Upload
lykhanh
View
219
Download
0
Embed Size (px)
Citation preview
Quel est l’impact de la conformité GDPR pour vos équipes et pour leurs process ?
GARANCE MATHIASAvocat à la Cour, Cabinet Mathias Avocats
JEAN-PHILIPPE COMBESenior Technical Solutions Manager, Enterprise Sales, BlackBerry
© 2018 BlackBerry. All Rights Reserved. 42E M P O W E R I N G T H E S E C U R E L Y C O N N E C T E D W O R K F O R C E
Sommaire
1. Protection des données : Quels constats ? Quelles réactions à l’échelle européenne ? Quelles
conséquences ?
2. Protection des données : Quels enjeux ?
3. Notions & principes clés de la protection des données
4. Les principaux changements apportés par le RGPD et impacts SI
1. Protection des données :Quels constats ? Quelles réactions à l’échelle européenne ? Quelles conséquences ?
© 2018 BlackBerry. All Rights Reserved. 44E M P O W E R I N G T H E S E C U R E L Y C O N N E C T E D W O R K F O R C E
Quels constats à l’échelle européenne ? CONSTATS
28 lois de transposition de protection des données à caractère personnel (transposition de la directive 95/46/CE)
Des difficultés à faire respecter le cadre européen de protection par les GAFA
Harmonisation
Sanctions dissuasives
Vision administrative de la protection des données par les acteurs à travers la réalisation des formalités préalables auprès de la CNIL
Approche nouvelle de la protection des données au-delà de formalités à
réaliser
BESOINS
© 2018 BlackBerry. All Rights Reserved. 45E M P O W E R I N G T H E S E C U R E L Y C O N N E C T E D W O R K F O R C E
Quelles réactions à l’échelle européenne ?
25 juin 2012 : Proposition de règlement de la Commission européenne au Parlement
européen et du Conseil
12 Mars 2014 : Adoption d’une résolution législative sur la
proposition de règlement par le Parlement européen en
plénière par 621 voix pour, 10 contre et 22 abstentions
15 Juin 2015 : Les ministres de la justice européens réunis
au Conseil de l’Union européenne ont adopté une
approche générale sur la proposition de règlement
24 juin 2015 : Début des trilogues (réunions entre les
représentants de la Commission européenne, du
Parlement européen et du Conseil de l’union européenne
sur tous les points du règlement)
15 décembre 2015 : Accord de principe des institutions
européennes sur le règlement européen
27 avril 2016 : Adoption du règlement
4 mai 2016 : Publication du Règlement général sur la
protection des données au Journal Officiel de l’Union
Européenne
25 mai 2018 : Application
© 2018 BlackBerry. All Rights Reserved. 46E M P O W E R I N G T H E S E C U R E L Y C O N N E C T E D W O R K F O R C E
Quelles conséquences à l’échelle européenne ?
• Le règlement 2016/679 du Parlement européen et du Conseil, du 27avril 2016, relatif à la protection des personnes physiques à l'égard dutraitement des données à caractère personnel et à la libre circulation deces données, et abrogeant la directive 95/46/CE (Règlement général surla protection des données ou RGPD).
Applicable à partir du 25 mai 2018
© 2018 BlackBerry. All Rights Reserved. 47E M P O W E R I N G T H E S E C U R E L Y C O N N E C T E D W O R K F O R C E
Que retenir ?
En France, la protection des données fait l’objet de dispositions légales depuis 1978.
01Le RGPD s’applique à compter du 25 mai 2018.
02
© 2018 BlackBerry. All Rights Reserved. 49E M P O W E R I N G T H E S E C U R E L Y C O N N E C T E D W O R K F O R C E
Donnée à caractère personnel
Définition
« Toute information se rapportant à une personne physique identifiée ou identifiable,
directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un
numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique,
psychique, économique, culturelle ou sociale ».
