2. GRAPHICBULB
2
Prof. Jacques Folon, Ph.D.
Professor
DPO
GDPR Director
CEO
jacques.folon@ichec.be
linkedin.com/in/folon
Trafic, Ichec, JPCR, Reflex, CMI,…
SPF Finances, Police fédérale,
CIRB, L’Oréal, Province de Hainaut,…
4. Question existentielle !
Qu’est-ce qui fait partie du RGPD et n’est pas concerné par la sécurité de l’information ?
Qu’est-ce qui fait partie de la sécurité de l’information et n’est pas concerné par le RGPD?
5. Un petit
résumé ?
TER
R
ITO
R
IA
LSC
O
PE
Non-EUEstablishedO
rganizations
O
ffer goods or ser vices or engaging in
m
onitoring within the EU
.
PER
SO
NA
LD
A
TA SENSITIVED
A
TA
ENFO
R
C
EM
ENT
LA
W
FU
LPR
O
C
ESSING
C
O
NSENT
R
ESPO
NSIB
ILITIESO
FD
A
TAC
O
NTR
O
LLER
SA
NDPR
O
C
ESSO
R
S
R
IG
H
TSO
FD
A
TASU
B
JEC
TS
Transparency
Purpose
Specificationand
M
inim
ization
A
ccess and
R
ectification
A
utom
ated
D
ecision- M
aking
R
ightto D
ata
Portability
R
ightto
Erasure
D
A
TAB
R
EA
C
HNO
TIFIC
A
TIO
N
D
ataProtection
O
fficer (D
PO
)
D
ata
Protectionby
D
esign
INTER
NA
TIO
NA
LD
A
TATR
A
NSFER
D
ataIm
pact
A
ssessm
ent
R
ecordof D
ata
ProcessingA
ctivities
TH
EPLA
YER
S
D
ata
Subjects
D
ataC
ontrollers
D
ata
Processors
Supervisory
A
uthorities
Identified Identifiable
R
acial or
EthnicO
rigin
R
eligious or
Philosophical
B
eliefs
H
ealth
Trade U
nion
M
em
bership Sex
Life
Political
O
pinions
B
iom
etric
D
ata
G
enetic
D
ata
“R
ight not to be subject to a
decision basedsolely on
autom
atedprocessing,
including profiling.”
Apersonal databreachis “abr each of
security leading to the accidental or
unlawful destr uction,loss,alter ation,
unauthorized disclosure of,or access
to,personal datatransm
itted,storedor
otherwise processed.”
C
ollection and processing of per sonal datam
ust
be for “specified,explicit and legitim
ate purposes”
– withconsent of datasubject or necessar y for
C
onsent m
ust be freely
given,specific,
infor m
ed,and
unam
biguous.
M
odel
C
ontractual
C
lauses
Privacy
Shield
B
inding
C
orporate
R
ules
(B
C
R
s)
A
dequate Level of
D
ataProtection
If likely to result in ahighprivacy r isk notify datasubjects
Notify super visory authorities no later
than 72hour s after discovery.
U
pto 20 m
illion euros or 4%of total annual worldwide
turnover . Less serious violations: U
pto 10m
illion
euros or 2%of total annual worldwide turnover.
EUEstablishm
ents
M
aintain adocum
ented
r egister of all activities
involving processing of EU
per sonal data.
built in starting at
the beginning of the
design process
D
esignate D
POif core
activity involves r egular
m
onitoring or processing
large quantities of
per sonal data..
For highr isk
situations
www.teachpr iv acy.com
GDPR
W
orkforce aw
areness trainingbyProf.D
aniel J.Solove
• perform
ance of a contr act
• com
pliance with alegal
obligation
• to pr otect aperson’s
vital interests
• taskin the public
interest
• legitim
ate inter ests
Effective Judicial R
em
edies:
com
pensation for m
ater ial and
non-m
aterial harm
.
