en conformité.

Une sensibilisation sur ces risques juridiques, médiatiques, …. est à engager en interne pour pousser à

la mise en œuvre de la gouvernance adéquate et renforcer les démarche de mise en conformité.

Le Plan d’actions : Les mesures juridiques / Sensibilisation du RT

Page 35: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

35Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Loi de 2002

Application actuelle

Règlement européen

Application le 25 mai 2018

Obligations du RT

Prendre toutes précautions utiles au regard de la

nature des données et des risques présentés par

le traitement, pour préserver la sécurité des DCP

et notamment empêcher qu’elles soient

déformées, endommagées ou que des tiers non

autorisés puissent y avoir accès.

• Mise en place de mesures techniques et organisationnelles

nécessaires au respect des DCP: « privacy by design », «

privacy by default ».

• Véritable «responsabilisation» / principe «d’accountability»:

obligation de démontrer la conformité au nouveau Règlement

à tout moment.

• Suppression des obligations déclaratives dès lors que pas de

risques pour la vie privée.

Obligations du ST

Doit présenter des garanties suffisantes pour

assurer la mise en œuvre des mesures de

sécurité et de confidentialité.

Aucune responsabilité en cas de non-respect de

cette obligation. Seul le RT est responsable.

• Le ST ne devra pas recruter un autre ST sans l’autorisation

écrite préalable, spécifique ou générale du RT;

• La relation entre le RT et le ST devra être régie par un contrat

(le Règlement détaille ce que doit contenir le contrat entre le

RT et le ST);

• Lorsqu’un ST recrute un autre ST, ce dernier sera soumis aux

mêmes obligations que le ST.

Communication de la

violation de DCP à

l’autorité de contrôle

Uniquement pour les fournisseurs de services de

communications électroniques accessibles au

public sur les réseaux publics de communication

dans l’UE.

Notification à l’autorité de contrôle dans les meilleurs délais et si

possible dans les 72 heures au plus tard après en avoir pris

connaissance.

Communication à la

PC de la violation des

DCP la concernant

Egalement pour les fournisseurs de services de

communications électroniques.Communication à la PC (sauf dans certains cas).

EIVPEIVP concernant les traitements de DCP

sensibles.

Mais aucune spécifications.

Une EIVP devra être effectuée par le RT avec l’aide du DPO dans

3 cas :

• Evaluation systématique et approfondie d’aspects personnels

concernant des personnes physiques qui est fondée sur un

traitement automatisé y compris le profilage,

• Le traitement à grande échelle de catégories particulières de

données visées à l’article 9 et 10 (biométrie, santé etc.).

• La surveillance systématique à grande échelle d’une zone

accessible au public

Introduction : Plan d’actions / La sensibilisation du RT

Page 36: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

36Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique. Ce contrat ou cet autre acte juridique prévoit, notamment, que le ST :

Agit sur instruction du

RT

Assure la sécurité et la

confidentialité des données

Aide et conseil le RT

Démontre le respect du règlement

Ne traite les DCP que sur instruction documentée du RT

Veille à ce que les personnes

autorisées à traiter les DCP

s'engagent à respecter la

confidentialité ou soient soumises

à une obligation légale appropriée

de confidentialité

Prend toutes les mesures

requises en vertu de l'article 32

(sécurité du traitement)

Aide le RT, par des mesures techniques et organisationnelles

appropriées, dans toute la mesure du possible, à s'acquitter

de son obligation de donner suite aux demandes

Aide le RT à garantir le respect des obligations prévues

aux articles 32 à 36

Supprime toutes les DCP ou les renvoie au RT au terme de

la prestation de services relatifs au T, et détruit les copies

existantes

Met à la disposition du

responsable du traitement

toutes les informations

nécessaires pour démontrer

le respect des obligations et

pour permettre la réalisation

d'audits et contribuer à ces

audits

L'application d'un code de

conduite approuvé ou d'un

mécanisme de certification

approuvé pour démontrer

l'existence des garanties

suffisantes

Le Plan d’actions : Les mesures juridiques / Sensibilisation du RT

Page 37: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

37Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Devoirs Droits

Respecte le Règlement engage sa responsabilité

Définit des règles

Informe les personnels sur:

Les risques

Les règles

Les dispositifs de surveillance

Les éventuels contrôles

Les niveaux de responsabilité individuelle

Met en place les dispositifs de protection

Valide les risques résiduels

Contractualise avec le ST

Répond aux demandes des PC

Analyse / Contrôle

Informe l’autorité de contrôle des violations de DCP

Droit de connaitre :

• Les règles

• Les responsabilités

• Les dispositifs de surveillance

• Les contrôles

Droit d’exercer les droits de la personne concernée

Respecte les lois et les règles

Devoir de loyauté

Informe le RT des éventuels incidents

Définit des règles

Met en place des dispositifs de surveillance

Met en place des dispositifs de contrôle

Engage la responsabilité des utilisateurs

Engage la responsabilité du sous traitant

Le Plan d’actions : Les mesures juridiques / Sensibilisation des collaborateurs

Page 38: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

38Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Situation

effective

Pratique

inexistante ou

incomplète et le

besoin n'est pas

reconnu.

Pratique de base

mises en œuvre de

manière informelle

et réactive à

l'initiative de ceux

qui estiment en

avoir besoin

Pratiques de base

mises en œuvre,

avec un

engagement

relatif de

l'organisme vis-à-

vis des PC

Processus défini,

décrit, adapté à

l'organisme,

généralisé et bien

compris par le

management et par

les exécutants

Processus

coordonné et

contrôlé à l'aide

d'indicateurs

permettant de

corriger les

défauts constatés

Processus continuellement optimisé :

l'amélioration des processus est

dynamique, institutionnalisée et tient

compte de l'évolution du contexte

6

Labellisation

Certification

5

Code de conduite

4

Contrôle des

mesures

juridiques

3

Respect des

droits de la PC

+

Relations avec

l’autorité de Ctl

+

Contrats

2

Politique

Générale de

protection de la

VP

Organisation

Noti. Viol DCP

Registre1

Sensibilisation

DG

+

Directions

métiers

Plan d’actions / Politique / Notification violation de DCP / Registre

Page 39: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

39Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

La Politique de protection de la Vie Privée

Objectifs de la Politique

Domaine d’application de la Politique

• Définitions

• Rôles et responsabilités des acteurs impactés dans la protection de la vie privée