© 2018 BlackBerry. All Rights Reserved. 50E M P O W E R I N G T H E S E C U R E L Y C O N N E C T E D W O R K F O R C E
Donnée à caractère personnel
Numéro de dossier client
Numéro de Sécurité Sociale
Adresse
© 2018 BlackBerry. All Rights Reserved. 51E M P O W E R I N G T H E S E C U R E L Y C O N N E C T E D W O R K F O R C E
Notions & principes clés de la protection des données
Licéité, loyauté et transparence
Limitation des finalités
Minimisation des données
Exactitude des données
Limitation de la conservation
Sécurité des données (intégrité,
disponibilité, confidentialité des
données)
● Des anciens principes maintenus
© 2018 BlackBerry. All Rights Reserved. 52E M P O W E R I N G T H E S E C U R E L Y C O N N E C T E D W O R K F O R C E
Notions & principes clés de la protection des données
Audit de la conformité existante
Mise en Conformité
Documentation de la Conformité
Maintien et contrôle de la
Conformité
● De nouveaux principes affirmés : l’accountability
© 2018 BlackBerry. All Rights Reserved. 53E M P O W E R I N G T H E S E C U R E L Y C O N N E C T E D W O R K F O R C E
Notions & principes clés de la protection des données
• Evaluer le niveau de conformité juridique et technique existant.
• Définir un plan d’actions.
Audit de la conformité existante
• Actions juridiques • Actions techniques
Mise en conformité
• Elaboration de politiques et de procédures.
Documentation de la conformité
• Révision périodique des politiques et des procédures.
• Vérification périodique du respect des procédures et de leur efficacité.
Maintien et contrôle de la
conformité
© 2018 BlackBerry. All Rights Reserved. 54E M P O W E R I N G T H E S E C U R E L Y C O N N E C T E D W O R K F O R C E
Notions & principes clés de la protection des données
Intégration de la protection des données dès la conception des outils, des applications et des traitements
Point de vigilance : prise en compte des principes de protection des données (minimisation, licéité, transparence, sécurité, etc.) à tous les stades.
Privacy by
designPar défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées et seules les personnes ayant besoin d’en connaître y ont accès.
Points de vigilance : quantité de données à caractère personnel collectées, étendue du traitement des données, durée de conservation des données et accessibilité des données.
Privacy by
default
● De nouveaux principes affirmés
© 2018 BlackBerry. All Rights Reserved. 56E M P O W E R I N G T H E S E C U R E L Y C O N N E C T E D W O R K F O R C E
Protection des données : quels enjeux ? Conformité
Gestion des Risques
© 2018 BlackBerry. All Rights Reserved. 57E M P O W E R I N G T H E S E C U R E L Y C O N N E C T E D W O R K F O R C E
Risques
Nouvelle approche promue par le RGPD
Approche par les risques
2 CATEGORIES :
• Risques pour les personnes dont l’entreprise traite les données (salariés, clients, prospects, etc.).
• Risques pour l’entreprise.
© 2018 BlackBerry. All Rights Reserved. 58E M P O W E R I N G T H E S E C U R E L Y C O N N E C T E D W O R K F O R C E
Risques
Amendes de 20 000 000€
ou 4% du CA annuel mondial total de l’exercice
précédent maximum
Amendes de 10 000 000€ ou 2% du CA annuel mondial total de l’exercice précédent
maximum
Violation des obligations en matière de protection des données dès la conception et par défaut, absence de contrat avec les sous-traitants, insuffisance des clauses relatives à la protection des données, défaut de tenue du registre des activités de traitement, violation des règles en matière de sécurité des données, de notification des violations de données et d’analyse d’impact.
Violation des principes, violation des règles applicables au consentement, violation des règles relatives aux droits des personnes, violation des règles applicables aux transferts de données personnelles.
