Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
GDPR	@ULIÈGE
VOS	DONNÉES	ONT	DE	LA	VALEUR	!
Geeks	Anonymes	Liège23-03-18
Service	général	d'informatique-SEGI
Kate & Sim
¨ Service des Affaires
juridiques
¤ Juriste
¤ CSI
¤ CEIS
¤ GT GDPR CReF
¨ Fuel : chocolat
¨ Service général
d’I...
Ordre	du	jour
23-03-18GDPR @ULiège
¨ Généralités
¨ Les	grandes	étapes
¨ Aspects	juridiques
¨ Aspects	IT
¨ Conclusions
¨ GDPR :	General	Data	Protection	Regulation
¨ RGPD :	Règlement	Général	sur	la	Protection	des	
Données
¨ Règlement	Union	Eu...
Pourquoi	la	GDPR	?
¨ Selon	nous…
¤ Pour	harmoniser la	gestion	des	données	dans	l’UE	et	ainsi	
permettre	une	meilleure	circ...
Qui	est	concerné	?
¨ Tout	qui	est	établi au	sein	de	l’UE et	traite	des	données	
personnelles	(venant	de	l’UE	ou	non).
¨ To...
Qu’est-ce	qu’une	donnée	personnel(le)	?
¨ Toute	information	(au	sens	large)	permettant
d’identifier	une	personne	physique	...
Qu’est-ce	qu’un	traitement	?
¨ Pratiquement,	toute	opération	susceptible	de	viser	
une	donnée	à	caractère	personnel,	sur	f...
Mes	données	personnelles	n’intéressent	personne…
¨ « Tout	ça	pour	ça	?	Mes	données	personnelles	
n’intéressent	personne… »
… pendant	ce	temps,	sur	le	darkweb…
Ordre	du	jour
¨ Généralités
¨ Les	grandes	étapes
¨ Aspects	juridiques
¨ Aspects	IT
¨ Conclusions
Les	grandes	étapes	pour	le	25	mai	2018
¨ Sensibiliser (!!)
¨ Nommer	un	DPO (!!!)
¨ Information des	personnes	concernées	(!...
Les	grandes	étapes	post	25	mai	2018
¨ Continuer	à	sensibiliser
¨ Maintenir	le	registre à	jour	et	les	analyses	d’impact
¨ T...
Les	grandes	étapes	post	25	mai	2018
¨ Toujours	tout	documenter
¨ Optimiser	les	procédures	de	traitement	des	
demandes	des	...
Ordre	du	jour
¨ Généralités
¨ Les	grandes	étapes
¨ Aspects	juridiques
¨ Aspects	IT
¨ Conclusions
Obligations	pour	tout	RT
¨ Privacy by	design	:	dès	la	conception	d’un	traitement	
de	données,	le	RT	veille	à	intégrer	la	d...
Obligations pour	tout	RT
¨ Justifier	de	la	licéité	de	chaque	traitement	:
¤ Consentement (libre	et	éclairé)
¤ Obligation	l...
Obligations	pour	tout	RT
¨ Informer les	personnes	concernées,	à	l’occasion	
du	consentement	ou	non	et,	parfois,	en	cas	de	...
Obligations	pour	certains	RT
¨ Désigner	un	DPO (ou	DPD)
¤ Organismes	publics,	centres	de	recherche,	RT	dont	les	
activités...
Obligations	pour	certains	RT
¨ Tenir	un	registre des	traitements	décrivant	les	finalités,	
personnes concernées,	données c...
Anonymisation / Pseudonymisation
¨ Pseudonymisation =	réversible
¤ à sécuriser	les	infos	permettant	la	réversibilité	en	
c...
Unicité	dans	l’anonymat ?
¨ Exemple	de	la	mobilité	de	l’homme	(localisation	
temporelle)
e ~	(v *	h)-p/100
¤ e est	l’unici...
