O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

Marketing digital et GDPR

342 visualizações

Publicada em

formation donnée dans le cadre du diplôme en marketing digital de l'ICHEC Formation Continue

Publicada em: Educação
  • Seja o primeiro a comentar

Marketing digital et GDPR

  1. 1. Vie privée et GDPR Jacques Folon Partner Edge Consulting Maître de conférences Université de Liège Professeur ICHEC Professeur invité Université Saint Louis (Bxl) ESC Rennes School of business Université de Lorraine (Metz)
  2. 2. 2
  3. 3. Média sociaux et données personnelles SOURCE DE L’IMAGE: http://archives-lepost.huffingtonpost.fr/article/2012/01/13/2678781_protection-de-la-vie-privee-sur-les-medias-sociaux.html
  4. 4. 5
  5. 5. On a en moyenne 170 « amis » 30
  6. 6. Et ils sont géolocalisés... 10
  7. 7. On apprend beaucoup de choses sur eux 11 http://3.bp.blogspot.com/-upA_Ez7KzBM/Tncfv6OsjjI/AAAAAAAANU4/jAEkgOejP5E/s1600/ar_dief.jpg
  8. 8. et Graph search…
  9. 9. Ou en est leur vie privée? 13 http://www.fieldhousemedia.net/wp-content/uploads/2013/03/fb-privacy.jpg
  10. 10. Des « amis » qui respectent votre vie privée 14 http://cdn.motinetwork.net/motifake.com/image/demotivational-poster/1202/reality-drunk-reality-fail-drunkchicks-partyfail-demotivational-posters-1330113345.jpg
  11. 11. 15 ET POURTANT IL Y A DES PRIVACY POLICIES
  12. 12. 16 FOURSQUARE
  13. 13. 17
  14. 14. Vie privée et média sociaux Les média sociaux: chiffres & privacy Les média sociaux et vie privée Vie privée et Facebook La vie privée privacy policies Prospective et conclusion incidents liés à la privacy Média sociaux privacy et entreprise le monde a changé La sécurité La réglementation un concept dépassé ? les traces et l'identité numérique Le mythe des coûts cachés le contrôle des collaborateurs les risques le recrutement 19
  15. 15. Le monde a changé http://www.jerichotechnology.com/wp-content/uploads/2012/05/SocialMediaisChangingtheWorld.jpg
  16. 16. http://fr.slideshare.net/bodyspacesociety/casilli-privacyehess-2012def Antonio Casili
  17. 17. La géolocalisation permet désormais, grâce aux smartphones de connaître la localisation de chacun http://upload.wikimedia.org/wikipedia/commons/thumb/9/99/Geolocalisation_GPS_SAT.png/267px-Geolocalisation_GPS_SAT.png
  18. 18. Les données personnelles sont collectées en permanence, volontairement ou non 1
  19. 19. 25
  20. 20. Prof. J .Folon Ph.D.
  21. 21. 27 A.CONTEXTE B.QUELQUES DEFINITIONS C.LES 12 GRANDS PRINCIPES D.LES CONSEQUENCES DU GDPR E.METHODOLOGIE F.Q & A
  22. 22. A : CONTEXTE 28
  23. 23. En deux mots… 29 • Le GDPR est un règlement européen concernant la protection des données personnelles • Il s'impose aux entreprises et au secteur public
  24. 24. 30 MAY 2018
  25. 25. B : QUELQUES DEFINITIONS… 31
  26. 26. UNE DONNÉE PERSONNELLE ? 32 toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle

  27. 27. TRAITEMENT DE DONNEES 33 . toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utili sation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction; 

  28. 28. RESPONSABLE DE TRAITEMENT 34 . la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre; 

  29. 29. SOUS-TRAITANT 35 . la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement; 

