Sensibilisation GDPR et RGPD. PME/Administrations/Universités. Slides de la présentation réalisée pour la LME, Hainaut développement et l'IDEA pour 82 participants. Merci à eux :)
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
1. David Blampain
17 ans : Expériences eBusiness / Web / ICT / Sécurité
6 ans en Sécurité de l’information
Certified ISO/IEC 27005 : Risk Manager
Certified ISO/IEC 27001 : Lead Implementer
Certified ISO/IEC 27032 : Lead Cyber Security Manager
Certified DPO : Data Protection Officer : GDPR / number in demand
Condorcet : Gradué/Bac Marketing
Warocqué-UMons : Licence/Master en Gestion d’Entreprise
Solvay-Bruxelles ULB : Ex. Master en Marketing & Advertising
HEC-Liège ULG : Ex. Master en Intelligence Stratégique (Sécurité ; Veille ; Influence)
Et des milliers d’heures de lecture. Merci aux instituteurs et professeurs du monde entier !
29/01/2018 : Brunch Info : LME : Mons - Belgique
Sensibilisation des PME/Administrations/Universités
Chez Hainaut Développement
https://be.linkedin.com/in/davidblampainClic !
2. Tout savoir sur le :
« RGPD »/ GDPR
Tout Savoir… La
grosse blague du jour
RGPD/GDPR
Un peu d’humour
16. 6 étapes vs 13 étapes
Sources : https://www.cnil.fr/ et CPVP
1. CONSCIENTISATION
2. REGISTRE DE DONNÉES
3. COMMUNICATION
4. DROITS DE LA PERSONNE CONCERNÉE
5. DEMANDE D’ACCÈS
6. FONDEMENT LÉGAL POUR LE TRAITEMENT DE
DONNÉES À CARACTÈRE PERSONNEL
7. CONSENTEMENT
8. ENFANTS
9. FUITES DE DONNÉES
10. LA PROTECTION DES DONNÉES DÈS LA
CONCEPTION ET L’ANALYSE D’IMPACT RELATIVE
À LA PROTECTION DES DONNÉES
11. DÉLÉGUÉ À LA PROTECTION DES DONNÉES
12. AU NIVEAU INTERNATIONAL
13. CONTRATS EXISTANTS
19. Domaine 4 : Le PIA
C’est pas NOUVEAU !!! : C’est une Analyse de risques
Privacy Impact Assessment : DPIA
Sources : http://copes.fr/Presentation/Blog/1038
Sources : https://www.cnil.fr/
28. ACTE BONUS
Article 7 Mesures
Techniques & co
Check possible si
audit
Quelques exemples
de preuves
Conditions applicables au
consentement.
=> Article: 4 (Définitions)
=> Raison: 32 (Le consentement
devrait être donné par un acte
positif clair…), 33, 42, 43
=> administrative fine: Art. 83 (5)
lit a
Mettre en place des
procédures pour obtenir le
consentement.
Librement et sans ambiguïté
Formulaire de
consentement
Prouver que les
formulaires fonctionnent
Développer des boxes
formulaire opt-in
Développement pour le
consentement via téléphone
Avoir le consentement
écris des utilisateurs
Procédure pour permettre
les objections
Mettre en place des
procédures pour les demandes
opt-out, voir de restriction
comme le profiling ou le
traitement.
Du responsable au sous-
traitant
Développement pour
permettre les objections
Disposer des logs et des
enregistrements (Virtuel
et/ou papier)
Répondre aux objections
29. ACTE MALUS
Les violations des dispositions suivantes font l'objet, conformément au paragraphe 2,
d'amendes administratives pouvant s'élever jusqu'à 10 000 000 EUR ou, dans le cas d'une
entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le
montant le plus élevé étant retenu:
Les violations des dispositions suivantes font l'objet, conformément au paragraphe 2, d'amendes
administratives pouvant s'élever jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise,
jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus
élevé étant retenu
Exemples : (8) non respect pour les enfants ; (11) non respect du fait qu’on a
pas besoin d’identifier… (25) responsable du traitement met en œuvre les
mesures techniques et organisationnelles appropriées.
Exemple : (5) collectées pour des finalités déterminées, explicites et
légitimes, et ne pas être traitées ultérieurement d'une manière
incompatible avec ces finalités
31. ACTE FINAL
Source : http://camthao.us/News/332/what-will-the-warrior-guardian-of-the-future-look-like
https://be.linkedin.com/in/davidblampain
Notes de l'éditeur
La GDPR n’apporte rien de nouveau et augmente les droits des personnes.
