image/svg+xml
IntroductionDéfinitionsPrincipesCas d'écoleAnalyse de risque - PIA
PROGRAMME
Grands Principes1. Licéité et loyauté2. Transparence3. Limitation des finalités4. Minimisation des données5. Exactitude6. Droits d’accès, de rectification, de suppression et d’objection7. Limitation de la conservation des données8. Intégrité, Confidentialité et Sécurité9. Privacy by design10. Notification des vols/pertes de données11. Sanctions importantes12. Formation13. Data privacy officer DPO14. Responsabilité (accountability)
Grands Principes1. Licéité et loyauté2. Transparence3. Limitation des finalités4. Minimisation des données5. Exactitude6. Droits d’accès, de rectification, de suppression et d’objection7. Limitation de la conservation des données8. Intégrité, Confidentialité et Sécurité9. Privacy by design10. Notification des vols/pertes de données11. Sanctions importantes12. Formation13. Data privacy officer DPO14. Responsabilité (accountability)
1. Licéité et loyauté
Licéité : la collecte et le traitement doivent reposer sur au moins un des fondements juridiques suivants:- Exécution d'un contrat (ou pré-contractuel)- L'inérêt légitime- L'intérêt vital- L'intérêt général (autorité publique)- Le consentement "actif" Loyauté : Ce qui est traité doit correspondre à ce qui a été décrit à lapersonne concernée.
2. Transparence
Toute information adressée au public ou à la personne concernée doit être aisément accessible et facile à comprendre, et être formuléeen termes simples et clairs, particulièrement en ce qui concernel’identité du responsable et les finalités du traitement.
3. Limitation des finalités
Les données personnelles ne peuvent être obtenues que pour des « finalités déterminées, explicites et légitimes » (article 5.1.b).Les données ne peuvent être utilisées qu’aux fins spécifiques ayant justifié la collecte et/ou traitement en premier lieu.
4. Minimisation des données
Les données de votre fichier ne doivent servir que pour lesfinalités définies au moment de leur collecte. Il s’agit de ne collecter que ce dont vous avez strictement besoin pour répondre à l’objectif défini.
5. Exactitude: Qualité des données
Les données doivent être « exactes et, si nécessaire,tenues à jour » (article 5.1.d).Il incombe aux détenteurs de données de créer des processusde rectification et suppression dans les bases de données des données des sujets. Ce qui rejoint le principe du droit d’accès et ses composantes.
6. Droits d’accès, de rectification, de suppression et d’objection
Les personnes concernées sont en droit d’obtenir la communication desinformations personnelles les concernant, sauf si les demandes sontmanifestement abusives du fait de leur fréquence déraisonnable,de leur nombre ou de leur nature répétitive ou systématique.Les personnes concernées ont le droit de faire rectifier, modifier ou supprimer les données à caractère personnel les concernant lorsqu’elles sont inexactes ou font l’objet d’un traitement contraire aux présents principes. En cas de doute sérieux quant à la légitimité de la demande.l’organisation peut demander d’autres justifications avant de procéder à la rectification, à la modification ou à la suppression. .Important, le RGPD crée le droit à la portabilité des données, qui est une extension du droit d’accès.
7. Limitation de la conservation des données
Le GDPR dispose que les données personnelles soient « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées » (article 5.1.e). En d’autres mots, les données qui ne sont plus requises doivent être supprimées.
8. Intégrité, Confidentialité, Sécurité
La confidentialité : les données sont uniquement disponibles pour les personnes ou entités compétentes et pour des processus déterminésLa disponibilité : avoir accès aux données et pouvoir en disposer au moment souhaitéL'intégrité : l'exactitude et l'exhaustivité des donnéesL'authenticité: le degré de fiabilité de l'originalité et de l'origine des donnéesL'irréfutabilité : pouvoir prouver qu'une action ou un événement a réellement eu lieu ;de plus, la notion d'auditabilité est également importante, c’est-à-dire l'auditabilité c'est pouvoir tracer des actions et des activités exécutées par les personnes compétentes (ou non compétentes).
9. Privacy by design
Le Privacy by Design est basé sur plusieurs principes, 7 au total : - Conception de mesures préventives et proactives ; - Protection par défaut (Privacy by default) ; - Prise en compte des règles sur la protection de la vie privée dans la conception des produits et durant leur utilisation ; - Protection optimale et intégrale ; - Assurer la sécurité tout au long de la conservation des données ; - Visibilité et transparence ; - Respect de la vie privée des usagers et/ou des cibles du service ;En réalité, ce sont ces principes qui sont repris dans le RGPD, avecbien évidemment des applications plus concrètes : réduction des traitements de données à caractère personnel, pseudonymisation, transparence des traitements, limitation des risques de fuite…
10. Notification des vols/pertes de données
Preparer (to do list: qui, quoi, comment 72heures!)Dans quel cas on prévient l'APDEt après?
