Massimo 810 PRO
IT + Culture = <3
Règlement Général européen pour la Protection des Données
Massimo Bruni
Ingénieur informatique et méthodes
Approche processuelle du RGPD
Spécialisé en amélioration continue des organisations
(5 certifications)
Une association dédiée au développement d'une culture informatique française reposant sur des principes de sobriété, de sécurité et de qualité.
www.810.fr
des contenus web accessibles gratuitement pour les publics
des prestations d’ingénierie culturelle pour les organisations
( AMOA SI ; RGPD ; ISO9001 ; data science )
Le design en ingenierie des process
Le Règlement Général européen pour la Protection des Données
Le design en ingénierie des process /
Industrie des services numeriques
ITIL V3
Un modèle industriel de bonnes pratiques d'organisation des fournisseurs de services (ancêtre d'ISO-9001).
Au quotidien
ITIL
Histoire
Toutes les hotlines qui sont une fonction SPOC soutenant les processus de gestions des requetes et de gestion des incidents.
La légende des malouines VS. la réalité de la volonté d'externalisation des services publics anglais.
Le service / ITIL V3
ressources
client·es
utilisateur·rices
employé·es et infrastructures
vous@mail.com
produit·s
serveur IMAP
client mail
fonctionnalités
garanties
envoyer/recevoir des e-mail
24/24 / dispo 99.99%
offre de service
catalogue en ligne
relation de service
commerciaux / hotline
5φ ITIL V3
Stratégie
Conception
Transition
Exploitation
Amélioration continue
mesures
QUALITÉ
Les 7 processus de conception de service
Gestion du catalogue de service
Gestion des niveaux de service
Gestion de la capacité
Gestion de la disponibilité
Gestion de la continuité
Gestion de la sécurité
Gestion des fournisseurs
La phase de conception déclenche les processus nécessaires à un cadrage approprié des projets à venir.
Comment s'assure-t-on qu'elles sont réalistes en termes de capacité, de disponibilité et de continuité ?
Comment assure-t-on la sécurité du service et des personnes concernées ?
Comment veille-t-on à ce que nos fournisseurs concourrent à la poursuite de ces objectifs ?
Comment définir les services que nous fournissons ?
fonctionnalités
Sur quelles modalités de fonctionnement pourrait-on s'engager ?
garanties
Le Règlement Général européen pour la Protection des Données
Présentation générale
le RGPD et les individus
le RGPD dans les organisations
PRÉSENTATION GÉNÉRALE
De quoi parle-t-on ?
Donnée à caractère personnel
"Toute information se rapportant à une personne physique identifiable directement ou indirectement"
Numéro de sécurité sociale
Numéro de passeport
Adresse postale
Photo d'identité
{diplome, date de naissance, dernier poste occupe, code postal}
Traitement de données
Dès qu'il y a collecte, il y a traitement
"une opération, ou ensemble d’opérations, portant sur des données, quel que soit le procédé utilisé"
Cf. La CNIL
Quels sont les risques induits par les traitements de données personnelles ?
...
x
=
Risque
Impact
Effet
Menace
Cause (qui ? quoi ?)
Un employé malveillant récupère mes données bancaires
Mon compte en banque est vidé
x
R1
=
Un virus sur mon PC récupère les identifiants de mon drive
Usurpation d'identité, photos personnelles diffusées, etc.
x
R2
=
Small data
Individus
Big data
Sociétés
Des acteurs privés influent sur les élections nationales de pays étrangers.
2016 : Découverte du logiciel espion, Pegasus, qui surveille media et opposants politiques
2013 : Affaire Wikileaks qui dévoile les écoutes mondiales de la NSA
Des États surveillent des ressortissants d'autres États.
⚖️ Réguler le continent ⚖️
pour
💰 peser 💰
RGPD
Les enjeux
individuels
sociétaux
économiques
LE RGPD ET LES INDIVIDUS
"La donnée personnelle est un attribut de la personne physique"
Elle doit donc consentir a leur traitement
Dans la majorité des cas.
(*)
(*)
consentement
image source : L'atelier CNIL
éclairé
spécifique
libre
univoque
révocable
Impossible de refuser facilement
Des explications en anglais
Vos nouveaux droits !
droit à l'information
droit d'accès
droit de rectification
droit d'opposition
droit d'effacement
droit de limitation
droit à la portabilité
droit de ne pas faire l'objet d'un décision exclusivement fondée sur un traitement automatisé.
🚫 🤖
droit de recours (CNIL)
Matière à réflexion
Comment exercer ses droits lorsque la publicité ciblée s'appuie sur la video-surveillance ?
(*) les stations essence Tesco utilisent la reconnaissance faciale pour proposer des publicités ciblées
droit à l'information
droit d'accès
droit de rectification
droit d'opposition
droit d'effacement
droit de limitation
droit à la portabilité
droit de ne pas faire l'objet d'un décision exclusivement fondée sur un traitement automatisé.
droit de recours (CNIL)
Comment exercer vos droits ?
