Protection des données personnelles europeennes : comment s’ajuster aux nouvelles règles du jeu DenyAll 2017
Agenda RGPD : un nouveau cadre juridique européen Implications pour votre système d’information Impacts sur votre SI
RGPD : un nouveau cadre juridique européen
Règlement 2016/679 Protéger les données personnelles des citoyens de l’UE afin de restaurer la confiance et éviter les usurpations d’identité S’applique à toutes les entreprises dès qu’elles manipulent des données à caractère personnel de citoyens Européens où qu’elles soient dans le monde Des sanctions en cas de violation allant jusqu’à 20 M€ ou 4% du CA mondial consolidé au plus fort des 2 Publié le 4 Mai 2016, applicable 25 mai 2018 99 articles, 88 pages Source : Mathias Avocats : www.avocats-mathias.com
Qu’est-ce qu’une donnée personnelle ? Toute information qui, directement ou indirectement, permet d'identifier un individu Il peut s'agir de : données privées, professionnelles ou publiques. nom, photo, adresse électronique Éléments propre à l’identité : physique, physiologique, génétique, psychique, économique, culturelle ou sociale Numéro d’identification, identifiant en ligne Données de localisation coordonnées bancaires, messages publiés sur des réseaux sociaux informations médicales adresse IP de son ordinateur. Source CNIL (Rf. www.cil.cnrs.fr)
Grands principes Démontrer la mise en place de mesures appropriées, dans le respect des principes suivants : Licéité Loyauté et transparence Limitation des finalités pour lesquelles les données sont collectées Minimisation des données Exactitude des données Limitation de la durée de conservation des données Préservation de l’intégrité et de la confidentialité des données Source : article Aramis Law de Juillet 2016
Les nouveaux droits du citoyen Le consentement du citoyen doit être clair et explicite Les mineurs peuvent consentir librement s’ils ont 16 ans et plus Les enfants de 8 à 16 ans doivent passer par le consentement des parents Le consentement peut être retiré à tout moment Obligation d’informer d’une violation des données si cela engendre un risque élevé pour les droits et libertés Profilage : régime spécifique de traitement (art. 22) Si un profilage mène à des décisions ayant des conséquences significatives le citoyen a le droit à un examen par un humain. Par ailleurs il doit être informé de ce profilage
Les nouveaux droits du citoyen Droit d’accès aux données Droit à la limitation de l’usage des données collectées Droit de rectification/ effacement Droit à l’oubli numérique Droit à la portabilité des données Droit à l’Information en cas de transfert des données vers un pays tiers et des mesures prises pour encadrer ce transfert sur la durée de conservation des données sur les droits d’effacement, de limitation, de portabilité Sur le droit de réclamer auprès de l’autorité Sur le pourquoi du traitement ( réglementaire ou contractuel)
Les Droits & Obligations des sociétés 1 seul Droit: Plus de déclaration préalable aux autorités nationales sur le traitement de données personnelles mais contrôle à postériori.
Les obligations des entreprises vis-à-vis du citoyen L’obligation de traiter le droit à l’oubli numérique Recueillir le consentement clair et explicite de la personne concernée quant à l’utilisation de ses données personnelles Garantir que les politiques relatives à la vie privée soient expliquées dans un langage clair et compréhensible L’obligation d’informer en cas de piratage des données personnelles et/ou d’incident lié à la sécurité dans les 24 heures Sauf si une politique de sécurité a été mise en oeuvre rendant illisible les données ou que des mesures ont été prises rendant impossible cette violation
Les obligations des entreprises Nommer un responsable de la donnée personnelle avec droit de véto sur les projets ( art 62-63) Mise en œuvre de mesures techniques et organisationnelles appropriées et proportionnées en regard des données traitées et de la finalité du traitement S’assurer que le traitement des données est soumis à des procédures documentées Ces documents seront exigés lors d’un audit Obligation de notification aux autorités de surveillance sous 72 heures Suivant la prise de connaissance de la violation de données (art. 33)
Transfert des données en dehors de l’union Respecter les précédentes règles en matière de transfert des données vers un pays tiers de l’union À travers les contrats BCR Privacy Shield ne garantit pas la conformité au RGPD Source : Mathias Avocats : www.avocats-mathias.com
Obligation: Privacy by design et par défaut Prendre en compte impératifs de protection dès la conception du traitement donc des applications Adopter paramétrages par défaut du système garantissant une mise en œuvre conforme au Règlement paramétrage par défaut des applications Prendre en compte état de l’art, couts de mise en œuvre, risques pour la vie privée Mesures documentées pour prouver conformité Choisir la solution la plus protectrice et la moins disant du point de vue quantité de données collectées Organisation : équipe ou personne en mesure d’imposer la prise en compte du Règlement Délégué protection des données Article Aramis Law de Juillet 2016
ET les sous-traitants Qui est responsable ? Le responsable du traitement des données ET les sous-traitants Ils doivent mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ( article 32) Cela doit être pris en compte dans le contrat
Qu’est-ce qu’un sous-traitant ? Une entité traitent les données à caractère personnel Sous l'autorité du responsable du traitement des données Mais ne prenant aucune décision sur Les conditions d’utilisation de la donnée Les fins d’utilisation de la donnée sur la manière dont le traitement est effectué. Qui ? Hébergeurs Fournisseurs SaaS et PaaS ISP
Obligations contractuelles avec le sous-traitant Traiter les données sur instruction documentée du responsable du traitement mettre en œuvre les mesures de sécurité nécessaire pour respecter les règles du RGPD S’assurer que les sous-traitants ultérieurs fassent de même Coopérer avec le responsable du traitement Respecter le choix du responsable du traitement quant au sort des données personnelles à l’issue du contrat Autoriser les audits / inspection