  30. 30. VIOLATION DE DONNEES 36 une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données; CONSÉQUENCES: NOTIFICATION PUBLIQUE !!
  31. 31. C : Les 12 grands principes du GDPR 37 1. Responsabilité - « accountability » 2. Droit du citoyen et du collaborateur (RH) 3. Privacy by design 4. Sécurité des données 5. Notification des vols/pertes de données 6. Sanctions importantes 7. Gestion des accès aux données (IAM) 8. Licéité des traitements (réglementation ou consentement) 9. Registre des traitements 10.Analyse de risques et PIA 11.Formation 12.Data privacy officer
  32. 32. 1/ ACCOUNTABILITY 38
  33. 33. 2/ DROIT DE LA PERSONNE 39 TRANSPARENCE INFORMATIONS LORS DE LA COLLECTE DROIT D'ACCES DROIT DE RECTIFICATION DROIT A L'EFFACEMENT DROIT A LA LIMITATION DU TRAITEMENT PORTABILITE DROIT D'OPPOSITION AU PROFILAGE
  34. 34. 3/ PRIVACY BY DESIGN 40
  35. 35. 4/SECURITE DE L'INFORMATION 41
  36. 36. 5/ NOTIFICATION DES VOLS/PERTES 42
  37. 37. 6/ SANCTIONS 43
  38. 38. 7/ IAM (GESTION DES ACCÈS) 44
  39. 39. 8/ LICEITE 45
  40. 40. 9/ REGISTRE DES TRAITEMENTS 46
  41. 41. 10/ ANALYSE DE RISQUES /PIA 47
  42. 42. 11/ FORMATIONS 48
  43. 43. 12/ DATA PRIVACY OFFICER 49
  44. 44. D : LES CONSEQUENCES DU GDPR 50
  45. 45. MODIFICATION DE L'ORGANISATION 51
  46. 46. Degré de maturité de la plupart des organisations aujourd’hui 52 3/10 • Prise de conscience et de connaissance du GDPR • Plan de Mise en Conformité au GDPR? • Désignation d’un DPO? • Sécurité de l’Information conforme aux normes ISO 2700X? • Formation du Personnel? • Registre des Traitements des données personnelles? • Analyse de Risques? • Privacy Impact Assessments? • Conformité aux règles d’Archivage Digital? • Restriction des accès aux données personnelles? • Procédures de Réponse aux data subjects? • Procédure de Communication en matière de Data Breach? • Adaptation des Contrats des sous-traitants? • Adaptation des Contrats clients? • Démontrer la conformité? • …
  47. 47. Deux approches possibles 53 • Irréaliste d’être conforme à 100% • Incertain (que va-t-on découvrir?) Viser la Mise en Conformité Totale Se concentrer sur le respect des Principes Clé • Sensibiliser • Convaincre • Faire percoler dans toute l'organisation • Mitiger les risques principaux ✓ Approche pragmatique ✓ Rythme soutenable
  48. 48. E : METHODOLOGIE 54
  49. 49. Méthodologie Mise en Conformité 55 METHODOLOGIE 1. Evaluation Préalable 2. Identification des Domaines à Risque 3. Inventaire des Applications et Services 4. Registre des Traitements 5. Plan d’Action de Mise en Œuvre 6. Mise en Conformité Administrative et Organisationnelle 7. Résolution des Non-conformités 8. Installation des Processus Continus 9. Programme de Formation Permanente Préparation Implémentation Pérennisation
  50. 50. Plan d’implémentation type 56 Jun Jul Aoû Sep Oct Nov Dec Jan Fév Mar Avr May Jun Gestion de Projet Démarrage Projet Gestion du Changement Sensibilisation du Personnel Formation GDPR pour les Personnes Critiques Mise en Conformité Préparation Evaluation Préalable Identification des Domaines à Risque Inventaire des Applications et Services Implémentation Registre des Traitements Plan d’Action de Mise en Œuvre Mise en Conformité Administrative et Organisationnelle Résolution des Non-conformités Pérennisation Installation des Processus Continus Programme de Formation Permanente Data Privacy Officer Mise en place du DPO et gestion par le DPO
  51. 51. DONNEES SENSIBLES • Certaines données sont si délicates qu'elles ne peuvent être traitées que dans des cas très spécifiques. • Vos nom et adresse sont plutôt des données anodines, mais ce n'est pas le cas pour la race, la santé, les opinions politiques, les convictions philosophiques (croyant ou athée, etc.), les préférences sexuelles ou le passé judiciaire. • En principe, il est donc interdit de collecter, d’enregistrer ou de demander à pouvoir communiquer les données sensibles déjà citées, sauf quelques exceptions. Le responsable peut traiter des données sensibles données sensibles (à l'exception des données judiciaires) : – s'il a obtenu le consentement écrit de la personne concernée ; – si c'est indispensable pour prodiguer les soins nécessaires à la personne concernée; – si la législation du travail ou l'application de la sécurité sociale l'impose ; – la personne concernée elle-même a rendu les données publiques ; – si c'est nécessaire en vue de l'établissement, de l'exercice ou de la défense d'un droit ; – si c'est nécessaire dans le contexte d'une recherche scientifique. 126
  52. 52. Opt in obligatoire sur les média sociaux 58
  53. 53. Cookies
  54. 54. Cookie DATR 60
  55. 55. international transfer
  56. 56. TRANSFERT DE DONNEES
 Responsable et sous-traitant
  57. 57. Privacy VS. Security 63
  58. 58. SECURITE SOURCE DE L’IMAGE: http://www.techzim.co.zw/2010/05/why-organisations-should-worry-about-security-2/
  59. 59. Source : https://www.britestream.com/difference.html.
