Formation complète ici:
http://www.alphorm.com/tutoriel/formation-en-ligne-comprendre-le-rgpd-reglement-general-europeen-sur-la-protection-des-donnees
Après des discussions qui on longuement durer pour faire évoluer la directive européenne de 1995 et prendre en compte les enjeux des nouvelles technologies et mances qui règnes sur les organismes, l’Union Européenne a officialisé en 2016 le nouveau règlement sur la protection des données à caractère personnel qui sera applicable à compter de mai 2018 (le 25 ) , également appelé Règlement Général sur la Protection des Données (RGPD).
Ce règlement introduit de nouvelles obligations pour les entreprises aussi bien au niveau de l’EU que hors EU traitant les données d’utilisateurs basés dans l’EU, ainsi que de nouveaux droits pour les citoyens européens.
Les organismes aussi bien privés que publiques devront modifier de manière conséquentes (positives aussi ) les procédures et les démarches en matière de protection de la vie privée et des données à caractère personnel en prenant en considération les nouvelles règles imposées par le règlement.
2. Une formation
Règlement général sur la protection
des données personnelles
Harmoniser la législation sur la
protection des données
Europe
Droits de tous les consommateurs
Gouvernements et Entreprises
Introduction au RGPD
3. Une formation
Plan de la formation
Introduction
1. Désigner un DPO
2. Cartographier les traitements de données
personnelles
3. Prioriser les actions à mener
4. Gérer les risques
5. Organiser les processus internes
6. Documenter la conformité
Conclusion
10. Une formation
Plan de la formation
Introduction
1. Désigner un DPO
2. Cartographier les traitements de données
personnelles
3. Prioriser les actions à mener
4. Gérer les risques
5. Organiser les processus internes
6. Documenter la conformité
Conclusion
11. Une formation
Plan de la formation
Introduction
1. Désigner un DPO
2. Cartographier les traitements de données
personnelles
3. Prioriser les actions à mener
4. Gérer les risques
5. Organiser les processus internes
6. Documenter la conformité
Conclusion
12. Une formation
Plan de la formation
Introduction
1. Désigner un DPO
2. Cartographier les traitements de données
personnelles
3. Prioriser les actions à mener
4. Gérer les risques
5. Organiser les processus internes
6. Documenter la conformité
Conclusion
16. Une formation
Objectifs de la réforme
Renforcer les
droits des
personnes
Responsabiliser
les acteurs
Crédibiliser
la réforme
17. Une formation
Les changements
Un cadre
harmonisé
Application
Hors-EU
Consentement
Portabilité
des données
Sécurité
par défaut
Notifications
en cas de
fuite
Nomination
d’un DPO
Evaluation
d’impact (IPA)
Sanctions
Comité
européen
Code de
conduite
34. Une formation
La CNIL
Commission Nationale de l'Informatique et des Libertés
Régulateur des données personnelles
Accompagnement dans la mise en
conformité et la maîtrise des données
personnelles et droits
35. Une formation
La CNIL et le RGPD
La CNIL est très impliquée dans chacun des
groupes de travail mis en place par le G29
Elle assure la Présidence jusqu’en février
2018
Intermédiaire principale
Obligation de consultation
36. Une formation
La CNIL et le RGPD
Guichet unique
Notification des décisions adoptées,
défavorables ou susceptibles de recours
devant le Conseil d’État
Procédure spécifique
42. Une formation
Le CIL
Veille à la sécurité juridique et informatique
de son organisme
Vocation à devenir le délégué à la
protection des données
Référent sur les questions de protection des
données personnelles au sein de
l'organisme qui l'a désigné
43. Qu’est ce que c’est
le RGPD?
Une formation
Hamza KONDAH
44. Une formation
Le CIL
Le délégué est chargé de mettre en œuvre
la conformité au règlement européen sur la
protection des données au sein de
l’organisme qui l’a désigné
Sa désignation est obligatoire dans certains
cas
45. Une formation
Le CIL
Les autorités ou les organismes publics
Les organismes dont les activités de base
les amènent à réaliser un suivi régulier et
systématique des personnes à grande
échelle
Les organismes dont les activités de base
les amènent à traiter à grande échelle des
données « sensibles »
46. Une formation
Le DPO
Data Protection Officier
Piloter la gouvernance
Information conseil et contrôle interne
Délégué à la protection de données
Correspondant informatique et liberté
47. Une formation
Le DPO
Chef d’orchestre
Obligation
Dialoguer avec les autorités de protection
de données
Réduire les risques de contentieux
Première étape !