Obligations du sous-traitant Pas de sous-traitance sans autorisation écrite préalable du responsable du traitement Informer de tout remplacement d’un sous traitant Imposer aux sous-traitants ultérieurs les mêmes obligations Etablir un registre des activités de traitement Coopérer avec l’autorité de contrôle Mettre en place des mesures de sécurité des données Notifier toutes violation des données Désigner un délégué à la protection des données Respecter les règles en matière de transfert des données
Sanctions via la CNIL LRN & RGDP Loi Informatique et Libertés modifiée par la loi République numérique (art. 47) 2016/10 sanction 4 M€ au maximum : fonction de l’intention, de la gravité, de l’intérêt retiré, des mesures prises pour atténuer les dommages, du degré de coopération avec la CNIL RGDP (art. 83) 2 cas => 20 M€ ou 4% du CA mondial consolidé de l’exercice précédent Si Violation des règles applicatives au consentement, au droit des personnes, au transfert de données personnelles => 10 M€ ou 2% CA mondial consolidé de l’exercice précédent Si Violation des règles applicatives à la protection des données dès la conception par défaut , absence de contrat avec les sous traitants, de clauses relatives à la protection des données , en matière de sécurité des données , de notifications, d’analyse d’impact , absence de registre des traitements,
Impact sur votre système d’information et vos applications
Impacts multiples Organisationnels Juridiques Techniques
Impacts organisationnels Nomination d’un Data Protection Officer (art. 39) Délégué à la protection des données (DPD) Sociétés de plus de 250 personnes Gouvernance et conformité : Données : mapping, analyse des flux, qui accède à quoi ? sont-elles transférées ? doit-on les garder ? Réalisation d’analyses d’impacts pour les traitements représentant un risque élevé pour la vie privée Profilage, vidéosurveillance , traitements à grande échelle, infractions condamnations Registre des traitements Procédures de documentation et conservation Code de bonne conduite
Impacts juridiques Réalisation d’un audit juridique et technique des traitements et de politiques internes pour définir un plan d’action de mise en conformité Réalisation d’un audit des contrats conclus avec les sous-traitants Définition d’une politique en matière de sous-traitance et renforcement de la clause relative à la protection des données à caractère personnel Définition d’une politique de gouvernance en matière de protection des données Source : Mathias Avocats : www.avocats-mathias.com
Impacts techniques Mise en oeuvre de mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques potentiels : Privacy by design : Prise en compte de la protection de la donnée tout au long du cycle de vie de la donnée Pseudonimysation ( moindre contrôle si mise en œuvre) Chiffrement Protection des applications Privacy by default Les systèmes informatiques doivent assurer la sécurité de base Limitation des données à utiliser Stockage des données aussi longtemps que nécessaire Assurer la confidentialité, l'intégrité, la disponibilité et la résilience Processus pour tester et évaluer l ’efficacité des mesures techniques et organisationnelles
Impacts techniques Portabilité de la donnée dans un format utilisable Tester et évaluer la sécurité régulièrement Être en mesure de notifier une violation en 72h SOC et procédures de notifications
Vers une démarche DevSecOps
Mettre à jour sa stratégie de sécurisation Sécurité en profondeur Filtrage, authentification, analyse comportementale, chiffrement et pseudonymisation des données De DevOps à DevSecOps Intégrer scanneur et WAF dans le cycle de développement logiciel Patcher et protéger Prioriser et patcher les vulnérabilités Tester la protection (patching virtuel) Automatiser la réponse Evaluer la fiabilité des utilisateurs Programmer les réponses Authentification adaptative Bloquer les attaques applicatives En combinant de multiples techniques, dont heuristique, analyse grammaticale et comportementale Faire la différence entre bots et humains
Une philosophie outillée : exemple les applications web DAM/RASP Router SIEM Firewall Code de l’application Patch virtuel Développeurs *AST Utilisateurs Rapport de vulnérabilités Politique de filtrage Politique d’autorisation
Inventaire des applications exposant des données personnelles Sites internet frontaux Institutionnel, transactionnel Applications Extranet OWA, Sharepoint, iNotes Réseaux sociaux d’entreprise, Wikis Applications internes SAP, Oracle, MS Dynamics Application cloud CRM, Marketing, RH Services web Architectures orientées Services Communications machine-to-machine Backends des applications mobiles
Conclusion
1 an pour faire évoluer votre SI Un gros effort d’identification/ cartographie des données à protéger Un travail juridique important notamment avec les sous traitants Intégrer la sécurité du développement à la production : démarche DevSecOps De nouveaux outils à mettre en œuvre SOC/SIEM/ Chiffrement sur site et dans le cloud / WAF / masquage de données / chiffrement des liens..
Directeur commercial international Nicolas Bressand Directeur commercial international nbressand@denyall.com
Glossaire des acronymes
Glossaire RGPD: Règlement Général des données personnelles ou GDPR ( general Data Privacy Régulation) Directive Acte juridique européen pris par le Conseil de l’Union européenne avec le Parlement ou seul dans certains cas. Elle lie les États destinataires de la directive quant à l’objectif à atteindre, mais leur laisse le choix des moyens et de la forme pour atteindre cet objectif dans les délais qu’lle a fixés au préalable. Règlement Acte juridique européen, de portée générale dont toutes les dispositions sont obligatoires: les États membres sont tenus de les appliquer telles qu’elles sont définies par le règlement. Celui-ci est donc directement applicable dans l’ordre juridique des États membres. Il s’impose à tous les sujets de droit : particuliers, États, institutions. Droit à l’oubli numérique Selon l’article 17 du GDPR, la personne concernée a le droit d’obtenir du responsable du traitement l’effacement des données à caractère personnel la concernant, ainsi que la cessation de la diffusion de ces données.