cours donné en mai 2021 en certificat en stratégie digitale à Ichec Formation continue

2. Jacques Folon, Ph.D.
CEO & Founder GDPRfolder.eu
DPO externe
Professeur ICHEC
Prof. inv. Université Saint Louis – ESC Rennes
Keynote speaker
Livres publiés au sujet de la vie privée
Guide de survie du DPO (sortie sept. 2021)
50 nuances de liberté
Le printemps numérique
Internet et vie privée, faut-il avoir peur?
jacques@gdprfolder.eu
linkedin.com/in/folon
+ 32 475 98 21 15
IFC STRATEGIE DIGITALE

3. AGENDA GDPR
• Principes de base
• Vos questions dans le chat ou oralement
• Questions de stratégie digitale
1. RGPD et stratégie digitale ?
2. Le RGPD pourquoi ?
3. Le RGPD c’est quoi ?
4. Breaking news
5. Le RGPD en Belgique
6. On fait comment ?
7. Qq points importants
8. Privacy by design
9. Deux exercices
10. Debriefing et feed back
• SAV possible après le cours 👨🏼💻😊

4. 1/ RGPD et stratégie digitale quel intérêt?

5. DATA
DATA
DATA

6. 2/
Pourquoi
le
RGPD?
6

8. CONTEXTE
8

9. 9
SOURCE: http://mattmckeon.com/facebook-privacy/

10. 1
0

11. 1
1

12. 1
2

13. 1
3

14. 1
4

15. 1
5

16. 1
6
EN 2021

17. From Big Brother to Big Other

18. VOLS & PERTES DE DONNÉES

19. VOLS & PERTES DE DONNÉES

20. C'EST UNE VRAIE MENACE !

22. Votre organisation
n’est pas en règle ?
Commençons par
vous rassurer

23. RASSUREZ-VOUS !
VOUS N'ETES PAS EN RETARD PAR
RAPPORT AU GDPR.
VOUS AVEZ 30 ANS DE RETARD PAR
RAPPORT À LA LOI DE 1992 !!!

24. https://gdprfolder.eu
© 2018 GDPRFOLDER.EU SPRL All Rights Reserved.
Vous êtes tous concernés !
Tout le monde a des clients, des employés, des prospects,
des membres
ASBL

25. www.companyname.com
© 2016 Ultime PowerPoint. All Rights Reserved.
2
5
Toute organisation ou profession libérale
gère des données à caractère personnel !
Une donnée personnelle est
toute information se rapportant à une
personne physique identifiée ou identifiable
(ci-après dénommée «personne concernée»);
est réputée être une «personne physique
identifiable» une personne physique qui peut
être identifiée, directement ou indirectement,
notamment par référence à un identifiant, tel
qu'un nom, un numéro d'identification, des
données de localisation, un identifiant en ligne,
ou à un ou plusieurs éléments spécifiques
propres à son identité physique, physiologique,
génétique, psychique, économique, culturelle

26. https://gdprfolder.eu
© 2018 GDPRFOLDER.EU SPRL All Rights Reserved.
Personnel Prospects
Contacts
Utilisateurs de
vos services
Les personnes dont vous gérez les données

27. www.companyname.com
© 2016 Ultime PowerPoint. All Rights Reserved.
Il n’y avait pas de splution pour les indépendants, les PME, les ASBL
Les Petites organisations:
les oubliées du RGPD ?
Les consultants
sont trop chers
Les solutions
en ligne sont
trop complexes
Les solutions
informatiques
sont trop
techniques
Le vocabulaire
est
incompréhensi
ble

