RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité

Expert sécurité, réseau et services informatiques
Version :
Date :
Diffusion :
RGPD/ LPD : Sécuriser l’accès aux données
personnelles, un premier pas vers la conformité
Maître Sylvain Métille – HDC
Philippe Guerber - Wallix
Eric Lederrey – Kyos
Raphael Jendrysiak – Kyos
Restreinte
1.0
22.11.2017
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité.

Kyos SARL
Kyos en quelques mots
• Expert sécurité, réseau et services informatiques :
‒ une offre de service cohérente,
‒ une forte proximité et réactivité,
‒ des solutions sur mesure.
• Implanté à Genève depuis novembre 2002
• Société autofinancée
• 38 employés
• Fusion par absorption avec la société Spacecom,
spécialiste réseau, en juin 2013
22.11.2017

Agenda
Approche Juridique :
Obligations & Sanctions : quelles sont les nouveautés de
la LPD révisée et du RGPD ?
Maître Sylvain Métille – HDC
- Approche Juridique
- Proposition Technologique
- Conclusion et
discussion ouverte

Obligations & Sanctions:
Quelles sont les nouveautés
de la LPD révisée et du RGPD
Genève, 22 novembre 2017
Sylvain Métille email: metille@hdclegal.ch Twitter: @smetille

Le cadre légal
22.11.2017
RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la
conformité.

Révisions des régimes suisses et européens
• Loi fédérale sur la protection des données
(LPD) du 19 juin 1992
• 21 décembre 2016: mise en consultation de
l’avant-projet de révision totale de la LPD
• 3573 pages de commentaires formulés durant
la consultation.
• 15 septembre 2017: publication du projet par
le Conseil fédéral
• Le Parlement se prononcera en 2018
• Entrée en vigueur prévue début 2019
• Premier projet en janvier 2012 (plus de 4 ans
de négociations, près de 4.000 amendements
devant le Parlement européen)
• Texte final publié au JO en mai 2016
• Suppression des législations nationales au
profit d’un règlement européen commun,
mais:
– faculté pour les états membres de garder une
couche nationale dans des domaines réduits par
exemple en droit du travail
– les règles e-Privacy (cookies, etc.) restent en place
• Entrée en vigueur du RGPD: 25 mai 2018
22.11.2017
conformité.

Champs du RGPD et entreprises suisses (1)
• Le RGPD s’applique aux traitements effectués dans le cadre des activités de
responsable du traitement ou de sous-traitant établis sur le territoire de l’UE, qu’ils
aient ou non lieu dans l’UE (critère de l’établissement)
• Mais aussi aux traitements effectués par des responsable du traitement ou des sous-
traitants non établis sur le territoire de l’UE dès lorsqu’ils visent des personnes se
trouvant sur le territoire de l’UE dans le cadre des activités suivantes (critère du
ciblage):
- Offre à ceux-ci de biens ou de services (ex: services e-commerce clairement
orientés vers des consommateurs situés au sein de l’UE); ou
- Suivi de leur comportement au sein de l’UE (ex: publicité en ligne sur Internet)
22.11.2017
conformité.

Champs du RGPD et entreprises suisses (2)
• Techniquement: si le RGPD s’applique et que l’entreprise suisse n’a pas
d’établissement au sein de l’UE, nécessité pour l’entreprise de nommer un
représentant au sein de l’UE. Sauf:
- Si traitement occasionnel sans données sensibles ou relatives à des condamnations/infractions
impliquées
- S’il s’agit d’un organisme ou d’une autorité public
- Si les Etats membres de l’UE via leur couche nationale décident de changer la donne. Illustration
avec la récente loi allemande données personnelles remaniée (publiée en juillet) :
"(6) The contracting states of the European Economic Area and Switzerland shall
have equal status with the Member States of the European Union with regard to
processing for purposes in accordance with Article 2 of Regulation (EU) 2016/679.
Other states shall be regarded as third countries."
22.11.2017
conformité.

Ce qui reste
22.11.2017
conformité.

Révision de la LPD – Les principes restent
• Bonne foi
• Proportionnalité
• Information (renforcée)
• Exactitude
• Finalité
• Sécurité
• Protection des données par défaut (nouveau)
• Protection des données dès la conception
(nouveau)
22.11.2017
conformité.