• Le Responsable des traitements

• Sa responsabilité

Protection des données dès la conception et par défaut

Responsables conjoints du traitement

Registre des traitements

Le DPO

• La désignation du DPO

• Les missions du DPO

• Les fonctions du DPO

• Relais DPO

• Fin de mission/remplacement du DPO

Les autres acteurs impliqués dans les traitements

• Acteurs Internes

• Les Directions métiers et les RDPO

• Le RSSI

• La Direction des systèmes d’Information

• Responsable de la Sécurité des biens et des personnes

Acteurs externes

• Sous-traitants externes

• Destinataires et tiers autorisés

Le Plan d’actions : Les mesures juridiques / Politique de protection de la VP

Page 40: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

40Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

La PolitiquePrincipes relatifs aux traitements des données à caractère personnel

• Licéité des traitements

• Règles applicables au consentement des personnes

• Traitements portant sur des données particulières

• Traitement comportant des données sensibles

• Traitement comportant des données perçues comme sensibles

• Règles complémentaires sur ces types de traitements

Droits des personnes

Transparence des informations et des communications et modalités d’exercice des droits

Présentation générale des droits : d’accès, de rectification, de suppression, de limitation et d’opposition de la personne

concernée

• Cas particulier du droit de rectification de la personne concernée

• Cas particulier du droit à l’oubli ou droit à l’effacement

• Cas particulier du droit à la limitation du traitement

• Obligation de notification en cas de rectification, limitation ou effacement

• Cas particulier du droit à la portabilité des données

• Cas particulier du droit d’opposition

• Profilage ou décision individuelle automatisée

Sécurité des données

Sécurité du traitement

Etude d’Impact sur la Vie Privée

Le Plan d’actions : Les mesures juridiques / Politique de protection de la VP

Page 41: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

41Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

La PolitiqueNotification à la Commission de contrôle d’une violation de données

Communication à la personne d’une violation de données à caractère personnel

Code de conduite et certification

• Code de conduite

• Labellisation

Culture protection de la vie privée

• Sensibilisation des nouveaux arrivés

• Formation

• Ateliers

Veille juridique et technologique

Contrôle de conformité et revue de Direction

Contrôle de la Commission de contrôle

• Mesures en cas de manquements

Modifications

Pérennité de la politique de gestion des données à caractère personnel

Communication et mise en œuvre de la politique de gestion des données à caractère personnel

Le Plan d’actions : Les mesures juridiques / Sensibilisation des collaborateurs

Page 42: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

42Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Directives Règles

Registre des T de DCPDéclarer tous les traitements au DPO

Mettre à jour le registre des T

Rendre accessible le registre des T

Vérifier régulièrement le registre des T

Garantie de licéité des T

Agir avec loyauté et transparence lors de la collecte des DCP

Démontrer que le consentement des PC est respecté

Respecter les finalités déterminées lors de la collecte des DCP

Limiter les informations collectées dans les formulaires papiers ou numériques au strict nécessaire

Limiter la conservation des données au strict nécessaire

Traitements de DCP

sensibles ou perçues

comme sensibles

Respecter le cadre légal relatif au T des DCP sensibles

Interdire/ réglementer le traitement des données relatives aux condamnations pénales et aux infractions

Limiter l’accès aux DCP aux seuls professionnels habilités

Interdire l’usage du NIR comme identifiant unique ?

Limiter l’accès et l’usage des données bancaires au strict nécessaire

Limiter l’accès aux données sur les difficultés sociales des personnes aux seules personnes habilitées

Réaliser des évaluations d’impact sur la vie privée des PC par les T de DCP sensibles.

Limiter l’usage des zones de commentaires a des informations d’ordre général

Respect des droits des PC

S’assurer que les mentions légales sont conformes aux obligations

Permettre aux PC d’exercer leurs droits :

• d’accès

• de rectification

• d’opposition

• à l’oubli

• à la limitation du T de leurs DCP

Notifier aux destinataires les modifications apportées aux DCP suite aux demandes des PC

Interdire/Réglementer le profilage ou les décisions individuelles automatisées d’une PC

Sécurité des DCP Appliquer les mesures de sécurité définies dans la Politique de Sécurité des SI (PSSI)

Violation de DCPFormaliser la notification de violation de DCP

Communiquer à la personne concernée la violation de ses DCP

Renforcement de la culture

protection de la vie privée Sensibiliser tous les agents à la culture « protection des DCP » Informatique et Libertés

Former les agents sur la mise en œuvre de la politique de protection des DCP

Evolution de la politique

Assurer une veille juridique et technologique sur le domaine informatique et libertés

Contrôler régulièrement la mise en œuvre des directives de la politique

Réviser régulièrement la politique

Le Plan d’actions : Les mesures juridiques / Politique de protection de la VP

Page 43: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

43Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Remontée d’incident :

• Perte de Confidentialité DCP

• Perte d’Intégrité de DCP

• Perte de Disponibilité de DCP

• …

Le texte européen prévoit une notification à l’autorité de

contrôle dans les meilleurs délais et si possible dans les 72

heures au plus tard après en avoir pris connaissance.

Cette notification n’est pas ici cantonnée à un acteur en

particulier mais à tous les acteurs dès lors qu’une atteinte aux

DCP est intervenue.

• Description de la nature de la violation de DCP,

• Communication du nom et coordonnées du DPO,

• Description des conséquences probables de la violation,

• Description des mesures prises ou celles que le RT

propose de prendre.

Et l’article 34 du Règlement prévoit la communication à la PC

dans les meilleurs délais.

Cette disposition prévoit trois cas dans lesquels la

communication n’est pas nécessaire:

• Le RT a mis en place le chiffrement etc.

• Le RT a pris des mesures ultérieures garantissant le

respect des droits et libertés afin qu’une nouvelle violation

ne soit plus susceptible de se matérialiser,

• La communication exigerait des efforts disproportionnés.

Le Plan d’actions : Les mesures juridiques / La notification de violation de DCP

Page 44: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

44Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

disposer d’une

organisationpermettant de

détecter et de traiter

les

événements

susceptibles

d’affecter les

libertés et la VP des

PC

Définir les rôles et

responsabilités ainsi que les

procédures de remontées

d’informations et de réaction, en

cas de violation de DCP.

Établir un annuaire des

personnes en charges de gérer

les violations de DCP.

Élaborer un plan de réaction en

cas de violation de DCP pour

chaque risque élevé, le tenir à

jour et le tester périodiquement.

Tester le plan au moins une fois

tous les deux ans.

