Formation Impact du RGPD sur le Système d’Information

Méthodologie. Contraintes. Sécurité et confidentialité. Outils disponibles. Retours d’expérience.

Présentation

Depuis mai 2018 : le règlement européen de protection des données personnelles est entré en vigueur validé en décembre 2018 par la nouvelle loi Informatique et Libertés 3. Le RGPD est applicable dans les pays de l’Union à toute entreprise dans le monde qui collecte, stocke et traite des données personnelles de citoyens européens dont l’utilisation peut directement ou indirectement permettre de les identifier.

Le RGPD renforce le droit des personnes et change le rapport avec l’autorité de contrôle (Cnil) pour passer d’un régime déclaratif à une logique de responsabilisation et de justification de la protection des données personnelles (accountability) par les entreprises. Il est par ailleurs basé sur des principes de coresponsabilité des sous-traitants et de « Privacy by design ».

Outre ses volets juridiques, règlementaires et organisationnels, le RGPD implique une évolution lourde du Système d’Information, la mise en œuvre d’outils logiciels (consentement, gestion des droits, pseudonymisation), de processus de sécurité adaptés (chiffrement, détection de violations), et l’évolution des méthodes de développement et de tests pour intégrer le « Privacy by design / by default ». Il impacte par ailleurs des domaines tels que le CRM, le Big Data, l’IA, l’IoT.

Pour certaines entreprises, il constitue potentiellement l’un des plus importants chantiers informatiques de ces dernières années.

Afficher plus

Le mot de l'animateur

« Cette formation vous propose une synthèse approfondie des différents volets de mise en œuvre du RGPD (Règlement européen sur la protection des données personnelles) et de la nouvelle loi Informatique et Libertés à la fois règlementaires, organisationnels, techniques, mais aussi et surtout informatiques et méthodologiques. Elle fait également le point sur les retours d’expérience et l’évolution des offres des fournisseurs et sous-traitants. Cette formation est destinée aux responsables métiers, juridiques, informatiques qui veulent apprécier dans leur globalité les différentes composantes du chantier de mise en conformité qui restent (éventuellement) à mettre en œuvre. »

Objectifs

  • Synthétiser les volets juridiques, organisationnels, techniques, informatiques et méthodologiques du RGPD (Règlement européen sur la protection des données personnelles)
  • Déterminer l’impact sur les systèmes d’information de la prise en compte des différentes contraintes règlementaires.
  • Spécifier un plan d’action sur les différents composants impactés : données, sécurité, applications, sous-traitance, etc.
  • Définir les moyens à mettre en place afin d’assurer la mise en conformité de l’entreprise
  • Analyser les retours d’expérience dans différents secteurs, publics et privés.

Programme

1 – Contexte d’évolution du cadre règlementaire

  • Place de la nouvelle Loi Informatique et Libertés intégrant RGPD, directive Police-Justice, application aux données de santé, etc.
  • Trois objectifs : renforcer le droit des personnes, responsabiliser les acteurs, crédibiliser la régulation.
  • De quelles données d’entreprise parle-t-on ?
  • Obligation ou opportunité? Les raisons de se conformer au RGPD : quels risques de violation?
  • Le coût de la mise en conformité.
  • La future directive e-Privacy. Evolution de la « règlementation cookies », du Privacy Shield et du Cloud Act. L’arrêt SCHREMS 2.
  • La prochaine réglementation des espaces numériques DSA et DMA (Digital Services / Market Act).
  • Rôle de la Cnil, du CEPD, de l’Anssi, de l’Enisa.
  • Différents contextes existants : PCI-DSS, CADA, LRN, HDS, etc.
  • Approche globale et nouveaux outils : registre, étude d’impact, privacy by design.
  • Responsabilisation de l’entreprise (accountability) et des sous-traitants.
  • Décodage des principales sanctions et condamnations déjà prises.

2 – Synthèse des textes et concepts fondamentaux du RGPD

Analyse et synthèse du RGPD, de la nouvelle loi Informatique et Libertés 3 et des différents règlements afin de dégager les composantes ayant un impact sur le SI.

