RGPD et nouvelle loi
Informatique et Libertés

Retours d’expérience et impact sur le système d’Information
Sommaire

LE MOT DE L’INTERVENANT

Ce séminaire vous propose une synthèse approfondie des différents...

Ce séminaire vous propose une synthèse approfondie des différents volets de mise en œuvre du RGPD (Règlement européen sur la protection des données personnelles) à la fois règlementaires, organisationnels, techniques, mais aussi et surtout informatiques et méthodologiques. Il fait également le point sur les retours d’expérience et l’évolution des offres des fournisseurs et sous-traitants. Il est destiné aux responsables métiers, juridiques, informatiques qui veulent apprécier dans leur globalité les différentes composantes du chantier de mise en conformité qui restent (éventuellement) à mettre en œuvre.

Bernard Laur
Analyste, consultant, auteur d’ouvrages et de très nombreux articles, est connu depuis une quinzaine d’années pour ses synthèses des domaines émergents et novateurs des NTIC, états de l’art complets illustrés par les premiers retours d’expérience d’entreprises publiques et privées de toutes tailles et secteurs d’activité.
Lire la suite Cacher le texte

Le 25 Mai 2018, le règlement européen de protection des données personnelles et une nouvelle loi Informatique et Libertés entrent en vigueur. Il est à application directe et immédiate dans les pays de l’Union pour toute entreprise dans le monde qui collecte, stocke et traite des données personnelles de citoyens européens dont l’utilisation peut directement ou indirectement permettre de les identifier.

Le RGPD renforce le droit des personnes et change le rapport avec l’autorité de contrôle pour passer d’un régime déclaratif à une logique de responsabilisation et de justification de la protection des données personnelles (accountability) par les entreprises elles-mêmes. Il est par ailleurs basé sur des principes de co-responsabilité des sous-traitants et de «Privacy by design».

Outre ses volets juridiques, règlementaires et organisationnels, le RGPD implique une évolution lourde du système d’information, la mise en œuvre d’outils logiciels (consentement, pseudonymisation) et de processus de sécurité adaptés (chiffrement, détection de violations ). Il impacte par ailleurs des domaines tels que le Big Data, l’IA, l’Internet des objets. Pour certaines entreprises, il constitue l’un des plus grands chantiers informatiques de ces dernières années.

Au-delà de l’obligation de mise en conformité, le RGPD apparait comme une opportunité majeure d’avantage concurrentiel et de renforcement des liens de confiance de l’entreprise avec ses clients et collaborateurs.



Contexte d’évolution du cadre règlementaire


  • Un cadre règlementaire unifié
  • Trois objectifs : renforcer le droit des personnes, responsabiliser les acteurs, crédibiliser la régulation
  • De quelles données d’entreprise parle-t-on ?
  • RGPD : Obligation ou opportunité? Les raisons de se conformer au RGPD : quels risques ?
  • Le coût de la mise en conformité.
  • Place de la directive Police-Justice, de la future directive e-Privacy. Evolution de la « règlementation cookies » et du Privacy Shield.
  • Rôle de la Cnil, de l’Anssi, du G29.
  • Différents contextes existants : Patriot Act, PCI-DSS, CADA, LRN, HDS, etc.
  • Un champ d’application étendu
  • Homogénéisation des droits et rôles dans l’UE : Guichet unique, coopération entre autorités de contrôle via le CEPD (Comité européen de protection des données)
  • Renforcement des droits des personnes.
  • Approche globale et nouveaux outils : registre, étude d’impact, privacy by design, violations.
  • Responsabilisation de l’entreprise (accountability) et des sous-traitants.
  • Sanctions importantes.

Synthèse des textes et concepts fondamentaux


Analyse et synthèse du RGPD, de la nouvelle loi Informatique et Libertés et des différents règlements connexes afin de dégager tous les concepts à prendre en compte.

Autorité de contrôle

  • Nouveaux rôles. Contrôle, certifications, réclamations.

CEPD

  • Place du Comité Européen de Protection des données. Contrôle de cohérence.

Code de conduite et certification

  • Leur importance majeure à venir.

Communication, formation et information

  • Sensibilisation des clients, formation des collaborateurs.

Consentement

  • Manifester une volonté et « notariser » le consentement ?

Co-responsabilité

  • Quelle responsabilité des sous-traitants ?

Données personnelles et sensibles

  • Informations identifiant directement ou indirectement une personne.
  • Différenciation données personnelles / sensibles.

Données transfrontalières

  • Transferts au sein /hors UE, pays hors règlementation. Cas des US.

DPO

  • Profil, rôle, missions du DPO.

Droit à la portabilité des données

  • Différences avec le droit d’accès.

Droit d’accès, consultation, modification, effacement, oubli

  • Délais et procédure de validation. Quelles données conserver ?

Loi Informatique & Libertés

  • Principaux apports : mineurs, pouvoirs de la CNIL, autorisations préalables.

Minimisation des données, Finalité

  • Les « données strictement nécessaires à la finalité poursuivie ».

Police-Justice

  • Quel impact sur la détention de données personnelles ?

Privacy by design

  • Protection des données dès la conception des applications, sites Web et autres systèmes IT.
  • Les travaux de référence (Ann Kavoukian ). Les 7 principes fondamentaux.

Privacy by default

  • Garantie apportée par les mesures intégrées nativement dans le service.

Responsable de traitement

  • Qui est responsable de traitement (RT)? .

Traitement

  • Définir un traitement et sa « licéité ».

Violation de données

  • Déclarer aux autorités dans les 72 heures et informer les personnes concernées.

