Upload
hakhanh
View
219
Download
0
Embed Size (px)
Citation preview
D é v e l o p p e r l a c a p a c i t é d e s g r a n d e s e n t r e p r i s e s à i n t é g r e r e t m a î t r i s e r l e n u m é r i q u e
© C
op
yrig
ht
CIG
REF
20
16
– T
ou
s d
roit
s ré
serv
és
© C
op
yrig
ht
CIG
REF
20
11
– T
ou
s d
roit
s ré
serv
és
Données Personnelles & Systèmes d’Information
Groupe de Travail DPSI, conjoint AFAI, CIGREF & TECH IN France
Réunion plénière du 20 avril 2017
1 ©
Co
pyr
igh
t C
IGR
EF 2
01
6 –
To
us
dro
its
rése
rvés
D é v e l o p p e r l a c a p a c i t é d e s g r a n d e s e n t r e p r i s e s à i n t é g r e r e t m a î t r i s e r l e n u m é r i q u e
© C
op
yrig
ht
CIG
REF
20
16
– T
ou
s d
roit
s ré
serv
és
© C
op
yrig
ht
CIG
REF
20
11
– T
ou
s d
roit
s ré
serv
és Groupe de Travail AFAI, CIGREF, TECH IN France
1. Cartographier les obligations réglementaires sur
les données personnelles, et donner une lecture
explicite et opérationnelle des exigences du GDPR
2. Emettre des recommandations concrètes, applicables
opérationnellement par les fournisseurs de services
logiciels (on-premise ou SaaS), et par les entreprises
utilisatrices, quels que soient les choix d’architectures
1
2
Objectif: Evaluation de l’impact sur l’architecture des SI
des réglementations sur les données personnelles
01/03/2017
3
D é v e l o p p e r l a c a p a c i t é d e s g r a n d e s e n t r e p r i s e s à i n t é g r e r e t m a î t r i s e r l e n u m é r i q u e
© C
op
yrig
ht
CIG
REF
20
16
– T
ou
s d
roit
s ré
serv
és
© C
op
yrig
ht
CIG
REF
20
11
– T
ou
s d
roit
s ré
serv
és
Gouvernance du groupe de travail DPSI
Comité de Pilotage
DPSI Pilotes AFAI, CIGREF, TECH IN France
SG2
« Mesures techniques
applicables sur les SI »
Pilotage CIGREF
De Gaulle, Fleurance & Associés
SG1
« Check-list des questions à
se poser pour se mettre en
conformité »
Pilotage AFAI
August-Debouzy
SG3
« Mode d’emploi et outils de
conformité avec le cadre
législatif et réglementaire »
Pilotage TECH IN France
Samman
Osborne Clarke
Réunions plénières trimestrielles ouvertes à l’ensemble de la communauté
Le groupe de travail conjointement mis en place par l’AFAI, le CIGREF et TECH IN France repose sur 3 volets (SG1, SG2, SG3) pilotés respectivement par chacune des trois associations, avec le concours de quatre cabinets d’Avocats spécialisés
01/03/2017
4
AFAI, CIGREF, TECH IN France
Cabinets d’Avocats
CNIL
Socle commun des exigences du GDPR
Cabinets d’Avocats
D é v e l o p p e r l a c a p a c i t é d e s g r a n d e s e n t r e p r i s e s à i n t é g r e r e t m a î t r i s e r l e n u m é r i q u e
© C
op
yrig
ht
CIG
REF
20
16
– T
ou
s d
roit
s ré
serv
és
© C
op
yrig
ht
CIG
REF
20
11
– T
ou
s d
roit
s ré
serv
és
Oct. Nov. Dec. Jan. Fev. Mar. Avr. Mai Juin Juil. Aout Sept. Oct.
2017 2016
Oct. 2017
Production livrable
(guide de bonnes pratiques)
14/12/2016
Plénière
20/04/2017
Plénière
04/07/2017
Plénière
Septembre
2017
Plénière
Le groupe de travail lancé au 4T2016 a l’ambition d’aboutir à des résultats concrets et
directement applicables par l’ensemble de l’écosystème à horizon d’un an:
Calendrier du groupe de travail DPSI
01/03/2017
5
D é v e l o p p e r l a c a p a c i t é d e s g r a n d e s e n t r e p r i s e s à i n t é g r e r e t m a î t r i s e r l e n u m é r i q u e
© C
op
yrig
ht
CIG
REF
20
16
– T
ou
s d
roit
s ré
serv
és
© C
op
yrig
ht
CIG
REF
20
11
– T
ou
s d
roit
s ré
serv
és
• Introduction : Régis Delayat, SCOR, VP CIGREF, Administrateur AFAI
• Les grands axes d’exigences du GDPR : Cabinets d’Avocats (De Gaulle Fleurance & Associés,
August-Debouzy, Osborne Clarke, Samman)
• Présentation des travaux des 3 sous-groupes DPSI
• Regard croisé de la CNIL : Sophie Nerbonne, Directrice de la Conformité
• Grand témoin : Michael Nguyen, SCOR, Head of IT Management & Control
« Comment une grande entreprise se prépare au GDPR ? Gouvernance et gestion du projet »
• Questions/Réponses
• Conclusion : Stanislas de Rémur, CEO Oodrive, VP TECH IN France
1
2
3
4
6
5
6
7
Agenda de la plénière DPSI du 20 avril 2017
D é v e l o p p e r l a c a p a c i t é d e s g r a n d e s e n t r e p r i s e s à i n t é g r e r e t m a î t r i s e r l e n u m é r i q u e
© C
op
yrig
ht
CIG
REF
20
16
– T
ou
s d
roit
s ré
serv
és
© C
op
yrig
ht
CIG
REF
20
11
– T
ou
s d
roit
s ré
serv
és Socle commun des exigences du GDPR
6
Travail conjoint des Cabinets d’Avocats pour établir un tableau du GDPR reprenant :
Une présentation des articles du GDPR
Les évolutions par rapport au droit existant
Les interrogations soulevées par les nouvelles dispositions
Les actions à envisager pour les entreprises
Il constitue un document de base pour la suite des travaux des 3 sous-groupes
Rappel :
Est personnelle toute donnée
permettant l’identification d’un individu
Identification (nom, prénom, genre, âge, adresse…)
Vie personnelle (habitudes de vie, préférences
religieuses, politiques, sexuelles…)
Vie professionnelle (CV, formation, profession,
contrat de travail…)
Comportement (messagerie, réseaux sociaux,
recherches web, consommation en ligne...)