Révision de la LPD – La méthode reste
• La violation des principes ou le traitement contre la volonté de la personne
concernée est une atteinte
– L’atteinte est illicite sauf motif justificatif
• Le responsable du traitement est responsable de traiter les données de manière
conforme au droit
• La personne concernée doit se défendre contre toute atteinte
• Le PFPDT pourra ouvrir des enquêtes en cas de soupçons (et plus seulement en cas
d’erreurs de système)
22.11.2017
conformité.

Les droits
22.11.2017
conformité.

Quoi de neuf? – Les droits
• Un peu plus de droits pour les personnes concernées
– Des règles sur l’accès aux données post-mortem (art. 16 P-LPD)
– Mention du droit à l’effacement (art. 28 al. 2 let. c P-LPD – «Droit à l’oubli»)
– Des procédures civiles judiciaires gratuites (révision du CPC)
– Droit d’être informé et de faire valoir son point de vue en cas de décision individuelle automatisée
(art. 19 P-LPD)
22.11.2017
conformité.

Quoi de neuf? – Les droits
• Mais: plusieurs absences / suppressions de droit, notamment:
– Pas de droit à la portabilité
 Message du 15 septembre 2017 (p. 43): «Le Conseil fédéral juge opportun d’attendre les résultats des
expériences au sein de l’Union européenne avant d’envisager d’introduire un droit à la portabilité des données en
Suisse.»
– Pas de protection des données personnelles de personnes morales
 Message du 15 septembre 2017 (p. 68): «(…) les textes de protection des données de l’Union européenne et du
Conseil de l’Europe ainsi que la majorité des législations étrangères ne prévoient pas une telle protection. »
– Pas de renversement du fardeau de la preuve ni d’action collective (class action)
 Message du 15 septembre 2017 (pp. 42-43): renvoi à une motion plus générale actuellement à l’étude, «Le
Conseil fédéral estime qu’il n’est pas opportun de prévoir un régime spécial, en introduisant dans la LPD un
système d’exercice collectif des droits.»
22.11.2017
conformité.

Les obligations
22.11.2017
conformité.

Quoi de neuf? – Les obligations
• Quelques formalités en moins
• Mais de nouvelles obligations
– Une information renforcée
– Un registre des activités de traitement
– Un devoir d’annonce des failles de sécurité
– Une analyse d’impact préalable
– La protection des données dès la conception et par défaut
22.11.2017
conformité.

Quoi de neuf? – Disparitions de certaines formalités
• Disparition de l’obligation des personnes privées d’annoncer et de faire enregistrer
leurs fichiers
- Remplacée par une obligation de tenir un registre des activités de traitement (art. 11 P-LPD)
- Demeure dans les grandes lignes pour les organes fédéraux
• Disparition de l’obligation d’annoncer le transfert de données à l’étranger lorsqu’il est
justifié par des contrats types approuvés par le PFPDT
• Même approche avec le RGPD cependant certains Etats membres veulent garder
certaines formes de déclarations (ex: post mai 2018, système d’alertes éthiques
toujours à déclarer à la CNIL en France)
22.11.2017
conformité.

1) Un devoir d’information étendu (et «proactif») en
cas de traitement de données personnelles (art. 17
ss P-LPD)
– Remplace le caractère uniquement reconnaissable du
traitement de données
– Devront en tout cas être communiqués: l’identité et les
coordonnées du responsable du traitement, la finalité du
traitement et les destinataires ou catégories de destinataires. Si
les données ne sont pas collectées directement auprès de la
personne: les données traitées ou les catégories de données
– Information également pour tous les cas dans lesquels une
décision importante la concernant est prise sur la base d’un
traitement automatisé (art. 19 P-LPD)
22.11.2017
conformité.

Quoi de neuf? – Les obligations: une information accrue
22.11.2017
conformité.

2) Un devoir de tenir un registre des activités de traitement (art. 11
P-LPD)
– A charge du responsable du traitement et du sous-traitant
– Le registre du responsable du traitement doit contenir au moins:
• *l’identité du responsable du traitement,
• la finalité du traitement,
• une description des catégories de personnes concernées et des catégories de données
personnelles traitées,
• la catégorie des destinataires,
• si possible le délai de conservation des données ou les critères pour en déterminer la
durée,
• *si possible une description générale des mesures visant à garantir la sécurité des données
• *et, en cas de communication à l’étranger, le nom de l’Etat en question et les garanties y
relatives
– Le registre du sous-traitant doit contenir l’identité du sous-traitant, les
catégories de traitement et *
– Exception possible si moins de 50 collaborateurs et risque limité
22.11.2017
conformité.