Grandes étapes de mise en conformité


Une analyse globale et exhaustive des traitements et données personnelles existantes, des conditions de conformité et de sécurité, débouchant sur un plan à moyen/long terme de mise en conformité.

Etat des lieux et analyse préalable

  • Nommer un DPO, créer une task force, informer
  • Analyser l’environnement juridique propre à l’entreprise.
  • Cartographier les données personnelles, définir niveaux de confidentialité et délais de conservation.
  • Cartographier traitements et processus (y compris non automatisés).
  • Procéder à une étude d’impact si nécessaire. Création du registre.
  • Inventaire des transferts et de la sous-traitance dans/hors UE.
  • Identifier les écarts à partir d’une grille de conformité.

Plan d’action

  • Plan d’action sur la base de l’état des lieux : informatique, organisation, processus.
  • Répartition des tâches entre les parties (DPO, Métiers, DSI, RSSI, RT).
  • Comment gérer les « nouveaux » consentements, les droits des personnes, l’information préalable ?
  • Comment garantir l’intégrité des données et assurer un haut niveau de protection dès la conception (« Privacy by design ») et par défaut (« Privacy by default »).
  • Mise à niveau de l’infrastructure de sécurité SI et de la gestion des risques (cas de violation de données).
  • Règles d’entreprise contraignantes (BCR) et clauses contractuelles type. Intégration du Privacy Shield.
  • Sensibiliser, informer et former.

Maintien de la conformité sur le long terme

  • Systématiser la « Protection by default », planifier l’audit périodique de compliance.

Les mesures d’« accountability »


Les premières mesures à prendre pour démontrer la démarche de conformité RGPD de l’entreprise.

Nomination du DPO (Data Protection Officer)

  • Est-il obligatoire ? Rôle des CIL ?
  • A qui reporte-t-il ? Partager un DPO ?
  • Lignes directrices du G29 (statut, missions).
  • DPO, MOA « transverse » du RGPD.

Maintenance du registre

  • Inventaire des traitements. Formalisme. Informations à fournir.
  • Quels outils logiciels d’aide (ActeCIL, PrivaCIL, DPO, etc)?

Réalisation d’analyse d’impact (PIA – Protection Impact Assessment)

  • Quels traitements y sont soumis ? Dans quel cas consulter l’autorité ?
  • La méthodologie eBios. Finalité du traitement, proportionnalité aux objectifs, risques supportés, mesures de protection, etc. L’alternative ISO 27018.
  • Comparaison à une grille de conformité. Les logiciels d’aide (Nymity, Avepoint, etc)? L’outil PIA de la CNIL.

Gestion des consentements et des droits

  • Quel formalisme ? Quels processus ? Quelle organisation ?

Sous-traitance et contrats

  • Typologie des garanties en fonction des prestations (logiciels, cloud, services, ..)
  • Révision des documents commerciaux (CGV, CGU), contrats, etc.

Echanges avec l’étranger

  • Inventaire des pays concernés, contrôle et formalisation de l’environnement réglementaire adapté.

Formation, Information, Communication

  • Supports et contenus de formation en fonction des personnes concernées (clients, collaborateurs).

Impacts sur le Système d’Information


La mise en conformité RGPD de l’entreprise a un impact majeur sur le SI, sa stratégie, son organisation, qu’il faut planifier et budgéter.
  • Gouvernance des données
  • Inventaire et cartographie des données. Les outils (Compliance Guardian, Carto-SI, etc)
  • Nouvelles règles de gestion (sauvegarde, archivage) et de protection (Chiffrement) fonction de la durée de conservation et de la hiérarchie de stockage.
  • Impact sur le Big Data, l’IoT, l’IA, la Blockchain? Vers une restriction du patrimoine informationnel ?
  • Sécurité du SI
  • Adéquation de l’infrastructure de sécurité et du SMSI : 5 niveaux et 15 points de contrôle.
  • Quelle politique de gestion des profils à privilèges ?
  • Sécurité des données
  • Sécurisation des données personnelles aux niveaux PC/mobile, accès, stockage, PRA, Cloud, etc.
  • Pseudonymisation et anonymisation. Pour quels types de données ? Les pseudonymes sont-ils des données personnelles ?
  • Outils logiciels (Lamane, Solix, etc), de chiffrement (Safenet, Sophos, etc) et CASB-Cloud Access Security Broker (SkyHigh, CipherCloud, etc)
  • Administration des risques
  • Détecter une violation, une diffusion « extérieure » de données . La gestion de crise.
  • Les outils de DLP (Data Leak Prevention). L’offre (Symantec, Forcepoint, etc).
  • Applications et progiciels
  • Gérer les consentements, les droits (modification, effacement, oubli). Nouveaux outils de CIAM-Consumer Identity and Access Mangement (Gigya, Celebrus, etc). L’accès aux archivages.
  • API et services de transfert de données (Onecub).
  • L’ évolution des progiciels (CRM, marketing, service desk, etc).
  • Privacy by design / by Default
  • Intégrer dès la conception les exigences du DPO, du RSSI.
  • Impacts au niveau cahier des charges, programmation, revue de code, tests, mise en production. Apports des méthodes agiles et de Devops.
  • Les bonnes pratiques et méthodes (Secure SDLC, OWAPS)
  • « Shadow IT »
  • Gérer les projets gouvernés par les métiers, la dispersion des données.
  • Les offres des sous-traitants et fournisseurs
  • Impact du « Privacy by design » sur les progiciels, le Cloud. Qui doit fournir le PIA ?
  • Clauses de conformité dans les contrats (ISO, SOC, CISPE)?
  • L’impact du RGPD sur les secteurs et les métiers
  • Marketing, DRH, commercial. Données de santé.
  • e-Commerce, Programmatique.