Localisation (déplacements, gps, gsm…)
Données économiques et financières (revenus,
situation financière et fiscale…)
Données sensibles (santé, médicales, infractions,
condamnations…)
D é v e l o p p e r l a c a p a c i t é d e s g r a n d e s e n t r e p r i s e s à i n t é g r e r e t m a î t r i s e r l e n u m é r i q u e
© C
op
yrig
ht
CIG
REF
20
16
– T
ou
s d
roit
s ré
serv
és
© C
op
yrig
ht
CIG
REF
20
11
– T
ou
s d
roit
s ré
serv
és
Grandes catégories d’exigences du GDPR – FOCUS
01/03/2017
Partage de
Responsabilité
• Stipulation contractuelles obligatoires
• Responsabilité du responsable
du traitement
• Régime de responsabilité conjointe
Définitions /
Notions de bases
• Données à caractère personnel ("DP")
• Traitement de DP (types, principes)
• Flux de DP
• Responsable de traitement
• Sous-traitant
• Violation de DP
Transfert de
données hors UE
• Mécanisme de transferts existants : adéquation, clause
contractuelle, BCR, Privacy Shield
• Dérogations
Gouvernance
Interne
• Rôle et responsabilité du DPO
• Registre des activités de traitement
• Privacy Impact Assessment
(PIA) & Privacy by Design
• Codes de conduites et Certification
Sécurité et
notification des
violations de
données
personnelles
• Mesures de sécurité
• Dispositif de détection
• Dispositif de notification
Rapport avec les
data subjects
• Transparence, information et consentement
• Gestion de l’exercice des droit
des personnes : accès,
opposition, rectification,
effacement, portabilité, limitation
• Profilage et décisions automatisées
Voies de recours,
responsabilité et
sanctions
• Droit de recours (réclamation, recours juridictionnel)
• Droit à réparation et responsabilité
• Sanctions
8
D é v e l o p p e r l a c a p a c i t é d e s g r a n d e s e n t r e p r i s e s à i n t é g r e r e t m a î t r i s e r l e n u m é r i q u e
© C
op
yrig
ht
CIG
REF
20
16
– T
ou
s d
roit
s ré
serv
és
© C
op
yrig
ht
CIG
REF
20
11
– T
ou
s d
roit
s ré
serv
és
• Introduction : Régis Delayat, SCOR, VP CIGREF, Administrateur AFAI
• Les grands axes d’exigences du GDPR : Cabinets d’Avocats (De Gaulle Fleurance & Associés,
August-Debouzy, Osborne Clarke, Samman)
• Les 3 sous-groupes DPSI
• Regard croisé de la CNIL : Sophie Nerbonne, Directrice de la Conformité
• Grand témoin : Michael Nguyen, SCOR, Head of IT Management & Control
« Comment une grande entreprise se prépare au GDPR ? Gouvernance et gestion du projet »
• Questions/Réponses
• Conclusion : Stanislas de Rémur, CEO Oodrive, VP TECH IN France
1
2
3
4
9
5
6
7
Agenda de la plénière DPSI du 20 avril 2017
• SG1, Check-list des questions à se poser pour se mettre en conformité Bertrand Helfre, Senior Manager EY, AFAI
• SG2, Mesures techniques applicables sur le SI Sophie Bouteiller, IT Governance Officer de SCOR, CIGREF
• SG3, Mode d’emploi juridique pour une conformité GDPR Loïc Rivière, Délégué Général de TECH IN France
9 01/03/2017
Les 4 sous-groupes du SG1
A : Aspects Fonctionnels du GDPR B : Gouvernance
C : Métiers D : Sécurité SI
Les thèmes retenus par le groupe de travail sont les suivants:
1. Licéité du traitement
2. Types de traitements mis en place
3. Catégories de données collectées
4. Droit des personnes
5. Obligations dans les relations entre responsables de traitement (RT) et sous-traitants (ST)
6. Transferts de données en dehors de l’Espace Economique Européen
7. Sécurité des données
15/07/2017 10
A : Aspects fonctionnels du RGPD
15/07/2017 11
Thèmes Sous-Thèmes
1. Licéité du traitement
Détermination des finalités poursuivies
Proportionnalité des données collectées par rapport aux finalités poursuivies
Base légale des traitements de données mis en place (consentement, intérêt légitime,
exécution contrat, etc.)
Durée de conservation des données
2. Types de traitements
mis en place
Traitements standards
Décisions individuelles automatisées et profilage (conditions de mise en œuvre,
conséquences)
Vidéosurveillance - vidéoprotection / Géolocalisation / Whistleblowing / Ecoute sur le
lieu de travail / Contrôle d’accès aux locaux / Biométrie (ou autres traitements soumis
à des régimes spécifiques ; à compléter…)
Installation de cookies
Problématique des interconnexions de fichier
3. Catégories de
données collectées
Identifier les principales catégories de personnes concernées (RH, données clients,
données fournisseurs, etc.) + les catégories de données traitées (identité, vie
personnelle, vie professionnelle, données de connexion, etc.)