28. 3.
Le RGPD
c’est quoi
en un slide
TER
R
ITO
R
IA
LSC
O
PE
Non-EUEstablishedO
rganizations
O
ffer goods or ser vices or engaging in
m
onitoring within the EU
.
PER
SO
NA
LD
A
TA SENSITIVED
A
TA
ENFO
R
C
EM
ENT
LA
W
FU
LPR
O
C
ESSING
C
O
NSENT
R
ESPO
NSIB
ILITIESO
FD
A
TAC
O
NTR
O
LLER
SA
NDPR
O
C
ESSO
R
S
R
IG
H
TSO
FD
A
TASU
B
JEC
TS
Transparency
Purpose
Specificationand
M
inim
ization
A
ccess and
R
ectification
A
utom
ated
D
ecision- M
aking
R
ightto D
ata
Portability
R
ightto
Erasure
D
A
TAB
R
EA
C
HNO
TIFIC
A
TIO
N
D
ataProtection
O
fficer (D
PO
)
D
ata
Protectionby
D
esign
INTER
NA
TIO
NA
LD
A
TATR
A
NSFER
D
ataIm
pact
A
ssessm
ent
R
ecordof D
ata
ProcessingA
ctivities
TH
EPLA
YER
S
D
ata
Subjects
D
ataC
ontrollers
D
ata
Processors
Supervisory
A
uthorities
Identified Identifiable
R
acial or
EthnicO
rigin
R
eligious or
Philosophical
B
eliefs
H
ealth
Trade U
nion
M
em
bership Sex
Life
Political
O
pinions
B
iom
etric
D
ata
G
enetic
D
ata
“R
ight not to be subject to a
decision basedsolely on
autom
atedprocessing,
including profiling.”
Apersonal databreachis “abr each of
security leading to the accidental or
unlawful destr uction,loss,alter ation,
unauthorized disclosure of,or access
to,personal datatransm
itted,storedor
otherwise processed.”
C
ollection and processing of per sonal datam
ust
be for “specified,explicit and legitim
ate purposes”
– withconsent of datasubject or necessar y for
C
onsent m
ust be freely
given,specific,
infor m
ed,and
unam
biguous.
M
odel
C
ontractual
C
lauses
Privacy
Shield
B
inding
C
orporate
R
ules
(B
C
R
s)
A
dequate Level of
D
ataProtection
If likely to result in ahighprivacy r isk notify datasubjects
Notify super visory authorities no later
than 72hour s after discovery.
U
pto 20 m
illion euros or 4%of total annual worldwide
turnover . Less serious violations: U
pto 10m
illion
euros or 2%of total annual worldwide turnover.
EUEstablishm
ents
M
aintain adocum
ented
r egister of all activities
involving processing of EU
per sonal data.
built in starting at
the beginning of the
design process
D
esignate D
POif core
activity involves r egular
m
onitoring or processing
large quantities of
per sonal data..
For highr isk
situations
www.teachpr iv acy.com
GDPR
W
orkforce aw
areness trainingbyProf.D
aniel J.Solove
• perform
ance of a contr act
• com
pliance with alegal
obligation
• to pr otect aperson’s
vital interests
• taskin the public
interest
• legitim
ate inter ests
Effective Judicial R
em
edies:
com
pensation for m
ater ial and
non-m
aterial harm
.
Fines
Security
Please askperm
issionto reuse or distribute

29. Vous devez
être capable
de
démontrer
que vous
êtes en
règle par
rapport au
RGPD

30. PRINCIPALE TÂCHE
DO-CU-MEN-TA-TION

31. EN PRATIQUE:
L'APD débarque suite à une plainte, une
dénonciation, d'un consommateur, d'un
concurrent…
Que faites-vous?
Que pouvez-vous leur montrer?
Qu'avez-vous préparé?
Comment se préparer?
Quel type de plainte?
Quid vol de données?
…
c'est ça l'accountability

32. LE GDPR CA FAIT PEUR

33. Les amendes
• Maximum 4% CA Annuel mondial
• 20 Millions €
• Quelques exemples:
• Google 50 millions
• Hôpital portugais 480.000€
• Autriche 4.800 caméra de surveillance
• Huissier 15.0000€

34. https://www.enforcementtracker.com/?insights

35. Data breach
pour
100.000
habitants

36. LE GDPR CA FAIT PEUR: class action possible

37. LE GDPR CA FAIT PEUR

40. Historique
• 2015 première décision contre Safe
Harbour
• 2016 Début du Privacy shield
• 2020 Décision de la CJUE
• 2020 plainte contre 101 sociétés
européennes (en Belgique Bpost,
Roularta)
• Décision de l’EDPD de coordonner les
réponses des APD
• …

41. Cookies

42. https://gdprfolder.eu
© 2018 GDPRFOLDER.EU SPRL All Rights Reserved.
CE N’EST PAS
FINI…

43. 5. LE RGPD EN BELGIQUE?