Permettre de qualifier les

violations de DCP selon leur

impact sur les libertés et la

vie privée des PC

Tenir à jour un inventaire des violations de DCP.

Consigner le contexte des violations de DCP, leurs effets, les

mesures prises pour y remédier…

Étudier la possibilité d’améliorer

les mesures de sécurité en

fonction des violations de DCP

qui ont eu lieu

La notification des PC décrit au

minimum la nature de la

violation de DCP et les points

de contact auprès desquels des

informations supplémentaires

peuvent être obtenues

La notification faite à l’autorité

nationale compétente décrit les

conséquences de la violation

de DCP, et les mesures

proposées ou prises par le

fournisseur pour y remédier

Il est important d’être en

capacité de recueillir, conserver

et présenter des preuves

lorsqu’une action en justice est

engagée suite à un incident

Le Plan d’actions : Les mesures juridiques / La notification de violation de DCP

Page 45: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

45Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Le nom et les coordonnées du RT et, le cas échéant, du

responsable conjoint du traitement, du représentant du

responsable du traitement et du DPO

RT: Mr. Thierry RAMARD, 16 rue de Pont-à-Mousson, 57000 Metz.

DPO: Justine Bertaud, 16 rue de Pont-à-Mousson, 57000 Metz.

Les finalités du T

Gestion de clientèle, gestion du personnel, dispositif de vidéosurveillance

ayant pour finalité la sécurité des biens et des personnes, dispositif

biométrique reposant sur un stockage des gabarits en base mis en œuvre

pour contrôler l’accès aux locaux, appareils et applications informatiques

utilisés sur les lieux de travail.

Une description des catégories de PC et des catégories de DCPLes salariés, les clients de l’entreprise etc.

Nom, prénom, date de naissance, adresse postale, adresse courriel, relevé

d’identité bancaire etc.

Les catégories de destinataires auxquels les DCP personnel

ont été ou seront communiquées, y compris les destinataires

dans des pays tiers ou des organisations internationales

Les personnes gérant la sécurité d’accès aux locaux, les personnes gérant

le restaurant d’entreprise, les personnes chargées de la gestion du

personnel (RH par ex.), les instances représentatives du personnel etc.

Les transferts de DCP vers un pays tiers ou à une organisation

internationale, y compris l’identification de ce pays tiers ou de

cette organisation internationale et, dans le cas des transferts

visés à l’art. 49, paragraphe 1, deuxième alinéa, les documents

attestant de l’existence de garanties appropriées.

Binding Corporate Rules (BCR), Clause contractuelle type (CCT), pays

assurant un niveau de protection suffisant.

Les délais prévus pour l’effacement des différentes catégories

de données

1 mois pour la vidéosurveillance, le temps de la période d’emploi de la

personne concernée (après possibilité d’archivage) etc.

Une description générale des mesures de sécurité techniques et

organisationnelles

Contrôle d’accès, habilitation, cloisonner les DCP, réduire les vulnérabilités

des logiciels, lutte contre les codes malveillants, chiffrer les DCP,

anonymiser les DCP, contrôler l’accès physique aux locaux, prévenir les

risques (incendie, inondation etc.) etc.

Le Plan d’actions : Les mesures juridiques / Le Registre

Page 46: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

46Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Situation

effective

Pratique

inexistante ou

incomplète et le

besoin n'est pas

reconnu.

Pratique de base

mises en œuvre de

manière informelle

et réactive à

l'initiative de ceux

qui estiment en

avoir besoin

Pratiques de base

mises en œuvre,

avec un

engagement

relatif de

l'organisme vis-à-

vis des PC

Processus défini,

décrit, adapté à

l'organisme,

généralisé et bien

compris par le

management et par

les exécutants

Processus

coordonné et

contrôlé à l'aide

d'indicateurs

permettant de

corriger les

défauts constatés

Processus continuellement optimisé :

l'amélioration des processus est

dynamique, institutionnalisée et tient

compte de l'évolution du contexte

6

Labellisation

Certification

5

Code de conduite

4

Contrôle des

mesures

juridiques

3

Respect des

droits de la PC

+

Relations avec

l’autorité de Ctl

+

Contrats

2

Politique

Générale de

protection de la

VP

Organisation

Noti. Viol DCP

Registre1

Sensibilisation

DG

+

Directions

métiers

Le Plan d’actions : Les mesures juridiques / Le Respect des droits de la PC

Page 47: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

47Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Analyses et commentaires d’AGERIS Group

Le raccourcissement des délais de réponse impose de revoir les procédures internes pour respecter ce délai qui peut paraitre court.

Les modalités de réponse se précisent, il est important d’en tenir compte pour éviter tout litige avec la personne exerçant ses droits.

Concernant les informations complémentaires à fournir au moment de la collecte des DCP, il convient de revoir toutes les mentions légales

des formulaires papiers et numériques.

Enfin, concernant les informations à fournir aux PC souhaitant y accéder, il convient de revoir les procédures de conservation de toutes les

informations susceptibles d’être demandées.

La prise en compte de ces éléments dès la phase de conception d’un nouveau projet est nécessaire (voir chapitre relatif au « Privacy By

Design »)

Règlement européen

Application le 25 mai 2018

Délai de réponse aux

demandes de droit des PC 1 mois (prolongation de deux mois compte tenu de la complexité et du nombre de demandes)

L’exercice des droits Possibilité d’exercer ses droits par voie électronique (lorsque cela est possible et lorsque le RT les a collectées par

ce vecteur).

Les mentions

d’informations13 mentions d’informations obligatoires lorsque les DCP ont été collectées directement auprès de la personne; 14

lorsqu’elles ont été collectées indirectement.

La réponse à une demande

au droit d’accès9 mentions obligatoires à fournir

Nouveaux droitsLe droit à la portabilité de ses DCP

Le droit à la limitation du T.

Le Plan d’actions : Les mesures juridiques / Le Respect des droits de la PC

Page 48: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

48Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

1. La garantie de licéité des traitements

Objectif : S’engager à mettre en œuvre tous les moyens pour garantir

la licéité des T en conformité avec les obligations légales en vigueur

(art. 5 et 6 du Règlement n°2016/679).

Respect des droits de la PC

2. T de DCP sensibles ou perçues comme sensibles

Objectif : S’engager à appliquer des procédures et des moyens

spécifiques aux T des DCP sensibles ou perçues comme sensible afin

de limiter les risques pour les PC et de respecter les obligations légales

concernant leurs T .

3. Respect des droits des PC

Objectif : S’engager à informer les PC des droits dont elles disposent

légalement et à mettre en œuvre tous les moyens leur permettant de les

exercer.