Données relatives à des mineurs (consentement des parents, information, etc.)
Catégories particulières de données (cf conditions permettant de collecter de telles
données)
Données relatives aux condamnations pénales et aux infractions
Détails des thèmes (1/3)
Thèmes Sous-Thèmes
4. Droit des personnes
Provenance des données, collecte directe ou indirecte (et conditions d’obtention en
cas de collecte indirecte)
Mentions d’information à fournir (politique de confidentialité, guide éthique, guide RH,
charte informatique, etc.) de manière adéquate (concises, compréhensibles,
informations exhaustives, etc.)
Gestion de l’exercice des droits des personnes (droit d’accès, d’opposition, portabilité
des données, droit à l’oubli, etc.)
Notification aux destinataires des données de toute rectification, effacement des
données ou limitation du traitement demandés par la personne concernée
Si la base légale du traitement est le consentement : conformité des modalités
d’obtention du consentement avec les obligations du RGPD (forme distinctive,
compréhensible, aisément accessible, termes clairs et simples, etc.) + possibilité de
revenir sur le consentement donné
Obligation d’opt-in / opt-out pour prospection commerciale par voie électronique
Information des instances représentatives du personnel (obligation de droit du travail
ayant un impact direct sur les traitements de données RH mis en place)
Droits en matière de profilage (information, opposition)
15/07/2017 12
Détails des thèmes (2/3)
15/07/2017 13
Thèmes Sous-Thèmes
5. Obligations dans les
relations entre
responsables de
traitement (RT) et sous-
traitants (ST)
Stipulations contractuelles obligatoires (objet et durée du traitement, finalité du
traitement, confidentialité des données, conditions en cas de sous-traitance ultérieure,
coopération avec le RT, suppression des données à terme, etc.).
Vérification des mesures techniques et organisationnelles mises en place par les ST
pour se conformer au RGPD
Respect des obligations par le ST (coopération avec le RT, demande de permission
pour transférer les données, transmission des demandes des personnes, etc.)
Régime de responsabilité conjointe
6. Transferts de données
en dehors de l’Espace
Economique Européen
Identification des flux de données personnelles au sein de l’entreprise / du groupe
Transferts de données en dehors de l’UE : mécanismes mis en place pour transférer
les données et dérogations
7. Sécurité des données
Mesures de sécurité mises en place (pseudonymisation, chiffrement, mesures de
confidentialité, analyses régulières, etc.)
Dispositif de détection des violations de données à caractère personnel
Procédure de prise en charge des violations de données à caractère personnel et
obligation de notification (à qui notifier, dans quels délais)
Détails des thèmes (3/3)
14 01/03/2017
B : Check-list Gouvernance*
• DPO
• Processus
• Périmètre
• Contrôle et monitoring pour la mise en conformité
• Prérequis et travaux préparatoires
• Politiques et procédures
• Formation et information
*check-list en annexe
15 01/03/2017
C : Check-list Métiers*
• Questions générales
• Licéité du traitement
• Droit des personnes
• Tiers
• Transferts internationaux des données
• « Privacy Impact Assessement » (PIA)
• Notification des violations de données personnelles
*check-list en annexe
16 01/03/2017
D : Check-list Systèmes d’Information (SI) & cybersécurité * • Mesures de sécurité des données (« Security by Default »)
• Accès aux données personnelles par les développeurs ?
• Date de Conservation ? Suppression des données ?
• Copie des données de production dans d’autres environnements ?
• Lien avec l’étude d’impact sur les données personnelles (PIA)
• Chiffrement / Anonymisation / pseudonymisation de données personnelles
• Dispositif de détection (SIEM/SOC) et de notification
• Big Data ? Comment maitriser ces technologies nouvelles pour adresser les exigences de minimisation
*check-list en annexe
D é v e l o p p e r l a c a p a c i t é d e s g r a n d e s e n t r e p r i s e s à i n t é g r e r e t m a î t r i s e r l e n u m é r i q u e
© C
op
yrig
ht
CIG
REF
20
16
– T
ou
s d
roit
s ré
serv
és
© C
op
yrig
ht
CIG
REF
20
11
– T
ou
s d
roit
s ré
serv
és
• Introduction : Régis Delayat, SCOR, VP CIGREF, Administrateur AFAI
• Les grands axes d’exigences du GDPR : Cabinets d’Avocats (De Gaulle Fleurance & Associés,
August-Debouzy, Osborne Clarke, Samman)
• Les 3 sous-groupes DPSI
• Regard croisé de la CNIL : Sophie Nerbonne, Directrice de la Conformité
• Grand témoin : Michael Nguyen, SCOR, Head of IT Management & Control
« Comment une grande entreprise se prépare au GDPR ? Gouvernance et gestion du projet »
• Questions/Réponses
• Conclusion : Stanislas de Rémur, CEO Oodrive, VP TECH IN France
1
2
3
4
18
5
6
7
Agenda de la plénière DPSI du 20 avril 2017
• SG1, Check-list des questions à se poser pour se mettre en conformité Bertrand Helfre, Senior Manager EY, AFAI