  • Champs d’application territorial, données personnelles et sensibles, traitement, RT/ST, …
  • Critères de licéité, loyauté et transparence : finalité, minimisation, exactitude, conservation, intégrité et confidentialité.
  • Les 6 conditions de licéité d’un traitement : consentement, contrat, intérêt public, légitime, ..
  • Autorité de contrôle : Cnil. Nouveaux rôles. Contrôle, certifications, réclamations.
  • Place du Comité Européen de Protection des Données (CEPD) : statut, missions, cohérence.
  • Responsables de traitement et sous-traitants : rôles, obligations. Co-responsabilité.
  • DPO (Data Protection Officer) : profil, rôle, missions.
  • Registre des traitements : contenu et formalisme. Analyse d’impact (DPIA). Cas du NIR.
  • Consentement, informations à fournir et droit des personnes : accès, rectification, effacement, limitation des traitements, portabilité des données, opposition. Délais et procédures.
  • Cas du droit à l’oubli, des mineurs, des personnes décédées.
  • Privacy by design / by default : protection des données dès la conception des traitements. Les 7 principes fondamentaux d’Ann Kavoukian.
  • Voies de recours, dispositions pénales et amendes.
  • Spécificités liées à la santé, au journalisme, aux communications, traitements statistiques, archivistiques et de recherche.
  • Restrictions Police-Justice, sureté de l’état et Défense Nationale.
  • Transfert de données dans / hors UE : décisions d’adéquation, garanties appropriées. Cas des États-Unis.
  • Violation de données : déclaration et information des personnes.
  • Impact sur les codes, lois et règlements.
  • Codes de conduite et certifications : prise en compte.
  • Autres directives : cookies, CADA, HDS, DSP/2, Cloud Act,..

3 – Grandes étapes de mise en conformité RGPD

Une analyse globale et exhaustive des traitements et données personnelles débouchant sur un plan d’action à moyen/long terme de mise en conformité.

État des lieux et analyse préalable

  • Nommer un DPO, créer une task force.
  • Analyser l’environnement juridique de l’entreprise.
  • Déterminer les engagements (RT, Autorité de contrôle)
  • Cartographier données personnelles, niveaux de confidentialité et délais de conservation, traitements et processus (y compris non automatisés).
  • Inventaire des transferts et de la sous-traitance dans/hors Union européenne (ST).
  • Bilan des risques sécuritaires et de violation des données.
  • Identifier les écarts à partir d’une grille de conformité.

Plan d’action

  • Plan d’action sur la base de l’état des lieux : informatique, organisation, processus.
  • Répartition des tâches (DPO, métiers, DSI, RSSI, RT).
  • Création du registre et étude d’impact si nécessaire.
  • Comment gérer les « nouveaux » consentements, les droits des personnes, l’information préalable ?
  • Garantir la confidentialité des données et un haut niveau de protection dès la conception (« Privacy by design »).
  • Mise à niveau de la sécurité SI et de la gestion des risques (violation de données).
  • Règles d’entreprise contraignantes (BCR) et clauses contractuelles type (CCT).
  • Sensibiliser, informer et former.
  • Estimation du budget prévisionnel.

Maintien de la conformité sur le long terme et audit périodique de compliance.

4 – Mise en œuvre du Plan d’action RGPD et « accountability »

Mesures à prendre pour garantir la conformité de l’entreprise.

Place du DPO

  • A qui reporte-t-il ? Partager un DPO ? Rôle des CIL ?
  • DPO, MOA « transverse » du RGPD.

Fiches de traitement et référentiel de données

  • Définition d’ un traitement.
  • Contrôler la licéité.

Maintenance du registre

  • Inventaire des traitements. Formalisme. Modèle simplifié de la Cnil.
  • Les outils logiciels d’aide (ActeCIL, PrivaCIL, etc.).

Réalisation d’analyse d’impact (PIA)

  • Quels traitements y sont soumis ? Faut-il consulter l’autorité ?
  • Méthodologie eBios. Finalité, proportionnalité aux objectifs, risques supportés, mesures de protection. Alternative ISO 27018.
  • Rôle du RSSI. Différence entre risque « business » et risque « personnel ».
  • Comparaison à une grille de conformité. Logiciels d’aide (Nymity, Avepoint, etc.). Outil PIA et guides de la CNIL.

Sécurité du SI et confidentialité des données

  • Appréciation des risques. Les 3 niveaux de la Cnil.
  • Analyse des accès, habilitations et confidentialisation.

Gestion des consentements et droits des personnes

  • Exprimer un accord et « notariser » le consentement.
  • Quel formalisme ? Quels processus ? Quelle organisation ?
  • Quelle mise en œuvre opérationnelle?

Formation, Information, Communication

  • Supports et contenus en fonction des cibles (clients, collaborateurs). Diffusion d’une charte.

Sous-traitance et contrats

  • Typologie des garanties (logiciels, Cloud, services…).
  • Révision des documents commerciaux (CGV, CGU), contrats, etc.

Echanges avec l’étranger

  • Pays concernés, contrôle et formalisation de l’environnement réglementaire.
  • Etablissement des BCR, CCT. Décisions d’adéquation.
  • Validité des CCT pour les USA?

Audit de conformité et préparation au contrôle

  • Les points de contrôle. Les WP (Working Paper) du CEPD. Principaux KPI et SLA.

5 – Impacts du RGPD sur le Système d’Information

Impact majeur de la mise en conformité sur le SI, sa stratégie, son organisation.

Gouvernance des données.