Le Plan d’actions : Les mesures juridiques / Le Respect des droits de la PC

Page 49: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

49Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Situation

effective

Pratique

inexistante ou

incomplète et le

besoin n'est pas

reconnu.

Pratique de base

mises en œuvre de

manière informelle

et réactive à

l'initiative de ceux

qui estiment en

avoir besoin

Pratiques de base

mises en œuvre,

avec un

engagement

relatif de

l'organisme vis-à-

vis des PC

Processus défini,

décrit, adapté à

l'organisme,

généralisé et bien

compris par le

management et par

les exécutants

Processus

coordonné et

contrôlé à l'aide

d'indicateurs

permettant de

corriger les

défauts constatés

Processus continuellement optimisé :

l'amélioration des processus est

dynamique, institutionnalisée et tient

compte de l'évolution du contexte

6

Labellisation

Certification

5

Code de conuite

4

Contrôle des

mesures

juridiques

3

Respect des

droits de la PC

+

Relations avec

l’autorité de Ctl

+

Contrats

2

Politique

Générale de

protection de la

VP

Organisation

Noti. Viol DCP

Registre1

Sensibilisation

DG

+

Directions

métiers

Le Plan d’actions : Les mesures juridiques / Le Contrôle

Page 50: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

50Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Contrôle de

la

Commission

Des Déclarations

Du Registre

Du Bilan

Contrôle des

mesures

Les actions transverses

• L’organisation de protection de

la VP

• Le comité de suivi, validation

• La politique de protection de la

VP

• Les contrats avec le ST

• La communication de la

politique PDCP aux personnes

qui doivent l’appliquer.

• L’Intégration de la protection de

la VP dans les projets

• La supervision de la protection

de la VP

Sur les éléments

La Minimisation des DCP

La Gestion de la durée de conservation des DCP

Le respect des droits de la PC concernées

Le consentement des PC

L’exercice du droit d’opposition

L’exercice du droit d’accès direct

L’exercice du droit de rectification

Le Cloisonnement des DCP

Le Chiffrement des DCP

Pseudonynimisation des DCP

Sur les sources de

risques

L’éloignement des sources de risques

Le marquage des documents contenant des DCP

La gestion des personnes qui ont un accès légitime

Le contrôle de l’accès logique des personnes

La gestion des tiers qui ont un accès légitime aux DCP

La lutte contre les codes malveillants

Le contrôle de l’accès physique des personnes

La protection contre les sources de risques non humaines

Sur les supports

La réduction des vulnérabilités :

• des logiciels

• des matériels

• des canaux informatiques

• des personnes

• des documents papier

Sur les impacts

Sauvegarder les DCP

Protéger les archives de DCP

Contrôler l’intégrité des DCP

Tracer l’activité sur le SI

Gérer les violations de DCP

Contrôle des

PIADu contexte du PIA

Des mesures du PIA

De l’analyse des

risques

Des décisions

Le Plan d’actions : Les mesures juridiques / Le Contrôle

Page 51: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

51Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Situation

effective

Pratique

inexistante ou

incomplète et le

besoin n'est pas

reconnu.

Pratique de base

mises en œuvre de

manière informelle

et réactive à

l'initiative de ceux

qui estiment en

avoir besoin

Pratiques de base

mises en œuvre,

avec un

engagement

relatif de

l'organisme vis-à-

vis des PC

Processus défini,

décrit, adapté à

l'organisme,

généralisé et bien

compris par le

management et par

les exécutants

Processus

coordonné et

contrôlé à l'aide

d'indicateurs

permettant de

corriger les

défauts constatés

Processus continuellement optimisé :

l'amélioration des processus est

dynamique, institutionnalisée et tient

compte de l'évolution du contexte

6

Labellisation

Certification

5

Code de conduite

4

Contrôle des

mesures

juridiques

3

Respect des

droits de la PC

+

Relations avec

l’autorité de Ctl

+

Contrats

2

Politique

Générale de

protection de la

VP

Organisation

Noti. Viol DCP

Registre1

Sensibilisation

DG

+

Directions

métiers

Le Plan d’actions : Les mesures juridiques / Code de conduite

Page 52: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

52Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Les associations (AFCDP, ADPL etc.) ou des organismes représentant des RT ou ST peuvent élaborer des Codes de conduite

Objectifs:

L’élaboration d’un Code de conduite a pour objectif d’encourager la bonne application du Règlement européen relatif à la

protection des DCP en prenant en compte la spécificité des différents secteurs de T et des besoins spécifiques des micro,

petites et moyennes entreprises.

Ce que doit contenir le Code:

le traitement loyal et transparent;

• les intérêts légitimes poursuivis par les RT dans les contextes spécifiques;

• la collecte des DCP; la pseudonymisation des DCP;

• les informations communiquées au public et aux personnes concernées;

• l’exercice des droits des personnes concernées;

• les informations communiquées aux enfants et la protection dont bénéficient les enfants;

• les mesures et les procédures concernant la sécurité du traitement;

• la notification aux autorités de contrôle des violations de DCP; le transfert de DCP vers des pays tiers;

• les procédures extrajudiciaires et autres procédures de règlement des litiges

Une fois que le Code de conduite est approuvé par l’autorité de contrôle, celle-ci l’enregistre et le publie.

La réalisation de Codes de conduite

Le Plan d’actions : Les mesures juridiques / Le Code de conduite

Page 53: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

53Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Situation

effective

Pratique

inexistante ou

incomplète et le

besoin n'est pas

reconnu.

