4. ¨ GDPR : General Data Protection Regulation
¨ RGPD : Règlement Général sur la Protection des
Données
¨ Règlement Union Européenne 2016/679
¨ Abroge la directive 95/46/CE
¨ Entrée en vigueur (et sanctions…) dès le
25 mai 2018
GDPR
5. Pourquoi la GDPR ?
¨ Selon nous…
¤ Pour harmoniser la gestion des données dans l’UE et ainsi
permettre une meilleure circulation des services/produits.
¤ Pour empêcher des géants (Facebook, Google…) d’abuser
des citoyens européens en exploitant, souvent à leur insu,
leurs données personnelles en toute impunité.
¤ Pour inciter toutes les entreprises à investir dans la
sécurité, plutôt que de payer 10x le prix pour récupérer les
dégâts d’un piratage réussi.
¤ Pour pousser les acteurs de “confiance” (fédéral, hôpitaux,
telco) à augmenter le niveau de protection des données de
leurs “clients”, en ce compris par le contrôle de leurs sous-
traitants.
6. Qui est concerné ?
¨ Tout qui est établi au sein de l’UE et traite des données
personnelles (venant de l’UE ou non).
¨ Tout qui traite des données personnelles de personnes se
trouvant en UE, où qu’il soit dans le monde dès lors qu’il
agit (service, produit, profilage) sur le territoire UE.
¨ Même le secteur public ?
¤ Oui.
¨ Même les chercheurs ?
¤ Oui.
¨ Même les TPE ?
¤ Oui.
12. Les grandes étapes pour le 25 mai 2018
¨ Sensibiliser (!!)
¨ Nommer un DPO (!!!)
¨ Information des personnes concernées (!!!!)
¨ Mettre en place un registre des traitements (!!!!!)
¨ … et y lister tous les traitements (!!!!!!!!!!!!!!)
¨ Conduire des analyses d’impact (DPIA) (!!!!!!)
¨ Sécuriser en conséquence (!!!!!!!!!!!!!!!!)
¨ Produire des documents de conformité (!!)
19. Obligations pour certains RT
¨ Désigner un DPO (ou DPD)
¤ Organismes publics, centres de recherche, RT dont les
activités de base consistent en des opérations impliquant
un suivi régulier et systématique à grande échelle de
personnes, RT dont les activités de base portent sur des
données sensibles
¤ Le DPO, spécialiste et indépendant, doit être associé à
toutes questions relatives à la protection des données;
point de contact pour l’APD, pour les personnes
concernées; rôle accru pour la recherche
scientifique/statistique
Documenter
20. Obligations pour certains RT
¨ Tenir un registre des traitements décrivant les finalités,
personnes concernées, données concernées,
destinataires des données (+transferts vers des pays
tiers) et si possible, les délais d’effacement et les
mesures de sécurité
¤ Pour les organisations de + de 250 employés,
¤ Les RT effectuant des traitements
n comportant un risque pour les droits et libertés des personnes
concernées ou
n Non occasionnels ou
n Portant sur des données sensibles
n Et leurs sous-traitants
GDPR @ULiège 23-03-18
21. Anonymisation / Pseudonymisation
¨ Pseudonymisation = réversible
¤ à sécuriser les infos permettant la réversibilité en
conséquence
¨ Anonymisation = (réputé) irréversible
¨ Désanonymisation..?
22. Unicité dans l’anonymat ?
¨ Exemple de la mobilité de l’homme (localisation
temporelle)
e ~ (v * h)-p/100
¤ e est l’unicité, v la résolution spatiale, h la résolution
temporelle, et p le nombre de points disponibles.
¨ à désanonymisation dans 95% des cas pour p = 4.
n Source : de Montjoye, Y.-A., Hidalgo, C.A., Verleysen, M. &
Blondel, V.D. Unique in the Crowd: The privacy bounds of human
mobility. Nature srep. 3, 1376; DOI:10.1038/srep01376 (2013).
24. Les bases de la sécurité de l’information
¨ CIA
¤ Confidentialité
n L’information n’est accessible qu’aux personnes qui en ont le
droit
¤ Intégrité
n Les informations auxquelles on accède sont authentiques, et
n’ont pas été modifiées (falsifiées ou détériorées)
¤ Accessibilité (Disponibilité)
n Les informations sont accessibles par les personnes autorisées
quand elles en ont le droit
¤ Attention, confusion introduite par la GDPR qui vient
redéfinir l’intégrité et la disponibilité différemment du
reste du monde (bravo l’Europe)
37. Contrôles, amendes…
¨ Démontrer de la bonne volonté
¤ Prioriser : fixer un calendrier et un échéancier
¤ Documenter
¨ Le piratage ne sera jamais un risque négligeable !
¤ En cas d’occurrence à montrer que des mesures
préventives raisonnablement suffisantes étaient
pourtant adoptées.