Plan de contrôle interne pour la mise en conformité RGPD©sentation...POST : un terrain de jeu...

Protection des données à caractère personnel

Plan de contrôle interne pour la mise en conformité RGPD

Luxembourg Data Protection Days6 mai 2019

Stéphane Omnes – DPO POST

Luxembourg Data Protection Days’19 - © POST Luxembourg (Tous droits réservés)

Micro-CV - Stéphane OMNES

• Génie électrique & Informatique Industrielle – Electronique & Hyper-Fréquence

• Développement de logiciels Temps Réel (Image de synthèse)

• SysAdmin (Unix / Linux) / Administrateur - Atelier Génie Logiciel

• Assistance technique simulateur M200D(optique, électronique, avionique, asservissements)

• Mastère spécialisé Réseaux, Télécoms & Cyber-Sécurité

• Consultant SSI (Conseil, PenTest, Audit)

• Evaluateur CESTI (ISO 15408)

• RSSI / CISO

• ISO 27001 LI

• ISO 27005 Risk Manager

• ISO 22301 LI

• Data Protection Officer (DPO)

• Formation « I&L » labellisée CNIL

• Formation GDPR

1988

1999

2015

2007

2004

2000

2018

2

POSTLuxembourg

Fondée en 1842 sous la

forme d’une administration

Transformée en 1992 en entreprise publique

Soutenue par l’État luxembourgeois

Plus grand opérateur de services postaux etde télécommunicationau Luxembourg

Offre également desservices financiers

POSTLuxembourg

4371collaborateurs

43 nationalités différentes

Premier employeur national

770 M€

Luxembourg Data Protection Days’19 - © POST Luxembourg (Tous droits réservés) 3

POST Luxembourg

Telecom & ICTInfrastructures Telecom & ICT

Opérateur Telecom/ICT : solutions deconnectivité sécurisées, Internet ultra hautdébit, ainsi que des services mobiles, Cloudet ICT, au Luxembourg et à l’étranger.

Conception, développement et gestion des infrastructurestélécoms et ICT de POST Luxembourg et d’autresopérateurs, au Luxembourg et à l’étranger.

Courrier & Logistique

Nos services postaux acheminent le courrier, les coliset les envois express et gèrent un important réseaude points de vente, distribuent les quotidiens et leshebdomadaires luxembourgeois aux abonnés danstout le pays avant 06h30.

Services financiers

Propose des comptes courants, des transfertsd’argent, ainsi que des cartes de débit et crédit.

Luxembourg Data Protection Days’19 - © POST Luxembourg (Tous droits réservés) 4


Un programme initial en mode projet…

• Sélection sous-traitants• Clauses contractuelles adaptées• Pilotage conformité sous-traitants

• Traiter les données à l’intérieur de l’UE• Encadrement strict transferts hors UE• Clauses contractuelles spécifiques

• Protection contre la divulgation, l’altération, la destruction• Approche par les risques• Notification violations sous 72h à la CNPD, aux personnes

• Accès, rectification, opposition• Portabilité des données• Effacement, limitation du traitement

• Base légale identifiée & documentée• Information préalable claire & adaptée

• Pas de collecte de données très sensibles• Collecte de données strictement nécessaires• Correction données erronées• Suppression, anonymisation

• Durées de conservation définies• Durées de conservation communiquées• Durées de conservation respectées

• Privacy by Design• Privacy by Default• Data Protection Impact Assessment (DPIA)• Pilotage conformité

La politique de protection des données personnelles POST

1 2

3

4

56

7

8

Licéité & Transparence

Sécurité & Notifications

Pertinence & Proportionnalité

Territorialité

Responsabilité vis-à-vis sous-traitance

Anticipation & maîtrise des risques

Conservation limitée des données

Respect des droits des personnes


La gouvernance & l’organisation Data Protection POST

Head of POST Luxembourg

Data Protection Steering Committee

Audit Committee

Governing board

DPO

Reporting

Invited

Aurélie Da Silva Charlin Jounang Nadine Fleschen Régis Salagnac Elodie Joseph Janice BautistaDavid Silvestre

Stéphane Omnes

Mohamed OurdaneGabriel De La Bourdonnaye

Lead

Mathieu Brizard

Loïse Dherbecourt


Reporting

POST : un terrain de jeu délimité par des règlesapplicables sur tout le cycle de vie des données personnelles

Collecte des données

pour des usages définis et

communiqués à l’avance

Limitation des données sensibles

Stockage & transferts des données

En priorité dans l’UE

Strictement encadrés hors

UE

Sur des durées de

conservation limitées

Utilisation des données

Sur une base légale établie

Dans le respect des droits des personnes

Démontrable

Tous concernés

Gouvernance des données

Rôles & responsabilités

DPO / DPAComité de

Protection des Données (CPD)

Protection des données

Privacy by Design / Default

Sécurité IT du Build au Run

Culture Data Privacy

Procédures de

notification

Gestion des sous-traitants opérant les données

Compatibles avec nos objectifs

Encadrés contractuellement

Conformité vérifiable

Tous concernés



Du mode projet vers une dynamique d’amélioration continue…

Article 5.2 : « Le responsable du traitement est responsable du respect du [ndlr : RGPD] et est enmesure de démontrer que celui- ci est respecté (responsabilité). »

