Arnaud David Juriste Senior - Microsoft

Slides:



Advertisements
Présentations similaires
AMELIORATION DE LA PRISE DE DECISION SUR LES TERRAINS MILITAIRE ET SECURITAIRE PAR LE RENSEIGNEMENT ELECTONIQUE.
Advertisements

1 Business Unit Management Contractuel des Affaires et des Engagements Juridiques État des Lieux, Chiffres Clés, Problématiques métiers GREEN Conseil GREEN.
Chapitre 1 Le service de l’approvisionnement
L’impact du RGPD sur l’organisation et l’activité des entreprises
ANALYSE D’IMPACT / ANALYSE DE RISQUE DANS LE RGPD
La règlementation en matière de transfert de données
La pénibilité au travail : Au moins 3 grands enjeux
LA NORME ISO 9001 : 2008 Introduction Pourquoi une démarche qualité?
Sites Internet et Protection des données à caractère personnel
Gestion responsable en matière de biotechnologie
Vers une nouvelle gouvernance de la donnée personnelle
Quizz ISO 9001 V nouvelles questions
Evolutions réglementaires en cours
Le notaire et le droit des données personnelles
L’evolution du concept qualité
La gouvernance de la sécurité sociale
PRIVACY.
le plan de continuité d’activité ( le pca )
Green IT & Cloud L’empreinte écologique de vos actions numériques & règles juridiques. Désiré BRUCKMANN.
Et la vie lycéenne Vous présentent.
Et la vie lycéenne Vous présentent.
Le Règlement européen sur la protection des données personnelles
Marguerite OUEDRAOGO BONANE
Le GDPR, ses contraintes et ses opportunités …
Lutter contre les atteintes aux droits de la personnalité en ligne
Correction du TD N°1 le cas « CERAMICO » Auditoire: 2 ème année PME/PMI Chargé du cours: Héla MOURALI Année universitaire Institut Supérieur.
P.Baracchini, La norme international OHSAS et la directive MSST Gérer la santé et la sécurité au travail.
Présentation au COTER Jeudi 7 décembre 2017
LA RGPD 2018 Mise en conformité de votre OF
SYSTEME DE MANAGEMENT DE LA QUALITE : LA NOUVELLE NORME ISO 9001 version 2015.
Normalisation & Certification M2PQSE Nedra Raouefi 2018/
CONSEILS DEPARTEMENTAUX
Règlement général sur la protection des données
Le RGPD dans la santé Cédric Cartau – 2017.
Règlement général sur la protection des données
Directrice de la Conformité
LA PROTECTION JURIDIQUE DES MAJEURS
La sécurité et le rôle du chef d’établissement
Le GDPR en 20 minutes - Quelques questions choisies
Le Règlement européen général sur la protection des données (RGPD)
Association des Transporteurs Aériens Francophones
Jean Heinen 09/031 ® ® nom déposé de SAI. Jean Heinen 09/032 SA 8000 SA Social Accountability ou Responsabilité Sociale.
Le Règlement Général sur la Protection des Données personnelles (RGPD)
Compétences des fédérations sportives en matière d’équipements
Règlement général sur la protection des données
Intervenant : Patrick DUGUÉ Consultant - Formateur
RÉUNION DU CONTRIBUEZ À L'ADAPTATION DES EMPLOIS ET DES COMPÉTENCES ! 1.
Nouveau Règlement Général de Protection des Données
Depuis le 5 mai 2018, ce Règlement …
Le nouveau règlement sur la vie privée
Nicolas BRESSAND SIT MAZAGAN 11/05/2016
Loi Sapin 2 : anticorruption
La collecte d’informations Présenté par: Boudries. S.
OFASOLUTIONS – 20 av. Pdt Vincent Auriol – PANAZOL Tél : Fax : ISO Une réponse à la maîtrise des CCP?
Référentiel RGPD du LabRC
Outil d’assistance à la mise en conformité de votre entreprise au RGPD.
Qu'est-ce que l'audit de TI?
Registre des activités de traitement
Microsoft Azure Quelles protections des données à l'heure du Cloud ?
Module 1 : principes généraux I&L
DMP Comité opérationnel de déploiement Ille et Vilaine
Concepts et étapes Ateliers de formation à la mise en œuvre
du domaine d'application
Conférence Avant-Première
La protection des données personnelles
Charte d’utilisation des données agricoles
Quelle démarche qualité pour l'éducation et la formation ?
ÉTUDE PREALABLE DE LA MISE EN PLACE DU SMSST SELON LA NORME ISO Université Hassan 1 er Faculté des Sciences et Techniques – Settat Réalisé.
1 Système de Management Intégré Professeur : Préparé par : Mme. El AOUFIR KHOUAKHI Daoud Mme. El AOUFIR KHOUAKHI Daoud MEGDOUBI Zouhair MEGDOUBI Zouhair.
Transcription de la présentation:

Arnaud David Juriste Senior - Microsoft La responsabilisation accrue de la mise en œuvre des traitements de données personnelles Arnaud David Juriste Senior - Microsoft

Le principe d’accountability Art. 22 GDPR Accountability Documentation & Communication appropriées des politiques Désignation d’un responsable de l’implémentation des politiques Transfert vers des tiers dont le niveau de protection est adéquat Formation des personnels chargés des traitements Gestion des plaintes Notification des failles de sécurité Correctifs et compensation si préjudices Obligation de se doter d’instruments ou de procédures internes pour assurer sa conformité en matière de protection des données personnelles

La sécurité, pierre angulaire de l’accountability Dir 95/46/CE (Art. 17) = > RGPD (Art. 32) Une approche juridique par les risques… « le responsable de traitement et le sous-traitant mettent en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » …Nécessitant une approche opérationnelle pragmatique

Rôle du droit souple/ Soft Law La solution face à un environnement en pleine mutation : la technologie évolue beaucoup plus rapidement que la réglementation Granularité plus fine que la loi Faire face à la globalisation du traitement des données Caractère plastique, réactif et adaptif Enjeu de concurrence internationale et de compétitivité

La normalisation, un outil de conformité Consensus entre parties intéressées Processus ouvert Volontaire Notion d’état de l’art Equilibre « entreprise/pouvoir public » pour réussir à faire face à l’évolution technologique Différents types de normes: Normes fondamentales (ex: ISO 17788) Vocabulaire, symboles, outils statistiques Normes de spécifications (ex: ISO 27001) Caractéristiques et performance de produits, services, procédés ISO 27018 Dans le cadre d’ISO 27001 et 27002 Points de contrôle destinés aux prestataires de Cloud Computing Objectifs: protection des données personnelles dans le Cloud & amélioration de la confiance dans les sous-traitants Répond aux obligations légales des clients Principe de consentement préalable Principe de transparence Notification des failles de sécurité Conservation limitée Confidentialité Accès aux données Outil approprié pour répondre aux nouvelles opportunités technologiques (Cloud, Big Data, BI ou Machine Learning)

Stratégie gagnant-gagnant Privacy By Design DPIA Art. 23 GDPR Art. 35 GDPR Anticipation des sujets relatifs aux traitements de données dès les premières étapes de leurs projets informatiques (conception des produits, services et systèmes exploitant des données à caractère personnel) => démarche de transparence Nécessaire coopération entre les services juridiques et informatiques au sein de l’entreprise Politique à mettre en œuvre pour anticiper les violations de la vie privée Si traitement implique des risques importants qui ne peuvent être contrebalancé par des mesures adéquates, consultation de l’autorité est obligatoire (Ct 84) Requis par défaut dans 3 cas Evaluation systématique et approfondie d’aspects personnels Traitement à grande échelle de catégories particulières de données Surveillance systématique à grande échelle d’une zone accessible au public Comprend: Description du traitement Evaluation de la nécessité de la proportionnalité des traitements au regard des finalités Evaluation des risques pour les droits et libertés des personnes concernées Mesures envisagées pour assurer la protection des données personnelles Modèle de PIA par la CNIL Privacy By Design Démarche pro-active Protection par défaut Transparence Stratégie gagnant-gagnant

Devoir d’alerte : notification des incidents de sécurité Art. 32, 34 & 55 GDPR Incident de sécurité = destruction accidentelle ou illégale, perte, altération, divulgation ou accès non autorisés à, des données personnelles transmises, stockées ou traitées. Si risque d’atteinte aux droits et libertés Si important risque d’atteinte aux droits et libertés Conditions de notification Exception: Lorsque le risque n’est pas susceptible de porter atteinte aux droits et libertés fondamentaux des personnes. Possibilité pour l’Autorité de décider que la notification est nécessaire ou non C’est au responsable de traitement de déterminer si l’impact est suffisamment important Conditions de notification: Exceptions: Responsable de traitement a mis en place des techniques appropriées de protection (chiffrement) Mise en place de mesures à la suite de l’incident pour s’assurer qu’un important risque ne se matérialise pas Si la notification à chaque personne concernée demande un effort disproportionné A l’Autorité de protection des données personnelles compétente Dans les 72h après constatation de l’incident Plus tard, mais devra justifier ce délai Notification sans délai à la personne concernée