Massimo 810 PRO
IT + Culture = <3
Règlement Général européen pour la Protection des Données
Massimo Bruni
Ingénieur informatique
et méthode
4
AKKA
Consultant informatique embarqué
Co-fondateur / Ingénieur data
3
810.fr
Formateur RGPD
Délégué à la protection des données
9
CENTRE PROMPIDOU
Responsable Qualité, Méthodes et Outils
Chargé d'application Billetterie, Business Intelligence
Consultant data project management
2
freealnce
CEO, produit IoT pour l'industrie
Le design en ingénierie des process
Le Règlement Général européen pour la Protection des Données
Le design des services numériques selon ITIL
ITIL V3
Un modèle industriel de bonnes pratiques d'organisation des fournisseurs de services (ancêtre d'ISO-9001).
Au quotidien
ITIL
Histoire
Toutes les hotlines qui sont une fonction SPOC soutenant les processus de gestions des requêtes et de gestion des incidents.
La légende des malouines VS. la réalité de la volonté d'externalisation des services publics anglais (1980).
Le service / ITIL V3
ressources
client·es
utilisateur·rices
employé·es et infrastructures
vous@mail.com
offre de service
catalogue en ligne
relation de service
commerciaux / hotline
produit·s
serveur IMAP
client mail
fonctionnalités
garanties
envoyer/recevoir des e-mail
24/24 / dispo 99.99%
5φ ITIL V3
Stratégie
Conception
Transition
Exploitation
Amélioration continue
mesures
QUALITÉ
Les 7 processus de conception de service
Gestion du catalogue de service
Gestion des niveaux de service
Gestion de la capacité
Gestion de la disponibilité
Gestion de la continuité
Gestion de la sécurité
Gestion des fournisseurs
La phase de conception déclenche les processus nécessaires à un cadrage approprié des projets à venir.
Comment définir les services que nous fournissons ?
fonctionnalités
Comment assure-t-on la sécurité du service et des personnes concernées ?
garanties
Comment s'assure-t-on qu'elles sont réalistes en termes de capacité, de disponibilité et de continuité ?
garanties
Comment veille-t-on à ce que nos fournisseurs concourrent à la poursuite de ces objectifs ?
garanties
Le Règlement Général européen pour la Protection des Données
Présentation générale
le RGPD et les individus
le RGPD dans les organisations
PRÉSENTATION GÉNÉRALE
De quoi parle-t-on ?
Donnée à caractère personnel
"Toute information se rapportant à une personne physique identifiable directement ou indirectement"
Numéro de sécurité sociale
Numéro de passeport
Adresse postale
Photo d'identité
{diplôme, date de naissance, dernier poste occupé, code postal}
Traitement de données
Dès qu'il y a collecte, il y a traitement
"une opération, ou ensemble d’opérations, portant sur des données, quel que soit le procédé utilisé"
Cf. La CNIL
Quels sont les risques induits par les traitements de données personnelles ?
...
x
=
Risque
Impact
Effet
Menace
Cause (qui ? quoi ?)
Un employé malveillant récupère mes données bancaires
Mon compte en banque est vidé
x
R1
=
Un virus sur mon PC récupère les identifiants de mon drive
Usurpation d'identité, photos personnelles diffusées, etc.
x
R2
=
A chaque évolution du service, on doit se demander si notre cartographie des risques évolue.
⚠️
Small data
Individus
Big data
Sociétés
Des acteurs privés influent sur les élections nationales de pays étrangers.
2013 : Affaire Wikileaks qui dévoile les écoutes mondiales de la NSA
2016 : Découverte du logiciel espion, Pegasus, qui surveille media et opposants politiques
Des États surveillent des ressortissants d'autres États.
⚖️ Réguler le continent ⚖️
pour
💰 peser 💰
RGPD
individuels
sociétaux
économiques
ses enjeux
LE RGPD ET LES INDIVIDUS
"La donnée personnelle est un attribut de la personne physique"
Elle doit donc consentir à leur traitement
Dans la majorité des cas.
(*)
(*)
consentement
image source : L'atelier CNIL
éclairé
spécifique
libre
univoque
révocable
Cas pratique : newsletter ?
(des explications en anglais)
éclairé
(Impossible de refuser facilement)
libre
Vos nouveaux droits !
droit à l'information
droit d'accès
droit de rectification
droit d'opposition
droit d'effacement
droit de limitation
droit à la portabilité
droit de ne pas faire l'objet d'un décision exclusivement fondée sur un traitement automatisé.
🚫 🤖
droit de recours (CNIL)
Matière à réflexion
Comment exercer ses droits lorsque la publicité ciblée s'appuie sur la video-surveillance ?
(*) les stations essence Tesco utilisent la reconnaissance faciale pour proposer des publicités ciblées
droit à l'information
droit d'accès
droit de rectification
droit d'opposition
droit d'effacement
droit de limitation
droit à la portabilité
droit de ne pas faire l'objet d'un décision exclusivement fondée sur un traitement automatisé.
droit de recours (CNIL)
Comment exercer vos droits ?