Pratique de base

mises en œuvre de

manière informelle

et réactive à

l'initiative de ceux

qui estiment en

avoir besoin

Pratiques de base

mises en œuvre,

avec un

engagement

relatif de

l'organisme vis-à-

vis des PC

Processus défini,

décrit, adapté à

l'organisme,

généralisé et bien

compris par le

management et par

les exécutants

Processus

coordonné et

contrôlé à l'aide

d'indicateurs

permettant de

corriger les

défauts constatés

Processus continuellement optimisé :

l'amélioration des processus est

dynamique, institutionnalisée et tient

compte de l'évolution du contexte

6

Labellisation

Certification

5

Code de conduite

4

Contrôle des

mesures

juridiques

3

Respect des

droits de la PC

+

Relations avec

l’autorité de Ctl

+

Contrats

2

Politique

Générale de

protection de la

VP

Organisation

Noti. Viol DCP

Registre1

Sensibilisation

DG

+

Directions

métiers

Le Plan d’actions : Les mesures juridiques / Labellisation Certification

Page 54: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

54Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

L'idée de base est la capacité à s'appuyer sur un tiers pour considérer qu'une partie des ressources du SI (hébergeant des DCP)

que l'on met en œuvre répond à des exigences de sécurité à notre convenance;

• Je (ou une instance extérieure) définis des objectifs de sécurité, des moyens de les vérifier et des niveaux d'assurance de

l'atteinte de ces objectifs;

• Des composantes sont réalisées avec un objectif de conformité à ces définitions

• Des tiers en lesquels j'ai "confiance" garantissent cette conformité

• Intérêts direct :

• Ne pas avoir à analyser soi-même la façon dont la sécurité est assurée au sein d'une des composantes

• Technique d'interfaçage avec des composants achetés

• Technique d'interfaçage entre partie d'un SI (par exemple entre filiales d'un groupe ou entre partenaires commerciaux)

• Mécanique permettant de coopérer sans avoir à "inspecter" l'autre

• Intérêt indirect :

• Formalisme utilisable éventuellement de façon privée

• Écueils :

• Nécessité de formaliser les règles

• Nécessité de mettre en place des diapositifs récurrents d’audit et contrôles

Le Plan d’actions : Les mesures juridiques / La Certification

Page 55: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

55Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Exigences relatives à

la politique de protection des DCP

Exigences relatives au DPO

Exigences relatives à

l’analyse de la conformité

Exigences relatives au

contrôle de la conformité

dans le temps

Exigences relatives à la

gestion des réclamations

et à l’exercice du droit des

PC

Exigences relatives à la

journalisation des

évènements de sécurité

Exigences relatives à la

gestion des violations de

DCP

Exigences relatives à la

formation

Le Plan d’actions : Les mesures juridiques / La Labellisation / Certification

Page 56: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

56Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Devenir organisme de certification

Comment ?

Il faut obtenir un agrément de la part de l’autorité de contrôle de son Etat ou par un organisme national d’accréditation

désigné.

Pour cela, il faut prouver que les tâches et les missions n’entrainent pas de conflits d’intérêts;

Prouver son expertise en matière de protection des DCP;

Le respect de certains critères,

La mise en place de procédures en vue de la délivrance, de l’examen périodique et du retrait d’une certification, de labels

et de marques pour traiter les violations de la certification ou la manière dont la certification a été appliquée par un RT ou

un ST.

Quels pouvoirs ?

Délivrer ou retirer une certification initialement délivrée à une entreprise.

Les organismes de certification doivent communiquer à l’autorité de contrôle les raisons de la délivrance ou du retrait de

la certification à l’entreprise

Durée 5 ans

Comment devenir organisme de certification ?

Le Plan d’actions : Les mesures juridiques / La Certification

Page 57: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

57Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Situation

effective

Pratique

inexistante ou

incomplète et le

besoin n'est pas

reconnu.

Pratique de base

mises en œuvre

de manière

informelle et

réactive à

l'initiative de

ceux qui estiment

en avoir besoin

Pratiques de base

mises en œuvre,

avec un

engagement

relatif de

l'organisme vis-à-

vis des PC

Processus défini,

décrit, adapté à

l'organisme,

généralisé et bien

compris par le

management et

par les

exécutants

Processus

coordonné et

contrôlé à l'aide

d'indicateurs

permettant de

corriger les

défauts constatés

Processus continuellement optimisé :

l'amélioration des processus est

dynamique, institutionnalisée et tient

compte de l'évolution du contexte

6

Produits certifiés

5

Système de management

4

Ctl des mesures

techniques

3

EIVP

Security by

design

+

PAS

2

Politiques de Sécurité SI

Organisation

Security by default

Sécurité périphérique

1

Sensibilisation

Sécurité en profondeur

Le Plan d’actions : Les mesures organisationnelles et techniques

Page 58: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

58Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

1. Participer à la

sensibilisation

du personnel

8.La manipulation

des outils supportant

des DCP

2.Identifier les T

Evaluer la sensibilité

des DCP au DPO

Exprimer les

évènements redoutés

Participer au PIA

7.La manipulation

des DCP, documents

3.Habilitation et choix

des personnes

affectées aux taches

sensibles sur les T de

DCP

6. Comportements

généraux à

l’intérieur et à

l’extérieur des

établissements

4.Identification et

gestion des

personnels

stratégiques traitant

les DCP

5. Management de la

conformité et

sécurité lors de

sous-traitance

9.Contrôle

Le Plan d’actions : Les mesures organisationnelles et techniques / La sensibilisation

Page 59: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

59Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Situation

effective

Pratique

inexistante ou

incomplète et le

besoin n'est pas

reconnu.

Pratique de base

mises en œuvre

de manière

informelle et

réactive à

l'initiative de

ceux qui estiment

en avoir besoin

Pratiques de base

mises en œuvre,

avec un

engagement

relatif de

l'organisme vis-à-

vis des PC

Processus défini,

décrit, adapté à

l'organisme,

généralisé et bien

compris par le

management et

par les

exécutants

Processus

coordonné et

contrôlé à l'aide

d'indicateurs

permettant de

corriger les

défauts constatés

Processus continuellement optimisé :

l'amélioration des processus est

dynamique, institutionnalisée et tient

compte de l'évolution du contexte

6

Produits certifiés

5

Système de management

4

Ctl des mesures

techniques

3

EIVP

Security by

design

+

PAS

2

Politiques de Sécurité SI

Organisation

Security by default

Sécurité périphérique

1

Sensibilisation

Sécurité en profondeur

Le Plan d’actions : Les mesures organisationnelles et techniques / Politique de sécurité

Page 60: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

60Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Le renforcement de la sécurité

La mise en œuvre de politiques :

• Les règles fonctionnelles et organisationnelles structurant la

protection des DCP

• L’engagement de la direction et les responsabilités métiers,, DSI, SSI

• Les enjeux, responsabilités et missions de la SSI / PDCP

Plans de Sécurité

Guides et manuels

Chartes utilisateurs

Procédures

• La mise en œuvre architecturale des règles fonctionnelles et la

définition des procédures , consignes et règles de sécurité

opérationnelles et de management

Politique de

Sécurité Système d’Information

Charte éthique pour la sécurité de

l’information et la protection de la VP

Politique générale de sécurité de l’information

Protection des DCP

Directives protection des DCP

Le Plan d’actions : Les mesures organisationnelles et techniques / Politique de sécurité

Page 61: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

61Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Article 27 Représentants des RT des ST qui ne sont pas établis dans l'Union

Lorsque l'article 3, paragraphe 2, s'applique, le RT ou le ST désigne par écrit un représentant dans l'Union.

