GDPR-RGPD: Quesako? General Data Protection Regulation Reglement General de protection des données

Agenda Contexte général Acteurs Principales dispositions Les droits du citoyen sous GDPR Comment se préparer? Les contrôles Registre des activités de traitements Sanctions Outils et aides externes Questions GDPINTE

Contexte General Nouvelle réglementation européenne sur la protection des données personnelles Remplace toutes les lois actuellement en vigueur en Europe Applicable à partir du 25 mai 2018 Nouveau standard mondial en matière de protection des données But principal: redonner aux citoyens le contrôle de leurs données personnelles, tout en simplifiant l’environnement réglementaire des entreprises

Acteurs Citoyens européens Responsables de traitement Sous-traitants Commissions de protection des données de chaque pays membre Data protection officers

Principales dispositions Cadre harmonisé Application mondiale Concerne tout les types de données et de traitements! Consentement de traitement Droit à l'effacement Droit à la portabilité des données Profilage et cadre légal de traitement des données Sécurité par défaut et protection des données dès la conception Notifications Data Breach Comités Nationaux/Européen pour l'application (LU: CNPD, FR: CNIL, BE: CPVP) Codes de conduite Cadre Harmonisé: abroge les réglementations nationales dans les états membres.  Application mondiale: Concerne toutes les entreprises qui traitent des données de citoyens Européen Consentement de traitement: Chaque citoyens doit fournir son consentements explicit et positif pour le traitement des données. Donc plus de box, ne pas me contacter, mais une box j'autorise le traitement de mes données. Data Breach: Les organismes qui traitent ou stockent des données personnelles, ont le devoir de surveiller leurs base de données et de signaler toute intrusions dans les 72h à toutes les personnes concernées et à l'autorité de leur pays ou à la commission Européenne si société non européenne. Si ce n'est pas fait sanctions! Droit à l'effacement: Chaque citoyen Européen peut demander à consulter l'ensemble des données qu'un organisation possède sur lui. Il a le droit de les modifier et de les faire supprimer. L'entreprise doit aussi prouver que cela a été fait. Pour cela il faut que toute entreprise quel que soit sa taille mette en place des reports sur l'ensemble des bases de données qui contiennent des données personnelles. Droit à la portabilité: La directive exige que les données soient exportable dans un format standard qu'une machine peut comprendre. Par exemple du XML, du JSON ou autre. Il faut que les données puissent être sortie d'un système et importer dans un autre. Profilage: Toute personne à le droit de ne pas subir un profilage de manière automatique qui influence sur une décision juridique ou  l'affectant de manière significative. D'où l'obligation de créer un registre des traitements des données. Ce registre des traitements doit être accessible sur demande et chaque organisme est tenu d’en posséder un. Sinon amende. Sécurité par défaut: Les applications doivent maintenant par desing protéger les données de types personnelles. Il y a plusieurs niveau de confidentialité définit par la loi dépendant du type de données. Le niveau maximum est réserve aux données biométrique, génétique… Ces données doivent obligatoirement être encryptée. Pour pouvoir gérer cela, il faut donc pouvoir tagger les colonnes des bases de données en fonction du type de données qu’elles stockent. Mais attention, les applications existantes doivent aussi le devenir. Ce qui veut dire la plupart du temps réecriture de celle-ci. Ou du moins inspection des DBs. Notifications des datas breach: Chaque responsable de traitement doit sécurisé les données à caractère personnelle, mais il doit aussi avertir l’autorité responsable de son pays en cas d’accès non autorisé à ces mêmes données. Pour cela, il a 72h maximum après l’attaque pour le faire. Il doit aussi avertir chaque personne impactée par cette attaque dans le même délais. En cas de non respect du délais, les utilisateurs et les commissions des pays concernés pourront attaquer en justice le responsable de données. Comités nationaux et Européen: L’europe a mis en place le European Data Protection Board, c’est en gros l’autorité suprême de surveillance de la GDPR. Elle chapeaute les commissions installées dans les pays Européen. C’est vers elle également que les citoyens se retourneront si l’autorité dans leur pays ne parvient pas à gérer le dossier. En parallèle, les pays ont l ’obligation de mettre en place des commissions nationales. Ces commissions sont la dans le but d’aider les responsables de traitement dans la gestion des données. Elles doivent mettre en place des codes de conduites en ce sens. Elles seront aussi en charge de faire les contrôles, de gérer les enquêtes et les plaintes des citoyens de leur pays.