Dans la plupart des cas, un simple e-mail suffit
Les modèles de courriers de la CNIL, ici
LE RGPD ET LES ORGANISATIONS
Permettre aux gens d'exercer leurs droits
PLAN
Sécuriser les données de façon adaptée
Avoir des partenaires conformes
Aborder la conformité comme un processus d’amélioration continue
Synthèse : vos obligations
Les risques de la non-conformite
Permettre aux gens d'exercer leurs droits
Photo by Marija Zaric on Unsplash, ici
mentions légales
consentement
licéité
droit à l'information
droit d'accès
droit de rectification
droit d'opposition
droit d'effacement
droit de limitation
droit à la portabilité
droit de recours (CNIL)
droit de ne pas faire l'objet d'un décision exclusivement fondée sur un traitement automatisé.
droit à l'information
Objectif :
Informer les personnes concernées pour qu'elles puissent consentir en connaissance de cause
Qui sont les personnes concernées ?
Ressources humaines
Client·es
Partenaires
Gestion des ressources humaines
Site / Newsletter
Gestion budgétaire/comptable
Les mentions légales permettent l'exercice du droit à l'information des personnes, et décrivent les modalités d'exercice des autres droits.
Sécuriser les données de façon adaptée
Photo de regularguy.eth sur Unsplash
sensibilité données
mesures de sécurité
Plus une données est sensible, plus elle doit être sécurisée
Pas tous les responsables d'entreprises sont des experts en cybersécurité...
Ils et elles externalisent la responsabilité !
Avoir des partenaires conformes
clauses contractuelles
privacy by design
loyauté
coresponsabilité
Michael Dziedzic sur Unsplash, ici
La coresponsabilité
Attention avec qui on travaille ! Tous nos partenaires doivent être conformes
Avoir des clauses contractuelles RGPD
Ne pas inciter les gens a utiliser des services non conformes
La sécurité de l'information est technique et organisationnelle
Le RGPD conditionne l’écriture des contrats.
clauses contractuelles
La conformité doit donc être pensée dès la phase de conception d'un projet.
privacy by design
(*)
Loyauté
(*)
On ne collecte que les informations nécessaires. On les conserve seulement le temps qu'il faut.
minimisation
privacy by default
ITIL : gestion des fournisseurs
ITIL : gestion de la sécurité
Le processus de conformité RGPD
sensibilisation
Pablo Lancaster Jones sur Unsplash, ici
Respecte-t-elle la vie privée des individus ?
Fonctionnalités RGPD + Rédaction de contrat
Test fonctionnalités RGPD
Suivi des réclamations RGPD
Stratégie
Quelle valeur cherche-t-on a créer ?
Conception
Comment faire ? Avec quels partenaires ?
Transition
Planification et réalisation (+ tests)
Exploitation
Maintien en service et suivi quotidien
Amélioration continue
Analyse de l'existant pour amelioration
Le processus de conformité démarre dès la conception d'un projet.
Le RGPD influe sur toute la chaîne de production de valeur.
sensibiliser
contraintes de conformités
service public
Vos contraintes de conception sont écrites dans ces règlements.
Vous n'avez pas à les connaître en détails, c'est le rôle de vos interlocuteur·rices
Mais vous devez les comprendre et savoir prévoir les risques potentiels
Synthèse : les obligations des organisations
registre des traitements
Photo d'Eden Constantino sur Unsplash, ici
Pour toutes les organisations :
Formaliser un registre des traitements
Disposer d'une politique de confidentialité pour chaque traitement.
Disposer de clauses contractuelles RGPD
Suivre et traiter les réclamations RGPD
Pour les entreprises de services numériques et les administrations :
Nommer un·e délégué·e à la protection des données qui pilote et suit tout le processus de conformité RGPD.
Les risques
de la non-conformité
Hasan Almasi sur Unsplash, ici
Financiers
D'image
IMPACTS
Impact plus fort qu'une autre faille de sécurité puisque l'opinion publique est directement concernée.
Les sanctions sont publiques (e.g)
< 2% CA ou 10M€
Non respect de l'organisation du RGPD
< 4% CA ou 20M€
Détournement des finalités
Opacité des mentions legales (e.g transferts)
Plainte
Audit
VRAISEMBLANCE
Aléatoire
Vous avez 30 jours pour répondre aux demandes des personnes concernées.
Suite a une plainte
(association ou personne concernées)
Contenus complementaires
(Devoirs à la maison)
Quand vous remplissez un formulaire, web ou non, demandez-vous si les champs sont nécessaires ?
Pratiques du quotidien
Observez comment votre consentement est recueilli sur les sites que vous visitez ? Pouvez-vous refuser facilement ?
Documentaire sur l'utilisation des outils numériques en politique :
Aussi accessible sur
YouTube :
Des données qui avaient peu de chance de nous porter préjudice avant peuvent devenir problématiques selon l'évolution du paysage politique.
Pour initier une réflexion sur les systemes d'informations éco-concus, quelques slides complémentaires, ici
Merci !
Assocation :
Blogs :
/
RGPD @ENSCI - 2024
By Massimo 810
RGPD @ENSCI - 2024
Derive de l'atelier RGPD dedie a l'ENSCI