Ordre	du	jour
¨ Généralités
¨ Les	grandes	étapes
¨ Aspects	juridiques
¨ Aspects	IT
¨ Conclusions
Les	bases	de	la	sécurité	de	l’information
¨ CIA
¤ Confidentialité
n L’information	n’est	accessible	qu’aux	personnes	qui	en...
Sécuriser	ses	données
¨ Sécurisation	physique/environnementale
¨ Contrôle	d’accès	(physique	et	logique)
¨ Sécurisation	des...
Ce	que	le	SEGI	offre
¨ Sécurité	dans	l’ADN
¨ Datacenters	pro
¨ Certifications,	dont	ISO 27001
¨ DoX,	myCloud	serveurs,	myC...
Sécuriser	ses	données
¨ Sécurisation	physique/environnementale
¤ Contrôle	d’accès	(badges,	clefs…)
¤ Sécurisation	électriq...
Sécuriser	ses	données
¨ Accès	physique	(restriction	des	droits	d’accès,	
moindre	privilège)
¨ Accès	logiques
¤ Authentific...
Sécuriser	ses	données
¨ Sécurisation	des	réseaux
¤ Cloisonnement
¤ Firewalls	locaux/traditionnels/applicatifs
¤ IDS,	IPS,	...
Sécuriser	ses	données
¨ Protection	contre	les	malwares
¤ Gouvernance	(politiques	et	procédures)
¤ Antivirus
¤ Firewalls	ap...
Sécuriser	ses	données
¨ Chiffrement
¤ Des	données
¤ Des	backups
¤ Des	disques	durs
¤ Des	échanges
Sécuriser	ses	données
¨ Journalisation	(log/forensics)
¤ Génération	des	logs
n Authentification,	accès,	actions
n Applicat...
Ordre	du	jour
¨ Généralités
¨ Les	grandes	étapes
¨ Aspects	juridiques
¨ Aspects	IT
¨ Conclusions
Obligations	conséquentes…
¨ La	GDPR	est	l’affaire	de	tous
¨ Son	respect	demande	beaucoup	de	rigueur,	et	la	
charge	de	trav...
Bénéfices	indirects	(1)
¨ Registre	des	traitements	=	l’inventaire	qu’on	
n’aurait	jamais	pris	le	temps	de	faire	à
¤ Vision...
Bénéfices	indirects	(2)
¨ Politiques	de	sécurité	plus	contraignantes	enfin	
acceptées
¨ L’augmentation	du	niveau	de	sécuri...
Contrôles,	amendes…
¨ Démontrer	de	la	bonne	volonté
¤ Prioriser :	fixer	un	calendrier	et	un	échéancier
¤ Documenter
¨ Le	p...
Ressources
¨ CPVP (Belgique)	www.privacycommission.be
¨ CNIL (France)	www.cnil.fr/professionnel
¨ CNPD	(GD	Luxembourg)	cnp...
Q&A’s
Upcoming SlideShare
Loading in …5
×

Sécurité, GDPR : vos données ont de la valeur

Présenté par Catherine Thiry (ULiège - service juridique) et Simon François (ULiège - SEGI - Service d'Informatique) le 23 mars 2018

  • Be the first to comment

Sécurité, GDPR : vos données ont de la valeur

  1. 1. GDPR @ULIÈGE VOS DONNÉES ONT DE LA VALEUR ! Geeks Anonymes Liège23-03-18 Service général d'informatique-SEGI
  2. 2. Kate & Sim ¨ Service des Affaires juridiques ¤ Juriste ¤ CSI ¤ CEIS ¤ GT GDPR CReF ¨ Fuel : chocolat ¨ Service général d’Informatique ¤ Ingé IT ¤ RSSI / RSMSI ¤ Resp Infra Réseau ¤ ULiège / CHU / Ext ¨ Fuel : café 23-03-18GDPR @ULiège Catherine THIRY Simon FRANCOIS
  3. 3. Ordre du jour 23-03-18GDPR @ULiège ¨ Généralités ¨ Les grandes étapes ¨ Aspects juridiques ¨ Aspects IT ¨ Conclusions
  4. 4. ¨ GDPR : General Data Protection Regulation ¨ RGPD : Règlement Général sur la Protection des Données ¨ Règlement Union Européenne 2016/679 ¨ Abroge la directive 95/46/CE ¨ Entrée en vigueur (et sanctions…) dès le 25 mai 2018 GDPR
  5. 5. Pourquoi la GDPR ? ¨ Selon nous… ¤ Pour harmoniser la gestion des données dans l’UE et ainsi permettre une meilleure circulation des services/produits. ¤ Pour empêcher des géants (Facebook, Google…) d’abuser des citoyens européens en exploitant, souvent à leur insu, leurs données personnelles en toute impunité. ¤ Pour inciter toutes les entreprises à investir dans la sécurité, plutôt que de payer 10x le prix pour récupérer les dégâts d’un piratage réussi. ¤ Pour pousser les acteurs de “confiance” (fédéral, hôpitaux, telco) à augmenter le niveau de protection des données de leurs “clients”, en ce compris par le contrôle de leurs sous- traitants.