  60. 60. Everything must be transparent
  61. 61. • Sécurité organisationnelle – Département sécurité – Consultant en sécurité – Procédure de sécurité – Disaster recovery
  62. 62. • Sécurité technique – Risk analysis – Back-up – Procédure contre incendie, vol, etc. – Sécurisation de l’accès au réseau IT – Système d’authentification (identity management) – Loggin and password efficaces
  63. 63. • Sécurité juridique – Contrats d’emplois et information – Contrats avec les sous-contractants – Code de conduite – Contrôle des employés – Respect complet de la réglementation
  64. 64. 86 La sécurité des données personnelles est une obligation légale…
  65. 65. Employees share (too) many information and also with third parties
  66. 66. Where do one steal data? •Banks •Hospitals •Ministries •Police •Newspapers •Telecoms •... Which devices are stolen? •USB •Laptops •Hard disks •Papers •Binders •Cars
  67. 67. 63 RESTITUTIONS
  68. 68. QUE SAVENT-ILS ??
  69. 69. Actualités
  70. 70. 78
  71. 71. 154 Source de l’image : http://ediscoverytimes.com/?p=46
  72. 72. ISO 27002
  73. 73. «ISO 27002 c’est donner des recommandations pour gérer la sécurité de l’information à l’intention de ceux qui sont responsables de définir, d’implémenter ou de maintenir la sécurité dans leur organisation. Elle est conçue pour constituer une base commune de développement de normes de sécurité organisationnelle et de pratiques efficaces de gestion de la sécurité, et pour introduire un niveau de confiance dans les relations dans l’entreprise. »
  74. 74. LA LOI SUR LA PROTECTION DES DONNES PERSONNELLES IMPOSE UNE SECURITE INFORMATIQUE !
  75. 75. 48
  76. 76. Bonne question?
  77. 77. 4 By giving people the power to share, we're making the world more transparent. The question isn't, 'What do we want to know about people?', It's, 'What do people want to tell about themselves?' Data privacy is outdated ! Mark Zuckerberg If you have something that you don’t want anyone to know, maybe you shouldn’t be doing it in the first place. Eric Schmidt
  78. 78. 1 Privacy statement confusion • 53% of consumers consider that a privacy statement means that data will never be sell or give • 43% only have read a privacy statement • 45% only use different email addresses • 33% changed passwords regularly • 71% decide not to register or purchase due to a request of unneeded information • 41% provide fake info 112 Source: TRUSTe survey
  79. 79. Les traces « Jadis, nous étions fichés parce que quelqu’un souhaitait nous ficher. Aujourd’hui, nous pouvons aussi être fichés du seul fait de la technologie qui produit des traces sans que nous en ayons toujours pleinement conscience » 20ème rapport d’activité de la CNIL pour 1999, avant-propos du président Michel Gentot 167
  80. 80. Les traces informatiques • Logiciels de gestion de projets • Réseaux sociaux d’entreprise • Surveillance de réseau • Télémaintenance • Firewall • Emails • Documents • Logefiles • Disque dur de l ’utilisateur – la mémoire cache – les cookies 168
  81. 81. 93SOURCE: http://mattmckeon.com/facebook-privacy/
  82. 82. 94
  83. 83. 95
  84. 84. 96
  85. 85. 97
  86. 86. 98
  87. 87. 99
  88. 88. 100 http://blogs.iq.harvard.edu/netgov/2010/05/facebook_privacy_policy.html
  89. 89. Evaluation and Comparison of Privacy Policies-Accessibility/User-Friendliness Facebook Foursquare Google Buzz LinkedIn Twitter Number of words 5860 words 2,436 words 1,094 words 5,650 words 1,287 words Comparison to average Privacy Policy (based on 2,462 words) Above average Below average (but very close to the average) Below Average Above average Below average Amount of time it takes one to read (based on an average person reading speed--244 words /minute) Approx. 24 minutes Approx. 10 minutes Approx. 5 minutes Approx. 23 minutes Approx. 5 minutes Direct link to its actual privacy policy from the index page No Yes Yes Yes Yes Availability in languages other than English Yes Yes Yes Yes Yes Detailed explanation of privacy control/protection Yes Yes Yes No No Trust E-Verified Yes No No Yes No Linking and/or mentioning to U.S. Dept. of Commerce “Safe Harbor Privacy Principles” Yes No Yes Yes No Availability of contact information in case of questions Yes Yes No Yes Yes Coverage of kids privacy Yes Yes No Yes Yes Containing the clause that it reserves the right to change the privacy policy at any time Yes, but users will be notified Yes, but users will be notified http:// www.psl.cs. Yes, but users will be notified of material changes Yes, but users will be notified of material changes http://www.psl.cs.columbia.edu/classes/cs6125-s11/presentations/2011/Presentation_Joyce_Chen.ppthy don’t we read privacy policies
  90. 90. Aujourd’hui un employeur peut tout savoir
 à la seconde près ! 45http://i.telegraph.co.uk/multimedia/archive/02183/computer-cctv_2183286b.jpg
  91. 91. SUPPRIMER LES DROITS D’ACCES !
