Big-Data, Digitalisation, GDPr Les données sont partout ... · Protection des données doit se...
Transcript of Big-Data, Digitalisation, GDPr Les données sont partout ... · Protection des données doit se...
Les data: enjeux et stratégie.
Big-Data, Digitalisation, GDPr Les données sont partout
Innover avec les données, les contraintes de la GDPr
Flaviano Valvason, Senior Manager, Privacy ExpertBlaise Guignard, Executive Vice-President
Flaviano Valvason, Senior Manager – Privacy Expert
+15 years of experience in Privacy and Data security projects~1998
DPO Practitioner & Data Security (INFOSEC Geneva University)
EU GDPR Practitioner
Grad. EPFZ (Computer Engineering); Grad. LL.M Intern. Law
Member of IAPP Association Privacy Professionals and W29 team(Cloud privacy working group)
ISO2700x/27018/31000/20000, HIPAA,PCI-DSS, FDA 210/211,21CFR11, LPD, AP-LPD, GDPR, CH local laws
CLOSE
TO YOU
AGENDAIntroduction – Un simple constat
Rappel – De quoi parle-t-on ?
Cas – Comment innover en tenant compte des contraintes GDPR
Conclusion – L’innovation est nécessaire
Questions / réponses
CLOSE
TO YOU4/23/2018
Introduction
Un Constat2010 - 2017
4/23/20185
1. Exxon USA – Energie 369 Mia $
2. Petrochina Chine – Energie 301 Mia $
3. Microsoft USA – Technologie 270 Mia $
4. BHP Billiton AUS – Mine 245 Mia $
5. ICBC Chine - Banque 232 Mia $
6. Apple USA – Technologie 220 Mia $
2010
4/23/20186
1. Apple USA – Technologie 745 Mia$• Dont 45 Mia de bénéfices
2. Alphabet (Google) USA – Technologie 579 Mia$• Dont 19.5 Mia de bénéfices
3. Microsoft USA – Technologie 509 Mia$
4. Amazon USA – Technologie 423 Mia$
5. Beckshire Hathaway USA – Finance 411 Mia$
6. Facebook USA – Technologie 411 Mia$
2017 …
Un point commun : innovation technologique
Un risque : protection des données
CLOSE
TO YOU
Rappel
Protection des données?De quoi parle-t-on?
7
CLOSE
TO YOU
GLOSSAIREGDPR
General Data Protection Regulation
LPrD (VD) - Loi (172.65) sur la protection des données personnelles
LIPAD (GE)
….
LPD, OLPD Lois Fédérales (235.1, 235.11)
8
9
Panorama des lois et règlementations
CstArt13 + CstArt29+ 28CC
CEDH - ECHR Directive 95/46(D-PD)
(GDPR) Directive 16/679+ Directive 16/680
LPD + OLPD+ Lois Cantonales
Fédéral
AP-LPD
EU - USPrivacy Shield
CH - US Privacy Shield
Lois cantonales
LIPAD (GE)LPrD (VD)LPrD (FR)LIPDA (VS)…
Conv.108
ePrivacyLois nationalesEU - USSafe Harbor
CH - USSafe Harbor
Précedentes Nouvelles
Jurisprudence TAF; Loi sur l’information; Loi sur l’archivage (LAr; 957CO, 962CO)Droit du travail (321,328,330 CO); Circulaires banques; FINMA; LAMAL RS832.10, …Lois professions spécifiques (avocat, médecin, …), recherche, statistiques, …
10
Musique classique
DiabétiqueSolvable
Groupe SanguinType A
Marié
Ne fait pas de sport
Directeur
Carte Cumulus
Propriétaire
Protéger qui,quoi?
Lois / réglementations – le traitement est-il licite?Pourquoi faire (finalité …)?
Individu / Personne
Responsable, sous-traitant, Contrats
Consentement et droit sujet Sécurité des données, des accès
et des traitements Identifier et gérer les brèches
Données / Traitements
Cartographier, classifier les données. Quelles données?
D-PIA – analyse des risques
Cycle de vie des données Qualité des données Où se trouvent les données?
11
Qui?
Comment?
Quoi?
Où et Jusqu’à quand?
