formation donnée dans le cadre du diplôme en marketing digital de l'ICHEC Formation Continue

1. Vie privée et GDPR
Jacques Folon
Partner
Edge Consulting
Maître de conférences
Université de Liège
Professeur
ICHEC
Professeur invité
Université Saint Louis (Bxl)
ESC Rennes School of business
Université de Lorraine (Metz)

2. 2

3. Média sociaux et données personnelles
SOURCE DE L’IMAGE: http://archives-lepost.huffingtonpost.fr/article/2012/01/13/2678781_protection-de-la-vie-privee-sur-les-medias-sociaux.html

5. 5

9. On a en moyenne 170 « amis »
30

10. Et ils sont géolocalisés...
10

11. On apprend beaucoup de
choses sur eux
11
http://3.bp.blogspot.com/-upA_Ez7KzBM/Tncfv6OsjjI/AAAAAAAANU4/jAEkgOejP5E/s1600/ar_dief.jpg

12. et Graph search…

13. Ou en est leur vie privée?
13
http://www.fieldhousemedia.net/wp-content/uploads/2013/03/fb-privacy.jpg

14. Des « amis » qui respectent
votre vie privée
14
http://cdn.motinetwork.net/motifake.com/image/demotivational-poster/1202/reality-drunk-reality-fail-drunkchicks-partyfail-demotivational-posters-1330113345.jpg

15. 15
ET POURTANT IL Y A DES PRIVACY POLICIES

16. 16
FOURSQUARE

17. 17

19. Vie privée et média sociaux
Les média sociaux: chiffres & privacy
Les média sociaux et vie privée
Vie privée et Facebook
La vie privée
privacy policies
Prospective et conclusion
incidents liés à la privacy
Média sociaux privacy et entreprise
le monde a changé
La sécurité
La réglementation
un concept dépassé ?
les traces et l'identité numérique
Le mythe des coûts cachés
le contrôle des collaborateurs
les risques
le recrutement
19

20. Le monde a changé
http://www.jerichotechnology.com/wp-content/uploads/2012/05/SocialMediaisChangingtheWorld.jpg

22. http://fr.slideshare.net/bodyspacesociety/casilli-privacyehess-2012def
Antonio Casili

23. La géolocalisation permet désormais, grâce
aux smartphones de connaître la
localisation de chacun
http://upload.wikimedia.org/wikipedia/commons/thumb/9/99/Geolocalisation_GPS_SAT.png/267px-Geolocalisation_GPS_SAT.png

24. Les données personnelles sont collectées en
permanence, volontairement ou non
1

25. 25

26. Prof. J .Folon Ph.D.

27. 27
A.CONTEXTE
B.QUELQUES DEFINITIONS
C.LES 12 GRANDS PRINCIPES
D.LES CONSEQUENCES DU GDPR
E.METHODOLOGIE
F.Q & A

28. A : CONTEXTE
28

29. En deux mots…
29
• Le GDPR est un règlement européen
concernant la protection des données
personnelles
• Il s'impose aux entreprises et au secteur
public

30. 30
MAY 2018

31. B : QUELQUES DEFINITIONS…
31

32. UNE DONNÉE PERSONNELLE ?
32
toute information se rapportant à une personne physique identifiée ou
identifiable (ci-après dénommée «personne concernée»);
est réputée être une «personne physique identifiable» une personne
physique qui peut être identifiée, directement ou indirectement,
notamment par référence à un identifiant, tel qu'un nom, un numéro
d'identification, des données de localisation, un identifiant en ligne, ou à
un ou plusieurs éléments spécifiques propres à son identité physique,
physiologique, génétique, psychique, économique, culturelle

33. TRAITEMENT DE DONNEES
33
. toute opération ou tout ensemble d'opérations effectuées ou non à
l'aide de procédés automatisés et appliquées à des données ou des
ensembles de données à caractère personnel, telles que la collecte,
l'enregistrement, l'organisation, la structuration, la conservation,
l'adaptation ou la modification, l'extraction, la consultation, l'utili
sation, la communication par transmission, la diffusion ou toute autre
forme de mise à disposition, le rapprochement ou l'interconnexion, la
limitation, l'effacement ou la destruction;

