Massimo 810 PRO
IT + Culture = <3
Ingénieur informatique et méthodes
Approche processuelle du RGPD
Spécialisé en amélioration continue des organisations
(5 certifications)
Une association dédiée au développement d'une culture informatique française reposant sur des principes de sobriété, de sécurité et de qualité.
www.810.fr
des contenus web accessibles gratuitement pour les publics
des prestations d’ingénierie culturelle pour les organisations
( AMOA SI ; RGPD ; ISO9001 ; data science )
Un modèle industriel de bonnes pratiques d'organisation des fournisseurs de services (ancêtre d'ISO-9001).
Toutes les hotlines qui sont une fonction SPOC soutenant les processus de gestions des requetes et de gestion des incidents.
La légende des malouines VS. la réalité de la volonté d'externalisation des services publics anglais.
ressources
client·es
utilisateur·rices
employé·es et infrastructures
vous@mail.com
produit·s
serveur IMAP
client mail
fonctionnalités
garanties
envoyer/recevoir des e-mail
24/24 / dispo 99.99%
offre de service
catalogue en ligne
relation de service
commerciaux / hotline
Stratégie
Conception
Transition
Exploitation
Amélioration continue
mesures
QUALITÉ
Gestion du catalogue de service
Gestion des niveaux de service
Gestion de la capacité
Gestion de la disponibilité
Gestion de la continuité
Gestion de la sécurité
Gestion des fournisseurs
La phase de conception déclenche les processus nécessaires à un cadrage approprié des projets à venir.
Comment s'assure-t-on qu'elles sont réalistes en termes de capacité, de disponibilité et de continuité ?
Comment assure-t-on la sécurité du service et des personnes concernées ?
Comment veille-t-on à ce que nos fournisseurs concourrent à la poursuite de ces objectifs ?
Comment définir les services que nous fournissons ?
fonctionnalités
Sur quelles modalités de fonctionnement pourrait-on s'engager ?
garanties
De quoi parle-t-on ?
"Toute information se rapportant à une personne physique identifiable directement ou indirectement"
Numéro de sécurité sociale
Numéro de passeport
Adresse postale
Photo d'identité
{diplome, date de naissance, dernier poste occupe, code postal}
"une opération, ou ensemble d’opérations, portant sur des données, quel que soit le procédé utilisé"
Cf. La CNIL
...
x
=
Effet
Cause (qui ? quoi ?)
Un employé malveillant récupère mes données bancaires
Mon compte en banque est vidé
x
R1
=
Un virus sur mon PC récupère les identifiants de mon drive
Usurpation d'identité, photos personnelles diffusées, etc.
x
R2
=
2016 : Découverte du logiciel espion, Pegasus, qui surveille media et opposants politiques
2013 : Affaire Wikileaks qui dévoile les écoutes mondiales de la NSA
Dans la majorité des cas.
(*)
(*)
consentement
image source : L'atelier CNIL
éclairé
spécifique
libre
univoque
révocable
Impossible de refuser facilement
Des explications en anglais
droit à l'information
droit d'accès
droit de rectification
droit d'opposition
droit d'effacement
droit de limitation
droit à la portabilité
droit de ne pas faire l'objet d'un décision exclusivement fondée sur un traitement automatisé.
droit de recours (CNIL)
Comment exercer ses droits lorsque la publicité ciblée s'appuie sur la video-surveillance ?
(*) les stations essence Tesco utilisent la reconnaissance faciale pour proposer des publicités ciblées
droit à l'information
droit d'accès
droit de rectification
droit d'opposition
droit d'effacement
droit de limitation
droit à la portabilité
droit de ne pas faire l'objet d'un décision exclusivement fondée sur un traitement automatisé.
droit de recours (CNIL)
Dans la plupart des cas, un simple e-mail suffit
Permettre aux gens d'exercer leurs droits
Sécuriser les données de façon adaptée
Avoir des partenaires conformes
Aborder la conformité comme un processus d’amélioration continue
Synthèse : vos obligations
Les risques de la non-conformite
Photo by Marija Zaric on Unsplash, ici
mentions légales
consentement
licéité
droit à l'information
droit d'accès
droit de rectification
droit d'opposition
droit d'effacement
droit de limitation
droit à la portabilité
droit de recours (CNIL)
droit de ne pas faire l'objet d'un décision exclusivement fondée sur un traitement automatisé.
droit à l'information
Gestion des ressources humaines
Site / Newsletter
Gestion budgétaire/comptable
Photo de regularguy.eth sur Unsplash
sensibilité données
mesures de sécurité
Plus une données est sensible, plus elle doit être sécurisée
Pas tous les responsables d'entreprises sont des experts en cybersécurité...
clauses contractuelles
privacy by design
loyauté
coresponsabilité
Michael Dziedzic sur Unsplash, ici
Attention avec qui on travaille ! Tous nos partenaires doivent être conformes
Avoir des clauses contractuelles RGPD
Ne pas inciter les gens a utiliser des services non conformes
Le RGPD conditionne l’écriture des contrats.
clauses contractuelles
La conformité doit donc être pensée dès la phase de conception d'un projet.
privacy by design
(*)
Loyauté
(*)
On ne collecte que les informations nécessaires. On les conserve seulement le temps qu'il faut.
minimisation
privacy by default
ITIL : gestion des fournisseurs
ITIL : gestion de la sécurité
sensibilisation
Pablo Lancaster Jones sur Unsplash, ici
Respecte-t-elle la vie privée des individus ?
Fonctionnalités RGPD + Rédaction de contrat
Test fonctionnalités RGPD
Suivi des réclamations RGPD
Quelle valeur cherche-t-on a créer ?
Comment faire ? Avec quels partenaires ?
Planification et réalisation (+ tests)
Maintien en service et suivi quotidien
Analyse de l'existant pour amelioration
registre des traitements
Photo d'Eden Constantino sur Unsplash, ici
Formaliser un registre des traitements
Disposer d'une politique de confidentialité pour chaque traitement.
Disposer de clauses contractuelles RGPD
Suivre et traiter les réclamations RGPD
Nommer un·e délégué·e à la protection des données qui pilote et suit tout le processus de conformité RGPD.
Hasan Almasi sur Unsplash, ici
Impact plus fort qu'une autre faille de sécurité puisque l'opinion publique est directement concernée.
Les sanctions sont publiques (e.g)
< 2% CA ou 10M€
Non respect de l'organisation du RGPD
< 4% CA ou 20M€
Détournement des finalités
Opacité des mentions legales (e.g transferts)
Aléatoire
Vous avez 30 jours pour répondre aux demandes des personnes concernées.
Suite a une plainte
(association ou personne concernées)
Quand vous remplissez un formulaire, web ou non, demandez-vous si les champs sont nécessaires ?
Observez comment votre consentement est recueilli sur les sites que vous visitez ? Pouvez-vous refuser facilement ?
Documentaire sur l'utilisation des outils numériques en politique :
Aussi accessible sur
YouTube :
N'hésitez pas à vous abonner à la newletter 810.fr, en bas de cette page. Nous allons bientôt publier la première vidéo de notre cycle pour apprendre à protéger sa vie privée, à l'ère du numérique.
By Massimo 810
Derive de l'atelier RGPD dedie a l'ENSCI. La version publique ne dispose d'aucune animation