• SG2, Mesures techniques applicables sur le SI Sophie Bouteiller, IT Governance Officer de SCOR, CIGREF
• SG3, Mode d’emploi juridique pour une conformité GDPR Loïc Rivière, Délégué Général de TECH IN France
D é v e l o p p e r l a c a p a c i t é d e s g r a n d e s e n t r e p r i s e s à i n t é g r e r e t m a î t r i s e r l e n u m é r i q u e
© C
op
yrig
ht
CIG
REF
20
16
– T
ou
s d
roit
s ré
serv
és
© C
op
yrig
ht
CIG
REF
20
11
– T
ou
s d
roit
s ré
serv
és Axes de travail du SG2
Méthodologie d’inventaire des données et des traitements associés, et d’appréciation de leur sensibilité
Analyse des offres des éditeurs (Microsoft, salesforce, Workday, etc…) en matière de protection des données personnelles
Inventaire des mesures techniques applicables, et outillage associé
Renforcement de la sécurité en général
Protection des données
Evaluation des impacts opérationnels (performances, évolutions des infrastructures, etc…)
Mapping des mesures techniques sur les exigences du GDPR
Illustration de bout en bout sur un cas d’usage CRM
Gouvernance
Recommandation de mise en place d’un projet global d’entreprise, avec implication forte des métiers
Communication interne de sensibilisation sur les enjeux et les règles de bonne conduite
19
D é v e l o p p e r l a c a p a c i t é d e s g r a n d e s e n t r e p r i s e s à i n t é g r e r e t m a î t r i s e r l e n u m é r i q u e
© C
op
yrig
ht
CIG
REF
20
16
– T
ou
s d
roit
s ré
serv
és Les 20 contrôles du CIS
20
1) Inventory of Authorized and Unauthorized Devices
2) Inventory of Authorized and Unauthorized Software
3) Secure Configurations for Hardware and Software
4) Continuous Vulnerability Assessment and Remediation
5) Controlled Use of Administrative Privileges
6) Maintenance, Monitoring and Analysis of Audit Logs
7) Email and Web Browser Protections
8) Malware Defenses
9) Limitation and Control of Network Ports
10) Data Recovery Capability
11) Secure Configurations for Network Devices
12) Boundary Defense
13) Data Protection
14) Controlled Access Based on the Need to Know
15) Wireless Access Control
16) Account Monitoring and Control
17) Security Skills Assessment and Appropriate Training to fill Gaps
18) Application Software Security
19) Incident Response and Management
20) Penetration Tests and Red Team Exercices
Sensibiliser et former Connaître le Système
d’Information
Authentifier et contrôler
les accès
Sécuriser les postes
Sécuriser le réseau Sécuriser
l’administration
Gérer le nomadisme
Superviser, auditer, réagir
Maintenir le système d’information à jour
21
D é v e l o p p e r l a c a p a c i t é d e s g r a n d e s e n t r e p r i s e s à i n t é g r e r e t m a î t r i s e r l e n u m é r i q u e
© C
op
yrig
ht
CIG
REF
20
16
– T
ou
s d
roit
s ré
serv
és
© C
op
yrig
ht
CIG
REF
20
11
– T
ou
s d
roit
s ré
serv
és Mapping des exigences du GDPR et des mesures techniques applicables sur le SI
23
• Renforcement de la sécurité
• Protection des données
Exigences GDPR Mesures Techniques
D é v e l o p p e r l a c a p a c i t é d e s g r a n d e s e n t r e p r i s e s à i n t é g r e r e t m a î t r i s e r l e n u m é r i q u e
© C
op
yrig
ht
CIG
REF
20
16
– T
ou
s d
roit
s ré
serv
és
© C
op
yrig
ht
CIG
REF
20
11
– T
ou
s d
roit
s ré
serv
és
SG2 – Mesures spécifiques de protection des données
Schéma-type d’un service traitant des données personnelles,
SaaS et on-premise, en architecture globale ou distribuée
Poste de travail
Storage
Server
Application server
Application A
Database
Données source Storage
Server
Application server
Application B
Database
Data Warehouse
Reportings Extractions Excel Emails
Transferts de
données
Traitements portant spécifiquement
sur les données, tout au long de son
cycle de vie
• Consentement
• Rectification
• Effacement
• Portabilité
• Collecte
• Localisation
• Accès, transferts
• Sauvegarde, Archivage
• Chiffrement (@rest, in-transit)
• Physique (poste, serveur,
stockage)
• Base de données
• Fichiers
• Emails
• Obfuscation (anonymisation,
pseudonymisation)
• Détection de violation
• Notification
• …
24
D é v e l o p p e r l a c a p a c i t é d e s g r a n d e s e n t r e p r i s e s à i n t é g r e r e t m a î t r i s e r l e n u m é r i q u e
© C
op
yrig
ht
CIG
REF
20
16
– T
ou
s d
roit
s ré
serv
és
© C
op
yrig
ht
CIG
REF
20
11
– T
ou
s d
roit
s ré
serv
és
Proposer une déclinaison pratique des travaux du groupe de travail, qui :
Réponde aux préconisations du régulateur
Illustre les mesures à prendre par les membres du groupe de travail, et plus largement les adhérents du CIGREF, de l’AFAI et de TECH IN France
25
• La gestion de la relation client (CRM) est une stratégie business qui optimise les revenus et la rentabilité tout en favorisant la satisfaction et la fidélité de la clientèle.
• Les technologies de CRM permettent de déployer cette stratégie, elles permettent d’identifier et de conduire les relations avec la clientèle, en vis-à-vis ou de façon virtuelle.