34. RESPONSABLE DE TRAITEMENT
34
. la personne physique ou morale, l'autorité publique, le service
ou un autre organisme qui, seul ou conjointement avec d'autres,
détermine les finalités et les moyens du traitement; lorsque les
finalités et les moyens de ce traitement sont déterminés par le
droit de l'Union ou le droit d'un État membre, le responsable du
traitement peut être désigné ou les critères spécifiques
applicables à sa désignation peuvent être prévus par le droit de
l'Union ou par le droit d'un État membre;

35. SOUS-TRAITANT
35
. la personne physique ou morale, l'autorité publique, le
service ou un autre organisme qui traite des données à
caractère personnel pour le compte du responsable du
traitement;

36. VIOLATION DE DONNEES
36
une violation de la sécurité entraînant, de manière accidentelle
ou illicite, la destruction, la perte, l'altération, la divulgation
non autorisée de données à caractère personnel transmises,
conservées ou traitées d'une autre manière, ou l'accès non
autorisé à de telles données;
CONSÉQUENCES:
NOTIFICATION PUBLIQUE !!

37. C : Les 12 grands principes du GDPR
37
1. Responsabilité - « accountability »
2. Droit du citoyen et du collaborateur (RH)
3. Privacy by design
4. Sécurité des données
5. Notification des vols/pertes de données
6. Sanctions importantes
7. Gestion des accès aux données (IAM)
8. Licéité des traitements (réglementation ou consentement)
9. Registre des traitements
10.Analyse de risques et PIA
11.Formation
12.Data privacy officer

38. 1/ ACCOUNTABILITY
38

39. 2/ DROIT DE LA PERSONNE
39
TRANSPARENCE
INFORMATIONS LORS DE LA COLLECTE
DROIT D'ACCES
DROIT DE RECTIFICATION
DROIT A L'EFFACEMENT
DROIT A LA LIMITATION DU TRAITEMENT
PORTABILITE
DROIT D'OPPOSITION AU PROFILAGE

40. 3/ PRIVACY BY DESIGN
40

41. 4/SECURITE DE L'INFORMATION
41

42. 5/ NOTIFICATION DES VOLS/PERTES
42

43. 6/ SANCTIONS
43

44. 7/ IAM (GESTION DES ACCÈS)
44

45. 8/ LICEITE
45

46. 9/ REGISTRE DES TRAITEMENTS
46

47. 10/ ANALYSE DE RISQUES /PIA
47

48. 11/ FORMATIONS
48

49. 12/ DATA PRIVACY OFFICER
49

50. D : LES CONSEQUENCES DU GDPR
50

51. MODIFICATION DE L'ORGANISATION
51

52. Degré de maturité de la plupart des organisations aujourd’hui
52
3/10
• Prise de conscience et de connaissance du GDPR
• Plan de Mise en Conformité au GDPR?
• Désignation d’un DPO?
• Sécurité de l’Information conforme aux normes ISO 2700X?
• Formation du Personnel?
• Registre des Traitements des données personnelles?
• Analyse de Risques?
• Privacy Impact Assessments?
• Conformité aux règles d’Archivage Digital?
• Restriction des accès aux données personnelles?
• Procédures de Réponse aux data subjects?
• Procédure de Communication en matière de Data Breach?
• Adaptation des Contrats des sous-traitants?
• Adaptation des Contrats clients?
• Démontrer la conformité?
• …

53. Deux approches possibles
53
• Irréaliste d’être conforme à 100%
• Incertain (que va-t-on découvrir?)
Viser la Mise en Conformité Totale
Se concentrer sur le respect des
Principes Clé
• Sensibiliser
• Convaincre
• Faire percoler dans toute
l'organisation
• Mitiger les risques principaux
✓ Approche pragmatique
✓ Rythme soutenable