  92. 92. LES RISQUES SOURCE DE L’IMAGE : http://www.tunisie-news.com/artpublic/auteurs/auteur_4_jaouanebrahim.html
  93. 93. Quels risques? Source: The Risks of Social Networking IT Security Roundtable Harvard Townsend
 Chief Information Security Officer Kansas State University
  94. 94. • Sur les réseaux sociaux • Facebook (vidéo) - Sécurisez votre profil • Twitter (vidéo) - Sécurisez votre compte • Google+ (vidéo) - Bien paramétrer son compte • Sur smartphone • Effacer à distance les données personnelles présentes dans un smartphone • Sur ordinateur • bloquer les cookies et mouchards. • ne pas être pisté à des fins publicitaires. • Cookies - Les recommandations de la Cnil • Données personnelles sur Internet - Évitez les pratiques à risque http://www.quechoisir.org/telecom-multimedia/internet/autre-donnees-personnelles-sur-internet-les-outils-pour-les-proteger DE BONNES PRATIQUES
  95. 95. Données… ennuyantes The new head of MI6 has been left exposed by a major personal security breach after his wife published intimate photographs and family details on the Facebook website. Sir John Sawers is due to take over as chief of the Secret Intelligence Service in November, putting him in charge of all Britain's spying operations abroad. But his wife's entries on the social networking site have exposed potentially compromising details about where they live and work, who their friends are and where they spend their holidays. http://www.dailymail.co.uk
  96. 96. Social Media Spam Compromised Facebook account. Victim is now promoting a shady pharmaceutical Source: Social Media: Manage the Security to Manage Your Experience; Ross C. Hughes, U.S. Department of Education
  97. 97. Social Media Phishing To: T V V I T T E R.com Now they will have your username and password Source: Social Media: Manage the Security to Manage Your Experience; Ross C. Hughes, U.S. Department of Education
  98. 98. Social Media Malware Clicking on the links takes you to sites that will infect your computer with malware Source: Social Media: Manage the Security to Manage Your Experience; Ross C. Hughes, U.S. Department of Education
  99. 99. Phishing Sources/ Luc Pooters, Triforensic, 2011
  100. 100. Vol Possibilité de créer des comptes avec des faux noms, des pseudo ou des alias Où commence le vol d’identité?
  101. 101. Social engineering Sources/ Luc Pooters, Triforensic, 2011
  102. 102. Take my stuff, please! Source: The Risks of Social Networking IT Security Roundtable Harvard Townsend
 Chief Information Security Officer Kansas State University
  103. 103. 3rd Party Applications •Games, quizzes, cutesie stuff •Untested by Facebook – anyone can write one •No Terms and Condi_ons – you either allow or you don’t •Installa_on gives the developers rights to look at your profile and overrides your privacy secngs! Source: The Risks of Social Networking IT Security Roundtable Harvard Townsend
 Chief Information Security Officer Kansas State University
  104. 104. CONTRÔLE DES COLLABORATEURS 161SOURCE DE L’IMAGE: http://blog.loadingdata.nl/2011/05/chinese-privacy-protection-to-top-american/
  105. 105. L’EMPLOYEUR PEUT-IL TOUT CONTROLER?
  106. 106. Qui contrôle quoi ?
  107. 107. VERS LE CONTREMAÎTRE ELECTRONIQUE • Contremaître traditionnel – personne repérable, chargée de contrôler la présence physique du salarié sur son lieu de travail et en activité • Contremaître électronique – chargé du contrôle de la présence physique : les badges d ’accès… • Contremaître virtuel – pouvant tout exploiter sans que le salarié en ait toujours conscience et permettant, le cas échéant, d ’établir le profil professionnel, intellectuel ou psychologique du salarié ➨ Développement des chartes d ’information
  108. 108. Les emails • Ne sont pas de la correspondance • L’employeur peut-il les ouvrir ? • Emails privés avec adresse privée ? • Emails privés avec adresse professionnelle • Emails professionnels ? 169
  109. 109. Usage d’internet • Que faire en cas d’usage illégal ? • Crime (pédophilie, etc.) ? • Racisme, sexisme? • Atteinte au droit d’auteur? • Criminalité informatique? • Espionnage industriel ? • Concurrence déloyale ? 170
  110. 110. 123http://www.suez-environnement.fr/wp-content/uploads/2013/03/Guide_Medias_Sociaux_SUEZENVIRONNEMENT-FR.pdf
  111. 111. 124http://www.suez-environnement.fr/wp-content/uploads/2013/03/Guide_Medias_Sociaux_SUEZENVIRONNEMENT-FR.pdf
  112. 112. Le code de conduite • Activités illégales • Activités non autorisées durant certaines heures • Activités autorisées avec modération • Différence entre code de conduite et application de la CC 81 171
  113. 113. Contrôle des employés : équilibre • Protection de la vie privée des travailleurs ET • Les prérogatives de l’employeur tendant à garantir le bon déroulement du travail
  114. 114. CC 81 ! Principe de finalité ! Principe de proportionnalité ! Information ! Individualisation ! sanctions
 