  6. 6. Qui est concerné ? ¨ Tout qui est établi au sein de l’UE et traite des données personnelles (venant de l’UE ou non). ¨ Tout qui traite des données personnelles de personnes se trouvant en UE, où qu’il soit dans le monde dès lors qu’il agit (service, produit, profilage) sur le territoire UE. ¨ Même le secteur public ? ¤ Oui. ¨ Même les chercheurs ? ¤ Oui. ¨ Même les TPE ? ¤ Oui.
  7. 7. Qu’est-ce qu’une donnée personnel(le) ? ¨ Toute information (au sens large) permettant d’identifier une personne physique ; ¨ Est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. Source : EU RGPD article 4
  8. 8. Qu’est-ce qu’un traitement ? ¨ Pratiquement, toute opération susceptible de viser une donnée à caractère personnel, sur format électronique ou papier : collecte, encodage, conservation, modification, consultation, utilisation, transmission, destruction… Voir article 4 RGPD
  9. 9. Mes données personnelles n’intéressent personne… ¨ « Tout ça pour ça ? Mes données personnelles n’intéressent personne… »
  10. 10. … pendant ce temps, sur le darkweb…
  11. 11. Ordre du jour ¨ Généralités ¨ Les grandes étapes ¨ Aspects juridiques ¨ Aspects IT ¨ Conclusions
  12. 12. Les grandes étapes pour le 25 mai 2018 ¨ Sensibiliser (!!) ¨ Nommer un DPO (!!!) ¨ Information des personnes concernées (!!!!) ¨ Mettre en place un registre des traitements (!!!!!) ¨ … et y lister tous les traitements (!!!!!!!!!!!!!!) ¨ Conduire des analyses d’impact (DPIA) (!!!!!!) ¨ Sécuriser en conséquence (!!!!!!!!!!!!!!!!) ¨ Produire des documents de conformité (!!)
  13. 13. Les grandes étapes post 25 mai 2018 ¨ Continuer à sensibiliser ¨ Maintenir le registre à jour et les analyses d’impact ¨ Traiter les demandes des personnes concernées ¨ Communiquer avec la DPA (Data Protection Authority ou APD – Belgique : ex-CPVP) ¤ Prouver la conformité ¤ Gérer les (hypothétiques) violations de données
  14. 14. Les grandes étapes post 25 mai 2018 ¨ Toujours tout documenter ¨ Optimiser les procédures de traitement des demandes des personnes concernées : ¤ Droits d’accès ; ¤ De rectification des données inexactes ou incomplètes ; ¤ De portabilité ; ¤ De retrait du consentement ; ¤ D’oubli/d’effacement des données et de limitation du traitement ; ¤ De refuser le marketing direct ; ¤ De s’opposer au profilage.