CRM (Gartner)
1. Identifier les interactions avec la clientèle
2. Identifier les systèmes utilisés par les interactions
3. Identifier les modalités d’hébergement de
ces systèmes (on premise, cloud, hébergement, système externe,…)
4. Identifier les données personnelles collectées par ces systèmes et les flux le cas échéant
Démarche
Application pratique au cas d’usage CRM
D é v e l o p p e r l a c a p a c i t é d e s g r a n d e s e n t r e p r i s e s à i n t é g r e r e t m a î t r i s e r l e n u m é r i q u e
© C
op
yrig
ht
CIG
REF
20
16
– T
ou
s d
roit
s ré
serv
és
© C
op
yrig
ht
CIG
REF
20
11
– T
ou
s d
roit
s ré
serv
és Application pratique au cas d’usage CRM
26
Données Personnelles Traitements Sensibilité / Priorité Mesures Techniques
• Contacts « Clients »
• Identification
• Coordonnées
• Fonction
• Manager
• Visites
• Centres d’intérêts
• Mailings
• …
• Utilisateurs
• Identification
• Profil
• Droits
• Adresse IP
• …
• Contacts Clients
• Rencontres,
rapports de visite
• Retours campagnes
marketing
• Stratégie de
prospection
• Reporting
• …
• Utilisateurs
• Authentification
• Traçabilité des
accès
• Reporting
• …
Exemple de catégorisation
1. Données personnelles
critiques
2. Données personnelles
sensibles
3. Autres données
personnelles
• Localisation
• Accès
• Sauvegarde, archivage
• Consentement
• Rectification
• Effacement
• Portabilité
• Chiffrement (@rest, in
transit)
• hardware
• base de données
• fichiers
• emails
• Obfuscation
• …
D é v e l o p p e r l a c a p a c i t é d e s g r a n d e s e n t r e p r i s e s à i n t é g r e r e t m a î t r i s e r l e n u m é r i q u e
© C
op
yrig
ht
CIG
REF
20
16
– T
ou
s d
roit
s ré
serv
és
© C
op
yrig
ht
CIG
REF
20
11
– T
ou
s d
roit
s ré
serv
és
• Introduction : Régis Delayat, SCOR, VP CIGREF, Administrateur AFAI
• Les grands axes d’exigences du GDPR : Cabinets d’Avocats (De Gaulle Fleurance & Associés,
August-Debouzy, Osborne Clarke, Samman)
• Les 3 sous-groupes DPSI
• Regard croisé de la CNIL : Sophie Nerbonne, Directrice de la Conformité
• Grand témoin : Michael Nguyen, SCOR, Head of IT Management & Control
« Comment une grande entreprise se prépare au GDPR ? Gouvernance et gestion du projet »
• Questions/Réponses
• Conclusion : Stanislas de Rémur, CEO Oodrive, VP TECH IN France
1
2
3
4
27
5
6
7
Agenda de la plénière DPSI du 20 avril 2017
• SG1, Check-list des questions à se poser pour se mettre en conformité Bertrand Helfre, Senior Manager EY, AFAI
• SG2, Mesures techniques applicables sur le SI Sophie Bouteiller, IT Governance Officer de SCOR, CIGREF
• SG3, Mode d’emploi juridique pour une conformité GDPR Loïc Rivière, Délégué Général de TECH IN France
Démarche du groupe 3
Approche juridique et transversale focalisée sur les conséquences du
GDPR
Approche s’appuyant sur les problématiques identifiées par le Groupe
de travail 1
Objectif : fournir aux membres les outils pour la mise en œuvre du GDPR
notamment dans leurs relations contractuelles
Agenda de travail
7 février
16 mars
19 mai
22 Juin
Juillet Automne
Présentation des
objectifs des 2
autres SG
Définition des
objectifs du SG3
État des lieux des
labels et
certifications
existants : CNIL
(label gouvernance,
pack de conformité et
certification) et
ANSSI
(SecNumCloud)
Présentation
Responsabilité du
controller et du
processor
Présentation
Compétence du
DPO
Interventions de
Controllers et de
Processors
- Cap Gemini
- Mastercard
- Total
Comment vos
entreprises
envisagent le GDPR
?
Quels outils à mettre
en place ?
Interventions de
Controllers et de
Processors
- Microsoft
- Box
Comment vos
entreprises
envisagent le GDPR
?
Quels outils à mettre
en place ?
Définition du
livrable
Interventions de
Controllers et de
Processors
Rédaction du
livrable
Fourniture d’une
boite à outils pour se
conformer aux
dispositions du
GDPR
Restitution des
travaux du SG3
Travaux à venir
Après identification des besoins et obligations des entreprises notamment s’agissant du registre des activités
de traitement et du DPO, le SG3 apportera aux entreprises une boîte à outils pour leur gouvernance et leurs
relations avec les tiers dans le cadre de la mise en œuvre du GDPR.
Objectifs de travail
Gouvernance interne
PIA et DPO
Outils de confiance vis-à-vis des tiers
Présomption de conformité
Relations avec les tiers
Responsabilité
PIA
• Quand dois-je faire un Privacy Impact
Assessment ?
• Comment définir le contenu du PIA ?
• Quelles démarches entreprendre à la suite
du PIA ? …
DPO
• Dois-je nommer un DPO ?
• Qui choisir comme DPO ?
• Quel environnement doit entourer le DPO
(moyens techniques, financiers, humains)
Code de bonne conduite
• Pourquoi se doter d’un code de bonne conduite ?
• Comment rédiger un code de bonne conduite ?
• Quel contenu ?
Clauses contractuelles
• Identifier les clauses-types (clauses sous-
traitant / clauses responsables)
• Identifier ce qui est obligatoire / ce qui va
changer / les points d’alertes
• Identifier les points non couverts par les
outils de conformité
Certification
• Pourquoi se faire certifier/labelliser ?
• Comment se préparer à la certification?
BCR
• Quelles évolutions pour les BCR existantes ?
• Quelle est la pertinence des BCR post GDPR ?
