Les data: enjeux et stratégie.

Big-Data, Digitalisation, GDPr Les données sont partout

Innover avec les données, les contraintes de la GDPr

Flaviano Valvason, Senior Manager, Privacy ExpertBlaise Guignard, Executive Vice-President

Flaviano Valvason, Senior Manager – Privacy Expert

+15 years of experience in Privacy and Data security projects~1998

DPO Practitioner & Data Security (INFOSEC Geneva University)

EU GDPR Practitioner

Grad. EPFZ (Computer Engineering); Grad. LL.M Intern. Law

Member of IAPP Association Privacy Professionals and W29 team(Cloud privacy working group)

ISO2700x/27018/31000/20000, HIPAA,PCI-DSS, FDA 210/211,21CFR11, LPD, AP-LPD, GDPR, CH local laws

F.Valvason@Itecor.com

CLOSE

TO YOU

AGENDAIntroduction – Un simple constat

Rappel – De quoi parle-t-on ?

Cas – Comment innover en tenant compte des contraintes GDPR

Conclusion – L’innovation est nécessaire

Questions / réponses

CLOSE

TO YOU4/23/2018

Introduction

Un Constat2010 - 2017

4/23/20185

1. Exxon USA – Energie 369 Mia $

2. Petrochina Chine – Energie 301 Mia $

3. Microsoft USA – Technologie 270 Mia $

4. BHP Billiton AUS – Mine 245 Mia $

5. ICBC Chine - Banque 232 Mia $

6. Apple USA – Technologie 220 Mia $

2010

4/23/20186

1. Apple USA – Technologie 745 Mia$• Dont 45 Mia de bénéfices

2. Alphabet (Google) USA – Technologie 579 Mia$• Dont 19.5 Mia de bénéfices

3. Microsoft USA – Technologie 509 Mia$

4. Amazon USA – Technologie 423 Mia$

5. Beckshire Hathaway USA – Finance 411 Mia$

6. Facebook USA – Technologie 411 Mia$

2017 …

Un point commun : innovation technologique

Un risque : protection des données

CLOSE

TO YOU

Rappel

Protection des données?De quoi parle-t-on?

7

CLOSE

TO YOU

GLOSSAIREGDPR

General Data Protection Regulation

LPrD (VD) - Loi (172.65) sur la protection des données personnelles

LIPAD (GE)

….

LPD, OLPD Lois Fédérales (235.1, 235.11)

8

9

Panorama des lois et règlementations

CstArt13 + CstArt29+ 28CC

CEDH - ECHR Directive 95/46(D-PD)

(GDPR) Directive 16/679+ Directive 16/680

LPD + OLPD+ Lois Cantonales

Fédéral

AP-LPD

EU - USPrivacy Shield

CH - US Privacy Shield

Lois cantonales

LIPAD (GE)LPrD (VD)LPrD (FR)LIPDA (VS)…

Conv.108

ePrivacyLois nationalesEU - USSafe Harbor

CH - USSafe Harbor

Précedentes Nouvelles

Jurisprudence TAF; Loi sur l’information; Loi sur l’archivage (LAr; 957CO, 962CO)Droit du travail (321,328,330 CO); Circulaires banques; FINMA; LAMAL RS832.10, …Lois professions spécifiques (avocat, médecin, …), recherche, statistiques, …

10

Musique classique

DiabétiqueSolvable

Groupe SanguinType A

Marié

Ne fait pas de sport

Directeur

Carte Cumulus

Propriétaire

Protéger qui,quoi?

Lois / réglementations – le traitement est-il licite?Pourquoi faire (finalité …)?

Individu / Personne

Responsable, sous-traitant, Contrats

Consentement et droit sujet Sécurité des données, des accès

et des traitements Identifier et gérer les brèches

Données / Traitements

Cartographier, classifier les données. Quelles données?

D-PIA – analyse des risques

Cycle de vie des données Qualité des données Où se trouvent les données?

11

Qui?

Comment?

Quoi?

Où et Jusqu’à quand?