Les droits du citoyen sous gdpr Ses données ne peuvent pas être traitées sans son consentement explicit et positif Droit de consultation Droit de modification Droit de suppression Droit de connaitre le traitement (qui, quand, où, combien de temps) Droit d’être averti en cas d’accès illicite Délais de réponse maximal à une demande: 1 mois et 72h pour les intrusions

Comment se préparer? Informez / conscientisez vos collaborateurs Menez un inventaire complet et tenez un registre de vos données Passez en revue vos conditions générales Soyez le garant de la vie privée de vos utilisateurs Assurez-vous que vos procédures tiennent dans les nouveaux délais imposés Mettez vous au droit ou consultez un juriste Assurez vous que le consentement de vos utilisateurs est sans faille Préparez un plan d’action pour gérer les fuites de données personnelles Apprenez à menez une étude d’impact sur la vie privée Nommez un responsable chargé de la protection des données. Faites-vous accompagner Étape 1 : Informez-vous Et quand je dis "vous", je ne parle pas uniquement des dirigeants, DSI, RSSI et du service juridique. Non, vous devez informer l'ensemble des employés à ce qu'est la GDPR d'abord pour que chacun prenne conscience du rôle qu'il aura à jouer vis-à-vis des données des clients, mais aussi pour faire remonter les process à risque. Étape 2 : Faites l'inventaire Quelles sont les données personnelles que vous stockez, où sont-elles conservées, comment les obtenez-vous, qui y a accès, combien de temps les conservez-vous, sont-elles chiffrées, les partagez-vous avec des tiers ? etc. Posez-vous toutes les questions et plus encore pour obtenir un inventaire précis des données en votre possession, mais aussi de ce que vous en faites. AZURE Data Catalog Étape 3 : Passez en revue vos conditions générales Passez en revue l'intégralité de vos CGV et textes relatifs à la collecte des données personnelles de vos utilisateurs. Identifiez les faiblesses de ces textes, complétez-les, renforcez-les et faites en sorte que vos utilisateurs soient informés comme il se doit de vos processus de collecte de données personnelles, de la manière la plus réaliste et précise qui est. Cela vous permettra d'isoler certaines faiblesses pour retravailler ensuite sur vos process internes. Étape 4 : Soyez le garant de la vie privée de vos utilisateurs Assurez-vous que vous respectez bien les droits relatifs à la vie privée et aux données personnelles de vos utilisateurs et validez bien la présence de processus de suppression de ces données, de modification ou d'export de ces données à la demande de l'utilisateur. Étape 5 : Ajustez les délais Passez en revue et mettez à jour vos procédures pour qu'elles soient réalisables dans les nouveaux délais exigés par la GDPR. Une requête en provenance de l'un de vos utilisateurs doit maintenant être traitée en moins d'un mois. Étape 6 : Mettez-vous au droit Le but est de comprendre l'ensemble des processus liés aux données personnelles dont vous disposez et d'identifier et documenter pour chacun d'entre eux vos droits (légalement parlant) à les obtenir, les conserver et les exploiter. Une fois encore, c'est la transparence qui est de mise et c'est ce travail de documentation qui vous permettra de détecter d'éventuels abus de votre côté. Abus pouvant être sanctionnés comme je le disais en début d'articles. Étape 7 : Assurez-vous que le consentement de vos utilisateurs est sans faille C'est le moment de vérifier la façon dont vos utilisateurs donnent leur consentement lorsque vous leur demandez des données personnelles. Assurez-vous qu'il n'y a pas d'entourloupe ni de tromperie de votre part qui puisse ensuite vous être reprochée. Étape 8 : Attention aux mineurs Si vous proposez des services à destination des enfants et que vous collectez des données sur des mineurs, assurez-vous d'obtenir l'autorisation des parents et mettez en place un mécanisme de vérification d'âge. Étape 9 : Préparez un plan d'action pour gérer les fuites de données personnelles Mettez en place des procédures pour détecter, reporter et enquêter sur d'éventuelles fuites de données de vos utilisateurs. Et en cas de faille, assumez-la systématiquement et oeuvrez pour résoudre le problème. Étape 10 : Apprenez à mener une Étude d'impact sur la vie privée En anglais, ça se dit DPIA et c'est une méthodologie permettant d'évaluer l'impact potentiel qu'un projet ou une initiative sur la vie privée des gens. L'objectif c'est de permettre aux sociétés d'identifier d'éventuels problèmes liés à la vie privée avant qu'ils émergent et de savoir comment les régler. La CNIL a publié un fascicule sur le sujet que je vous invite à lire. Étape 11 : Nommez un responsable chargé de la protection des données C'est le genre de nouveaux jobs qui vont de plus en plus se démocratiser. En anglais ça se dit DPO pour Data Protection Officier. C'est cette personne qui est en charge de veiller sur les données personnelles que vous avez en votre possession. Il joue un rôle transversal dans l'entreprise en aidant chacun à faire sa part pour être carré dans la gestion de ces données et il veille à la sécurité de celles-ci. Étape 12 : Faites-vous accompagner Que vous soyez une entreprise mono pays ou établi dans plusieurs pays de l'Union européenne, vous pouvez vous rapprocher des organismes en charge localement de faire respecter la GDPR. En France c'est la CNIL qui est en charge de ça. Dites-leur que vous venez de ma part.