D é v e l o p p e r l a c a p a c i t é d e s g r a n d e s e n t r e p r i s e s à i n t é g r e r e t m a î t r i s e r l e n u m é r i q u e
© C
op
yrig
ht
CIG
REF
20
16
– T
ou
s d
roit
s ré
serv
és
© C
op
yrig
ht
CIG
REF
20
11
– T
ou
s d
roit
s ré
serv
és
• Introduction : Régis Delayat, SCOR, VP CIGREF, Administrateur AFAI
• Les grands axes d’exigences du GDPR : Cabinets d’Avocats (De Gaulle Fleurance & Associés,
August-Debouzy, Osborne Clarke, Samman)
• Présentation des travaux des 3 sous-groupes DPSI
• Regard croisé de la CNIL : Sophie Nerbonne, Directrice de la Conformité
• Grand témoin : Michael Nguyen, SCOR, Head of IT Management & Control
« Comment une grande entreprise se prépare au GDPR ? Gouvernance et gestion du projet »
• Questions/Réponses
• Conclusion : Stanislas de Rémur, CEO Oodrive, VP TECH IN France
1
2
3
4
31
5
6
7
Agenda de la plénière DPSI du 20 avril 2017
D é v e l o p p e r l a c a p a c i t é d e s g r a n d e s e n t r e p r i s e s à i n t é g r e r e t m a î t r i s e r l e n u m é r i q u e
© C
op
yrig
ht
CIG
REF
20
16
– T
ou
s d
roit
s ré
serv
és
© C
op
yrig
ht
CIG
REF
20
11
– T
ou
s d
roit
s ré
serv
és
• Introduction : Régis Delayat, SCOR, VP CIGREF, Administrateur AFAI
• Les grands axes d’exigences du GDPR : Cabinets d’Avocats (De Gaulle Fleurance & Associés,
August-Debouzy, Osborne Clarke, Samman)
• Présentation des travaux des 3 sous-groupes DPSI
• Regard croisé de la CNIL : Sophie Nerbonne, Directrice de la Conformité
• Grand témoin : Michael Nguyen, SCOR, Head of IT Management & Control
« Comment une grande entreprise se prépare au GDPR ? Gouvernance et gestion du projet »
• Questions/Réponses
• Conclusion : Stanislas de Rémur, CEO Oodrive, VP TECH IN France
1
2
3
4
32
5
6
7
Agenda de la plénière DPSI du 20 avril 2017
D é v e l o p p e r l a c a p a c i t é d e s g r a n d e s e n t r e p r i s e s à i n t é g r e r e t m a î t r i s e r l e n u m é r i q u e
© C
op
yrig
ht
CIG
REF
20
16
– T
ou
s d
roit
s ré
serv
és
© C
op
yrig
ht
CIG
REF
20
11
– T
ou
s d
roit
s ré
serv
és
• Introduction : Régis Delayat, SCOR, VP CIGREF, Administrateur AFAI
• Les grands axes d’exigences du GDPR : Cabinets d’Avocats (De Gaulle Fleurance & Associés,
August-Debouzy, Osborne Clarke, Samman)
• Présentation des travaux des 3 sous-groupes DPSI
• Regard croisé de la CNIL : Sophie Nerbonne, Directrice de la Conformité
• Grand témoin : Michael Nguyen, SCOR, Head of IT Management & Control
« Comment une grande entreprise se prépare au GDPR ? Gouvernance et gestion du projet »
• Questions/Réponses
• Conclusion : Stanislas de Rémur, CEO Oodrive, VP TECH IN France
1
2
3
4
33
5
6
7
Agenda de la plénière DPSI du 20 avril 2017
Remerciements
Le collectif
CIGREF
AFAI TECH IN France
Les groupes de travail
La CNIL
Ampleur du Projet
Perspectives d’avenir
La GDPR, véritable opportunité
• Cadre de confiance = Croissance
• Un équilibre à trouver
Protection des consommateurs
Compétitivité de l’Economie
Rappel du calendrier et des objectifs
Un livrable clair et pratique
… pour les entreprises comme pour les acteurs publics
…pour les utilisateurs comme pour les fournisseurs de solutions
… restitué à l’automne 2017
D’ici là, chaque sous-groupe se réunira en commissions.
Prochaine étape : La plénière du 4 juillet
CIGREF, AFAI et TECH IN France = une seule voix Les missions que se donne le collectif :
• Etre le partenaire / interlocuteur privilégié de la CNIL et des institutions
• Enrichir le livre blanc au fur et à mesure des retours d’expérience
• Participer à l’accompagnement des entreprises vers la mise en conformité
• Apporter le point de vue des entreprises (utilisatrices et sous-traitants)
• Aider à la traduction du GDPR dans la loi nationale et dans les lignes directrices du G29
• en répondant aux consultations lancées par la CNIL ou le G29
• en rencontrant les pouvoirs publics en France
D é v e l o p p e r l a c a p a c i t é d e s g r a n d e s e n t r e p r i s e s à i n t é g r e r e t m a î t r i s e r l e n u m é r i q u e
© C
op
yrig
ht
CIG
REF
20
16
– T
ou
s d
roit
s ré
serv
és
© C
op
yrig
ht
CIG
REF
20
11
– T
ou
s d
roit
s ré
serv
és
Annexes
38
• DPO Est-on soumis à une exigence de nomination d’un DPO ? Dans la négative, est-on
capable de le justifier ?
Selon quelle procédure est désigné le DPO ?
Auprès de qui reporte-t-il ?
S’est-on assuré qu’il a les compétences nécessaires ?
Le Groupe envisage-t-il de nommer un DPO Groupe ? Dans ce cas, quel sera le mode de collaboration au sein du groupe ?
Des mesures ont-elles été prises pour garantir l’indépendance et le secret professionnel du DPO désigné ?