Le représentant est établi dans un des États membres dans lesquels se trouvent les personnes physiques dont les DCP font l'objet d'un T lié à

l'offre de biens ou de services, ou dont le comportement fait l'objet d'un suivi.

Le représentant est mandaté par le RT ou le ST pour être la personne à qui, notamment, les autorités de contrôle et les PC doivent s'adresser,

en plus ou à la place du RT ou du ST, pour toutes les questions relatives au traitement, aux fins d'assurer le respect du présent règlement.

5La désignation d'un représentant par le RT ou le ST est sans préjudice d'actions en justice qui pourraient être intentées contre le RT ou le ST .

Le Plan d’actions : Les mesures organisationnelles et techniques : le Représentant

Page 62: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

62Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Informer

Conseiller

le RT / ST

dans la MEO

des T

Registre ?

Contrôler le

respect

Conseil pour

l’EIVPPont de

contact

Coopère avec

l’AC

Le Plan d’actions : Les mesures organisationnelles et techniques : le DPO

Page 63: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

63Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

L’organisation

Voie

Hiérarchique

Voie

Fonctionnelle

Protection des

DCP

Voie

Fonctionnelle

SSI

Comité de pilotage et suivi PDCP

Managers

Relais

Direction Générale

Le Plan d’actions : Les mesures organisationnelles et techniques : le DPO

Page 64: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

64Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

• Dès que l’on sort de l’étape « best practices auto justifiées-sécurité informatique / by default » sous responsabilité des maîtrises d’œuvre (et que l’on cherche l’adhésion des métiers,) les besoins de sécurité classifiés doivent être à l’origine de la formalisation des exigences de sécurité adaptées, (règles, obligations et interdits).

• Or ces exigences de sécurité (règles, obligations et interdits) sont susceptibles d’être ressentis comme des contraintes allant à l’encontre d’objectifs de productivité du métier

• Certaines interdictions ou obligations techniques ou comportementales brident les services que veulent mettre en œuvre certaines directions de projet

• La prise en compte native de la sécurité dans les projets est identifiée comme un facteur potentiel de ralentissement

• Dans tous les cas il y a plusieurs divergences d’analyse potentielles :

• Entre la maitrise d’ouvrage et le DPO

• Entre la maîtrise d’ouvrage en charge du projet et la maîtrise d’œuvre

• Entre la maîtrise d’ouvrage , la maîtrise d’œuvre d’une part et la SSI d’autre part

• Entre la maîtrise d’œuvre et la SSI

• Entre le DPO et le RSSI

L’arbitre ne pourra se prononcer avec raison que si les mesures « divergence « peuvent être adossées à des besoins, des

enjeux ou a MINIMA À DES RISQUES

Besoin d’arbitrage Arbitre

Entre la maîtrise d’ouvrage en charge du projet et la maîtrise d’œuvre Direction / Comité de pilotage /

Entre la MOA, la Maitrise d’œuvre d’une part et la SSI / DPO d’autre partDirection / Comité de pilotage

Entre SSI et DSIDirection / Comité de pilotage

Validation / Homologation RT

Le Plan d’actions : Les mesures organisationnelles et techniques / Le Comité de validation

Page 65: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

65Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Contexte

Evènements

redoutés

Menaces

Risques

Mesures

Un « risque accepté » est caractérisé par la conjonction des 3 éléments suivants :

1. connaissance de l’existence d’un risque associé à une défaillance de sécurité

par les décideurs métiers;

2. mesure du risque par les intervenants autorisés, en fonction d’un référentiel

(critères, calcul et seuils d’impact, etc.) opposable ;

3. arbitrage et autorisation d’assumer les conséquences du risque, en tenant

compte des mesures de réduction, selon les principes de délégation en

vigueur.

L’instance de décision locale désignée par le RT doit réunir toutes les parties

prenantes (un représentant de la direction, les représentants Métier ou leur maîtrise

d’ouvrage, les dépositaires des ressources, les tiers subissant des impacts

collatéraux…) afin d’évaluer le risque dans son ensemble.

Risques Résiduels

Validation ?

65Le Plan d’actions : Les mesures organisationnelles et techniques / Le Comité de validation

Page 66: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

66Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

• La pseudonymisation et le chiffrement des données à caractère personnel;

• des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des

systèmes et des services de traitement;

• des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des

délais appropriés en cas d'incident physique ou technique;

• une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et

organisationnelles pour assurer la sécurité du traitement.

Le Plan d’actions : Les mesures organisationnelles et techniques / Security by default

Page 67: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

67Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Objectif : faire perdre le caractère identifiant des données à caractère personnel (DCP).

Une « véritable » anonymisation implique nécessairement une perte (irréversible) d’information. Dans certains cas, le simple fait d’effacer

ou de noircir une partie des données peut suffire à atteindre l’objectif souhaité.

La « pseudonymisation » peut être définie comme le remplacement d'un nom par un pseudonyme. C’est le processus par

lequel les DCP perdent leur caractère identifiant (de manière directe).

Les DCP restent liées à la même personne dans tous les dossiers et systèmes informatiques sans que l’identité ne soit révélée.

Elle peut être opérée avec ou sans la possibilité de retour vers les noms ou identités (pseudonymisation réversible ou

irréversible).

Recommandations : supprimer une partie suffisante des DCP

Si ce n’est pas possible, déterminer les solutions qui satisfont le mieux possible les besoins fonctionnels.

Recommandations : s’il est nécessaire que des personnes habilitées puissent vérifier que des données pseudonymisées correspondent à

des données originales qu’ils ont en leur possession, pratiquer une double pseudonymisation avec deux clés secrètes détenues par deux

organismes différents ;

Utiliser uniquement des DCP pseudonymisées ou des données fictives pour les phases de développement et de test.

Dans certains cas, il est conseillé d’appliquer une double pseudonymisation : c’est l’application d’une seconde fonction de

pseudonymisation sur la donnée pseudonymisée au moyen de la première fonction de pseudonymisation .

Ces deux fonctions doivent utiliser des secrets différents qui sont détenus par des organismes distincts.