52. Une formation
Introduction
Pilotage de la gouvernance
Le chef d’orchestre ☺
Relation directe avec le CNIL
Un rôle pré DPO : le CIL
Bien choisir son DPO est primordial
53. Une formation
Rôles d’un DPO
Informer et
conseiller
Informer et
conseiller
Contrôler les
aspects du
règlement
Contrôler les
aspects du
règlement
Conseiller
l’organisme
Conseiller
l’organisme
Coopérer avec
le CNIL
Coopérer avec
le CNIL
S’informerS’informer SensibiliserSensibiliser
Réaliser
l’inventaire
Réaliser
l’inventaire
54. Une formation
Quand est-ce obligatoire ?
Autorités et organismes publics
Suivi des personnes en temps réel
Traitement de données personnelles
dites « sensibles »
55. Une formation
Qui peut être délégué ?
N’importe quel employé
Sens de la communication
Expertise législation
Bonne connaissance du secteur
d’activité
Positionnement en interne
59. Une formation
Désigner un DPO
Déclaration officielle Niveau décisionnel
Aspect légal : CIL/CNIL Responsabiliser
60. Une formation
DPO et CIL ?
Le DPO est le successeur du CIL
Qualification et de formation continue
Fournir les ressources nécessaires
La désignation d’un CIL n’est pas
obligatoire
65. Une formation
Acter la position
Faire acter /
valider la
désignation
Formaliser
Mettre en place
le processus de
consultation de
l’instance
représentative
du personnel
compétent
Prévoir
Faire signer au
CIL , si besoin ,
un engagement
de
confidentialité
Permettre au
CIL d’acheter
dans
l’organisme à
toutes les
informations
utiles
66. Une formation
Sensibiliser régulièrement
Informer l’exécutif des
missions essentielles du
CIL
Informer l’exécutif des
missions essentielles du
CIL
Faire intervenir le CILFaire intervenir le CIL
Informer la hiérarchie
actuelle
Informer la hiérarchie
actuelle
Mettre en place un plan de
communication interne
Mettre en place un plan de
communication interne
70. Une formation
Introduction
Gestion du changementGestion du changement
Une fois les données
collectées, que faire ?
Une fois les données
collectées, que faire ?
Analyse et suivisAnalyse et suivis
Transformer les données
brutes en information
Transformer les données
brutes en information
75. Une formation
Introduction
Deuxième étape élémentaire
Mesurer l’impact
Recenser les traitements de données
personnelles de manière granulaire
Registre traitement de données
80. Une formation
Introduction
Première étape primordiale
Registre des traitements effectués
Solution spécialisée Workflow
Voir présentation boite à outils
Traitements spécifiques aux données
personnelles
90. Une formation
Introduction
Identification des actions à mener
pour une mise en conformité
Prioriser les actions au regard des
risques qui se prolifère contre les
traitements effectués
Libertés oh liberté! ☺
94. Une formation
Introduction
Fondamentaux juridiques de
traitements de données
Titre rendu RGPD
Nouvelles restrictions concernant le
consentement, le traitement à des fins
d’intérêt légitime et finalités diverses
96. Une formation
Les Fondamentaux
Exécution d’un contrat avec la personne
Respecter une obligation légale
Protéger les intérêts vitaux d’une personne
Exécution d’une mission d’intérêts publics
Fins d’intérêts légitimes
97. Une formation
Les Nouvelles restrictions
Prouver que le consentement a été donné
librement
Intérêts légitimes le responsable du
traitement informe la personne concernée
Liste des critères à prendre en compte
107. Une formation
Introduction
Rôle clé par rapport au RGPD
Les sous traitants doivent connaitre les
nouvelles obligations et responsabilités
Clauses contractuelles
Sécurité Confidentialité Protection
114. Une formation
Introduction
Nouveauté coté RGPD
Affiner les droits des personnes
Plus de respect pour la vie privée
Contrairement à maintenant, les
utilisateurs auront droit de retirer
leurs informations
120. Une formation
Introduction
Vérification des mesures de sécurité
Audit et pentest (surtout le pentest)
Mesures techniques
Mesures organisationnelles aussi ^^
Correction de l’écart
Quand la protection devient un droit
121. Une formation
Exemple de mesures
Le recours à la pseudonymisation
Le chiffrement des données
L’adoption de moyens permettant de
garantir la confidentialité
L’intégrité, la disponibilité et la
résilience des systèmes
122. Une formation
Exemple de mesures
L’adoption de moyens permettant de
rétablir la disponibilité et l’accès aux
données personnelles en cas
d’incident technique ou physique
126. Une formation
Introduction
Les données ne doivent être accédées
que si le privilège en octroie l’accès
Exercice de la mission CIL
Identifiant propre
Autorisation CIL
127. Une formation
Les changements
Un cadre
harmonisé
Application
Hors-EU
Consentement
Portabilité
des données
Sécurité
par défaut
Notifications
en cas de
fuite
Nomination
d’un DPO
Evaluation
d’impact (IPA)
Sanctions
Comité
européen
Code de
conduite
128. Une formation
Ce qu’il ne faut pas faire !