Les contrôles Passage d’un système de contrôle à priori vers un contrôle à posteriori Vérification en cas de soucis: des procédures de traitement des règles de rétention des autorisations explicites et positives des utilisateurs de la sécurisation by-design des bases de données et des applications, mais aussi du stockage physique des documents …

Le registre des activités de traitements Point central de votre gestion et conformités GDPR Que doit-il contenir? Le nouveau règlement européen (« RGPD ») impose aux responsables du traitement (ou à sesreprésentants) ainsi qu’aux sous-traitants de maintenir une documentation interne des activités de traitement qui ont lieu sous leur responsabilité. Ce Registre permet aux responsables du traitement et sous-traitants d’identifier et de disposer d’une vue d’ensemble des traitements de données à caractère personnel qu’ils opèrent. Ce Registre doit être fait par écrit (électronique) et doit être clair et compréhensible. QUI ? - Inscrivez le nom et les coordonnées du responsable du traitement (et le cas échéant ajoutez celles du représentant) et du délégué à la protection des données si vous devez en désigner un. - Établissez la liste des sous-traitants QUOI ? - Identifiez les catégories de données traitées ainsi que les catégories des personnes concernées. - Identifiez les données dites sensibles telles que les données de santé et judiciaires. POURQUOI ? Identifiez les finalités pour lesquelles les données sont traitées. La description de la finalité doit être la plus précise possible.  OÙ ? - Indiquez les catégories de destinataires (pays tiers) auxquels les données sont transférées.  - Ajoutez les transferts vers un pays tiers ou une organisation internationale, y compris l’identification du pays JUSQU'À QUAND ? Indiquez pour chaque catégorie de données la durée de conservation. La durée de conservation ne doit pas nécessairement comprendre une durée en jours, mois, années mais peut également faire référence au temps nécessaire à la réalisation d’un projet concret. COMMENT ? Décrivez de manière générale quelles mesures de sécurité techniques et organisationnelles sont introduites pour garantir un niveau de sécurité adapté au risque. 

Data-Breach Concerne les données informatiques et non informatiques La perte d’un objet contenant des données est une faille qui doit être notifiée Il y a 3 niveaux de failles qui entrainent des reactions différentes obligatoires (Violation de confidentialité, Violation de disponibilité, Violation d’intégrité) Tenue d’un registre des failles Plus d’infos: https://cnpd.public.lu/fr/declarer/violation-de- donnees/violation-donnees-rgpd.html

Les sanctions 4% du chiffre d’annuel global ou 20 millions d’euros maximum par infraction constatée Possibilité pour les personnes concernées de faire un recours collectif en plus des 4% d’amende

Quelques outils et autorités de contrôles CNPD - GDPR Compliance Support Tool – https://cst.cnpd.lu CPVP – Modèle de Registre des activités de traitements - https://www.privacycommission.be/fr/canevas-de-registre-des-activites-de-traitement Microsoft TRUST CENTER - https://www.microsoft.com/gdpr BE: CPVP - https://privacycommission.be LU: CNPD - https://cnpd.public.lu FR: CNIL - https://www.cnil.fr/ EN: ICO - https://ico.org.uk/ https://rgpd-2018.com/questionnaire-conformite.php https://www.gdprbenchmark.com Azure Data Catalog

Questions?

Merci et bonne GDPinte