Dans la plupart des cas, un simple e-mail suffit
Les modèles de courriers de la CNIL, ici
LE RGPD ET LES ORGANISATIONS
Permettre aux gens d'exercer leurs droits
PLAN
Sécuriser les données de façon adaptée
Avoir des partenaires conformes
Aborder la conformité comme un processus d’amélioration continue
Synthèse : vos obligations
Les risques de la non-conformite
Permettre aux gens d'exercer leurs droits
Photo by Marija Zaric on Unsplash, ici
mentions légales
consentement
licéité
droit à l'information
droit d'accès
droit de rectification
droit d'opposition
droit d'effacement
droit de limitation
droit à la portabilité
droit de recours (CNIL)
droit de ne pas faire l'objet d'un décision exclusivement fondée sur un traitement automatisé.
droit à l'information
Objectif :
Informer les personnes concernées pour qu'elles puissent consentir en connaissance de cause
Qui sont les personnes concernées ?
Ressources humaines
Client·es
Partenaires
Gestion des ressources humaines
Site / Newsletter
Gestion budgétaire/comptable
Les mentions légales permettent l'exercice du droit à l'information des personnes, et décrivent les modalités d'exercice des autres droits.
Sécuriser les données de façon adaptée
Photo de regularguy.eth sur Unsplash
sensibilité données
mesures de sécurité
Plus une données est sensible, plus elle doit être sécurisée
Pas tous les responsables d'entreprises sont des experts en cybersécurité...
Ils et elles externalisent la responsabilité !
Avoir des partenaires conformes
clauses contractuelles
privacy by design
loyauté
coresponsabilité
Michael Dziedzic sur Unsplash, ici
La coresponsabilité
Attention avec qui on travaille ! Tous nos partenaires doivent être conformes
Avoir des clauses contractuelles RGPD
Ne pas inciter les gens a utiliser des services non conformes
La sécurité de l'information est technique et organisationnelle
Le RGPD conditionne l’écriture des contrats.
clauses contractuelles
La conformité doit donc être pensée dès la phase de conception d'un projet.
privacy by design
(*)
Loyauté
(*)
On ne collecte que les informations nécessaires. On les conserve seulement le temps qu'il faut.
minimisation
privacy by default
ITIL : gestion des fournisseurs
ITIL : gestion de la sécurité
Le processus de conformité RGPD
sensibilisation
Pablo Lancaster Jones sur Unsplash, ici
Respecte-t-elle la vie privée des individus ?
Fonctionnalités RGPD + Rédaction de contrat
Test fonctionnalités RGPD
Suivi des réclamations RGPD
Stratégie
Quelle valeur cherche-t-on a créer ?
Conception
Comment faire ? Avec quels partenaires ?
Transition
Planification et réalisation (+ tests)
Exploitation
Maintien en service et suivi quotidien
Amélioration continue
Analyse de l'existant pour amelioration
Le processus de conformite démarre dès la conception d'un projet.
Le RGPD influe sur toute la chaîne de production de valeur.
sensibiliser
contraintes de conformites
service public
Vos contraintes de conception sont écrites dans ces règlements.
Vous n'avez pas à les connaître en details, c'est le rôle de vos interlocuteur.rices
Synthèse : les obligations des organisations
registre des traitements
Photo d'Eden Constantino sur Unsplash, ici
Pour toutes les organisations :
Formaliser un registre des traitements
Disposer d'une politique de confidentialité pour chaque traitement.
Disposer de clauses contractuelles RGPD
Suivre et traiter les réclamations RGPD
Pour les entreprises de services numériques et les administrations :
Nommer un·e délégué·e à la protection des données qui pilote et suit tout le processus de conformité RGPD.
Les risques
de la non-conformité
Hasan Almasi sur Unsplash, ici
Financiers
D'image
IMPACTS
Impact plus fort qu'une autre faille de sécurité puisque l'opinion publique est directement concernée.
Les sanctions sont publiques (e.g)
< 2% CA ou 10M€
Non respect de l'organisation du RGPD
< 4% CA ou 20M€
Détournement des finalités
Opacité des mentions legales (e.g transferts)
Plainte
Audit
VRAISEMBLANCE
Aléatoire
Vous avez 30 jours pour répondre aux demandes des personnes concernées.
Suite a une plainte
(association ou personne concernées)
Contenus complementaires
(Devoirs à la maison)
Quand vous remplissez un formulaire, web ou non, demandez-vous si les champs sont nécessaires ?
Pratiques du quotidien
Observez comment votre consentement est recueilli sur les sites que vous visitez ? Pouvez-vous refuser facilement ?
Documentaire sur l'utilisation des outils numériques en politique :
Aussi accessible sur
YouTube :
Pour initier une reflexion sur les systemes d'informations éco-concus, quelques slides complémentaires, ici
Merci !
N'hésitez pas à vous abonner à la newletter 810.fr, en bas de cette page. Nous allons bientôt publier la première vidéo de notre cycle pour apprendre à protéger sa vie privée, à l'ère du numérique.
RGPD @ENSCI / Public Version
By Massimo 810
RGPD @ENSCI / Public Version
Derive de l'atelier RGPD dedie a l'ENSCI. La version publique ne dispose d'aucune animation