Communiquer son mot de passe à autrui
Stocker ses mots de passe dans un fichier en
clair ou dans un lieu facilement accessible par
d’autres personnes
129. Une formation
Ce qu’il ne faut pas faire !
Utiliser des mots de passe ayant un lien avec soi (nom,
date de naissance…)
Utiliser le même mot de passe pour des accès
différents
Configurer les applications logicielles afin qu’elles
permettent d’enregistrer les mots de passe
134. Une formation
Introduction
Rentre toujours dans le cadre de la
politique de sécurité
Sécurité des postes de travail
OpenSpace ☺
Gestion et exploitation des postes
(sans oublier leur sécurité logique)
136. Une formation
On protège quoi ?
Limiter le nombre de tentatives d’accès
Pare-feu
Antivirus
Verrouillage automatique
Traçabilité
Précautions élémentaires
157. Une formation
Les niveaux de risques
Niveau de risque Action
Extrême / Haut
• Des mesures immédiares devraient être
prises pour combattre le risque
• Identifier et imposer des contrôles pour
réduire les risques à un niveau
raisonnablement bas
Moyen
• Une action immédiate n'est pas requise
mais devrait être mise en œuvre
rapidement
• Mettre en œuvre les contrôles dès que
possible pour réduire les risques à un
niveau raisonnablement bas
Faible • Prendre des mesures préventives pour
atténuer les effets du risque
162. Une formation
Introduction
Un PIA repose sur deux piliers :
1. Les principes et droits fondamentaux «
non négociables nature, la gravité et la
vraisemblance des risques encourus
2. La gestion des risques sur la vie privée
des personnes concernées »
164. Une formation
Domaine d’application
Les maîtrises d’ouvrage (MOA)
Les maîtrises d’oeuvre (MOE)
Correspondants « informatique et libertés »
Les responsables de la sécurité des
systèmes d’information
165. Une formation
Pourquoi mener un PIA
Un PIA peut être mené sur tout traitement de
DCP ou produit complexe
Valeur pour l’organisme qui les traite
Responsabilité du fait des risques qu’il fait
encourir
177. Une formation
Ce que ça implique
Prendre en compte de la protection
des données personnelles dès la
conception
Sensibiliser et d'organiser la remontée
d’informations
178. Une formation
Ce que ça implique
Traiter les réclamations et les
demandes des personnes concernées
quand à l’exercice de leurs droits
Anticiper les violations de données
183. Une formation
Introduction
Approche de sécurité
Sécurité dès la conception
Hardening non suffisant
Une faille en cache toujours une autre
Approches différentes selon le
domaine
191. Une formation
Introduction
Se tenir informé des menaces et
vulnérabilités
Cellule dédiée
Services publics CERT
Organiser sont référentiel et sa
communication
196. Une formation
Introduction
Constituer et regrouper la
documentation nécessaire
Les actions et documents réalisés à
chaque étape doivent être réexaminés
et actualisés
Protection des données en continu
197. Une formation
Contenu
Le registre des traitements
Les analyses d’impact sur la
protection des données
L'encadrement des transferts
Les mentions d’informations
199. Une formation
Contenu
Les contrats avec les sous-traitants
Les procédures internes en cas de
violation de données
Les preuves que les personnes
concernées ont donné leur
consentement