Règlement RGPD Quel impact sur la « sécurité » des données...
Transcript of Règlement RGPD Quel impact sur la « sécurité » des données...
Règlement RGPD
Quel impact sur la « sécurité »
des données ?
Copyright Lexing 2017 ® 1
Me Eric Barbry
Avocat
Directeur Pôle Droit du numérique
Alain Bensoussan Avocats – Lexing®
Une exigence
Publication au JOUE du 4 05 2016
Entrée en vigueur:
24 05 2016
Mise en application:
le 25 05 2018
DOUBLE
CONFORMITE
Copyright Lexing 2017 ® 2
PRESENT
FUTUR
ET…
PASSE
Un défi
Hors
EU
Cnil et
Autorités de controle
Lois nationales
Règlement
Loi n°78-17 Directive
95/46RGPD
72 articles 34 articles 99 articles
20 titres 17 titres 26 titres
Copyright Lexing 2017 ® 3
Des risques « majeurs »
Impact financier
Impact image
Impact conformité
4Copyright Lexing 2017 ®
10 à 20M€
2 à 4% du Chiffre d’affaire mondial
Condamnation pénale
Préjudice
(Class Action)
- Absence de protection des données dès la conception et protection des données par défaut
- Absence de représentant établi dans l’Union
- Absence de registre des activités de traitement
- Absence de coopération avec l’autorité de contrôle
- Absence de notification à l’autorité de contrôle ou à la personne concernée d’une violation des données
- Absence d’analyse d’impact
10 000 000 €
ou
2 % du CA
annuel mondial
- Non respect des principes de base d’un traitement (licéité, loyauté, légitimité, adéquation et pertinence des données, consentement, données sensibles, etc.)
- Non respect du droit des personnes
- Non respect des règles relatives aux transferts de données à caractère personnel
20 000 000 €
ou
4 % du CA
annuel mondial
Un impact fort pour la DSI et le RSSI
23/03/2017 Copyright Lexing 2017 ® 5
Implication forte de la DSI et du RSSI
En cas de sanction…
Nature, gravité et durée de la violation
Nombre de personnes
concernées et niveau de dommage subi
Violation commise délibérément ou par
négligence
Mesures prises pour atténuer le dommage
subi
Degré de responsabilité
compte tenu des mesures techniques et organisationnelles
mises en œuvre
Violations commises précédemment
Degré de coopération établi avec l’autorité de
contrôle
Catégorie de données à caractère
personnel concernées
Manière dont l’autorité de contrôle a eu connaissance
de la violation
Application de codes de conduite ou de mécanismes de
certification
Mesures déjà ordonnées à l’encontre
du responsable de traitement ou de sous-
traitant
Autres circonstances aggravantes ou
atténuantes
Copyright Lexing 2017 ® 6
Un petit rappel… Loi pour une République numérique 7.10.2016
• « Le montant de la sanction pécuniaire prévue au I de l'article 45 est
proportionné à la gravité du manquement commis et aux avantages tirés
de ce manquement. La formation restreinte de la Commission nationale
de l'informatique et des libertés prend notamment en compte le caractère
intentionnel ou de négligence du manquement, les mesures prises par le
responsable du traitement pour atténuer les dommages subis par les
personnes concernées, le degré de coopération avec la commission afin
de remédier au manquement et d'atténuer ses effets négatifs éventuels,
les catégories de données à caractère personnel concernées et la
manière dont le manquement a été porté à la connaissance de la
commission.
• « Le montant de la sanction ne peut excéder 3 millions d'euros. »
Copyright Lexing 2017 ® 7
De nombreux chantiers
8Copyright Lexing 2017 ® Une transition et pas un « big bang » … c’est plus dur !
Chantier
Transparence
Chantier
droit à l’oubli
Chantier
droit à la portabilité
Chantier
registre des traitements
Chantier
sécurité
Chantier
Sous-traitant
Chantier
Codes de conduite
Chantier
analyse d’impact
Chantier droits accès ,
rectification, opposition
Chantier
données sensibles
Chantier
licéité
Chantier
Accountability
Chantier délégué à la
protection des données
Chantier
profilage
Chantier
privacy by design
Chantier
Flux transfrontères
Organisation adaptée et gouvernance de la data
Implémentation d’outils appropriés
Lotissement et organisation en mode projet
Analyse de situation (écart)
Une démarche
23/03/2017 Copyright Lexing 2017 ® 9
Quel impact sur
le (la) DSI et le (la) RSSI ?