54. E : METHODOLOGIE
54

55. Méthodologie Mise en Conformité
55
METHODOLOGIE
1. Evaluation Préalable
2. Identification des Domaines à Risque
3. Inventaire des Applications et Services
4. Registre des Traitements
5. Plan d’Action de Mise en Œuvre
6. Mise en Conformité Administrative et Organisationnelle
7. Résolution des Non-conformités
8. Installation des Processus Continus
9. Programme de Formation Permanente
Préparation
Implémentation
Pérennisation

56. Plan d’implémentation type
56
Jun Jul Aoû Sep Oct Nov Dec Jan Fév Mar Avr May Jun
Gestion de Projet
Démarrage Projet
Gestion du Changement
Sensibilisation du Personnel
Formation GDPR pour les Personnes Critiques
Mise en Conformité
Préparation
Evaluation Préalable
Identification des Domaines à Risque
Inventaire des Applications et Services
Implémentation
Registre des Traitements
Plan d’Action de Mise en Œuvre
Mise en Conformité Administrative et
Organisationnelle
Résolution des Non-conformités
Pérennisation
Installation des Processus Continus
Programme de Formation Permanente
Data Privacy Officer
Mise en place du DPO et gestion par le DPO

57. DONNEES SENSIBLES
• Certaines données sont si délicates qu'elles ne peuvent être traitées que dans des
cas très spécifiques.
• Vos nom et adresse sont plutôt des données anodines, mais ce n'est pas le cas
pour la race, la santé, les opinions politiques, les convictions philosophiques
(croyant ou athée, etc.), les préférences sexuelles ou le passé judiciaire.
• En principe, il est donc interdit de collecter, d’enregistrer ou de demander à
pouvoir communiquer les données sensibles déjà citées, sauf quelques
exceptions. Le responsable peut traiter des données sensibles données sensibles
(à l'exception des données judiciaires) :
– s'il a obtenu le consentement écrit de la personne concernée ;
– si c'est indispensable pour prodiguer les soins nécessaires à la personne concernée;
– si la législation du travail ou l'application de la sécurité sociale l'impose ;
– la personne concernée elle-même a rendu les données publiques ;
– si c'est nécessaire en vue de l'établissement, de l'exercice ou de la défense d'un droit ;
– si c'est nécessaire dans le contexte d'une recherche scientifique.
126

58. Opt in obligatoire sur les média sociaux
58

59. Cookies

60. Cookie DATR
60

61. international transfer

62. TRANSFERT DE DONNEES
Responsable et sous-traitant

63. Privacy VS. Security
63

64. SECURITE
SOURCE DE L’IMAGE: http://www.techzim.co.zw/2010/05/why-organisations-should-worry-about-security-2/

65. Source : https://www.britestream.com/difference.html.

66. Everything must be transparent

68. • Sécurité organisationnelle
– Département sécurité
– Consultant en sécurité
– Procédure de sécurité
– Disaster recovery

69. • Sécurité technique
– Risk analysis
– Back-up
– Procédure contre incendie, vol, etc.
– Sécurisation de l’accès au réseau IT
– Système d’authentification (identity management)
– Loggin and password efficaces

70. • Sécurité juridique
– Contrats d’emplois et information
– Contrats avec les sous-contractants
– Code de conduite
– Contrôle des employés
– Respect complet de la réglementation

71. 86
La sécurité des données personnelles
est une obligation légale…

72. Employees share (too) many
information and also with third parties

74. Where do one steal data?
•Banks
•Hospitals
•Ministries
•Police
•Newspapers
•Telecoms
•...
Which devices are stolen?
•USB
•Laptops
•Hard disks
•Papers
•Binders
•Cars

75. 63
RESTITUTIONS

76. QUE SAVENT-ILS ??

77. Actualités

78. 78

79. 154
Source de l’image : http://ediscoverytimes.com/?p=46

80. ISO 27002

82. «ISO 27002 c’est donner des recommandations pour gérer
la sécurité de l’information à l’intention de ceux qui sont
responsables de définir, d’implémenter ou de maintenir la
sécurité dans leur organisation.
Elle est conçue pour constituer une base commune de
développement de normes de sécurité organisationnelle et
de pratiques efficaces de gestion de la sécurité, et pour
introduire un niveau de confiance dans les relations dans
l’entreprise. »