Elle signale enfin de matière claire que les sous traitants doivent également respecter le GDPR et elle impose deux choses : au niveau de l’existant.
Loi nationale : protéger les informations en fonction de leur nature, leur sensibilité et des risques et des moyens disponibles.
Le RGPD à remplacé « des moyens disponibles » par selon l’état de l’art (les meilleures solutions). Ne plus rien faire n’est plus permis !!!
Le RGPD a aussi changé : Tu as un nouveau projet ou modifier une solution existante : tu DOIS appliqué le Privacy et Security by design and By default.
LES NORMES sont un point de départ.
Dès que on a des fournisseurs la clause 15 / des que tu engages des gens la Clause 7
Classification de l’information dès le départ
Privacy by Design en fonction
Des clauses de sécurité : clauses 15 de la 27002 en fonction des risques qui repose sur l’information. En fonction.
Les sociétés/asbl de moins de 250 personnes ne doivent pas disposer d’un DPO sauf si le traitement concerne des informations spéciales.
Mais on a un traitement à faire.
Elle doivent respecter et doivent disposer d’un registre des traitements.
Le PIA dépend de la nature du traitement et de la nature de l’information. (Flou artistique)
Un PIA si le risque pour les personnes est élevé. Ca veut dire quoi ???
G29 Privacy Officer des autorité de contrôle :
CNIL analyse transversales avec 10 types de traitement de l’information potentiellement problématique… au moins 2 des 10 types tu fais un PIA.
Santé / Judicaire / Adoption : DPO.
On doit l’acté au PV.
La commission de la vie privée va tourner au tour du pot. Les 13 étapes.
Phase de restruction
Le PIA dépend de la naute du traitement et de la nature de l’information. (Flou artistique)
Un PIA si le risque pour les personnes est élevé. Ca veut dire quoi ???
G29 Privacy Officer des autorité de contrôle :
CNIL analyse transversales avec 10 types de traitement de l’information potentiellement problématique… au moins 2 des 10 types tu fais un PIA.
Le PIA dépend de la naute du traitement et de la nature de l’information. (Flou artistique)
Un PIA si le risque pour les personnes est élevé. Ca veut dire quoi ???
G29 Privacy Officer des autorité de contrôle :
CNIL analyse transversales avec 10 types de traitement de l’information potentiellement problématique… au moins 2 des 10 types tu fais un PIA.
Le PIA dépend de la naute du traitement et de la nature de l’information. (Flou artistique)
Un PIA si le risque pour les personnes est élevé. Ca veut dire quoi ???
G29 Privacy Officer des autorité de contrôle :
CNIL analyse transversales avec 10 types de traitement de l’information potentiellement problématique… au moins 2 des 10 types tu fais un PIA.
Le PIA dépend de la naute du traitement et de la nature de l’information. (Flou artistique)
Un PIA si le risque pour les personnes est élevé. Ca veut dire quoi ???
G29 Privacy Officer des autorité de contrôle :
CNIL analyse transversales avec 10 types de traitement de l’information potentiellement problématique… au moins 2 des 10 types tu fais un PIA.
Le PIA dépend de la naute du traitement et de la nature de l’information. (Flou artistique)
Un PIA si le risque pour les personnes est élevé. Ca veut dire quoi ???
G29 Privacy Officer des autorité de contrôle :
CNIL analyse transversales avec 10 types de traitement de l’information potentiellement problématique… au moins 2 des 10 types tu fais un PIA.
1. Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant.
2. Si le consentement de la personne concernée est donné dans le cadre d'une déclaration écrite qui concerne également d'autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples. Aucune partie de cette déclaration qui constitue une violation du présent règlement n'est contraignante.
3. La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. La personne concernée en est informée avant de donner son consentement. Il est aussi simple de retirer que de donner son consentement.
4. Au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l'exécution d'un contrat, y compris la fourniture d'un service, est subordonnée au consentement au traitement de données à caractère personnel qui n'est pas nécessaire à l'exécution dudit contrat.
1. Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant.
2. Si le consentement de la personne concernée est donné dans le cadre d'une déclaration écrite qui concerne également d'autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples. Aucune partie de cette déclaration qui constitue une violation du présent règlement n'est contraignante.
3. La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. La personne concernée en est informée avant de donner son consentement. Il est aussi simple de retirer que de donner son consentement.
4. Au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l'exécution d'un contrat, y compris la fourniture d'un service, est subordonnée au consentement au traitement de données à caractère personnel qui n'est pas nécessaire à l'exécution dudit contrat.