  115. 115. Les 4 finalités 1. Prévention de faits illégaux, de faits contraires aux bonnes mœurs ou susceptibles de porter atteinte à la dignité d’autrui 2. La protection des intérêts économiques, commerciaux et financiers de l’entreprise auxquels est attaché un caractère de confidentialité ainsi que la lutte contre les pratiques contraires 3 La sécurité et/ou le fonctionnement technique de l’ensemble des systèmes informatiques en réseau de l’entreprise, en ce compris le contrôle des coûts y afférents, ainsi que la protection physique des installations de l’entreprise 4 Le respect de bonne foi des principes et règles d’utilisation des technologies en réseau fixés dans l’entreprise
  116. 116. La jurisprudence • En mars 2008, la Cour de Cassation a admit que des preuves obtenues irrégulièrement pouvaient néanmoins être retenues devant les tribunaux sous certaines conditions dont le respect des droits de la défense. • Ainsi, même si l'employeur ne respecte pas la vie privée du travailleur qui en engageant un détective privé, en copiant les e-mails privés, en écoutant les conversations téléphoniques ou en examinant les factures de GSM sans respecter la législation applicable, il pourra, dans la plupart des cas, utiliser ces éléments comme preuve dans un procès contre le travailleur. • Source: http://www.droit-technologie.org/actuality-1220/la-protection-de-la-vie-privee-en-droit-belge- les-travailleurs-sont.html 1
  117. 117. TELEWORKING
  118. 118. Le contrôle du télétravailleur 177 http://fr.slideshare.net/olivier/identitenumeriquereseauxsociaux
  119. 119. 178 http://www.privacycommission.be/fr/brochure-information-cybersurveillance
  120. 120. today 15 billion connected objects in 2020 50 billon….
  121. 121. RFID & internet of things 188 http://www.ibmbigdatahub.com/sites/default/files/public_images/IoT.jpg
  122. 122. Big data: le nouvel or noir ? 182
  123. 123. SOLOMO 184http://www.youngplanneur.fr/wp-content/uploads/2011/06/companies-innovating.jpg
  124. 124. ÊTRE GÉOLOCALISABLE VA-T-IL DEVENIR LA NOUVELLE NORME ? 
 185
  125. 125. Biométrie: le corps comme mot de passe 186
  126. 126. Reconnaissance faciale 187http://www.lefigaro.fr/assets/infographie/110812-reconnaissance-faciale.jpg
  127. 127. 6. CONCLUSION • IL NE FAUT PAS SOMBRER DANS LA PARANO • LES MEDIA SOCIAUX DEMANDENT UN CONTRÔLE • LES DONNEES PERSONNELLES DOIVENT ETRE PROTEGEES • LA SECURITE INFORMATIQUE EST UNE OBLIGATION LEGALE • IL N’Y A PAS DE SECURITE SANS CONTRÔLE 190
  128. 128. CA N’EST PAS COMPLIQUE A METTRE EN PLACE ! 191
  129. 129. SECURITE ???
  130. 130. 87 “It is not the strongest of the species that survives, nor the most intelligent that survives. It is the one that is the most adaptable to change.” C. Darwin
  131. 131. BONNE CHANCE A TOUS
  132. 132. 148 F : Q&A

×