85. LA LOI SUR LA PROTECTION DES DONNES PERSONNELLES
IMPOSE UNE SECURITE INFORMATIQUE !

87. 48

88. Bonne
question?

89. 4
By giving people the power to share, we're
making the world more transparent.
The question isn't, 'What do we want to
know about people?', It's, 'What do
people want to tell about themselves?'
Data privacy is outdated !
Mark Zuckerberg
If you have something that you don’t want
anyone to know, maybe you shouldn’t be
doing it in the first place.
Eric Schmidt

90. 1
Privacy statement confusion
• 53% of consumers consider that a privacy statement
means that data will never be sell or give
• 43% only have read a privacy statement
• 45% only use different email addresses
• 33% changed passwords regularly
• 71% decide not to register or purchase due to a
request of unneeded information
• 41% provide fake info
112
Source: TRUSTe survey

91. Les traces
« Jadis, nous étions fichés parce que
quelqu’un souhaitait nous ficher.
Aujourd’hui, nous pouvons aussi
être fichés du seul fait de la
technologie qui produit des traces
sans que nous en ayons toujours
pleinement conscience »
20ème rapport d’activité de la CNIL pour 1999,
avant-propos du président Michel Gentot
167

92. Les traces informatiques
• Logiciels de gestion de projets
• Réseaux sociaux d’entreprise
• Surveillance de réseau
• Télémaintenance
• Firewall
• Emails
• Documents
• Logefiles
• Disque dur de l ’utilisateur
– la mémoire cache
– les cookies
168

93. 93SOURCE: http://mattmckeon.com/facebook-privacy/

94. 94

95. 95

96. 96

97. 97

98. 98

99. 99

100. 100
http://blogs.iq.harvard.edu/netgov/2010/05/facebook_privacy_policy.html

101. Evaluation and Comparison of Privacy Policies-Accessibility/User-Friendliness
Facebook Foursquare Google Buzz LinkedIn Twitter
Number of words 5860 words 2,436 words 1,094 words 5,650 words 1,287 words
Comparison to average Privacy
Policy (based on 2,462 words)
Above average Below average (but very
close to the average)
Below Average Above average Below average
Amount of time it takes one to
read (based on an average
person reading speed--244
words /minute)
Approx. 24 minutes Approx. 10 minutes Approx. 5 minutes Approx. 23 minutes Approx. 5 minutes
Direct link to its actual privacy
policy from the index page
No Yes Yes Yes Yes
Availability in languages other
than English
Yes Yes Yes Yes Yes
Detailed explanation of privacy
control/protection
Yes Yes Yes No No
Trust E-Verified Yes No No Yes No
Linking and/or mentioning to
U.S. Dept. of Commerce “Safe
Harbor Privacy Principles”
Yes No Yes Yes No
Availability of contact
information in case of
questions
Yes Yes No Yes Yes
Coverage of kids privacy Yes Yes No Yes Yes
Containing the clause that it
reserves the right to change the
privacy policy at any time
Yes, but users will be
notified
Yes, but users will be
notified http://
www.psl.cs.
Yes, but users will be
notified of material
changes
Yes, but users will be
notified of material
changes
http://www.psl.cs.columbia.edu/classes/cs6125-s11/presentations/2011/Presentation_Joyce_Chen.ppthy don’t we read privacy policies

103. Aujourd’hui un employeur peut tout savoir
à la seconde près !
45http://i.telegraph.co.uk/multimedia/archive/02183/computer-cctv_2183286b.jpg

104. SUPPRIMER LES DROITS D’ACCES !

105. LES RISQUES
SOURCE DE L’IMAGE : http://www.tunisie-news.com/artpublic/auteurs/auteur_4_jaouanebrahim.html

106. Quels risques?
Source: The Risks of Social Networking IT Security Roundtable Harvard Townsend
Chief Information Security Officer Kansas State University

107. • Sur les réseaux sociaux
• Facebook (vidéo) - Sécurisez votre profil
• Twitter (vidéo) - Sécurisez votre compte
• Google+ (vidéo) - Bien paramétrer son compte
• Sur smartphone
• Effacer à distance les données personnelles présentes dans un
smartphone
• Sur ordinateur
• bloquer les cookies et mouchards.
• ne pas être pisté à des fins publicitaires.
• Cookies - Les recommandations de la Cnil
• Données personnelles sur Internet - Évitez les pratiques à risque
http://www.quechoisir.org/telecom-multimedia/internet/autre-donnees-personnelles-sur-internet-les-outils-pour-les-proteger
DE BONNES PRATIQUES

108. Données… ennuyantes
The new head of MI6 has been left
exposed by a major personal security
breach after his wife published
intimate photographs and family
details on the Facebook website.
Sir John Sawers is due to take over
as chief of the Secret Intelligence
Service in November, putting him in
charge of all Britain's spying
operations abroad.
But his wife's entries on the social
networking site have exposed
potentially compromising details
about where they live and work, who
their friends are and where they
spend their holidays.
http://www.dailymail.co.uk

109. Social Media Spam
Compromised Facebook
account. Victim is now
promoting a shady
pharmaceutical
Source: Social Media: Manage the Security to Manage Your Experience;
Ross C. Hughes, U.S. Department of Education

110. Social Media Phishing
To: T V V I T T E R.com
Now they will have
your username and
password
Source: Social Media: Manage the Security to Manage Your Experience;
Ross C. Hughes, U.S. Department of Education

111. Social Media Malware
Clicking on the
links takes you
to sites that will
infect your
computer
with malware
Source: Social Media: Manage the Security to Manage Your Experience;
Ross C. Hughes, U.S. Department of Education

112. Phishing
Sources/ Luc Pooters, Triforensic, 2011

113. Vol
Possibilité de créer
des comptes
avec des faux noms,
des pseudo
ou des alias
Où commence le vol
d’identité?

114. Social engineering
Sources/ Luc Pooters, Triforensic, 2011

115. Take my stuff,
please!
Source: The Risks of Social Networking IT Security Roundtable Harvard Townsend
Chief Information Security Officer Kansas State University

116. 3rd Party
Applications
•Games, quizzes, cutesie stuff
•Untested by Facebook – anyone
can write one
•No Terms and Condi_ons – you
either allow or you don’t
•Installa_on gives the developers
rights to look at your profile and
overrides your privacy secngs!
Source: The Risks of Social Networking IT Security Roundtable Harvard Townsend
Chief Information Security Officer Kansas State University

117. CONTRÔLE DES COLLABORATEURS
161SOURCE DE L’IMAGE: http://blog.loadingdata.nl/2011/05/chinese-privacy-protection-to-top-american/

118. L’EMPLOYEUR PEUT-IL TOUT CONTROLER?

119. Qui contrôle quoi ?

120. VERS LE CONTREMAÎTRE
ELECTRONIQUE
• Contremaître traditionnel
– personne repérable, chargée de contrôler la présence physique du
salarié sur son lieu de travail et en activité
• Contremaître électronique
– chargé du contrôle de la présence physique : les badges d ’accès…
• Contremaître virtuel
– pouvant tout exploiter sans que le salarié en ait toujours conscience
et permettant, le cas échéant, d ’établir le profil professionnel,
intellectuel ou psychologique du salarié
➨ Développement des chartes d ’information

121. Les emails
• Ne sont pas de la correspondance
• L’employeur peut-il les ouvrir ?
• Emails privés avec adresse privée ?
• Emails privés avec adresse professionnelle
• Emails professionnels ?
169

122. Usage d’internet
• Que faire en cas d’usage illégal ?
• Crime (pédophilie, etc.) ?
• Racisme, sexisme?
• Atteinte au droit d’auteur?
• Criminalité informatique?
• Espionnage industriel ?
• Concurrence déloyale ?
170