  • Inventaire et cartographie. Le « shadow IT », les projets métiers, la dispersion des données. Les outils (Varonis, Compliance Guardian, Carto-SI, etc.).
  • Nouvelles règles et hiérarchie de gestion des données (sauvegarde, archivage) en fonction des contraintes de résilience, de la durée de conservation RGPD et des obligations administratives. Gestion des « purges ».
  • Impact sur le Big Data, l’IoT, l’IA, la Blockchain. Vers une restriction du patrimoine informationnel ?

Gestion des droits des personnes

  • Gérer les différents types de cookies et de traçeurs, les consentements, les droits (modification, effacement, oubli).
  • Comment ne pas perdre le trafic SEO ?
  • Quelle intégration aux applications et progiciels existants (CRM, marketing, service desk) ?
  • Nouveaux outils de gestion des droits (Versusconsulting, Gigya, Celebrus) et de CMP – Consent Management Platform (Quantcast, Didomi).

Sécurisation et confidentialisation des données.

  • Adéquation infrastructure de sécurité / SMSI : cinq niveaux et quinze points de contrôle.
  • Mesures à prendre aux niveaux PC-mobile, accès, stockage, PRA, Cloud, etc.
  • Chiffrement, pseudonymisation et anonymisation, masquage, marquage. Pour quels types de données ?
  • Logiciels de brouillage (Lamane, Solix, etc.), chiffrement (Safenet, Sophos, etc.), CASB-Cloud Access Security Broker (SkyHigh, CipherCloud, etc.), BYOK (Bring Your Own Key) . Les critères d’évaluation (re-identification, corrélation, inférence).

Droits d’ accès et détection des violations

  • Quelle politique de gestion des accès ? Refonte RBAC (Role Base Access Control).
  • Les outils de gouvernance IGA (SailPoint, One Identity), de gestion des accès IAM (Okta, Ping Identity), de CIAM – Consumer Identity and Access Management (Forgerock, Pega, BMI) et des profils à privilèges (Cyber Ark, Beyond trust).
  • Administration des risques : détecter une violation, une diffusion de données. La gestion de crise.
  • SIEM – Security Information & Event Management (Splunk, LogRythm) et DLP – Data Leak Prevention (Symantec, Forcepoint). L’approche SOAR (Security Orchestration Automation and Response).

Evolution des développements : Privacy by design

  • Intégrer dès la conception les exigences du DPO, du RSSI. Impacts au niveau cahier des charges, programmation, revue de code, tests, mise en production.
  • Bonnes pratiques et méthodologies (Secure SDLC, OWAPS). Apports des méthodes agiles et de DevOps.
  • Mise en œuvre de PET (Privacy Enhanced Technology). Les outils de test, revue de code, détection de vulnérabilités, inconstances, ..
  • Outils de mise en œuvre d’API : CDT – Compliant Data Transfer (Wizuda, MoveIT) et services de transfert de données (Onecub).

Gestion des équipements et des utilisateurs

  • Impact de l’ITSM (IT Service Management) et du MDM (Mobile Device Management) sur la maîtrise de certains paramètres du RGPD.
  • Importance de la réactivité du Call Center et du Soc (Security Operation Center) sur la détection de violations.

Impact sur la sous-traitance

  • Impact sur les offres des sous-traitants, fournisseurs de progiciels, le Cloud.
  • Clauses de conformité dans les contrats (ISO, SOC, CISPE) . Cas de Microsoft et Google.

Impact du RGPD sur les secteurs et les métiers

  • Marketing, commercial, données de santé, e-commerce, programmatique.
Afficher plus

Public

Responsables métiers, juridiques, informatiques, futurs DPO, CIL qui veulent apprécier dans leur globalité les différentes composantes du chantier de mise en conformité.

Prérequis

Connaissances de base en Systèmes d’Information.

Méthodologie

METHODES PEDAGOGIQUES : Exposé, échanges d’expérience, études de cas,
METHODES D'EVALUATION : Le stagiaire reçoit en amont de la formation un questionnaire permettant de mesurer les compétences, profil et attentes du stagiaire. Tout au long de la formation, les stagiaires sont évalués au moyen de différentes méthodes (quizz, ateliers, exercices et/ou de travaux pratiques, etc.) permettant de vérifier l'atteinte des objectifs. Un questionnaire d'évaluation à chaud est soumis à chaque stagiaire en fin de formation pour s’assurer de l’adéquation des acquis de la formation avec les attentes du stagiaire. Une attestation de réalisation de la formation est remise au stagiaire.

Présentation de la formation en vidéo

88%

de participants satisfaits sur les 12 derniers mois
Data & Big Data

Impact du RGPD sur le Système d’Information

Découvrez les différents chantiers informatiques nécessaires à la mise en conformité RGPD de votre entreprise, le plan d'action, les budgets induits.
  •  
  • 2095 € H.T

Autres formations sur le même thème