Le Plan d’actions : Les mesures organisationnelles et techniques / Security by default /

Page 68: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

68Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

WEB

public

DMZ

DMZ

DMZ

Applicatif

Métier

stratégique

Poste de travailComposant d’intendance

(administration et sécurité)

Deuxième niveau

de FirewallPremier niveau

de Firewall

Le risque est donc de

se perméabiliser :

. De l’intérieur,

si les sas applicatif ne

sont

pas à jour,

si les postes de travail ne

sont pas à jour et ne

respectent pas les règles

d’implémentation,

si les administrateurs et

utilisateurs ne respectent

pas ces règles.

. De l’extérieur,

si les Firewall ne sont

pas à jour.

Le Plan d’actions : Les mesures organisationnelles et techniques / EIVP /Security by default / la sécurité périphérique

Page 69: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

69Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Situation

effective

Pratique

inexistante ou

incomplète et le

besoin n'est pas

reconnu.

Pratique de base

mises en œuvre

de manière

informelle et

réactive à

l'initiative de

ceux qui estiment

en avoir besoin

Pratiques de base

mises en œuvre,

avec un

engagement

relatif de

l'organisme vis-à-

vis des PC

Processus défini,

décrit, adapté à

l'organisme,

généralisé et bien

compris par le

management et

par les

exécutants

Processus

coordonné et

contrôlé à l'aide

d'indicateurs

permettant de

corriger les

défauts constatés

Processus continuellement optimisé :

l'amélioration des processus est

dynamique, institutionnalisée et tient

compte de l'évolution du contexte

6

Produits certifiés

5

Système de management

4

Ctl des mesures

techniques

3

EIVP

Security by

design

+

PAS

2

Politiques de Sécurité SI

Security by default

Sécurité périphérique

1

Sensibilisation

Sécurité en profondeur

Le Plan d’actions : Les mesures organisationnelles et techniques / EIVP /Security by design

Page 70: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

70Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Etapes de la méthodeMaîtrise

d’Ouvrage

Maîtrise

d’Œuvre

1.1. Description générale

Approuve

Consultée

Informée

Réalise

Informé1.2. Description détaillée

2.1. Mesures de nature juridique

2.2. Mesures traitant les risques Consulté

3.2. Événements redoutés

Réalise3.3. Menaces

Consultée

3.4. Risques

4.1. Évaluation RéaliseInformé

4.2 Objectifs Consultée

4.3 Plan d’actions Réalise Consulté

4.4 Validation formelle Réalise Informées Consulté Informé

Le Plan d’actions : Les mesures organisationnelles et techniques / EIVP /Security by design

Page 71: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

71Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Accès illégitime aux DCP

Impacts corporels

Impacts matériels

Impacts moraux

Modification non désirée des

DCP

Impacts corporels

Impacts matériels

Impacts moraux

Disparition des DCP

Impacts corporels

Impacts matériels

Impacts moraux

Le Plan d’actions : Les mesures organisationnelles et techniques / EIVP /Security by design / Etude d’impact

Page 72: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

72Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Menaces

Sources

humainesinternes

agissant accidentellement

agissant de manière

délibérée

Sources

humainesexternes

agissant accidentellement

agissant de manière

délibérée

Sources

non

humaines

internes

externes

Vraisemblance

Vraisemblance

Vraisemblance

Événements redoutés

Accès illégitime aux

DCP

Modification non

désirée des DCP

Disparition des DCP

Vulnérabilités

Matériels

Logiciels

Canaux

informatiques

Personnes

Documents papier

Canaux papier

Le Plan d’actions : Les mesures organisationnelles et techniques / EIVP /Security by design / Evaluation de la vraisemblance

Page 73: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

73Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Gra

vité

4. Maximal

3. Important

2. Limitée

1. Négligeable

Cartographie des risques

1. Négligeable 2. Limitée 3. Important 4. Maximal

Vraisemblance

Accès

illégitime

aux DCP

Un schéma tel que ci-dessous peut être utilisé pour présenter la cartographie des risques

Accès

illégitime

aux DCP

Le Plan d’actions : Les mesures organisationnelles et techniques / EIVP /Security by design / Evaluation du n) du risque

Page 74: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

74Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

4. Décision

4.1 Evaluation

Non Oui

4.2 Objectifs 4.3 Plan d’actions

4.4 Validation

Fin d’Etude d’impact sur la vie privée

Décision : la validation de l’étude d’impact sur la vie privéeL’Objectif est de décider d’accepter ou non la manière dont l’étude a été gérée et les risques résiduels.

Source : – CNIL http://www.cnil.fr

Le Plan d’actions : Les mesures organisationnelles et techniques / EIVP /Security by design / la validation

Page 75: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

75Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Appliquer les principes de défense en profondeur à l’architecture matérielle et logicielle des centres informatiques.

La sécurisation d’une architecture doit être assurée mais de façon distribuée, tout au long de la chaîne de liaison, en

prenant en compte l’ensemble des composants de l’architecture (réseau, système, applicatif)

Le principe de défense en profondeur doit être respecté, en particulier par la mise en œuvre successive de « zones

démilitarisées » (DMZ), d’environnements de sécurité en zone d’hébergement, de machines virtuelles ou physiques

dédiées, de réseaux locaux virtuels (VLAN) appropriés, d’un filtrage strict des flux applicatifs et d’administration.

Les premiers niveaux de défense protègent les ressources de niveaux inférieurs contre les attaques à large spectre

Les niveaux inférieurs assurent la protection contre les attaques ciblées sur un objectif précis

Le Plan d’actions : Les mesures organisationnelles et techniques / EIVP /Security by

design / la sécurité en profondeur

Page 76: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

76Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Le Plan d’Assurance Sécurité est un document contractuel décrivant l’ensemble des

dispositions spécifiques mises en œuvre pour garantir le respect des exigences de sécurité du

donneur d’ordre, le RT .

Il doit être annexé au contrat

Le Plan d’actions : Les mesures organisationnelles et techniques / le PAS

Page 77: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

77Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

N° d’exigences

Maturité

Localisation

DCP

SantéNon

sensibles

Certifié

ou

Agrée

Non

Certifié

Agréé

Non

Certifié

Agréé

CertifiéNon

certifié

Non

certifié

Territoire

national

Territoire

national

Interdit par

la France

Territoire

national

Territoire

national

En dehors

de l’UE

PAS

++++

PAS

+++++

PAS

++++++

PAS

+

PAS

++

PAS

+++

Le Plan d’actions : Les mesures organisationnelles et techniques / le PAS

Page 78: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

78Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Situation

effective

Pratique

inexistante ou

incomplète et le

besoin n'est pas

reconnu.