  15. 15. Ordre du jour ¨ Généralités ¨ Les grandes étapes ¨ Aspects juridiques ¨ Aspects IT ¨ Conclusions
  16. 16. Obligations pour tout RT ¨ Privacy by design : dès la conception d’un traitement de données, le RT veille à intégrer la dimension GDPR ¨ Privacy by default : le RT doit utiliser les données uniquement dans la mesure nécessaire à la finalité du traitement ¤ Uniquement les données nécessaires, ¤ Pour la durée nécessaire, ¤ Pour le type de traitement nécessaire, ¤ Moyennant l’accessibilité strictement nécessaire, ¤ Et les mesures de sécurité nécessaires selon la finalité et la catégorie de données
  17. 17. Obligations pour tout RT ¨ Justifier de la licéité de chaque traitement : ¤ Consentement (libre et éclairé) ¤ Obligation légale ¤ Exécution d’un contrat ¤ Sauvegarde des intérêts vitaux d’une personne ¤ Mission d’intérêt public/exercice de l’autorité publique ¤ Intérêts légitimes du RT Documenter
  18. 18. Obligations pour tout RT ¨ Informer les personnes concernées, à l’occasion du consentement ou non et, parfois, en cas de violation de données à caractère personnel ¨ Et leur permettre d’exercer leurs droits ¤ Exceptions (à venir) pour la recherche ¨ S’assurer du respect du GDPR par les sous-traitants ou les RT conjoints ¨ Mener les analyses d’impact opportunes Documenter
  19. 19. Obligations pour certains RT ¨ Désigner un DPO (ou DPD) ¤ Organismes publics, centres de recherche, RT dont les activités de base consistent en des opérations impliquant un suivi régulier et systématique à grande échelle de personnes, RT dont les activités de base portent sur des données sensibles ¤ Le DPO, spécialiste et indépendant, doit être associé à toutes questions relatives à la protection des données; point de contact pour l’APD, pour les personnes concernées; rôle accru pour la recherche scientifique/statistique Documenter
  20. 20. Obligations pour certains RT ¨ Tenir un registre des traitements décrivant les finalités, personnes concernées, données concernées, destinataires des données (+transferts vers des pays tiers) et si possible, les délais d’effacement et les mesures de sécurité ¤ Pour les organisations de + de 250 employés, ¤ Les RT effectuant des traitements n comportant un risque pour les droits et libertés des personnes concernées ou n Non occasionnels ou n Portant sur des données sensibles n Et leurs sous-traitants GDPR @ULiège 23-03-18
  21. 21. Anonymisation / Pseudonymisation ¨ Pseudonymisation = réversible ¤ à sécuriser les infos permettant la réversibilité en conséquence ¨ Anonymisation = (réputé) irréversible ¨ Désanonymisation..?
  22. 22. Unicité dans l’anonymat ? ¨ Exemple de la mobilité de l’homme (localisation temporelle) e ~ (v * h)-p/100 ¤ e est l’unicité, v la résolution spatiale, h la résolution temporelle, et p le nombre de points disponibles. ¨ à désanonymisation dans 95% des cas pour p = 4. n Source : de Montjoye, Y.-A., Hidalgo, C.A., Verleysen, M. & Blondel, V.D. Unique in the Crowd: The privacy bounds of human mobility. Nature srep. 3, 1376; DOI:10.1038/srep01376 (2013).