10Copyright Lexing 2017 ®
Plan
1. Sécurisation des données
2. Analyse d’impact
3. Sous-traitance
4. Gouvernance des données
Copyright Lexing 2017 ® 11
1. La sécurité des données
1. La protection
2. La sécurité
3. La réaction
4. L’amélioration continue
Copyright Lexing 2017 ® 12
Situation (1)
Copyright Lexing 2017 ® 13
•Vision 1978
Vision Règlement
• Article 34 (obligation de sécurité)
• Article 35 (sécurité et sous-traitance)
• Article 34bis (notification dans certains cas)
• 7 Considérants
• Chapitre 4 section 1 « protection des données » (art 25)
• Chapitre 4 section 2 « sécurité des données »
• Sécurité (art 32)
• Notification (art 33)
• Communication (art 34)
Situation (2)
Protection Sécurisation
Notification Communication
Sécurité
Copyright Lexing 2017 ® 14
PROTECTION
15Copyright Lexing 2017 ®
La « protection » by design et by default
(article 25)
16Copyright Lexing 2017 ®
Protection by design
• Les obligations
– Mesures techniques et organisationnelles appropriées telles
que la pseudonymisation, qui sont destinées à mettre en
œuvre les principes relatifs à la protection des données, par
exemple la minimisation des données (…) répondre aux
exigences du règlement et protéger les droits des personnes
concernées
• La démarche prend en compte
– Connaissance ?, Cout, Nature ?, Portée ?, contexte ?,
finalité, risques dont le degré et la gravité varie
– Sur … les droits et libertés des personnes !
17Copyright Lexing 2017 ®
Article 25
Protection by design
• A1: Analyse de risque
• A2: Choix des solutions technologiques
• A3 : Organisation appropriée
• A4 : Monitoring des solutions
Chantiers
Article 25
Copyright Lexing 2017 ® 18
Protection by default …
Principes et obligations
19Copyright Lexing 2017 ®
Article 25
Durée Acces limité
Protection by default
Mise en oeuvre
• A1: Schéma d’accès aux données
• A2: Politique d’habilitations
• A3: Monitoring des accès
Chantiers
Article 25
Copyright Lexing 2017 ® 20
SECURISATION
21Copyright Lexing 2017 ®
Obligation de sécurisation
22Copyright Lexing 2017 ®
Sécurisation des données
Principes et obligations
• Qui ?
– Le responsable de traitement ET le sous-traitant
• Quoi ?
– Garantir un niveau de sécurité adapté aux risques
• Comment ?
– Idem que « protection by design »
– Risque de « destruction », « perte », « altération »,
« divulgation non autorisée »
23Copyright Lexing 2017 ®
Sécurisation
Mise en œuvre
Mesures techniques
Mesures organisationnelles
24Copyright Lexing 2017 ®
Code de conduite Certification
Chiffrement
Pseudonymisation
Confidentialité
Intégrité
rétablissement
Résilience
Test
Obligation de « Sécurisation »
• A1 : Analyse de risque
• A2 : Choix des solutions techniques
• A3 : PSSI orientée données personnelles (code de conduite)
• A4 Déploiement des solutions techniques
• A5 : PCA orientée données personnelles (résilience)
• A6 : PRA orienté données personnelles (rétablissement)
• A7 : Procédure d’audit interne (tester, analyser et évaluer régulièrement l’efficacité des mesures techniques de sécurité
Obligation N°1 – Obligation
de sécurité qui est rédigé sensiblement
comme l’article 25…
mais s’adresse Au responsable du traitement ET au sous-
traitant
Article 32
Copyright Lexing 2017 ® 25
Obligation de « Sécurisation »
• A1: Règles d’habilitation responsable de traitement (idem article 25)
• + regarder ce qui se passe avec les sous-traitants
Obligation N°2 – Limitation
des accès (complète
l’interdiction d’accès à un
« nombre indéterminé » de l’article 25)
Article 32
Copyright Lexing 2017 ® 26
NOTIFICATION
27Copyright Lexing 2017 ®
Obligation de notification
28Copyright Lexing 2017 ®
Obligation de « Notification »
• A1: Analyse en situation de crise d’un « risque » ou non pour les droits et libertés des personnes physiques »
• A2: Notification (le règlement fixe les règles)
• Délais 72h max sinon explication
• Contenu de la notification (fond)
Obligation N° 1
Responsable de traitement
• A1: Mise en œuvre de mesures d’urgence
- Pour remédier à la violation
- Pour atténuer les conséquences
• A2 : Mise en œuvre PCA / PRA
• A3: Obligation de « documentation » pour contrôle de l’autorité
Obligation N° 2
Responsable de traitement
Article 33
Copyright Lexing 2017 ® 29
Obligation de « Notification »
• A1 – Annexe Data Breach Procedure
• A2 – Coordination cellule de crise sous-traitant et cellule de crise responsable de traitement
• A3 – Audit du process
Obligation N° 1 –Sous-traitant
Article 33
Copyright Lexing 2017 ® 30
COMMUNICATION
31Copyright Lexing 2017 ®
Obligation de communication
32Copyright Lexing 2017 ®
Obligation de « Communication »
• A1 : Définition en amont de la notion de « risque élevé » par entité (secteur d’activité)
• A2 : Mise en œuvre de mesure rendant inexploitable les données en cas de violation
Obligation N° 1 –
Avant la violation
• A1 : Qualification juridique des faits (existence ou non d’un « risque élevé »)
• A2 : Existence d’exclusions ?