Pratique de base

mises en œuvre

de manière

informelle et

réactive à

l'initiative de

ceux qui estiment

en avoir besoin

Pratiques de base

mises en œuvre,

avec un

engagement

relatif de

l'organisme vis-à-

vis des PC

Processus défini,

décrit, adapté à

l'organisme,

généralisé et bien

compris par le

management et

par les

exécutants

Processus

coordonné et

contrôlé à l'aide

d'indicateurs

permettant de

corriger les

défauts constatés

Processus continuellement optimisé :

l'amélioration des processus est

dynamique, institutionnalisée et tient

compte de l'évolution du contexte

6

Produits certifiés

5

Système de management

4

Ctl des mesures

techniques

3

EIVP

Security by

design

+

PAS

2

Politiques de Sécurité SI

Security by default

Sécurité périphérique

1

Sensibilisation

Sécurité en profondeur

Le Plan d’actions : Les mesures organisationnelles et techniques / Contrôle des mesures techniques

Page 79: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

79Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Le Plan d’actions : Les mesures organisationnelles et techniques / Contrôle des mesures techniques

Page 80: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

80Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Situation

effective

Pratique

inexistante ou

incomplète et le

besoin n'est pas

reconnu.

Pratique de base

mises en œuvre

de manière

informelle et

réactive à

l'initiative de

ceux qui estiment

en avoir besoin

Pratiques de base

mises en œuvre,

avec un

engagement

relatif de

l'organisme vis-à-

vis des PC

Processus défini,

décrit, adapté à

l'organisme,

généralisé et bien

compris par le

management et

par les

exécutants

Processus

coordonné et

contrôlé à l'aide

d'indicateurs

permettant de

corriger les

défauts constatés

Processus continuellement optimisé :

l'amélioration des processus est

dynamique, institutionnalisée et tient

compte de l'évolution du contexte

6

Produits certifiés

5

Système de management

4

Ctl des mesures

techniques

3

EIVP

Security by

design

+

PAS

2

Politiques de Sécurité SI

Security by default

Sécurité périphérique

1

Sensibilisation

Sécurité en profondeur

Page 81: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

81Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Pourquoi mettre en œuvre un Système de Management de Sécurité des DCP ?

Pour protéger, dans la durée, les DCP et les systèmes d’information qui les hébergent

Pour renforcer la confiance (vis-à-vis PC /des clients / usagers et des fournisseurs ou en interne).

Pour améliorer les processus et l’organisation interne en matière de protection de DCP

Un SMSI – Système de Management de la Sécurité de l’Information est un ensemble d’éléments interactifs permettant à un

organisme d’établir une politique et des objectifs en matière de sécurité de l’information, d’appliquer la politique, d’atteindre ces

objectifs et de contrôler l’atteinte de ces objectifs.

Le SMSI est établi, documenté, mis en œuvre et entretenu. Son efficacité est mesurée par rapport aux objectifs de l’entité, et cette

mesure permet d’améliorer en permanence le SMSI.

Le SMSI est cohérent avec les autres systèmes de management de l’entité, notamment avec les systèmes de management de la

qualité, de la sécurité des conditions de travail, et de l’environnement.

L’existence d’un SMSI dans l’organisme permet de renforcer la confiance dans le mode de gestion de la sécurité de

l’information »

Le Plan d’actions : Les mesures organisationnelles et techniques / Contrôle des mesures techniques

Page 82: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

82Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Situation

effective

Pratique

inexistante ou

incomplète et le

besoin n'est pas

reconnu.

Pratique de base

mises en œuvre

de manière

informelle et

réactive à

l'initiative de

ceux qui estiment

en avoir besoin

Pratiques de base

mises en œuvre,

avec un

engagement

relatif de

l'organisme vis-à-

vis des PC

Processus défini,

décrit, adapté à

l'organisme,

généralisé et bien

compris par le

management et

par les

exécutants

Processus

coordonné et

contrôlé à l'aide

d'indicateurs

permettant de

corriger les

défauts constatés

Processus continuellement optimisé :

l'amélioration des processus est

dynamique, institutionnalisée et tient

compte de l'évolution du contexte

6

Produits certifiés

5

Système de management

4

Ctl des mesures

techniques

3

EIVP

Security by

design

+

PAS

2

Politiques de Sécurité SI

Security by default

Sécurité périphérique

1

Sensibilisation

Sécurité en profondeur

Page 83: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

83Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

La certification permet d’attester par une tierce partie indépendante et impartiale qu’un produit atteint, à un instant donné, un

niveau de sécurité représenté par les services de sécurité qu’il offre et sa résistance à un niveau d’attaques donné : en

France, quel que soit le type d’évaluation, la certification s’appuie systématiquement, outre des vérifications de conformité,

sur des tests d’intrusion pour déterminer le niveau de sécurité réellement atteint par le produit.

La certification permet de répondre principalement à trois types d’objectifs.

1. Il peut s’agir d’objectifs règlementaires, tels que l’application de Règlements ou de directives européennes ou

nationales.

2. L’objectif peut être aussi contractuel, au travers de donneurs d’ordres publics ou privés qui exigent contractuellement

la certification de produits avant leur usage.

3. Enfin des entreprises peuvent souhaiter se démarquer en certifiant leurs produits (objectif commercial).

Le Plan d’actions : Les mesures organisationnelles et techniques / les produits certifiés

Page 84: Gdpr : impacts sur l'organisation et plan d'actions

gle

me

nt

eu

rop

éen

po

ur

la p

rote

ctio

n d

es

pe

rso

nn

es p

hys

iqu

es

à l'é

gard

du

tra

ite

me

nt

de

s D

CP

84Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

La mise en conformité au règlement européen est imposé dans un délai court fin mai 2018) :

il convient de démarrer dans les meilleurs délais la démarche de mise en conformité

La démarche :

• Doit être adaptée au niveau de maturité de l’organisme : une approche progressive par palier doit être mise en oeuvre

• Doit impliquer la direction générale de l’organisme pour qu’elle impose la démarche

• Doit aborder des aspects « juridiques » et « techniques »

• Nécessite de formaliser des documents (politiques, procédures, …) puis de les mettre en apllication

• Nécessite de désigner un chef de projet pour mener à bien tous les chantiers

Le délai de mise en conformité est fixé à fin mai 2018 : ce délai est court.

Il convient de mettre en œuvre un plan d’actions permettant d’atteindre cet objectif dans les meilleurs délais :

2017 est une année importante pour la mise en conformité

Plan d’actions : Conclusion