© 2018 BlackBerry. All Rights Reserved. 60E M P O W E R I N G T H E S E C U R E L Y C O N N E C T E D W O R K F O R C E
Principaux changements apportés par le RGPD à prendre en compte
Généralisation du registre des activités de traitement
Renforcement des clauses contractuelles avec les prestataires, sous-traitants
Renforcement de l’obligation de sécurité des données à caractère personnel
Obligation nouvelle de notification des violations de données
Création de la fonction de Délégué à la protection des données (DPD – Data Protection Officer (DPO))
Analyse d’impact relative à la protection des données
© 2018 BlackBerry. All Rights Reserved. 61E M P O W E R I N G T H E S E C U R E L Y C O N N E C T E D W O R K F O R C E
RGPD & Impacts SI : La sécurité des données
Un enjeu à prendre en compte dans les contrats avec les prestataires (cloud, hébergement, etc.).
Nouveauté : Obligation de sécurité directement mise à la charge des sous-traitants
« 1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de
probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-
traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de
sécurité adapté au risque, y compris entre autres (…) » (article 32)
© 2018 BlackBerry. All Rights Reserved. 62E M P O W E R I N G T H E S E C U R E L Y C O N N E C T E D W O R K F O R C E
RGPD & Impacts SI : La sécurité des données Pas de mesures
de sécurité définies par le
RGPD
Mesures de sécurité à définir par l’entreprise
suivant les traitements mis
en œuvre
Documentation des mesures de sécurité définies par l’entreprise
Matérialisation des mesures
dans les SI de l’entreprise
© 2018 BlackBerry. All Rights Reserved. 63E M P O W E R I N G T H E S E C U R E L Y C O N N E C T E D W O R K F O R C E
RGPD & Impacts SIAuthentifier lesutilisateurs
• Obliger l’utilisateur à changer son mot de passe après réinitialisation.• Limiter le nombre de tentatives d’accès à un compte
Gérer les habilitations • Supprimer les permissions d’accès obsolètes• Réaliser une revue annuelle des habilitations
Tracer les accès et gérer les incidents • Prévoir un système de journalisation• Informer les utilisateurs de la mise en place du système de journalisation• Protéger les équipements de journalisation et les informations journalisées
Sécuriser les postes de travail • Prévoir une procédure de verrouillage automatique de session• Utiliser des antivirus régulièrement mis à jour • Installer un « pare-feu » (firewall) logiciel
Sécuriser l'informatique mobile • Prévoir des moyens de chiffrement des équipements mobiles• Faire des sauvegardes ou synchronisations régulières des données• Exiger un secret/code pour le déverrouillage des smartphones
Protéger le réseau informatique interne • Limiter les flux réseau au strict nécessaire• Sécuriser les accès distants des appareils informatiques nomades par VPN
Sécuriser les serveurs • Installer sans délai les mises à jour critiques • Limiter l’accès aux outils et interfaces d’administration aux seules personnes habilitées
Sécuriser les sites web • Vérifier qu'aucun mot de passe ou identifiant ne passe dans les url• Utiliser le protocole TLS et vérifier sa mise en œuvre
Encadrer la maintenance et la destruction des données
• Enregistrez les interventions de maintenance dans une main courante• Effacez les données de tout matériel avant sa mise au rebut • Encadrez par un responsable de l’organisme les interventions par des tiers
Sauvegarder et prévoirla continuité d'activité
• Effectuer des sauvegardes régulières• Prévoir et testez régulièrement la continuité d'activité
Encadrer les développements informatiques
• Tester les solutions sur des données fictives ou anonymisées
Quelques questions proposées par la CNIL pour évaluer le niveau de sécurité
© 2018 BlackBerry. All Rights Reserved. 64E M P O W E R I N G T H E S E C U R E L Y C O N N E C T E D W O R K F O R C E
RGPD & Impacts SI
Exig
ence
s à
l’éga
rd d
es
sous
-trai
tant
s
Exigences au stade du cahier des charges
Exigences contractuelles (Annexe relative aux mesures
de sécurité attendues par l’entreprise et modalités d’audit)
Attention : L’entreprise n’est pas déchargée de son obligation de sécurité lorsqu’il a recours à des sous-traitants.