Les procédures en place permettent-elles au DPO d’avoir accès aux données et aux opérations de traitement ?
15/07/2017 38
Détails des thèmes (1/3)
• Processus
Une procédure de consultation du DPO a-t-elle été mise en place pour toute
question relative aux données personnelles ou pour tout nouveau projet ?
A-t-on défini une procédure de gestion des incidents (violation des données à
caractère personnel) et des demandes ? Un responsable a-t-il été désigné à ce
titre ?
15/07/2017 39
Détails des thèmes (2/3)
• Périmètre A-t-on établi un registre des traitements DCP?
A-t-on déterminé le périmètre des filiales concernées par le plan de mise en conformité ?
Pour les groupes internationaux, l’autorité externe (ex:CNIL) chef de file a-t-elle été identifiée ?
Les traitements de DCP impliquant des sous-traitants sont-ils identifiés ?
A-t-on défini l’organe ou le groupe de travail à même de définir ce que sont des traitements de données personnelles dans l’organisation ?
A-t-on défini les modalités d’approche et de traitement des données soumises au GDPR ?
A-t-on réalisé un inventaire des applications ou contenants impactés par le GDPR ?
A-t-on défini quels systèmes, quelles données devaient être soumises au GDPR ?
A-t-on identifié les parties prenantes ayant à traiter des données personnelles de l’entreprise ?
15/07/2017 40
Détails des thèmes (3/3)
• A-t-on identifié un sponsor pour la mise en œuvre du GDPR ?
• Le budget alloué au projet est-il raisonnablement adapté au besoin ?
• Existe-t-il un plan d’actions pour la mise en conformité au GDPR ?
• Existence d’un comité de pilotage pour s’assurer de l’avancement du plan d’actions et décider d’ actions correctrices, si nécessaire ?
• Existence d’un reporting périodique au Board/Comex
• A-t-on défini indicateurs et KPI permettant de suivre le niveau de conformité au sein de l’entreprise au GDPR ?
• A-t-on défini les modalités permettant de répondre aux questions de conformité de l’autorité ?
15/07/2017 41
Gouvernance – contrôle et monitoring pour la mise en conformité
• Comment intègre-t-on au cours du projet de mise en conformité les Guidelines émises par l’Article des 29 et
la CNIL (veille) ?
• Dans l’attente d’une communication de la CNIL, a-t-on établi des procédures concernant les analyses
d’impact ? Sur quels traitements et sur quels critères ? Selon quels critères le CIL / la CNIL seront consultés
avant de lancer le traitement ?
• A-t-on intégré les modifications contractuelles dans les contrats signés entre le responsable de traitement et
les sous-traitants ?
• Les données personnelles transférées hors « zone GDPR, ie. EEA » sont-elles identifiées ? Par quels
instruments juridiques ces transferts sont-ils couverts (BCR, Clauses contractuelles, Privacy Shield…) ?
• Les données personnelles faisant l’objet de la nouvelle obligation relative à la portabilité sont-elles
identifiées ? Les plans d’actions associés ont-ils été initiés ?
• Comment les mesures relatives à la sécurité/cybersécurité sont-elles intégrées au sein des projets impliquant
des traitements de DCP ?
15/07/2017 42
Gouvernance – Prérequis & travaux préparatoires
• Procédures et politiques Dispose-t-on d’une politique Informatique et Liberté intégrant les éléments suivants?
• Durée de conservation des DCP
• Sécurité des données
• Procédure à respecter en cas de contrôle de la CNIL/autorité de contrôle
• Confidentialité à destination des personnes extérieures concernées par les traitements (clients et fournisseurs)
• Transferts internationaux de données hors Union Européenne (et BCR pour les transferts intragroupes)
• Accès, disponibilité, suppression (droit à l’oubli)
• Notification en cas de violation des DCP
• Validation périodique de la pertinence du dispositif en place
15/07/2017 43
Gouvernance – Politiques et procédures
• Toutes les politiques et procédures mises en place ont-elles été diffusées aux membres du personnel et aux personnes adéquat(e)s ?
• A-t-on rédigé et diffusé des procédures et des référentiels liés au GDPR ?
• A-t-on défini les moyens de communication interne et externe sur la mise en application du GDPR dans l’entreprise ?
• A-t-on défini des supports de formation et diffusion de l’information à propos du GDPR ?
15/07/2017 44
Gouvernance – formation et information
1. Questions générales
• Un DPO a-t-il été désigné dans votre entreprise ?
• Connaissez-vous le DPO de votre entreprise ?
• Avez-vous une politique de protection des données personnelles dans votre département ?
• Avez-vous reçu une formation en matière de protection des données personnelles ?
• Les services informatique et juridique sont-ils consultés pour tout nouveau projet?
15/07/2017 45
SG 1 Check-list métiers
2. Licéité du traitement
• Avez-vous défini des finalités de traitement pour toutes les données collectées ?
• Les finalités des traitements sont-elles conformes aux finalités pour lesquelles les données ont été collectées ? (risque d’utilisation pour une finalité non prévue)
• Des durées de conservation ont-elles été définies pour l’ensemble des données que vous traitez ?
• Avez-vous vérifié la proportionnalité des données que vous collectez par rapport aux finalités ?
• Collectez-vous des données sensibles ou particulières? Si oui, avez-vous vérifié la légalité de la collecte et du traitement des données sensibles ?
• Quelle est la base légale du traitement (intérêt légitime, exécution d’un contrat, consentement,…) ?
15/07/2017 46
SG 1 Check-list métiers
2. Licéité du traitement
• Effectuez-vous des traitements de données qui nécessitent le consentement de des personnes concernées ?
