@DPO_News @cyberisques @jpbichard #GDPR #DPO Synthèse Matinée GDPR et DSI #Ivanti

 

21 mars 2017 Matinée GDPR et DSI / Ivanti  

 

 

Phot-JPB-DPO NEWS

 

Journaliste IT depuis 27 ans, IHEDN 2005, animateur d'évènements (tables rondes) IT / GDPR, auteur de plusieurs ouvrages, co-fondateur en 1997 du premier média "cybersecurité" NetCost&Security avec Olivier Caleff, Jean Philippe Bichard -@jpbichard - a créé le site de veille  http://cyberisques.com en 2012.

Premier journaliste animateur des « Assises de la sécurité » dans les années 2000, il collabore à différents médias (tech et Eco).

 En complément de Cyberisques NEWS  - gouvernance des risques IT - il crée en 2016 @DPO_Newsconsacré aux projets GDPR (organisationnel, technique, juridique) et à la veille stratégique pour les DPO et COMEX. 

En plus d'animations et d'enquêtes "marché", Jean Philippe rédige de nombreux « white papers » sur les différents aspects sectoriels du GDPR, des études « business » et autres contenus WEB sur les thématiques Cyberisques / GDPR.

Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

@cyberisques @jpbichard @DPO_NEWS

http://www.cyberisques.com/

 

 

 

(*) GDPR (General data protection regulation) est le terme anglais pour RGPD (Règlement général sur la protection des données). Le terme anglais étant plus utilisé, nous l'avons privilégié. Il remplace à la fois la loi française Informatique et Libertés de 1978 et la Directive européenne de 1995, transposée en France en 2004. GDPR ne se transpose pas, ce règlement est d'application directe, il s'impose donc dans tous les pays et à toutes les entreprises dans les mêmes termes. GDPR est géré par le G29 (Groupe de l'Article 29, réunion des CNIL européennes).

 

 

Synthèse de l'intervention de Jean-Philippe Bichard

Directeur des rédactions Cyberisques-NEWS et DPO-NEWS

(reproduction autorisée si source publiée : @jpbichard DPO_NEWS Cyberisques NEWS)

 

Matinée-21-mars-2017-IVANTI

21 mars 2017: DSI "grands comptes" réunis par Ivanti pour une matinée GDPR  Paris XVIe 

 

C'est rarement évoqué. Les données et traitements « sécurisés » compatibles GDPR peuvent représenter désormais un capital parmi les plus importants de l’entreprise, avec les ressources humaines et les moyens financiers. Sous cet angle, l'adoption « compliance GDPR » peut constituer un avantage concurrentiel pour les organisations « habiles » rapidement « conformes ». Exemple : dès 2018, toutes les bases de données commercialisées intégrant des données à caractère personnel seront conformes aux règles du GDPR. Il y a donc urgence a devenir « GDPR compatible » pour des raisons légales mais aussi...business.

 

 

1 – RGPD / GDPR: grandes lignes

Adopté en avril 2016, le RGPD entrera en vigueur en mai 2018. Il doit permettre aux citoyens européens de reprendre le contrôle sur leurs données personnelles. C'est aussi une belle opportunité de repenser pour les organisations leur stratégie de « data gouvernance ».

Le règlement s'applique aux entreprises européennes, mais aussi aux entreprises non-européennes qui ont un pan de leur activité en Europe, et qui traitent de fait des données de citoyens européens. Il faut retenir :  

Nomination d'un DPO Data privacy officer) : Qui ? Quand ? Mission ? Externe,Interne ? Autorité ? Fonction cumulable avec une autre ?

Les photos comme les adresses IP mais aussi les informations partagées sur les réseaux sociaux sont désormais considérées comme des données personnelles. MAIS quid des données liées au « shadow IT » ?

Les entreprises souhaitant collecter des données doivent avoir un consentement explicite de leurs utilisateurs : gestion des consentements, droit à l'oubli y compris chez les sous-traitants

DPIA (Data protection impact assesment) Liste de traitements avec analyse d'impacts obligatoire sur la vie privée.

Elles devront tenir un registre de traitement des données, permettant de déterminer si les données quittent l'Union Européenne et dans quelles conditions.  

Les données stockées par l'entreprise devront être protégées contre la perte, le vol ou la détérioration.

L'ensemble des citoyens européens auront le droit d'accéder à leurs données personnelles, et de demander leur suppression

Les citoyens pourront exercer leurdroit à la portabilité des données. (changer de prestataire sans être captif)

En cas de fuite des données, les entreprises sont tenues d'informer l'autorité nationale responsable de la protection des données dans les meilleurs délais (72h00)

De lourdes sanctions financières 

En cas de non-respect du RGPD, l'entreprise s'expose pourtant à de lourdes sanctions financières, pouvant aller d'une amende d'un montant équivalent à 4% du chiffre d'affaires mondial de l'entreprise à 20 millions d'euros (ou 4% du chiffre d'affaires mondial, le montant le plus important des deux étant retenu) pour les infractions les plus graves.