11. Sanctions importantes
1.Faits et procédure-Le 28 août 2018, le plaignant a porté plainte auprès de l'Autorité de protectiondes données contre le défendeur.L’objet de la plainte concerne la carte de fidélité proposée par le défendeur à ses clients. Selon le plaignant, la création de la cartede fidélité s’effectue par la lecture de la carte d’identité électronique et l’utilisation des données de celle-ci. Le défendeur refuse de délivrer la carte defidélité si le client ne souhaite pas que l’on utilise sa carte d’identité électroniquemais bien uniquement ses données écrites....PAR CES MOTIFS,la Chambre Contentieuse de l'Autorité de protection des données décide, après délibération, d’infliger des sanctions concernant la violation des articles ...d’infliger une amende administrative de 10.000 euros.https://www.autoriteprotectiondonnees.be/citoyen/publications/decisions
12. Formation
13. DPO
Ses missions principales: - Informer et de conseiller son organisation- Contrôler l'application des textes légaux et des règles internes en matière de données personnelles- Faire office de point de contact entre son organisation et une autorité de contrôle nationale, comme l'APD.La désignation d'un Délégué à la protection des données est parfois obligatoire.Le Délégué peut être membre de l'organisation qu'il conseille, ou travailler en tant que consultant extérieur. Il peut aussi être mutualisé, lorsqu'un même Délégué est désigné par plusieurs structures. Dans tous les cas, le Délégué doit être doté des moyens pour réaliser sa mission et pouvoir agir de façon indépendante.
14. Responsabilité (accountability)
- Etre capable de démontrer sa conformité avec la totalité des autres principes. (article 5.2). - Cela passe notamment par la tenue de registres de traitement et les études d’impact sur la vie privée (Privacy Impact Assessments), mais aussi les analyses de licéité et les analyses d’intérêt légitime.- ISO 27002 devient un outil pour respecter ce principe (ni suffisant, ni de façon exhaustive)
Définitions
Traitement « Opération ou ensemble d'opérations automatisés ou non, appliquées à des données ou à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication, la diffusion, l'interconnexion, la limitation, l'effacement ou la destruction »
DPO « Data Protection Officer » Délégué à la protection des données personnelles. Obligatoire en cas de gestion de DCP sensibles. Hautement conseillé par la CNIL, CVP,... Chef d'orchestre, un touche à tout.
Consentement / consentement explicite « Toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement » Quand c'est pas oui, c'est non !
Autorité de contrôle (APD) « Autorité publique indépendante chargée de surveiller l'application du règlement, afin de protéger les libertés et droits fondamentaux des personnes physiques à l'égard du traitement »
Sous-traitant (ST) « La personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement »
Responsable du traitement (RT) « La personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement »
Catégories particulières de données (DCP sensibles) « Origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données génétique ou biométriques à des fins d’identification, données médicales, orientation sexuelle »
Données à caractère personnelle (DCP) « toute information se rapportant à une personne physique identifiée ou identifiable Est réputée être une "personne physique identifiable" une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale »
The PIA-bock
« Dire que l'on se moque du droit à la vie privée parce qu'on n'a rien à cacher, ça revient à dire que l'on se fiche de la liberté d'expression parce qu'on n'a rien à dire » Edward Snowden, Citizenfour (2014)
Eu or not EU
Exemples de Traitements
"Dommage pour ces types, qui sont des ordures infidèles et ne méritent pas cet anonymat. Dommage pour ALM, vous aviez promis du secret mais vous n'avez pas pu tenir vos promesses."
Orientation "petite" structure, ASBL, TPE,...Conformité au plus "simple".Fort actif dans les données "sensibles" Protection de l'enfance / juridique / pharma...
Cédric Gérard- Experience de longue date en sécurité et confidentialité des donnéesd- Fort intérêt pour le sujet, actif dans l'open source, dans la sensibilisation aux risques des technologies modernes.- Codeur technologie Web (principalement en sécurité)...
AccompagnementAudit GDPRDPO externe Formation/sensibilisationCréation d'outils pour aider les petites structures.
Services:
"Malade un jeudi par mois en moyenne après que son conjoint ait fini ses gardes de nuit"(Affirmation issue d'une fuite de données en Belgique en 2014 et diffusée via Tor)
ISO 27002 (2700x) 1980
Evolution de ces 25 dernières années:TechnologiqueLes organisations ne sont plus les mêmes Besoin d’adaptation plus rapide et d’agilitéAvènement du Big Data et l’IOTEt avec lui la créativité des hackers et autres s’est renforcée
L’Europe et le monde politique n’a pas suivi le mouvementassez rapidement
Contexte
Impactes
Le Changement
Mehari
Ebios
informations personnelles des 37 millions d'inscrits10Gb de donnéesAdresses IPEchangesCoordonnées bancairesAdresses physiqueAdresse mailMot de passe
Très bonne année pour les avocatsSuicidesDémissions,Carrières détruites,Chantage,......
37 millions "d'infidèles", 0 rempart pour leurs données, plusieurs décès...augmentation des divorces
0 4 7 5 . 30 . 40 . 12
www.
MyEasy
Gdpr
.eu
cedric@myeasygdpr.eu
Chemin du Cyclotron 6
1348 Louvain-La-Neuve
www.myeasygdpr.eu