  23. 23. Ordre du jour ¨ Généralités ¨ Les grandes étapes ¨ Aspects juridiques ¨ Aspects IT ¨ Conclusions
  24. 24. Les bases de la sécurité de l’information ¨ CIA ¤ Confidentialité n L’information n’est accessible qu’aux personnes qui en ont le droit ¤ Intégrité n Les informations auxquelles on accède sont authentiques, et n’ont pas été modifiées (falsifiées ou détériorées) ¤ Accessibilité (Disponibilité) n Les informations sont accessibles par les personnes autorisées quand elles en ont le droit ¤ Attention, confusion introduite par la GDPR qui vient redéfinir l’intégrité et la disponibilité différemment du reste du monde (bravo l’Europe)
  25. 25. Sécuriser ses données ¨ Sécurisation physique/environnementale ¨ Contrôle d’accès (physique et logique) ¨ Sécurisation des réseaux ¨ Protection contre les malwares ¨ Chiffrement ¨ Journalisation (log/forensics) ¨ … maintenance et documentation
  26. 26. Ce que le SEGI offre ¨ Sécurité dans l’ADN ¨ Datacenters pro ¨ Certifications, dont ISO 27001 ¨ DoX, myCloud serveurs, myCloud desktop… ¨ àréponse à tous les besoins listés
  27. 27. Sécuriser ses données ¨ Sécurisation physique/environnementale ¤ Contrôle d’accès (badges, clefs…) ¤ Sécurisation électrique (UPS, groupe électrogène…) ¤ Détections et alarmes (intrusion, incendie, inondation…) ¤ Gardiennage 24/7 ¤ CCTV ¤ Prise en charge des visiteurs ¤ … ¤ Hauteur des grilles, luminosité des éclairages !
  28. 28. Sécuriser ses données ¨ Accès physique (restriction des droits d’accès, moindre privilège) ¨ Accès logiques ¤ Authentification n Source n Protocole n Force n Users / admins ¤ Droits au sein de l’application ¤ Cloisonnement des réseaux (VLAN, firewalls…)
  29. 29. Sécuriser ses données ¨ Sécurisation des réseaux ¤ Cloisonnement ¤ Firewalls locaux/traditionnels/applicatifs ¤ IDS, IPS, DDoS mitigation, threat prevention… ¤ NAC, WAF… ¤ Chiffrement des communications ¤ VPN ¤ Dédoublement et redondance infra et services ¤ …
  30. 30. Sécuriser ses données ¨ Protection contre les malwares ¤ Gouvernance (politiques et procédures) ¤ Antivirus ¤ Firewalls applicatifs ¤ Isolation (ou quarantaine) ¤ Sandbox ¤ Posture check ¤ …
  31. 31. Sécuriser ses données ¨ Chiffrement ¤ Des données ¤ Des backups ¤ Des disques durs ¤ Des échanges
  32. 32. Sécuriser ses données ¨ Journalisation (log/forensics) ¤ Génération des logs n Authentification, accès, actions n Applicatif (user/admin) n Systèmes (user/admin) n Réseau (user/admin) ¤ Exploitation des logs ¤ Conservation des logs
  33. 33. Ordre du jour ¨ Généralités ¨ Les grandes étapes ¨ Aspects juridiques ¨ Aspects IT ¨ Conclusions
  34. 34. Obligations conséquentes… ¨ La GDPR est l’affaire de tous ¨ Son respect demande beaucoup de rigueur, et la charge de travail requise est titanesque ¨ Mais les bénéfices sont nombreux.
  35. 35. Bénéfices indirects (1) ¨ Registre des traitements = l’inventaire qu’on n’aurait jamais pris le temps de faire à ¤ Vision globale jusqu’alors indisponible ¤ Squelettes dans le placard à dépoussiérer, ou définitivement enterrer ¤ Révision des droits d’accès
  36. 36. Bénéfices indirects (2) ¨ Politiques de sécurité plus contraignantes enfin acceptées ¨ L’augmentation du niveau de sécurité bénéficie à toute l’activité, pas seulement à la protection des données personnelles
  37. 37. Contrôles, amendes… ¨ Démontrer de la bonne volonté ¤ Prioriser : fixer un calendrier et un échéancier ¤ Documenter ¨ Le piratage ne sera jamais un risque négligeable ! ¤ En cas d’occurrence à montrer que des mesures préventives raisonnablement suffisantes étaient pourtant adoptées.
  38. 38. Ressources ¨ CPVP (Belgique) www.privacycommission.be ¨ CNIL (France) www.cnil.fr/professionnel ¨ CNPD (GD Luxembourg) cnpd.public.lu/fr.html ¨ GDPR / RGPD officiel www.eugdpr.org privacy@uliege.be
  39. 39. Q&A’s

×