• RGPD: Contenu du registre du responsable du traitement:
- Nom et coordonnées du responsable du traitement et du délégué
- Finalités du traitement
- Catégories personnes concernées et les catégories de données
- Catégories de destinataires
- Dans la mesure du possible, les délais prévus pour l’effacement
• Contenu du registre du sous-traitant :
- Nom et coordonnées du ou des sous-traitants
- Nom et coordonnées de chaque responsable du traitement pour le compte duquel le sous-traitant agit
- Catégories de traitements effectués pour le compte de chaque responsable du traitement
- Transferts de données vers un pays tiers ou à une organisation internationale
- Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles
• Pas d’obligation de tenir un registre si moins de 250 employés, SAUF:
- Si le traitement comporte un risque pour les droits et des libertés des personnes concernées
- S’il n'est pas occasionnel
- S’il porte notamment sur des données sensibles
22.11.2017
conformité.

3) Un devoir d’annonce des failles de sécurité (art. 22 P-LPD)
– Le sous-traitant doit annoncer tout cas de violation de la sécurité
des données au responsable du traitement
– Le responsable du traitement doit annoncer les cas de violation des
données
• au PFPDT si risque élevé pour la personnalité de la personne concernée
• à la personne concernée si le PFPDT l’exige ou si nécessaire à sa protection
(voire au public si impossible d’atteindre autrement les personnes
concernées)
– Indication de la nature de la violation de la sécurité des données, ses
conséquences et les mesures prises ou envisagées pour y remédier
– Dans les meilleurs délais
Le RGPD prévoit un système semblable et précise que la
notification à l’autorité doit se faire dans les meilleurs délais, et
si possible dans les 72 heures.
22.11.2017
conformité.

4) Une obligation de mener une analyse d’impact préalable
(art. 20s P-LPD)
– A charge du responsable de traitement
– Dans tous les cas où le traitement envisagé est susceptible d’entraîner un risque accru
pour la personnalité et les droits fondamentaux de la personne concernée
– Analyse d’impact doit contenir un description du traitement envisagé, une évaluation
des risques et les mesures prévues pour protéger la personnalité et les droits
fondamentaux de la personne concernée
– Consultation du PFPDT lorsque l’analyse d’impact révèle que le traitement présente un
risque élevé. PFPDT a deux mois pour communiquer ses objections au responsable du
traitement, délai prolongeable d’un mois lorsqu’il s’agit d’un traitement de données
complexes. En cas d’objections, le PFPDT propose des mesures appropriées au
responsable du traitement
22.11.2017
conformité.

Analyse d’impact obligatoire sous l’angle du
RGPD si au moins deux critères réunis
• Évaluation/scoring
• Décision automatique avec effet légal
• Surveillance systématique
• Données sensibles
• Large échelle
• Croisement de données
• Personnes vulnérables
• Usage innovant
• Transfert hors UE
• Blocage d’un droit/contrat
Analyse d’impact pas nécessaire sous l’angle du
RGPD
• Pas susceptible d’engendrer des risques élevés
• Déjà autorisé (tant que le traitement n’a pas changé
et que les conditions de mise en œuvre sont
respectées !)
• Base légale
22.11.2017
conformité.

5) Protection des données dès la conception
et par défaut (art. 6 P-LPD)
– A charge du responsable du traitement et du sous-
traitant
– Dès la conception du traitement, proactivement
prendre des mesures pour minimiser les risques
d’atteinte
– Garantir par le biais de préréglages appropriés que
le seules les données nécessaires sont traitées
22.11.2017
conformité.

Les sanctions
22.11.2017
conformité.

Quoi de neuf? – Les sanctions
• Un nouveau régime de sanctions est prévu
– Sanction pénale de l’individu concerné
– Pas d’amende administrative contre l’entreprise
– Aucun pouvoir de sanction du PFPDT
• Introduction également
– d’une nouvelle infraction pénale d’usurpation d’identité (art.
179decies P-CP)
 Risque: peine privative de liberté d’un an au plus ou peine pécuniaire
– d’un devoir de discrétion pour toute activité professionnelle qui
requiert la connaissance de données personnelles secrètes (art. 56 P-
LPD)
 Risque: amende de CHF 250’000 au plus
22.11.2017
conformité.

