RGPD et nouvelle loi
Informatique et Libertés

Mise en conformité de l’entreprise et impact sur le système d’Information
  • 2 jours
  • Voir les dates
  • Paris et Lyon
  • 1 965 € ht (2 358 € ttc)
Sommaire

LE MOT DE L’INTERVENANT

Ce séminaire vous propose une synthèse des différents volets de...

Ce séminaire vous propose une synthèse des différents volets de mise en œuvre du RGPD (Règlement européen sur la protection des données personnelles) et de la nouvelle loi Informatique et Libertés : règlementaires, organisationnels, techniques, informatiques et méthodologiques. Il fait également le point sur les premiers retours d’expérience et l’évolution des offres des fournisseurs et sous-traitants. Il est destiné aux responsables métiers, juridiques, informatiques, CIL et futurs DPO qui veulent apprécier dans leur globalité les différents paramètres du chantier de mise en conformité.

Bernard Laur
Analyste, consultant, auteur d’ouvrages et de très nombreux articles, est connu depuis une quinzaine d’années pour ses synthèses des domaines émergents et novateurs des NTIC, états de l’art complets illustrés par les premiers retours d’expérience d’entreprises publiques et privées de toutes tailles et secteurs d’activité.
Lire la suite Cacher le texte

Le 25 Mai 2018, le règlement européen de protection des données personnelles complété par une nouvelle loi Informatique et Libertés entre en vigueur. Il est à application directe et immédiate dans les pays de l’Union pour toute entreprise dans le monde qui collecte, stocke et traite des données personnelles de citoyens européens dont l’utilisation peut directement ou indirectement permettre de les identifier.

Le RGPD renforce le droit des personnes et change le rapport avec l’autorité de contrôle pour passer d’un régime déclaratif à une logique de responsabilisation et de justification de la protection des données personnelles (accountability) par les entreprises elles-mêmes. Il est par ailleurs basé sur des principes de co-responsabilité des sous-traitants et de «Privacy by design».

Outre ses volets juridiques, règlementaires et organisationnels, le RGPD implique une évolution lourde du système d’information, la mise en œuvre d’outils logiciels (consentement, « pseudonymisation ») et de processus de sécurité adaptés (chiffrement, détection de violations). Pour certaines entreprises, il constitue l’un des plus grands chantiers informatiques de ces dernières années.

Au-delà de l’obligation de mise en conformité, le RGPD apparait comme une opportunité majeure d’avantage concurrentiel et de renforcement des liens de confiance de l’entreprise avec ses clients et collaborateurs.

Fin 2017, seulement 17 % des entreprises sont en conformité.

Or les amendes sont importantes : 4% du CA ou 20 M€ !

Contexte d’évolution du cadre règlementaire


  • Un cadre règlementaire unifié
  • Trois objectifs : renforcer le droit des personnes, responsabiliser les acteurs, crédibiliser la régulation
  • Remplacement de la directive 94/46/CE par le règlement RGPD et la nouvelle Loi Informatique et Libertés.
  • De quelles données d’entreprise parle-t-on ? Sont-elles toutes maîtrisées ?
  • RGPD : Obligation ou opportunité? Les raisons de se conformer au RGPD : risques business, d’image et sécuritaire.
  • Le coût de la mise en conformité. Qui est impacté dans l’entreprise ?
  • Place de la directive Police-Justice (2016/680), de la future directive e-Privacy. Evolution de la « règlementation cookies » et du Privacy Shield.
  • Rôle de la CNIL, de l’Anssi, du G29.
  • Différents contextes existants : Patriot Act, PCI-DSS, Sox, Bâle, CADA, loi pour une république numérique, Hébergement des données de santé, etc.
  • Un champ d’application étendu
  • Homogénéisation des droits et rôles dans l’UE : Guichet unique, coopération entre autorités de contrôle via le CEPD (Comité européen de protection des données)
  • Renforcement des droits des personnes.
  • Approche globale et nouveaux outils : registre, étude d’impact, privacy by design, violations.
  • Responsabilisation forte de l’entreprise (accountability) et des sous-traitants.
  • Sanctions importantes.

Synthèse des textes et concepts fondamentaux


Analyse et synthèse du RGPD, de la nouvelle loi Informatique et Libertés et des différents règlements connexes afin de dégager tous les concepts à prendre en compte.

Autorité de contrôle

  • Nouveaux rôles. Contrôle, certifications, traitement des réclamations.

CEPD

  • Place du Comité Européen de Protection des données. Contrôle de cohérence.

Code de conduite et certification, labels, marques

  • Importance majeure des codes de conduite.