Résumé

Protection des données doit se lire comme protection de la sphère privée de l’individu

le moins de données possibles, le moins longtemps possible

12

Données et Traitements

Collecte des données «in/out»

Communication Interne, externe Nationale,

Internationale Transfert Exploitation Modification Conservation Archivage Destruction

Impacts

Juridiques

Impacts

Techniques

Impacts

Organisationnels

Individu et Droits

Licite Application des principes Devoir d’information Droit sujet, Doit d’accès Notification Privacy-by-Design Privacy-by-Default …

Atteinte à la personnalité?Possible brèche?

… Quels risques? Quelles actions?

D-PIA

Adresser les impacts, les 3 angles

Résumé

Protection des données

Protection de l’individu (autodétermination)

Données personnelles, sensibles, traces numériques

Traitement, Contexte

Licéité et application des principes

13

Lois et réglementations

Nouvelle LPD en cours d’acceptation (AP-LPD)

Lois Cantonales LPrD, RLPrD

GDPR Mai 2018 (EU)

Convention 108

Privacy Schield (US)

Activités

D-PIA

Registre des traitements

Privacy by Design/Default

Sécurité renforcée

Consentements

Gestion des contrats

Accountability

CLOSE

TO YOU

Etude de cas

Comment innover en tenantcompte des contraintes de laprotection des données (GDPR …)

14

Conformité vs Innovation == Valeur NULLE

Mise en conformité ? Valeur en terme d’innovation?

Meilleure visibilitéCompréhension du patrimoine immatériel(inventaire et data map)

Conforme «aujourd’hui» # conformitéfuture

Valorisation des donnéesLes brèches vont continuer …Données personnelles == un conceptdépassé !

Organisation plus responsableTous responsables ..!

Gestion réactive des données ..«protection de l’individu» versus besoinsentreprise …

+

+

+ -

-

-

Itecor, 2018 F.Valvason

Utiliser le paradoxe GDPR pour Innover ?

Une optique d’innovation en se basant sur

les données, autour de 3 axes:

Entreprise (besoin d’innover)

Technologie (évolution) Individu (sphère privée) – Technologie

Technologie est le problème .. et … la solution

Exemple : un GPS certifié GDPR == GPS-D.. c’est possible?Itecor, 2018 F.Valvason

Itecor, 2018 F.Valvason

Innovation-contraintes: le GPS-D possible?

Contraintes:

Les déplacements (coordonnées GPS) sont des données

personnelles ?

…

Innover:

Quelle est la finalité du traitement ?

Quels sont les droits des individus ?

….

Quel droit sujet me permet d’innover mon application ?

Comment appliquer le droit sujet à mon innovation?

Comment prouver que je respecte la règlementation?

…

Itecor, 2018 F.Valvason

Innovation-contraintes: BIG-DATA (Analytique) en danger ?Contraintes

Finalité du traitement (déterministe?)

Collecte de données indirectes (informer les individus?)

Minimisation des données (patterns, corrélation inconnue?)

Usage de données publiques (réseaux sociaux, impact?)

…

Le résultat est aussi une donnée personnelle (profilage)

Innover

Considérer le Cycle de vie : Collecte des données, Intégration

des données (data sets), Analyse, Profilage

Profilage: ADN comportemental de l’individu; prédiction, profil;

Ex: Eligibilité pour un programme, situation économique, santé, comportement social …

Itecor, 2018 F.Valvason

Innovation-contraintes: le GPS-D IoT

On produit un GPS détectant l’état des routes afin d’aider

les communes à mieux planifier les travaux d’entretiens.

Ex: Innovation

1. Dommage: L’application contacte le garagiste le plus proche, si

le véhicule est endommagé

2. Etat de la route: un rapport est envoyé au bureau des autos:

type de véhicule, identifiant unique, profil de la personne (homme,

femme, âge), vitesse moyenne, coordonnées des trous détectés.

Itecor, 2018 F.Valvason

Quelles sont les contraintes?

Appliquer l’innovation: le P-b-D(2), P-ET…

Quelle méthode ? Comment ?

P-b-D(2) :

Privacy By Design/By Default

Le concept est flou.Dès la conception .. proactivité

P-ET :

Privacy Enhancing Technologies

Technologies(anonymisation, cryptage, pseudonymisation, archivage,masking, …)

Régulation, Directives, Lois instruments juridiques

Interactions avec les dispositifs technologiques,porosité de ces dispositifs entre eux , importance dutravail en réseau ….