Article 24.1 : « Compte tenu de la nature, de la portée, du contexte et des finalités du traitementainsi que des risques, (…) le responsable du traitement met en œuvre des mesures techniques etorganisationnelles appropriées pour s'assurer et être en mesure de démontrer que letraitement est effectué conformément au [ndlr : RGPD]. Ces mesures sont réexaminées etactualisées si nécessaire. »

Introduction


Contexte & enjeux généraux POST

Des règles du jeu spécifiques

Un cadre global


Un référentiel existant

Politique de gestion des risques

Politique de sécurité des SI

Politique de protection des

données personnelles

SMPD - Système de Management de la Protection des Données

Notre SMPD est conçu pour s’intégrer complètement dans la gouvernance globale de la gestion des risques POST

Data Protection Management System

Gouvernance globale risques

Métiers et fonctions support

DPO

DPMS“Data Protection

Management System”


Audit interne

• Evaluer la conformité (« Self-Assessment ») – N1

• Réaliser le reporting

• Contrôler la conformité – N2

• Réaliser des audits internes – N3

• Suivre les actions

• Identifier les plans d’amélioration

• Mener une revue annuelle des traitements

• Faire un retour d’expérience

• Réévaluer les risques

• Ajuster les politiques

•Définir la gouvernance

•Cartographie des traitements(registre)

• Identifier les pratiques pourchaque traitement

•Former / sensibiliser

• Mettre en conformité lestraitements inventoriés

• Gérer les risques et lesmenaces (DPIA)

• Sécuriser les données

• Gérer les demandes d’exercicedes droits & les violations

• Documenter la conformité

SMPD : activités du système de managementVers le maintien en condition opérationnelle de la conformité…

Act Plan

DoCheck

Acti

on

s d

ép

loyé

es e

n

20

18

A p

art

ir d

e 2

01

9


Notre démarche de conception du plan est guidée par :

1. Les obligations règlementaires à respecter issues du RGPD

2. Notre politique interne & les objectifs associés

3. Le référentiel de certification CARPA défini par la CNPD

Tout en adressant les obligations et engagements de POST,la démarche se veut :

• Simple & pragmatique,

• Agile & itérative,

• Facilitante & adaptable.

SMPD - Check : Plan de contrôle interne


Objectif : alimenter la première ligne de maîtrise

• Un référentiel commun de points de contrôles : 25 points de contrôles, 9 thèmes

• Un outil d’auto-évaluation mis à disposition des responsables métiers :

• Simple d’emploi (~QCM)

• Auto-évaluation de la maturité (4 niveaux prédéfinis)

• Indicateurs de progrès par métier, globaux

• Coordination et support du métier : DPO / DPA

• Un reporting d’évaluation périodique :

• 3 fois par an

• Ajusté sur le calendrier du comité d’audit

SMPD - Check : Contrôles de Niveau 1



Grille de lecture des points de contrôle :

Thématique de référencedu contrôle (9 au total)

Description de chaque niveau de maturité attendu pour le point de contrôle

(échelle à 4 niveaux)

Portée du point de contrôle (spécifique métier ou global POST)

Correspondance points de contrôle CARPA


Description synthétique du point de contrôle

Objectif : alimenter la seconde ligne de maîtrise

• Une liste de contrôles documentés, à réaliser sur l’ensemble des 9 thèmes

• Un planning prévisionnel des opérations, projeté sur 3 ans

• Une répartition des tâches entre le DPO & les DPA

• Un pilotage global au Comité Protection des Données

• Un reporting consolidé au comité d’audit (3 fois / an)

• Une révision annuelle du plan (« Act ») :

• Etat des plans d’actions

• Réexamen des risques, prise en compte des incidents éventuels

• Ajustement des contrôles

• Adaptation du planning


Contrôles transversaux

Contrôles par métiers

A1 - Gouvernance & moyens

A6 - Processus « Gestion des Sous-traitants »

A2 - Inventaire / Registre des traitements

A3 – Mise en conformité des traitements

A4 – Processus « Privacy by Design »

A5 – Processus « Gestion des droits »

A7 – Processus « Gestion des violations »

A8 – Processus « Gestion des clients Pro. »

A9 – Sécurité des données personnelles


CONCLUSION

Documenter les traitements de données (Registre)

Déployer une organisation opérationnelle

(DPO / DPA)

Concevoir les produits & Services en mode Privacy by Design / Default

Sécuriser & notifier les

violations de données

Piloter les sous-traitants

impliqués

Gérer les demandes

d’exercice des droits

Contrôler la conformité

L’accountability chez POST – une multitude de facettes


Merci pour votre attention

Des question ?

Contacts

Stéphane OMNES

DPO POST Luxembourg / POST Telecom

[email protected]

http://www.linkedin.com/in/stephaneomnes

www.postgroup.lu

22Luxembourg Data Protection Days’19 - © POST Luxembourg (Tous droits réservés)

« Prétendre que le droit à la vie privéen’est pas important dès lors que l’on n’arien à cacher, cela revient à dire que laliberté d’expression n’est pas essentiellesous prétexte que l’on n’a rien à dire. »

Edward Snowden

mailto:[email protected]

http://www.linkedin.com/in/stephaneomnes

http://www.postgroup.lu/

Plan de contrôle interne pour la mise en conformité RGPD©sentation...POST : un terrain de jeu...

Documents

Transcript of Plan de contrôle interne pour la mise en conformité RGPD©sentation...POST : un terrain de jeu...