• Si oui, avez-vous mis en place des mécanismes de recueil et d’enregistrement de ces consentements?
• Collectez-vous des données concernant des personnes autres que celles qui sont concernées par la finalité ?
• Effectuez-vous des croisements entre plusieurs catégories de données collectées séparément ?
• Effectuez-vous du profilage dans le cadre de vos activités ? Si oui, avez-vous vérifié la légalité de ce profilage?
15/07/2017 47
SG 1 Check-list métiers
3. Droit des personnes concernées
• Vos formulaires/supports de collecte des données personnelles contiennent-ils les mentions d’informations obligatoires (liste des mentions)?
• Les personnes concernées peuvent-elles accéder facilement à une information claire et compréhensible sur les données collectées et les traitements ?
• Les personnes concernées peuvent-elles modifier leurs consentements ?
• Avez-vous une procédure pour répondre aux demandes d’accès, de rectification, de suppression, de portabilité des données au sein de votre département/service ?
15/07/2017 48
SG 1 Check-list métiers
4. Tiers
• Faites-vous appel à des sous-traitants/prestataires externes pour les traitements des données que vous collectez?
• Evaluez-vous vos prestataires sur la protection de données personnelles ?
• Les relations avec vos prestataires sont-elles régies par un contrat écrit ?
• Avez-vous défini contractuellement des exigences en termes la protection des données avec vos prestataires ou fournisseurs ?
15/07/2017 49
SG 1 Check-list métiers
5. Transferts internationaux de données
• Effectuez-vous des transferts de données personnelles à des entreprises situées hors de l’Union Européenne ?
• Vous êtes vous rapprochés de votre DPO ou de votre service juridique pour vérifier que les transferts effectués soient couverts par des garanties appropriées ?
• Les transferts de données internes à l’entreprise (ou au groupe) et à vos prestataires sont-ils réalisés par des moyens sécurisés (chiffrement, pseudonymisation, anonymisation) ?
15/07/2017 50
SG 1 Check-list métiers
6. Privacy Impact Assessment (PIA)
• Avez-vous effectué une évaluation de la criticité du traitement pour déterminer si une analyse d’impact (PIA) était nécessaire ?
• Avez-vous effectué une analyse de risques sur la vie privée (PIA) pour les traitements de données que vous effectuez?
15/07/2017 51
SG 1 Check-list métiers
7. Notification des violations de données personnelles
• Etes-vous impliqué dans la procédure de gestion des failles de sécurité et de notification des violation de données personnelles ?
15/07/2017 52
SG 1 Check-list métiers
8. Autres (voir ave check-list DSI)
• Les données personnelles sont-elles stockées dans un endroit sécurisé (système informatique interne ou local, Cloud interne ou externe) ?
• Les accès aux données personnelles sont-ils restreints et sécurisés ?
15/07/2017 53
SG 1 Check-list métiers
Sensibiliser et former
Connaître le système
d’information
Authentifier et contrôler
les accès
Sécuriser les postes
Sécuriser le réseau Sécuriser
l’administration
Maintenir le Système
d’information à jour
Superviser, auditer, réagir
Gérer le nomadisme
Former les équipes opérationnelles à la sécurité des SI
Sensibiliser les utilisateurs aux bonnes pratiques élémentaires de sécurité informatique
Maîtriser les risques de l’infogérance
Identifier les informations et serveurs les plus sensibles et maintenir un schéma du réseau
Disposer d’un inventaire exhaustif des comptes privilégiés et le maj
Organiser les procédures d’arrivée, de départ et de changement de fonction des utilisateurs
Autoriser la connexion au réseau de l’entité aux seuls équipements maîtrisés
Identifier nommément chaque personne accédant au SI et distinguer les rôles utilisateurs/administrateurs
Attribuer les bons droits sur les ressources sensibles du SI
Définir et vérifier des règles de choix et de dimensionnement des mots de passe
Protéger les mots de passe stockés sur les systèmes
Changer les éléments d’authentification par défaut sur les équipements et services
Privilégier une authentification forte
Mettre en place un niveau de sécurité minimal sur l’ensemble du parc informatique
Se protéger des menaces relatives à l’utilisation de supports amovibles
Utiliser un outil de gestion centralisée afin d’homogénéiser les politiques de sécurité
Activer et configurer le pare-feu des postes de travail
Chiffrer les données sensibles transmises par voie internet
Segmenter le réseau et mep un cloisonnement entre ces zones
S’assurer de la sécurité des réseaux d’accès wifi et de la séparation des usages
Utiliser des protocoles sécurisés
Mettre en place une passerelle d’accès sécurisé à internet
Cloisonner les services visibles depuis internet du reste du SI
Protéger sa messagerie professionnelle
Sécuriser les interconnexions réseau dédiées avec les partenaires
Interdire l’accès à internet depuis les postes ou serveurs utilisés pour l’administration du SI
Utiliser un réseau dédié et cloisonné pour l’administration du SI
Limiter au strict besoin opérationnel les droits d’administration des postes de travail
Prendre des mesures de sécurisation physique des terminaux nomades
Chiffrer les données sensibles, en particulier sur le matériel potentiellement perdable
Sécuriser la connexion réseau des postes utilisés en situation de nomadisme
Définir une politique de maj des composants du SI
Anticiper la fin de la maintenance des logiciels et systèmes et limiter les adhérences logicielles
Activer et configurer les journaux des composants les plus importants
Définir et appliquer une politique de sauvegarde des composants critiques
Procéder à des contrôles et audits de sécurité réguliers puis appliquer les actions correctives associées
Désigner un référent en sécurité des SI et le faire connaître auprès du personnel
Définir une procédure de gestion des incidents de sécurité
55