45. Nouvelle(s) loi(s)
Loi du 30/7/2018
Loi du 5/9/2018
Pourquoi deux lois ???
45

46. 6. On fait comment ?

47. LE GDPR C'EST COMPLIQUE !
ON COMMENCE PAR QUOI ?
1/ANALYSE PRÉALABLE
2/PLAN D'ACTIONS DE MISE EN
CONFORMITÉ

48. Comment on fait?
UNE MÉTHODO QUI A FAIT SES PREUVES

49. COMMENT ON FAIT?

50. LE GDPR C'EST (PAS BEAUCOUP) DU DROIT
DROIT
CONTRAT SOUS-TRAITANTS
PRIVACY POLICIES
RH (CONFIDENTIALITÉ-CODE DE CONDUITE)
INFORMATIQUE
PRIVACY BY DESIGN/DEFAULT
SECURITE DE L'INFORMATION
IAM
CODE DE CONDUITE ICT
DOCUMENTATION DES PROGRAMMES
DROIT D'ACCES
DROIT A L'OUBLI
CC81
ORGANISATION
ANALYSE DE RISQUES
ARCHIVAGE DIGITAL
GESTION DE PROJET
CHANGE MANAGEMENT
REGISTRE DE TRAITEMENT
COMMUNICATION DE CRISE (DATA BREACH)
FORMATION

51. LE GDPR CA PEUT ETRE POSITIF
MEILLEURE CONNAISSANCE
DES PROCESSUS INTERNES

52. 7. Quelques points importants

54. DROIT DE LA PERSONNE CONCERNEE

56. DROIT DE LA PERSONNE
56
TRANSPARENCE
INFORMATIONS LORS DE LA COLLECTE
DROIT D'ACCES
DROIT DE RECTIFICATION
DROIT A L'EFFACEMENT
DROIT A LA LIMITATION DU TRAITEMENT
PORTABILITE
DROIT D'OPPOSITION AU PROFILAGE

57. Ca a l'air simple…
Droits d'accès à… tout
Depuis longtemps
Dans toutes les bases de données
Preuve du consentement
De tout ce qui dépend du RDT
Imaginez un ministère, un annonceur multi-marques
et donc
nécessité de programmes de détection
de développement
ou pas…
analyse de risques

58. PRIVACY POLICY OR REGULATION OR …

60. 8. PRIVACY BY DESIGN
60

62. L’ESSENTIEL C’EST LA
DOCUMENTATION !
LES INFORMATICIENS
ADORENT ÇA !

63. PRIVACY
BY
DESIGN
6
3

64. PROACTIVE NOT REACTIVE
CE N’EST PAS QUAND LA MAISON BRULE
QU’IL FAUT SE DEMANDER OU EST
L’EXTINCTEUR
IL FAUT PREVENTIVEMENT PENSER AUX
MESURES DE SECURITE ET DE
PROTECTION DES DONNÉES

65. PRIVACY BY DEFAULT
LA PERSONNE CONCERNÉE NE DOIT
RIEN FAIRE, LES MESURES DE
SECURITE ET DE PROTECTION ONT
ÉTÉ PRISES ANTICIPATIVEMENT

66. EMBED IN DESIGN
LA PROTECTION DES DONNÉES PERSONNELLES DOIT
ÊTRE INTÉGRÉE DANS LE DESIGN, LES PROCESS, LES
OPERATIONS, L’INFRASTRUCTURE SANS DIMINUER LES
POSSIBILITÉS D’USAGE DE LA PERSONNE CONCERNÉE

67. FULL FONCTIONALITY:
POSITIVE SUM NOT ZERO SUM
IL EST POSSIBLE D’AVOIR LA
SECURITE
ET
LA PROTECTION DE LA VIE PRIVÉE
IL NE DOIT PAS Y AVOIR DE CHOIX

68. END TO END SECURITY & PRIVACY
DURANT TOUTE LA DUREE DE VIE DES DONNEES
COLLECTE
UTILISATION
MISE A
DISPOSITION
CONSERVATION
DESTRUCTION