Quoi de neuf? – Les sanctions
• Le cadre pénal est renforcé (art. 54ss P-LPD)
– Sanctions renforcées (amende max. 250’000.-, ou 50’000.- pour les personnes
morales)
– Poursuite uniquement en cas d’infraction intentionnelle
– Système axé sur la sanction de l’individu plutôt que la personne morale. Sanction
de la personne morale seulement
 si l’amende ne dépasse pas 50’000.-
 si les mesures d’instruction pour rechercher la personne physique auteure de l’infraction
impliquerait des mesures d’instruction hors de proportion avec la peine encourue
• Le RGPD prévoit les sanctions suivantes:
– Amende de maximum 10 millions d’Euros ou, dans le cas d’une entreprise,
maximum 2% du chiffre d’affaires mondial
– Dans les cas graves, l’amende est de maximum 20 millions d’Euros ou, dans le cas
d’une entreprise de maximum 4% du chiffre d’affaires mondial
22.11.2017
conformité.

Quoi de neuf? – Le PFPDT
• Pouvoirs renforcés mais limités du PFPDT
– Enquête contre un organe fédéral ou une personne privée si des indices font penser qu’il y a violation
(art. 43 P-LPD)
• Obligation des personnes concernées de fournir tous les renseignements et les documents nécessaires pour
l’enquête. Perquisitions possibles en cas de refus (art. 44 P-LPD).
– Mesures administratives (art. 45 P-LPD)
• Possible d’ordonner la suspension, la modification ou la cessation de tout ou partie du traitement ainsi que la
destruction de tout ou partie des données personnelles
• Possible de suspendre ou interdire la communication de données personnelles à l’étranger
• Possible notamment d’ordonner à l’organe fédéral ou à la personne privée de lui fournir des informations, de
prendre certaines mesures, d’informer les personnes concernées, d’établir une analyse d’impact, de le consulter,
de l’informer des violations de de la sécurité des données et de communiquer les renseignements à la personne
concernée
– Possibilité de dénoncer aux autorités de poursuite pénale des infractions et de faire valoir les droits
d’une partie plaignante dans la procédure (art. 59 P-LPD)
22.11.2017
conformité.

La mise en conformité
22.11.2017
conformité.

Niveau d’exigence
Rien
Politique de
traitement,
quelques principes
Directive 95/46,
LPD
RGPD,
LPD révisée
…
22.11.2017
conformité.

Mise en conformité
• Je ne panique pas!
• Quel est le cadre de mes obligations (LPD et/ou RGPD)?
• Quelles données je traite (et dans quel but, avec quelles justifications)?
• Suis-je conforme? Qu’est-ce que je dois améliorer?
– Quelles sont mes relations avec les personnes concernées, sous-traitants, tiers, autorités, etc.?
– Comment sont mes contrats, procédures, registres, etc.?
– Mes équipes sont-elles formées?
22.11.2017
conformité.

Conclusion
22.11.2017
conformité.

Conclusion
• Les principes demeurent, mais l’idéal à atteindre devient la norme à respecter.
• Le responsable du traitement doit informer et tenir un registre des activités de
traitement. Pour cela il doit identifier les traitements et leurs buts, ses partenaires
et le fonctionnement de sa société.
• Les nouvelles obligations entreront rapidement en vigueur, il faut anticiper.
22.11.2017
conformité.

Sylvain Métille
Dr, avocat, chargé de
cours à l’Université
Av. Auguste Tissot 2bis
CP 851
1001 Lausanne
T 021 310 73 10
F 021 310 73 11
metille@hdclegal.ch
www.hdclegal.ch
www.smetille.ch/blog
@smetille
22.11.2017
conformité.