Résumé
Protection des données doit se lire comme protection de la sphère privée de l’individu
le moins de données possibles, le moins longtemps possible
12
Données et Traitements
Collecte des données «in/out»
Communication Interne, externe Nationale,
Internationale Transfert Exploitation Modification Conservation Archivage Destruction
Impacts
Juridiques
Impacts
Techniques
Impacts
Organisationnels
Individu et Droits
Licite Application des principes Devoir d’information Droit sujet, Doit d’accès Notification Privacy-by-Design Privacy-by-Default …
Atteinte à la personnalité?Possible brèche?
… Quels risques? Quelles actions?
D-PIA
Adresser les impacts, les 3 angles
Résumé
Protection des données
Protection de l’individu (autodétermination)
Données personnelles, sensibles, traces numériques
Traitement, Contexte
Licéité et application des principes
13
Lois et réglementations
Nouvelle LPD en cours d’acceptation (AP-LPD)
Lois Cantonales LPrD, RLPrD
GDPR Mai 2018 (EU)
Convention 108
Privacy Schield (US)
Activités
D-PIA
Registre des traitements
Privacy by Design/Default
Sécurité renforcée
Consentements
Gestion des contrats
Accountability
CLOSE
TO YOU
Etude de cas
Comment innover en tenantcompte des contraintes de laprotection des données (GDPR …)
14
Conformité vs Innovation == Valeur NULLE
Mise en conformité ? Valeur en terme d’innovation?
Meilleure visibilitéCompréhension du patrimoine immatériel(inventaire et data map)
Conforme «aujourd’hui» # conformitéfuture
Valorisation des donnéesLes brèches vont continuer …Données personnelles == un conceptdépassé !
Organisation plus responsableTous responsables ..!
Gestion réactive des données ..«protection de l’individu» versus besoinsentreprise …
+
+
+ -
-
-
Itecor, 2018 F.Valvason
Utiliser le paradoxe GDPR pour Innover ?
Une optique d’innovation en se basant sur
les données, autour de 3 axes:
Entreprise (besoin d’innover)
Technologie (évolution) Individu (sphère privée) – Technologie
Technologie est le problème .. et … la solution
Exemple : un GPS certifié GDPR == GPS-D.. c’est possible?Itecor, 2018 F.Valvason
Itecor, 2018 F.Valvason
Innovation-contraintes: le GPS-D possible?
Contraintes:
Les déplacements (coordonnées GPS) sont des données
personnelles ?
…
Innover:
Quelle est la finalité du traitement ?
Quels sont les droits des individus ?
….
Quel droit sujet me permet d’innover mon application ?
Comment appliquer le droit sujet à mon innovation?
Comment prouver que je respecte la règlementation?
…
Itecor, 2018 F.Valvason
Innovation-contraintes: BIG-DATA (Analytique) en danger ?Contraintes
Finalité du traitement (déterministe?)
Collecte de données indirectes (informer les individus?)
Minimisation des données (patterns, corrélation inconnue?)
Usage de données publiques (réseaux sociaux, impact?)
…
Le résultat est aussi une donnée personnelle (profilage)
Innover
Considérer le Cycle de vie : Collecte des données, Intégration
des données (data sets), Analyse, Profilage
Profilage: ADN comportemental de l’individu; prédiction, profil;
Ex: Eligibilité pour un programme, situation économique, santé, comportement social …
Itecor, 2018 F.Valvason
Innovation-contraintes: le GPS-D IoT
On produit un GPS détectant l’état des routes afin d’aider
les communes à mieux planifier les travaux d’entretiens.
Ex: Innovation
1. Dommage: L’application contacte le garagiste le plus proche, si
le véhicule est endommagé
2. Etat de la route: un rapport est envoyé au bureau des autos:
type de véhicule, identifiant unique, profil de la personne (homme,
femme, âge), vitesse moyenne, coordonnées des trous détectés.
Itecor, 2018 F.Valvason
Quelles sont les contraintes?
Appliquer l’innovation: le P-b-D(2), P-ET…
Quelle méthode ? Comment ?