Communication, formation et information

  • Sensibilisation des clients, formation des collaborateurs.

Consentement

  • Manifester une volonté claire, explicite et « notariser » le consentement ? Cas des enfants.

Co-responsabilité

  • Quelle responsabilité des sous-traitants ?
  • Comment se contractualise-t-elle ?

Données personnelles et sensibles

  • Quelles informations identifient directement ou indirectement une personne ?
  • Différenciation données personnelles / sensibles : cookie, IP, biométrie, photos, etc.

Données transfrontalières

  • Transferts fondés sur une décision d’adéquation, sur des garanties appropriées au sein de l’UE/hors UE, pays hors règlementation. Cas des US.

DPO

  • Profil, rôle, missions du DPO.

Droit à la portabilité des données

  • Différences avec le droit d’accès. S’applique-t-il à toutes données ?

Droit d’accès, consultation, modification, effacement, oubli

  • Délais et procédure de validation. Quelles données conserver ?
  • Conflits avec les « compliances » existantes.

e-Privacy

  • Impacts sur les communications (téléphonie, SMS, Skype, email, réseaux sociaux).
  • Nouvelles contraintes liées à la gestion « centralisée » des cookies.

Loi Informatique & Libertés

  • Principaux apports : mineurs, pouvoirs de la CNIL, autorisations préalables, actions de groupe, décisions automatisées.

Minimisation des données, Finalité

  • Que sont les « données strictement nécessaires à la finalité poursuivie » ?

Police-Justice

  • Quel impact sur la détention de données personnelles ?

Privacy by design

  • Protection des données dès la conception des applications, sites Web et autres systèmes IT.
  • Les travaux de référence (Ann Kavoukian - Ontario). Les 7 principes fondamentaux.

Privacy by default

  • Garantie apportée par les mesures intégrées nativement dans le service.

Responsable de traitement

  • Qui est responsable de traitement (RT)? Ses responsabilités.
  • Place par rapport au DPO

Traitement

  • Comment définir un traitement ?
  • Notion de « licéité » du traitement.

Violation de données

  • L’obligation de déclaration aux autorités dans les 72 heures.
  • Quand faut-il également informer les personnes concernées ?

Grandes étapes de mise en conformité


Une analyse globale et exhaustive des traitements et données personnelles existantes, des conditions de conformité et de sécurité, débouchant sur un plan à moyen/long terme de mise en conformité formelle de l’entreprise et de son SI.

Etat des lieux et analyse préalable

  • Nommer un DPO, créer une task force, informer
  • Analyser l’environnement juridique propre à l’entreprise. Quelle certification envisager ?
  • Cartographier les données personnelles, définir les niveaux de confidentialité/sensibilité, formaliser les délais de conservation.
  • Cartographier traitements et processus (y compris non automatisés), en particulier la gestion des consentements et des droits. Procéder à une étude d’impact si nécessaire. Création du registre.
  • Inventaire et qualification des transferts et de la sous-traitance dans l’UE et avec l’étranger.
  • Comparer à une grille de conformité, identifier les écarts.

Plan d’action

  • Plan d’action sur la base de l’état des lieux : travaux informatiques, organisation et processus.
  • Répartition des tâches entre les parties (DPO, Métiers, DSI, RSSI, RT). Le DPO, MOA transverse en charge de la gestion des exigences.
  • Comment gérer les « nouveaux » consentements et les droits des personnes? La problématique de l’information préalable.
  • Formalisation du "Privacy by design" et "by default". Les exigences pour garantir l’intégrité des données et assurer un haut niveau de protection dès la conception (Privacy by design). Validation de l’approche « Privacy by default ».
  • Quel impact sur le Big Data, l’Internet des objets, l’IA ? Vers une restriction du patrimoine informationnel ?
  • Mise à niveau de l’infrastructure de sécurité du SI et de la gestion des risques (cas de violation de données). Etre ISO 27001 est-il nécessaire?
  • Elaboration de règles d’entreprise contraignantes (BCR) et clauses contractuelles type. Intégration du Privacy Shield.
  • Sensibiliser, informer et former les collaborateurs à la « privacy ».

Maintien de la conformité sur le long terme

  • Systématiser la « Protection by default », planifier l’audit périodique de compliance.

Premières mesures d’« accountability »


Au plan pratique, quelles sont les premières mesures à prendre pour afficher la démarche de conformité RGPD de l’entreprise.