© 2018 BlackBerry. All Rights Reserved. 65E M P O W E R I N G T H E S E C U R E L Y C O N N E C T E D W O R K F O R C E
La sécurité des données a posteriori : Les violations de données
Définition
« Violation de la sécurité entraînant, de manière accidentelle ou illicite, la
destruction, la perte, l'altération, la divulgation non autorisée de données à
caractère personnel transmises, conservées ou traitées d'une autre
manière, ou l'accès non autorisé à de telles données. ».
© 2018 BlackBerry. All Rights Reserved. 66E M P O W E R I N G T H E S E C U R E L Y C O N N E C T E D W O R K F O R C E
La sécurité des données a posteriori : Les violations de données
Catégories de violation de données identifiées par les autorités de contrôle
Les atteintes à la confidentialité : l’accessibilité ou la divulgation aux tiers, sans autorisation, des données, éventuellement accidentellement.
L’indisponibilité : les données sont détruites en tout ou partie ou sont temporairement inaccessibles ce qui entraine des risques.
L’atteinte à l’intégrité : cas dans lesquels les données sont modifiées, sans autorisation, éventuellement de façon accidentelle.
© 2018 BlackBerry. All Rights Reserved. 67E M P O W E R I N G T H E S E C U R E L Y C O N N E C T E D W O R K F O R C E
La sécurité des données a posteriori : les violations de données
Débiteur de l’obligation : Le responsable du traitement de données à caractère personnel
1Obligation de notification à l’autorité de contrôle compétente dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, sauf si la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.
2Obligation de notification aux personnes concernées si la violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique.
3Impact sur les relations avec les sous-traitants : Le sous-traitant doit notifier au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.
4
© 2018 BlackBerry. All Rights Reserved. 68E M P O W E R I N G T H E S E C U R E L Y C O N N E C T E D W O R K F O R C E
Que retenir ?
Une ou plusieurs politiques de sécurité doivent être
définies (Charte informatique, politique de
sécurité des systèmes d’information, etc.).
Les mesures de sécurité des données traitées
doivent être documentées.
Une Annexe relative à la sécurité des données doit être intégrée aux contrats
conclus avec les sous-traitants.
Les mesures de sécurité définies doivent être
maintenues, contrôlées et mises à jour.
© 2018 BlackBerry. All Rights Reserved. 70E M P O W E R I N G T H E S E C U R E L Y C O N N E C T E D W O R K F O R C E
ConfidentialitéCollecte
Protection
Traitement
Suppression
SécuritéConfidentialité
Intégrité
Disponibilité
© 2018 BlackBerry. All Rights Reserved. 71E M P O W E R I N G T H E S E C U R E L Y C O N N E C T E D W O R K F O R C E
Comment BlackBerry accompagneles clients vers la conformitéRGPD
Impliquer nos experts Cybersecurity Consulting
Identifier les écartsavec la directive RGPD et proposer des actions correctives
Passer en revue les outils pour protéger vos données, auditer les actifs et réagir aux incidents
BlackBerry Workspaces, BlackBerry Mobility Suites et UEM, SDK et applications Dynamics, EID et 2FA
Proposer un accompagnementProfessional Services pour mettre en œuvre la solution
Procéder à une évaluation pour suivre au plus près les menaces de cybersécurité dans le monde entier
© 2018 BlackBerry. All Rights Reserved. 72E M P O W E R I N G T H E S E C U R E L Y C O N N E C T E D W O R K F O R C E
Cas client :Acteur de la réassurance
© 2018 BlackBerry. All Rights Reserved. 73E M P O W E R I N G T H E S E C U R E L Y C O N N E C T E D W O R K F O R C E
Chiffrement à tous les niveaux
Sécurité associée au fichier
Authentification utilisateur
Gestion des droits numériques (GDN)
Suivi et reporting de toutes les activités relatives aux fichiers
Tous les fichiers sont protégés :
Protégez tous vos fichiers avec BlackBerry Workspaces
Sécurité au niveau des
fichiers assurée partout où les fichiers sont
envoyés