Fines
Security
Please askperm
issionto reuse or distribute
11. 1. Le but: le dossier GDPR
2. DPO or not DPO?
3. Les décisions de la direction
4. La partie visible d’abord
5. La partie risquée d’abord
6. Je ne veux pas être sous-traitant
7. Les DB existantes
8. Les droits des personnes
9. Les mesures techniques
10. Les mesures organisationnelles
11. Les RH
12. Les DPIA
13. Le registre
14. Le Dossier RGPD
12. But à atteindre
• avoir un dossier complet
• Obligation de moyen
• La sécurité de l’information en
fait partie
• Et la compliance est comprise
dans ISO27002
14. 1. Le but: le dossier GDPR
2. DPO or not DPO?
3. Les décisions de la direction
4. La partie visible d’abord
5. La partie risquée d’abord
6. Je ne veux pas être sous-traitant
7. Les DB existantes
8. Les droits des personnes
9. Les mesures techniques
10. Les mesures organisationnelles
11. Les RH
12. Les DPIA
13. Le registre
14. Le Dossier RGPD
16. Les autres rôles et fonctions
0 6 - 0 4 - 2 2
ROLE RGPD INFOSEC
CONSEIL DPO CONSEIL => DPO (RN)
OPÉRATIONNEL CHEF DE PROJET RSSI
17.
18. • Soutien de la direction
• Description de fonction
• Certification ?
• Plan d’actions
• Chef de projet
• Correspondants RGPD
• Avis et recommandations à la direction
• Rapport annuel (Analyse-bilan-plan)
• KPI
19. LE GDPR CA PEUT ETRE POSITIF
MEILLEURE CONNAISSANCE DES PROCESSUS INTERNES
20.
21. 1. Le but: le dossier GDPR
2. DPO or not DPO?
3. Les décisions de la direction
4. La partie visible d’abord
5. La partie risquée d’abord
6. Je ne veux pas être sous-traitant
7. Les DB existantes
8. Les droits des personnes
9. Les mesures techniques
10. Les mesures organisationnelles
11. Les RH
12. Les DPIA
13. Le registre
14. Le Dossier RGPD
22. • Le DPO ne décide pas !
• QUID DU RSSI?
• Décisions à prendre
• Acter les décisions
• Quid en cas de désaccord?
• Exemples de décisions
23. 1. Le but: le dossier GDPR
2. DPO or not DPO?
3. Les décisions de la direction
4. La partie visible d’abord
5. La partie risquée d’abord
6. Je ne veux pas être sous-traitant
7. Les DB existantes
8. Les droits des personnes
9. Les mesures techniques
10. Les mesures organisationnelles
11. Les RH
12. Les DPIA
13. Le registre
14. Le Dossier RGPD
24. • Le site Internet
• Double opt-in
• Conservation des accords (contrat, consentement)
• Cookies
• Marketing digital
• La collecte des données papier
• Bulletins d’inscriptions
• Privacy policies (plusieurs !!!)
• Collaboration DPO – ICT – RSSI nécessaire
27. 1. Le but: le dossier GDPR
2. DPO or not DPO?
3. Les décisions de la direction
4. La partie visible d’abord
5. La partie risquée d’abord
6. Je ne veux pas être sous-traitant
7. Les DB existantes
8. Les droits des personnes
9. Les mesures techniques
10. Les mesures organisationnelles
11. Les RH
12. Les DPIA
13. Le registre
14. Le Dossier RGPD
28. • Données sensibles
• RH
• Secrets d’affaires
• Identifier les départements à risques
• On commence par sécuriser les worst
case
• Procédure en cas de vol/perte
29. 1. Le but: le dossier GDPR
2. DPO or not DPO?
3. Les décisions de la direction
4. La partie visible d’abord
5. La partie risquée d’abord
6. Je ne veux pas être sous-traitant
7. Les DB existantes
8. Les droits des personnes
9. Les mesures techniques
10. Les mesures organisationnelles
11. Les RH
12. Les DPIA
13. Le registre
14. Le Dossier RGPD
30.
31. • Vous avez des sous-traitants ?
• Audit (gratuite ou payante)
• Sous-traitants
• Données
• Finalités
• DPIA
• Si pas d’accords quant au statut?
• Vous êtes sous-traitant?