P-b-D(2) :
Privacy By Design/By Default
Le concept est flou.Dès la conception .. proactivité
P-ET :
Privacy Enhancing Technologies
Technologies(anonymisation, cryptage, pseudonymisation, archivage,masking, …)
Régulation, Directives, Lois instruments juridiques
Interactions avec les dispositifs technologiques,porosité de ces dispositifs entre eux , importance dutravail en réseau ….
C’est la notion de sphère privée qui devientproblématique …
P-b-D(2), P-ET…efficacité minimale
Le P-b-D(2) est-il efficace? Il faut évaluer les impacts au début …
Il n’y a pas de normes sociales standardisées…
Le P-b-D se focalise sur le paramétrage et non
sur le contrôle de l’usage des données par
d’autres …
L’économie numérique fondée sur un «no
Privacy by Design» (tendance des individus à
divulguer leurs données personnelles .. )
Itecor, 2018 F.Valvason
Approche dynamique et transparence DT-ET
Protéger la sphère privée et INNOVER ?
Itecor, 2018 F.Valvason
Dynamique (D) sur les actions (traceurs)
Transparence (T) sur l’utilisation des données
Utiliser les déclarations de services (privacy
policy, privacy notice, contrat de services …)
Les outils DT-ET
On fournit à l’utilisateur des détails sur: la collecte,
le stockage, le traitement, le partage de ses
données à partir des déclarations de services
(Privacy Policy, Privacy Notice, Contrat …)
Exemple GPS-D: P-b-D(2) + P-ET + DT-ET
Configuration non intrusive J’accepte la collecte des données :
Service de base
Service Garage
J’accepte la transmission de mes données au bureau
des Autos
J’accepte la transmission de mes données au Garage
Cryptage des transmission
Le rapport est effacé après transmission
J’accepte le stockage de mes factures
Cryptage par mot de passe
J’ai pris connaissance de la privacy
policy Privacy Policy
Droits des sujets (GDPR):
Consentement explicite et contextuel Transparence: collecte, traitement, partage Accès, rectification (en 1 clic), portabilité Sécurité des données et de la transmission Déclaration de Services (Régulation)
Gestion des identifiants si web portal
Accéder à mes données en 1 click
Sélectionner le format du rapport
Itecor, 2018 F.Valvason
Itecor, 2018 F.Valvason
Dashboard Dynamique et Transparence
Données collectées actuellement:
24 Avril 2018
Identifiant 183645
Volvo AX 2008
Homme, 45 ans
Vitesse moyenne journalière: 45 Km/heure
Trous détectés : 1
47.6194274; 6.152900300000056
Rapports envoyés au bureau des Autos
historique au : 24 Avril 2018
20 Avril 2018
Rapport reçu au bureau des Autos :
24 Avril 2018, 9h00
Rapport effacé 24 Avril 2018, 9h30
Rapports envoyés Garage (nom du garage)
24 Avril 2018 : Aucun
Effacement, oubli Contrôle partage de données Séparation de fonction Traceurs dynamiques pour transmission
Bureau des Autos Garages
Effacer toutes mes données
Confirmation ImpactsItecor, 2018 F.Valvason
Itecor, 2018 F.Valvason
Exemple GPS-D: P-b-D(2) + P-ET + DT-ET
Exemple : BIG-DATA (Analytique)
Itecor, 2018 F.Valvason
Statiques P-b-D(2) P-ET + Dynamiques
considérations (DT-ET)
Data Innovation Privacy Risks Profile
• On définit des Index de Privacy : orientation de marché et autres spécificités
• On définit un Profil de Risques (Privacy Risks Profile)
• On définit les modifications à apporter (niveau de risque, activités, contrôle …)
Itecor, 2018 F.Valvason
Le Data Innovation Privacy Risks Profileest une extension du D-PIA qui inclut les
outils: P-b-D(2), P-ET et DT-ET. Le profil de
risque se fait selon le contrat de Services
CLOSE
TO YOU
Conclusion
L’innovation dans l’Audit/ Sécurité
27
Utilisateurs
Gouvernance, Risque et conformité
Sécurité Basis
Management des Données
Scan SAP solutions Évaluer Indicateurs / Remédiations
Authorisations
Processus Métiers
Innovation: implémentation outilléé
CLOSE
TO YOU
Visitez notre stand
- Poursuivre nos échanges- Démo : Approche Innovante Audit
Stand IT59
29