Nomination du DPO (Data Protection Officer)

  • Quand est-il obligatoire ? Rôle des CIL ?
  • A qui reporte-t-il ? Partager un DPO ?
  • Lignes directrices du G29 (statut et missions).
  • DPO, Maître d’ouvrage « transverse » du RGPD.

Maintenance du registre

  • Inventaire des traitements. Informations à fournir : quel formalisme ?
  • Quels outils logiciels d’aide à sa création / gestion (ActeCIL, PrivaCIL, DPO, etc)?

Réalisation d’analyse d’impact (PIA – Protection Impact Assessment)

  • Quels traitements y sont soumis ?
  • Place de la méthodologie eBios. Description et finalité du traitement, proportionnalité aux objectifs, risques supportés, mesures de protection, etc. L’alternative ISO 27018.
  • Comparaison à une grille de conformité. Les logiciels d’aide à la réalisation (Nymity, Avepoint, etc)? L’outil PIA de la CNIL.
  • Dans quel cas consulter l’autorité ?

Accountability

  • Que faut-il documenter ?
  • Mise en conformité des documents commerciaux (CGV, CGU), contrats, formulaires, etc.

Impacts sur le Système d’Information


La mise en conformité RGPD de l’entreprise a obligatoirement un impact majeur sur le SI, sa stratégie, son organisation, qu’il faut planifier et budgéter.
  • Gouvernance des données
  • Inventaire et cartographie des données. Cas des API d’accès aux réseaux sociaux. Les outils (Compliance Guardian, Carto-SI, Control Point, CA, etc)
  • Nouvelles règles de gestion (sauvegarde, archivage) et techniques de protection adaptées (Chiffrement, garantie d’intégrité, signature) fonction de la sensibilité / criticité / conservation des données et de la hiérarchie de stockage.
  • Sécurité du SI
  • Adéquation de l’infrastructure de sécurité du SI et du SMSI. Cinq niveaux et quinze points de contrôle. Respect des normes (ISO 27001, SSAE 16).
  • Quelle politique de gestion des profils à privilèges (IAM) ?
  • Sécurité des données
  • Analyser la sécurisation des données personnelles à tous niveaux : BYOD, accès, stockage, PRA, Cloud, etc.
  • Mettre en œuvre la « pseudonymisation ». Pour quels types de données ? Les pseudonymes sont-ils des données personnelles ?
  • Anonymisation par randomisation ou généralisation, masquage de zones.
  • Les outils de pseudonymisation/anonymisation (Lamane, Solix, IBM, Oracle, Informatica, etc), de chiffrement (Safenet, Sophos, intégrés aux SGBD) et les CASB-Cloud Access Security Broker (SkyHigh, CipherCloud, etc)
  • Administration des risques
  • Détecter une violation, vérifier la non diffusion de données sur le marché / le Web ?
  • Mise en place de DLP (Data Leak Prevention). L’offre (Symantec, Forcepoint, etc). Suivi de e-réputation.
  • Gestion de crise et notification des violations.
  • Applications et progiciels
  • Gérer et notariser efficacement les consentements, la consultation des données, assurer les droits de modification, effacement et oubli. Les nouveaux outils de CIAM-Consumer Identity and Access Mangement (Gigya, Celebrus, etc). Problématique d’accès aux archivages.
  • Transferts de données : API et services de transfert (Onecub).
  • Vers de nouvelles versions des progiciels (ERP, CRM, marketing, service desk, etc).
  • Privacy by design / by Default
  • Principes à intégrer aux programmes dès la conception : exigences du DPO, du RSSI et de la DSI.
  • Les impacts au niveau cahier des charges, programmation, revue de code, tests, mise en production. Apports des méthodes agiles et de Devops. L’anonymisation des jeux de tests.
  • Les bonnes pratiques, outils, méthodes à mettre en place (Secure SDLC, OWAPS)
  • « Shadow IT » et BYOD
  • Gérer le « Shadow IT » : projets gouvernés par les métiers, données stockées sur le poste de travail.
  • Les offres des sous-traitants et fournisseurs
  • Impact du RGPD sur les progiciels. Quelle intégration du « Privacy by design » par les éditeurs? Qui doit fournir le PIA ?
  • Les clauses de conformité dans les contrats des éditeurs et des fournisseurs de Cloud (ISO, SOC, CISPE)?
  • Comment les GAFAM ont (déjà) intégré le RGPD.
  • Le marché des logiciels d’aide à la mise en œuvre : Inventaire des données, cartographie, DLP, CIAM, etc.
  • L’impact du RGPD sur les secteurs et les métiers
  • Marketing, DRH, commercial. Cas des données de santé.
  • e-Commerce, Programmatique, Big Data.