32.
33. 1. Le but: le dossier GDPR
2. DPO or not DPO?
3. Les décisions de la direction
4. La partie visible d’abord
5. La partie risquée d’abord
6. Je ne veux pas être sous-traitant
7. Les DB existantes
8. Les droits des personnes
9. Les mesures techniques
10. Les mesures organisationnelles
11. Les RH
12. Les DPIA
13. Le registre
14. Le Dossier RGPD
34. • Inventaire
• Responsable (pour droit d’accès)
• Shadow IT
• Mise en conformité
• Quantité vs qualité
• Que met-on dans le dossier RGPD?
35. 1. Le but: le dossier GDPR
2. DPO or not DPO?
3. Les décisions de la direction
4. La partie visible d’abord
5. La partie risquée d’abord
6. Je ne veux pas être sous-traitant
7. Les DB existantes
8. Les droits des personnes
9. Les mesures techniques
10. Les mesures organisationnelles
11. Les RH
12. Les DPIA
13. Le registre
14. Le Dossier RGPD
37. Imaginez une demande
Que fait-on ?
Qui contacter?
Comment répondre?
Qui répond?
Est-on certain de répondre en un mois?
38. PROTÉGEZ LES DONNÉES DE VOS CLIENTS
ET MONTREZ LEUR QUE VOUS LE FAITES
3
8
TRANSPARENCE
INFORMATIONS LORS DE LA COLLECTE
DROIT D'ACCES
DROIT DE RECTIFICATION
DROIT A L'EFFACEMENT
DROIT A LA LIMITATION DU TRAITEMENT
PORTABILITE
DROIT D'OPPOSITION AU PROFILAGE
39. 1. Le but: le dossier GDPR
2. DPO or not DPO?
3. Les décisions de la direction
4. La partie visible d’abord
5. La partie risquée d’abord
6. Je ne veux pas être sous-traitant
7. Les DB existantes
8. Les droits des personnes
9. Les mesures techniques
10. Les mesures organisationnelles
11. Les RH
12. Les DPIA
13. Le registre
14. Le Dossier RGPD
40. • Certification?
• Plan de sécurité?
• Analyse de risques
• Il faut une référence
• Voir DPIA CNIL
• Déclaration vs. Réalité
• IAM ?
41. 5 Politiques de sécurité de l’information
6 Organisation de la sécurité de l’information
7 La sécurité des ressources humaines
8 Gestion des actifs
9 Contrôle d’accès
10 Cryptographie
11 Sécurité physique et environnementale
12 Sécurité liée à l’exploitation
13 Sécurité des communications56
14 Acquisition, développement et maintenance des systèmes d’information
15 Relations avec les fournisseurs
72 16 Gestion des incidents liés à la sécurité de l’information
17 Aspects de la sécurité de l’information dans la gestion de la continuité de l’activité 18
Conformité
Normes ISO 27002
42. • Norme ISO 27001 et 27002 concernant les systèmes de management de la sécurité de l’information
• Norme ISO 29100 (Privacy Framework)
• Norme ISO 29134 sur les DPIA
• Norme ISO 29151 sur les bonnes pratiques en matière de vie privée
• Norme ISO 27018 sur les données personnelles et le cloud public
• Norme ISO 29191 sur la cryptographie
• Norme ISO 20889 sur les techniques d’anonymisation
• Le guide Afnor sur la protection des données et les normes volontaires
• Plusieurs documents concernent la protection des données au sein du Toolkit réalisé par l’ISO 27K Forum
• Mapping between GDPR and ISO 27K qui met en relation les articles du RGPD avec la norme ISO 27002
• Le mapping entre la norme 27552 et le GDPR (annexe C de la norme 27552)
• Mapping entre norme ISO 27552 et ISO 29100 (annexe D de la norme ISO 27552
• Mapping entre la norme ISO 27552, 27018 et 29151 (annexe E de la norme ISO 27552)
• Il ne faudra pas négliger d’effectuer une veille concernant les évolutions des normes et codes of practices réalisés dans le cadre de
l’ISO. A titre d’exemple, un certain nombre de travaux sont en cours et seront publiés postérieurement :
• ISO/IEC 27555 — Information technology — Security techniques — Establishing a PII deletion concept in
organizations
• ISO/IEC AWI 27556 Information technology -- User-centric framework for the handling of personally identifiable
information (PII) based on privacy preferences
• ISO 31700: concernera le privacy by design des produits et services au consommateur
• Les autr es nor mes ISO et documents utiles
43. Les trois éléments de la gouvernance
• Politique de sécurité
• Plan de sécurité
• Mesures de securité
0 6 - 0 4 - 2 2
82. 8 2
Quelles sont les questions à se poser??