123. 123http://www.suez-environnement.fr/wp-content/uploads/2013/03/Guide_Medias_Sociaux_SUEZENVIRONNEMENT-FR.pdf

124. 124http://www.suez-environnement.fr/wp-content/uploads/2013/03/Guide_Medias_Sociaux_SUEZENVIRONNEMENT-FR.pdf

125. Le code de conduite
• Activités illégales
• Activités non autorisées durant certaines
heures
• Activités autorisées avec modération
• Différence entre code de conduite et
application de la CC 81
171

126. Contrôle des employés : équilibre
• Protection de la vie
privée des travailleurs
ET
• Les prérogatives de
l’employeur tendant à
garantir le bon
déroulement du travail

127. CC 81
! Principe de finalité
! Principe de proportionnalité
! Information
! Individualisation
! sanctions

128. Les 4 finalités
1. Prévention de faits illégaux, de faits contraires aux
bonnes mœurs ou susceptibles de porter atteinte à la
dignité d’autrui
2. La protection des intérêts économiques,
commerciaux et financiers de l’entreprise auxquels
est attaché un caractère de confidentialité ainsi que
la lutte contre les pratiques contraires
3 La sécurité et/ou le fonctionnement technique de
l’ensemble des systèmes informatiques en réseau de
l’entreprise, en ce compris le contrôle des coûts y
afférents, ainsi que la protection physique des
installations de l’entreprise
4 Le respect de bonne foi des principes et règles
d’utilisation des technologies en réseau fixés dans
l’entreprise

129. La jurisprudence
• En mars 2008, la Cour de Cassation a admit que des preuves
obtenues irrégulièrement pouvaient néanmoins être
retenues devant les tribunaux sous certaines conditions dont
le respect des droits de la défense.
• Ainsi, même si l'employeur ne respecte pas la vie privée du
travailleur qui en engageant un détective privé, en copiant les
e-mails privés, en écoutant les conversations téléphoniques
ou en examinant les factures de GSM sans respecter la
législation applicable, il pourra, dans la plupart des cas,
utiliser ces éléments comme preuve dans un procès contre
le travailleur.
• Source: http://www.droit-technologie.org/actuality-1220/la-protection-de-la-vie-privee-en-droit-belge-
les-travailleurs-sont.html
1

130. TELEWORKING

131. Le contrôle du
télétravailleur
177
http://fr.slideshare.net/olivier/identitenumeriquereseauxsociaux

132. 178
http://www.privacycommission.be/fr/brochure-information-cybersurveillance

135. today 15 billion connected objects
in 2020 50 billon….

136. RFID & internet of things
188
http://www.ibmbigdatahub.com/sites/default/files/public_images/IoT.jpg

137. Big data: le nouvel or noir ?
182

138. SOLOMO
184http://www.youngplanneur.fr/wp-content/uploads/2011/06/companies-innovating.jpg

139. ÊTRE GÉOLOCALISABLE VA-T-IL
DEVENIR LA NOUVELLE NORME ?
185

140. Biométrie: le corps comme mot de passe
186

141. Reconnaissance faciale
187http://www.lefigaro.fr/assets/infographie/110812-reconnaissance-faciale.jpg

142. 6. CONCLUSION
• IL NE FAUT PAS SOMBRER DANS LA
PARANO
• LES MEDIA SOCIAUX DEMANDENT
UN CONTRÔLE
• LES DONNEES PERSONNELLES
DOIVENT ETRE PROTEGEES
• LA SECURITE INFORMATIQUE EST
UNE OBLIGATION LEGALE
• IL N’Y A PAS DE SECURITE SANS
CONTRÔLE 190

143. CA N’EST PAS COMPLIQUE A
METTRE EN PLACE !
191

144. SECURITE ???

145. 87
“It is not the strongest of the species that survives,
nor the most intelligent that survives.
It is the one that is the most adaptable to change.”
C. Darwin

147. BONNE CHANCE A TOUS

148. 148
F : Q&A