Agenda
Proposition Technologique
- Conclusion et
discussion ouverte

UN seul utilisateur à privilège peut tout remettre en cause
Company confidential – © Copyright WALLIX 2017
Nomination parmi les leaders
dans les catégories Produits &
Innovation PAM du Leadership
Compass KuppingerCole 2017
Fiche d’identité de WALLIX

AUDIT & CONFORMITE
Mise à disposition d’une
solution contribuantà la
conformitéaux
réglementations internes
et externes par la
consolidationde rapports
d’audit et le contrôle
continudes actions
réalisées.
AUDIT
& CONFORMITE
SECURITE
DU CLOUD
SECURITE DU CLOUD
Sécuriser les
environnements de type
Cloud, Privé, Hybrideou
SaaS. Intégration et
déploiement facilités pour
sécuriser lesaccès des
Cloud Providers et de leurs
utilisateurs.
Réduire l’expositiondes
risques enoptimisant le
contrôle des sous-
traitants, des
prestataires en régie, des
astreintes ou
prestataires externes.
PRESTATAIRES
EXTERNES
& INDUSTRIAL
CONTROL
SYSTEM
(ICS/SCADA)
INDUSTRIAL
CONTROL SYSTEM
(ICS/SCADA)
Les solutions WALLIX
PRESTATAIRES
EXTERNES ET ACCES A
DISTANCE
Maitriser lesinterconnexions
des systèmes industrielsaux
réseauxIP et SI afin de réduire
les risques sur les
infrastructures critiques ou
vitales.
ACCES A
DISTANCE

Healthcare
Financial
Industry
Nous sommes tous concernés

Kyos SARL
Wallix Admin Bastion
SECURITE DU
CLOUD
PRESTATAIRES
EXTERNES
&
(ICS/SCADA)
ACCES A DISTANCE
prestataire
Utilisateurs a
privilèges
firewall
VPN
prestataire
Utilisateurs a
privilèges
firewall
VPN
22.11.2017

Kyos SARL
RGPD et LPD rappels de point clés
Gouvernance des accès à
privilèges – définition des
droits d’accès pour les
utilisateurs à forts privilèges à
tous les équipements
Le Bastion plateforme unique
pour la gestion des mots de
passe et des accès
Contrôle des Sessions:
possibilité d’autoriser ou
révoquer les accès
Remontée d’alerte en cas de
tentative de rebond
Visualisation en temps réel et
enregistrement des sessions.
Imputabilité des connexions
pour toute activité des
utilisateurs, génération de
rapports d’audit
Politique de
gouvernance en
matière de
protection des
données
Mise en place de
processus et
d’outils pour
sécuriser les
données
Contrôler et
encadrer l’accès aux
données
Documentation,
production de
preuve de
conformité
Obligations à remplir pour démontrer sa conformité
22.11.2017

Kyos SARL
Démonstration
22.11.2017

Kyos SARL
Et sans la solution wallix ?
Gouvernance des accès à
privilèges – définition des
droits d’accès pour les
utilisateurs à forts privilèges à
tous les équipements
Gestion des mots de passe et
des accès dépendant de
chaque solution. Nécessite
intégration et planification
poussée
Gestion du contrôle réparti sur
plusieurs équipements,
remontée d’alerte possible par
log centralisée. Prise d’action
immediate compliquée ou
impossible
Visualisation partielle (via les
logs), génération de rapports
d’audit.
Réservée à une personne
technique
Politique de
gouvernance en
matière de
protection des
données
Mise en place de
processus et
d’outils pour
sécuriser les
données
Contrôler et
encadrer l’accès aux
données
Documentation,
production de
preuve de
conformité
Obligations à remplir pour démontrer sa conformité
22.11.2017

Kyos SARL
La solution Wallix dans l’écosystème Kyos
22.11.2017
Partenaire externe
Smartphone
WAB Access
Manager
WAB Session
Manager
OTP, SMS,
PUSH, etc ...
Radius,
SAML
Radius
Radius

Agenda
Conclusions et discussion ouverte
- Conclusion et
discussion ouverte

Kyos SARL
Conclusions
• On pourrait encore passer des heures sur la loi et le WAB
• Le WAB apporte un réel gain de temps et une grande facilité pour
adresser ces 4 obligations présentes dans RGPD/ LPD
• N’oubliez pas, la LPD révisée entrera en vigueur en 2019
22.11.2017 47

Contact us
Kyos SARL
Chemin Frank-Thomas, 32
1208 Genève
Tel. : +41 22 566 76 30
Fax : +41 22 734 79 03
www.kyos.ch
info@kyos.ch
Merci

RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Semelhante a RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité

Semelhante a RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité (20)

Mais de Kyos

Mais de Kyos (17)

RGPD/ LPD : Sécuriser l’accès aux données personnelles, un premier pas vers la conformité