• Les personnes sont-elles ce qu’elles
disent être??
• Sont-elles des membres réels de notre
communauté ?
• Ont-elles reçu les autorisations
nécessaires ?
• Le respect de leurs données
personnelles est-il mis en place?
83. 8 3
Exemples de questions
• Quel mot type de mot de passe donner?
• Quelles sont les activités autorisées?
• Quelles sont les activités interdites?
• A quelle catégorie de personne cette nouvelle
identité doit-elle être attachée?
• A quel moment du processus d’entrée les
autorisations doivent-elles être données?
• Quelles modalités de contrôle sont mises en
place?
• Peut-on prouver tout cela à un auditeur ?
• Quid de l’e-discovery?
84. 1. Le but: le dossier GDPR
2. DPO or not DPO?
3. Les décisions de la direction
4. La partie visible d’abord
5. La partie risquée d’abord
6. Je ne veux pas être sous-traitant
7. Les DB existantes
8. Les droits des personnes
9. Les mesures techniques
10. Les mesures organisationnelles
11. Les RH
12. Les DPIA
13. Le registre
14. Le Dossier RGPD
88. • le registre des incidents
les décisions de la direction
les raisons des choix
les transferts à l’APD
Le non transfert
les droits d’accès
…
89. 1. Le but: le dossier GDPR
2. DPO or not DPO?
3. Les décisions de la direction
4. La partie visible d’abord
5. La partie risquée d’abord
6. Je ne veux pas être sous-traitant
7. Les DB existantes
8. Les droits des personnes
9. Les mesures techniques
10. Les mesures organisationnelles
11. Les RH
12. Les DPIA
13. Le registre
14. Le Dossier RGPD
90. • Un bon partenaire
• Principe de transparence
• CC 81
• Clauses de confidentialité
• Charte informatique
• Quid des syndicats?
• Données sensibles
91. 1. Le but: le dossier GDPR
2. DPO or not DPO?
3. Les décisions de la direction
4. La partie visible d’abord
5. La partie risquée d’abord
6. Je ne veux pas être sous-traitant
7. Les DB existantes
8. Les droits des personnes
9. Les mesures techniques
10. Les mesures organisationnelles
11. Les RH
12. Les DPIA
13. Le registre
14. Le Dossier RGPD
92. • Outil de la CNIL
• Comment faire?
• Qui autour de la table?
• On commence par quoi?
• Actualisation?
93. 1. Le but: le dossier GDPR
2. DPO or not DPO?
3. Les décisions de la direction
4. La partie visible d’abord
5. La partie risquée d’abord
6. Je ne veux pas être sous-traitant
7. Les DB existantes
8. Les droits des personnes
9. Les mesures techniques
10. Les mesures organisationnelles
11. Les RH
12. Les DPIA
13. Le registre
14. Le Dossier RGPD
96. • Quel format choisir?
• Comment faire?
• Anticiper les simultanéités
• Log de non-conformité
• Méthode de classement
• Il faut retrouver les preuves!
97. 1. Le but: le dossier GDPR
2. DPO or not DPO?
3. Les décisions de la direction
4. La partie visible d’abord
5. La partie risquée d’abord
6. Je ne veux pas être sous-traitant
7. Les DB existantes
8. Les droits des personnes
9. Les mesures techniques
10. Les mesures organisationnelles
11. Les RH
12. Les DPIA
13. Le registre
14. Le Dossier RGPD