C’est la notion de sphère privée qui devientproblématique …

P-b-D(2), P-ET…efficacité minimale

Le P-b-D(2) est-il efficace? Il faut évaluer les impacts au début …

Il n’y a pas de normes sociales standardisées…

Le P-b-D se focalise sur le paramétrage et non

sur le contrôle de l’usage des données par

d’autres …

L’économie numérique fondée sur un «no

Privacy by Design» (tendance des individus à

divulguer leurs données personnelles .. )

Itecor, 2018 F.Valvason

Approche dynamique et transparence DT-ET

Protéger la sphère privée et INNOVER ?

Itecor, 2018 F.Valvason

Dynamique (D) sur les actions (traceurs)

Transparence (T) sur l’utilisation des données

Utiliser les déclarations de services (privacy

policy, privacy notice, contrat de services …)

Les outils DT-ET

On fournit à l’utilisateur des détails sur: la collecte,

le stockage, le traitement, le partage de ses

données à partir des déclarations de services

(Privacy Policy, Privacy Notice, Contrat …)

Exemple GPS-D: P-b-D(2) + P-ET + DT-ET

Configuration non intrusive J’accepte la collecte des données :

Service de base

Service Garage

J’accepte la transmission de mes données au bureau

des Autos

J’accepte la transmission de mes données au Garage

Cryptage des transmission

Le rapport est effacé après transmission

J’accepte le stockage de mes factures

Cryptage par mot de passe

J’ai pris connaissance de la privacy

policy Privacy Policy

Droits des sujets (GDPR):

Consentement explicite et contextuel Transparence: collecte, traitement, partage Accès, rectification (en 1 clic), portabilité Sécurité des données et de la transmission Déclaration de Services (Régulation)

Gestion des identifiants si web portal

Accéder à mes données en 1 click

Sélectionner le format du rapport

Itecor, 2018 F.Valvason

Itecor, 2018 F.Valvason

Dashboard Dynamique et Transparence

Données collectées actuellement:

24 Avril 2018

Identifiant 183645

Volvo AX 2008

Homme, 45 ans

Vitesse moyenne journalière: 45 Km/heure

Trous détectés : 1

47.6194274; 6.152900300000056

Rapports envoyés au bureau des Autos

historique au : 24 Avril 2018

20 Avril 2018

Rapport reçu au bureau des Autos :

24 Avril 2018, 9h00

Rapport effacé 24 Avril 2018, 9h30

Rapports envoyés Garage (nom du garage)

24 Avril 2018 : Aucun

Effacement, oubli Contrôle partage de données Séparation de fonction Traceurs dynamiques pour transmission

Bureau des Autos Garages

Effacer toutes mes données

Confirmation ImpactsItecor, 2018 F.Valvason

Itecor, 2018 F.Valvason

Exemple GPS-D: P-b-D(2) + P-ET + DT-ET

Exemple : BIG-DATA (Analytique)

Itecor, 2018 F.Valvason

Statiques P-b-D(2) P-ET + Dynamiques

considérations (DT-ET)

Data Innovation Privacy Risks Profile

• On définit des Index de Privacy : orientation de marché et autres spécificités

• On définit un Profil de Risques (Privacy Risks Profile)

• On définit les modifications à apporter (niveau de risque, activités, contrôle …)

Itecor, 2018 F.Valvason

Le Data Innovation Privacy Risks Profileest une extension du D-PIA qui inclut les

outils: P-b-D(2), P-ET et DT-ET. Le profil de

risque se fait selon le contrat de Services

CLOSE

TO YOU

Conclusion

L’innovation dans l’Audit/ Sécurité

27

Utilisateurs

Gouvernance, Risque et conformité

Sécurité Basis

Management des Données

Scan SAP solutions Évaluer Indicateurs / Remédiations

Authorisations

Processus Métiers

Innovation: implémentation outilléé

CLOSE

TO YOU

Visitez notre stand

- Poursuivre nos échanges- Démo : Approche Innovante Audit

Stand IT59

29