69. VISIBILITY & TRANSPARENCY
VOUS DEVEZ ETRE CAPABLE DE DEMONTRER AUX
AUTORITES DE CONTROLE QUE VOUS RESPECTEZ LE RGPD
ET QUE VOUS TENEZ VOS PROMESSES

70. RESPECT USER PRIVACY
ET DONC RESPECTER
DROIT DACCÈS,…
TRANSPARENCE
LICÉITÉ…

73. PRIVACY BY DESIGN: PERTE DE TEMPS?

74. NO THERE
ARE SOME
BENEFITS

75. WHAT DOES IT MEANS ?
IT IS FROM THE START TO THE END OF THE PROCESS

76. C’EST UN PROCESSUS ITÉRATIF

77. LA QUALITÉ
DES DONNÉES
EST
IMPORTANTE

78. LA DURÉE DE VIE COMPLÈTE DES DONNÉES

79. 1.CREATE
OR

80. EQUILIBRE A TROUVER

81. LICÉITÉ

82. DONNÉES SENSIBLES
IF THEN
OR

83. PRIVACY IMPACT
ASSESMENT

84. 2.STORE
• SECURITY
• ENCRYPTION
• AUTHENTICATION
• AVAILABILITY
• CONFIDENTIALITY
• IAM

85. 3. USE

86. 4. SHARE

87. 4. SHARE

88. 5.ARCHIVE

89. 6. DESTROY

90. SECURITE DE L'INFORMATION
90

92. LE MAILLON FAIBLE

93. SECURITE
EXTERNE

95. QUELLES SONT LES MENACES?

96. ÊTES VOUS CAPABLE
D'IDENTIFIER
LES FUITES ?

97. Concrètement ca veut dire quoi?

99. Ne pas oublier
Plan de sécurité de
l'information
Archivage
Destruction des données
ISO 2700X
audit de sécurité
Test de pénétration, …

100. 86
La sécurité des données
personnelles est une obligation
légale…

101. NOTIFICATION DES VOLS/PERTES
101

102. Identity Access Management
(GESTION DES ACCÈS)
10
2

103. GESTION DES PROFILS
NEED TO HAVE ACCESS !!
La question qui tue:
puis-je voir votre procédure de
gestion des profils et la
documentation quant aux besoins
d'accès?

104. ANALYSE DE RISQUES /PIA
104

105. DELIVRABLE : LE DOSSIER GDPR
• REGISTRE DE TRAITEMENT
• PLAN DE SECURITE
• POLITIQUE D'ARCHIVAGE
• IAM
• DECISIONS PRISES
• CONTRATS SOUS-TRAITANCE
• FORMATIONS
• BEST PRACTICES INTERNES
• CC 81

106. Dossier GDPR
Vous pouvez démontrer en un clic les mesures prises
en imprimant le dossier gdpr mis à jouer en permanence

108. https://gdprfolder.eu
© 2018 GDPRFOLDER.EU SPRL All Rights Reserved.
02
03
04
05
01
NOUVELLES LOIS BELGES
JURISPRUDENCE NATIONALE ET
EUROPÉENNE
NOUVELLES PROCÉDURES
ADLINISTRATIVES
RECOMMANDATIONS DES AUTORITÉS DE
PROTECTION DES DONNÉES
NOUVELLES DIRECTIVES EUROPÉENNES
Mises à jour permanentes
Le GDPR n’en finit pas d’évoluer !

109. Documents juridiques
• PRIVACY POLICY
• CONTRAT DE SOUS-TRAITANCE
• CLAUSES DE CONFIDENTIALITÉ
• CHARTE INFORMATIQUE
• DÉCISIONS INTERNES
109

111. Créez en
quelques
heures votre
dossier

112. RAPPEL

114. BONNE CHANCE A TOUS

116. Votre employeur est un site de vente en ligne B2C de vêtements
et accessoires et il veut implémenter un CRM.
Quels sont les points dont vous devez tenir compte pour
respecter le RGPD?
LISTER sur un PPT AU MOINS 10 POINTS ET EXPLIQUER EN QUOI
C’EST IMPORTANT
Votre employeur est un chasseur de têtes qui veut digitaliser
tout le processus de recrutement et sélection et a confié le
projet à l’équipe IT interne
Lister sur un PPT 10 points auxquels il faut penser pour
respecter le RGPD?