Illustration d'un traitement de données à caractère personnel « incompatible » le cas Decaux :

Dans une décision du 8 février 2017, le Conseil d’Etat est venu préciser ce qu’il faut entendre par "données anonymisées" par opposition aux "données pseudonymisées".

Cette affaire concerne un projet imaginé par la société JCDecaux qui visait à compter les flux de piétons sur la dalle piétonne de La Défense, grâce à des boîtiers de comptage wifi, installés sur des mobiliers publicitaires et destinés à capter les adresses des appareils mobiles présents dans cet espace.

L’idée était donc de mesurer les volumes de fréquentation et les taux de répétition, à des fins essentiellement publicitaires.

Dès lors que le traitement réalisé sur une donnée permet d’attribuer à cette donnée la personne concernée en ayant recours à des informations supplémentaires, alors la donnée est dite pseudonymisée.

En revanche, si le traitement réalisé sur la donnée ne permet plus - quel que soit le procédé utilisé - de lui attribuer la personne concernée, alors la donnée est dite anonymisée. 

 

 

En pratique:  GDPR : 10 défis pour DSI / RSSI / DPO...  en 2017

(source @DPO_NEWS)

1 - Sensibilisation et enjeux GDPR auprès des COMEX / CODIR (sponsor de DPO auprès des directions stratégiques)

2 – Métiers, clients, partenaires et compréhension GDPR : conflit d'intérêts DPO / Business ? (Marketing, RH, R&D...)

3 - Nommé un DPO (ex CIL ?) interne ou via une prestation de service externalisée

4 – Évaluation du risque d'exposition : Audit puis DPIA, commander des audit et réaliser des inventaires pour identifier les traitements faisant appel à des données à caractère personnel. Avec une approche macro (type de data, volume..)

5 - Cartographies de l'existant avec les métiers et mise en œuvre des mesures Privacy par default et Privacy by design

6 – S'assurer que la démarche « intentionnelle » pour se plier à la conformité GDPR existe réellement via une analyse de conformité (avant que la CNIL effectue un contrôle)

7 – Comprendre et intégrer le concept « d’extraterritorialité » (datas de citoyens européens à caractère personnel traitées en dehors de la zone Europe)

8 – Gérer contractuellement les sous-traitants avec contrats et clauses de responsabilité (Audit, traitements...)

9 – Intégrer la « minimisation » au sein des traitements : données réellement nécessaires aux traitements (sans systématiser l'intégration de données à caractère personnel)

10 – Tenir compte dans les sanctions des risques d'atteinte à l'image de l'organisation notamment dans le cas de notifications auprès de la CNIL

 

 

 

Rappel : CNIL https://www.cnil.fr/fr/textes-officiels-europeens-protection-donnees

 

La CNIL publie une méthodologie en 6 étapespour se préparer et anticiper les changements liés à l’entrée en application du règlement européen le 25 mai 2018.

Les organismes devront en effet être capables de démontrer, à compter de cette date, leur conformité à ces dispositions.

 


- Obligation d'Accountability – Référentiel Européen 2016
En conformité à l'article 29 du Référentiel Européen relatif à la protection des données personnelles, vous êtes en mesure de démontrer et éditer à tout moment l'inventaire des traitements, l'état des mesures et procédures, les analyses des risques et d'impacts sur la vie privée.

- Pilotage opérationnel des actions CIL et DPO
un
logiciel vous accompagne dans toutes vos fonctions de CIL et/ou DPO.

- Gestion électronique des fiches de traitements
Vous gérez vos fiches de traitement avec précision et conformément à la législation en vigueur.

- Edition automatisée du registre ou de l'inventaire
Vous éditez en toute simplicité vos registres et inventaires.

- Auto-évaluation du respect des exigences réglementaires (audit)
Vous auditez et mesurez en toute indépendance votre bon respect des exigences réglementaires.

- Pré-classification des risques « vie privée »
Vous évaluez le niveau d'exposition aux risques de chacun des traitements de données à caractère personnel que vous gérez.

- Tableaux de bord d'indicateurs de performance
Vous disposez à tout moment d'indicateurs clairs, fiables, actualisés, exploitables, compréhensibles et précis, pour aider les acteurs clés à piloter votre organisation.

 

En savoir plus : @cyberisques @jpbichard @DPO_NEWS

http://www.cyberisques.com/

 

 

Autres contributions :

- Cabinet d'avocats Mathias : aspects juridiques de la GDPR

http://www.avocats-mathias.com/

 

Ivanti France : solutions et outils « compatibles » GDPR

http://www.ivanti.fr/fr-FR/

 

 

 

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires