Présenté par Catherine Thiry (ULiège - service juridique) et Simon François (ULiège - SEGI - Service d'Informatique) le 23 mars 2018

1. GDPR @ULIÈGE
VOS DONNÉES ONT DE LA VALEUR !
Geeks Anonymes Liège23-03-18
Service général d'informatique-SEGI

2. Kate & Sim
¨ Service des Affaires
juridiques
¤ Juriste
¤ CSI
¤ CEIS
¤ GT GDPR CReF
¨ Fuel : chocolat
¨ Service général
d’Informatique
¤ Ingé IT
¤ RSSI / RSMSI
¤ Resp Infra Réseau
¤ ULiège / CHU / Ext
¨ Fuel : café
23-03-18GDPR @ULiège
Catherine THIRY Simon FRANCOIS

3. Ordre du jour
23-03-18GDPR @ULiège
¨ Généralités
¨ Les grandes étapes
¨ Aspects juridiques
¨ Aspects IT
¨ Conclusions

4. ¨ GDPR : General Data Protection Regulation
¨ RGPD : Règlement Général sur la Protection des
Données
¨ Règlement Union Européenne 2016/679
¨ Abroge la directive 95/46/CE
¨ Entrée en vigueur (et sanctions…) dès le
25 mai 2018
GDPR

5. Pourquoi la GDPR ?
¨ Selon nous…
¤ Pour harmoniser la gestion des données dans l’UE et ainsi
permettre une meilleure circulation des services/produits.
¤ Pour empêcher des géants (Facebook, Google…) d’abuser
des citoyens européens en exploitant, souvent à leur insu,
leurs données personnelles en toute impunité.
¤ Pour inciter toutes les entreprises à investir dans la
sécurité, plutôt que de payer 10x le prix pour récupérer les
dégâts d’un piratage réussi.
¤ Pour pousser les acteurs de “confiance” (fédéral, hôpitaux,
telco) à augmenter le niveau de protection des données de
leurs “clients”, en ce compris par le contrôle de leurs sous-
traitants.

6. Qui est concerné ?
¨ Tout qui est établi au sein de l’UE et traite des données
personnelles (venant de l’UE ou non).
¨ Tout qui traite des données personnelles de personnes se
trouvant en UE, où qu’il soit dans le monde dès lors qu’il
agit (service, produit, profilage) sur le territoire UE.
¨ Même le secteur public ?
¤ Oui.
¨ Même les chercheurs ?
¤ Oui.
¨ Même les TPE ?
¤ Oui.

7. Qu’est-ce qu’une donnée personnel(le) ?
¨ Toute information (au sens large) permettant
d’identifier une personne physique ;
¨ Est réputée être une « personne physique identifiable » une
personne physique qui peut être identifiée, directement ou
indirectement, notamment par référence à un identifiant, tel qu'un
nom, un numéro d'identification, des données de localisation, un
identifiant en ligne, ou à un ou plusieurs éléments spécifiques
propres à son identité physique, physiologique, génétique,
psychique, économique, culturelle ou sociale.
Source : EU RGPD article 4

8. Qu’est-ce qu’un traitement ?
¨ Pratiquement, toute opération susceptible de viser
une donnée à caractère personnel, sur format
électronique ou papier : collecte, encodage,
conservation, modification, consultation,
utilisation, transmission, destruction…
Voir article 4 RGPD

9. Mes données personnelles n’intéressent personne…
¨ « Tout ça pour ça ? Mes données personnelles
n’intéressent personne… »

10. … pendant ce temps, sur le darkweb…

11. Ordre du jour
¨ Généralités
¨ Les grandes étapes
¨ Aspects juridiques
¨ Aspects IT
¨ Conclusions

12. Les grandes étapes pour le 25 mai 2018
¨ Sensibiliser (!!)
¨ Nommer un DPO (!!!)
¨ Information des personnes concernées (!!!!)
¨ Mettre en place un registre des traitements (!!!!!)
¨ … et y lister tous les traitements (!!!!!!!!!!!!!!)
¨ Conduire des analyses d’impact (DPIA) (!!!!!!)
¨ Sécuriser en conséquence (!!!!!!!!!!!!!!!!)
¨ Produire des documents de conformité (!!)

13. Les grandes étapes post 25 mai 2018
¨ Continuer à sensibiliser
¨ Maintenir le registre à jour et les analyses d’impact
¨ Traiter les demandes des personnes concernées
¨ Communiquer avec la DPA (Data Protection
Authority ou APD – Belgique : ex-CPVP)
¤ Prouver la conformité
¤ Gérer les (hypothétiques) violations de données

14. Les grandes étapes post 25 mai 2018
¨ Toujours tout documenter
¨ Optimiser les procédures de traitement des
demandes des personnes concernées :
¤ Droits d’accès ;
¤ De rectification des données inexactes ou incomplètes ;
¤ De portabilité ;
¤ De retrait du consentement ;
¤ D’oubli/d’effacement des données et de limitation du traitement ;
¤ De refuser le marketing direct ;
¤ De s’opposer au profilage.

15. Ordre du jour
¨ Généralités
¨ Les grandes étapes
¨ Aspects juridiques
¨ Aspects IT
¨ Conclusions

16. Obligations pour tout RT
¨ Privacy by design : dès la conception d’un traitement
de données, le RT veille à intégrer la dimension GDPR
¨ Privacy by default : le RT doit utiliser les données
uniquement dans la mesure nécessaire à la finalité du
traitement
¤ Uniquement les données nécessaires,
¤ Pour la durée nécessaire,
¤ Pour le type de traitement nécessaire,
¤ Moyennant l’accessibilité strictement nécessaire,
¤ Et les mesures de sécurité nécessaires
selon la
finalité et
la
catégorie
de
données

17. Obligations pour tout RT
¨ Justifier de la licéité de chaque traitement :
¤ Consentement (libre et éclairé)
¤ Obligation légale
¤ Exécution d’un contrat
¤ Sauvegarde des intérêts vitaux d’une personne
¤ Mission d’intérêt public/exercice de l’autorité publique
¤ Intérêts légitimes du RT
Documenter

18. Obligations pour tout RT
¨ Informer les personnes concernées, à l’occasion
du consentement ou non et, parfois, en cas de
violation de données à caractère personnel
¨ Et leur permettre d’exercer leurs droits
¤ Exceptions (à venir) pour la recherche
¨ S’assurer du respect du GDPR par les sous-traitants
ou les RT conjoints
¨ Mener les analyses d’impact opportunes
Documenter

19. Obligations pour certains RT
¨ Désigner un DPO (ou DPD)
¤ Organismes publics, centres de recherche, RT dont les
activités de base consistent en des opérations impliquant
un suivi régulier et systématique à grande échelle de
personnes, RT dont les activités de base portent sur des
données sensibles
¤ Le DPO, spécialiste et indépendant, doit être associé à
toutes questions relatives à la protection des données;
point de contact pour l’APD, pour les personnes
concernées; rôle accru pour la recherche
scientifique/statistique
Documenter

20. Obligations pour certains RT
¨ Tenir un registre des traitements décrivant les finalités,
personnes concernées, données concernées,
destinataires des données (+transferts vers des pays
tiers) et si possible, les délais d’effacement et les
mesures de sécurité
¤ Pour les organisations de + de 250 employés,
¤ Les RT effectuant des traitements
n comportant un risque pour les droits et libertés des personnes
concernées ou
n Non occasionnels ou
n Portant sur des données sensibles
n Et leurs sous-traitants
GDPR @ULiège 23-03-18

21. Anonymisation / Pseudonymisation
¨ Pseudonymisation = réversible
¤ à sécuriser les infos permettant la réversibilité en
conséquence
¨ Anonymisation = (réputé) irréversible
¨ Désanonymisation..?

22. Unicité dans l’anonymat ?
¨ Exemple de la mobilité de l’homme (localisation
temporelle)
e ~ (v * h)-p/100
¤ e est l’unicité, v la résolution spatiale, h la résolution
temporelle, et p le nombre de points disponibles.
¨ à désanonymisation dans 95% des cas pour p = 4.
n Source : de Montjoye, Y.-A., Hidalgo, C.A., Verleysen, M. &
Blondel, V.D. Unique in the Crowd: The privacy bounds of human
mobility. Nature srep. 3, 1376; DOI:10.1038/srep01376 (2013).

23. Ordre du jour
¨ Généralités
¨ Les grandes étapes
¨ Aspects juridiques
¨ Aspects IT
¨ Conclusions

24. Les bases de la sécurité de l’information
¨ CIA
¤ Confidentialité
n L’information n’est accessible qu’aux personnes qui en ont le
droit
¤ Intégrité
n Les informations auxquelles on accède sont authentiques, et
n’ont pas été modifiées (falsifiées ou détériorées)
¤ Accessibilité (Disponibilité)
n Les informations sont accessibles par les personnes autorisées
quand elles en ont le droit
¤ Attention, confusion introduite par la GDPR qui vient
redéfinir l’intégrité et la disponibilité différemment du
reste du monde (bravo l’Europe)

25. Sécuriser ses données
¨ Sécurisation physique/environnementale
¨ Contrôle d’accès (physique et logique)
¨ Sécurisation des réseaux
¨ Protection contre les malwares
¨ Chiffrement
¨ Journalisation (log/forensics)
¨ … maintenance et documentation

26. Ce que le SEGI offre
¨ Sécurité dans l’ADN
¨ Datacenters pro
¨ Certifications, dont ISO 27001
¨ DoX, myCloud serveurs, myCloud desktop…
¨ àréponse à tous les besoins listés

27. Sécuriser ses données
¨ Sécurisation physique/environnementale
¤ Contrôle d’accès (badges, clefs…)
¤ Sécurisation électrique (UPS, groupe électrogène…)
¤ Détections et alarmes (intrusion, incendie, inondation…)
¤ Gardiennage 24/7
¤ CCTV
¤ Prise en charge des visiteurs
¤ …
¤ Hauteur des grilles, luminosité des éclairages !

28. Sécuriser ses données
¨ Accès physique (restriction des droits d’accès,
moindre privilège)
¨ Accès logiques
¤ Authentification
n Source
n Protocole
n Force
n Users / admins
¤ Droits au sein de l’application
¤ Cloisonnement des réseaux (VLAN, firewalls…)

29. Sécuriser ses données
¨ Sécurisation des réseaux
¤ Cloisonnement
¤ Firewalls locaux/traditionnels/applicatifs
¤ IDS, IPS, DDoS mitigation, threat prevention…
¤ NAC, WAF…
¤ Chiffrement des communications
¤ VPN
¤ Dédoublement et redondance infra et services
¤ …

30. Sécuriser ses données
¨ Protection contre les malwares
¤ Gouvernance (politiques et procédures)
¤ Antivirus
¤ Firewalls applicatifs
¤ Isolation (ou quarantaine)
¤ Sandbox
¤ Posture check
¤ …

31. Sécuriser ses données
¨ Chiffrement
¤ Des données
¤ Des backups
¤ Des disques durs
¤ Des échanges

32. Sécuriser ses données
¨ Journalisation (log/forensics)
¤ Génération des logs
n Authentification, accès, actions
n Applicatif (user/admin)
n Systèmes (user/admin)
n Réseau (user/admin)
¤ Exploitation des logs
¤ Conservation des logs

33. Ordre du jour
¨ Généralités
¨ Les grandes étapes
¨ Aspects juridiques
¨ Aspects IT
¨ Conclusions

34. Obligations conséquentes…
¨ La GDPR est l’affaire de tous
¨ Son respect demande beaucoup de rigueur, et la
charge de travail requise est titanesque
¨ Mais les bénéfices sont nombreux.

35. Bénéfices indirects (1)
¨ Registre des traitements = l’inventaire qu’on
n’aurait jamais pris le temps de faire à
¤ Vision globale jusqu’alors indisponible
¤ Squelettes dans le placard à dépoussiérer, ou
définitivement enterrer
¤ Révision des droits d’accès

36. Bénéfices indirects (2)
¨ Politiques de sécurité plus contraignantes enfin
acceptées
¨ L’augmentation du niveau de sécurité bénéficie à
toute l’activité, pas seulement à la protection des
données personnelles

37. Contrôles, amendes…
¨ Démontrer de la bonne volonté
¤ Prioriser : fixer un calendrier et un échéancier
¤ Documenter
¨ Le piratage ne sera jamais un risque négligeable !
¤ En cas d’occurrence à montrer que des mesures
préventives raisonnablement suffisantes étaient
pourtant adoptées.

38. Ressources
¨ CPVP (Belgique) www.privacycommission.be
¨ CNIL (France) www.cnil.fr/professionnel
¨ CNPD (GD Luxembourg) cnpd.public.lu/fr.html
¨ GDPR / RGPD officiel www.eugdpr.org
privacy@uliege.be

39. Q&A’s