• Mesures techniques préalables
• Mesures de correction immédiates
• Effort disproportionné (info publique)
• A3 : Sinon = communication « individuelle » … dans les meilleurs délais (règles de fond et de forme a définir)
Obligation N° 2 Au
moment de la violation
Article 34
Copyright Lexing 2017 ® 33
Obligation de « Communication » Article 34
Copyright Lexing 2017 ® 34
• Intervention de l’autorité de contrôle mode
« normal »
– Contrôle en pleine crise…
– Contrôle ex ante
• Intervention de l’autorité de contrôle mode
« Exigences »
– Risque de contentieux élevé
2. Analyse d’impact
1. L’analyse
2. La consultation
Copyright Lexing 2017 ® 35
L’analyse d’impact (1)
36Copyright Lexing 2017 ®
L’analyse d’impact (2)
• Quand :
– Evaluation systématique et approfondie « Profilage »)
• DMP … Customer Centric
– Traitement à grande échelle de données « sensibles »
– Surveillance de masse
– Liste « noire » ou « blanche » de l’autorité de contrôle
– + risque élevé (notamment technologie)
• Comment savoir si on est en risque élevé sans analyse
d’impact ?
• Avec qui : le DPO s’il en existe un (sinon le CIL ? )
37Copyright Lexing 2017 ®
Art 9
Art 10
L’analyse d’impact (3)
38Copyright Lexing 2017 ®
Règles de fond
Auditabilité
La consultation…
39Copyright Lexing 2017 ®
La consultation … « préalable »
Règles de forme
Consultation de l’autorité de controle
Avis de l’autorité de contrôle si protection
ou explications insuffisantes
Mise en œuvre des mesures
40Copyright Lexing 2017 ®
8 semaines de base
6 semaines en plus si complexe
Assistance du sous-traitant sur demande du responsable du traitement
Conseil du délégué à la protection des données
Les « impliqués »
Copyright Lexing 2017 ® 41
La consultation préalable,
Règles de forme
42Copyright Lexing 2017 ®
3. La sous-traitance
1. Un nouveau régime
2. Des impacts
Copyright Lexing 2017 ® 43
La sous-traitance,
des garanties suffisantes…
44Copyright Lexing 2017 ®
Cahier des charges
+
Pré-requis juridiques
Garanties suffisantes quant à la mise en œuvre de mesures
techniques et organisationnelles
Autorisation écrite préalable, spécifique ou générale du responsable
de traitement pour le recrutement d’un autre
sous-traitant par le sous-traitant
Encadrement par un contrat ou autre acte juridique liant le sous-traitant au responsable
de traitement
Traitement des données sur instruction
documentée du responsable de
traitement
Obligation de confidentialité
Respecte les exigences de sécurité du règlement
Aide le responsable de traitement pour donner
suite aux demandes d’exercice des droits des personnes concernées
Suppression ou renvoi des données au responsable de traitement au terme de
la prestation (sauf si le droit de l’UE ou de l’Etat
membre exige la conservation des données)
Mise à disposition du responsable de traitement
des informations nécessaires pour apporter la
preuve du respect de ses obligations et permettre la
réalisation d’audits
La sous-traitante,
Un contrat obligatoireArticle 28
Copyright Lexing 2017 ® 45
En pratique…
Révision des contrats en
cours
PAS
Data breachProcess
Assurance
Clauses contractuelles
46Copyright Lexing 2017 ®
4. Gouvernance de la donnée
1. Situation
2. Choix
3. Organisation
Copyright Lexing 2017 ® 47
L’implication de la DSI / RSSI
DPO
ou
CIL
Portabilité
Minimisation
Registre des traitements
Question de la Cnil
(…)
48Copyright Lexing 2017 ®
Le DPO • sur les obligations du responsable du traitement, du sous-
traitant ou des salariés traitant des données à caractèrepersonnel découlant du règlement et des dispositions del'Union ou de l'Etat membre concerné
Informer et conseiller
• la conformité au règlement et à d'autres dispositions del'Union ou de l'Etat membre
• la conformité aux règles internes en matière de protectiondes données
Contrôler
• pour la réalisation de l’analyse d’impactConseiller
• avec l'autorité de contrôleCoopérer
• la fonction de point de contact pour l'autorité de contrôleExercer
Article 39
Copyright Lexing 2017 ® 49
L’organisation
Le choix DPO or not DPO ?
DSI / RSSI as DPO ?
La gouvernance de la data
L’éthique de la donnée
Cellule de crise
50Copyright Lexing 2017 ®
58, boulevard Gouvion-Saint-Cyr
75017 Paris
Tél. : +33 (0)1 82 73 05 05
Fax : +33 (0)1 82 73 05 06
www.alain-bensoussan.com
Alain Bensoussan Avocats
@AB_Avocats
Lexing Alain Bensoussan Avocats
Alain Bensoussan
Avocats
Mob. : +33 (0)6 13 28 91 28
Eric Barbry
@ebarbry
Alain Bensoussan
Lexing est une marque déposée par
Alain Bensoussan Selas
LEXING
Retrouvez moi …
23/03/2017 Copyright Lexing 2017 ® 51
Copyright Lexing 2017 ® 52
Crédits photos
Data protection privacy security network business Concept©duncanandison
Protection des données privacy vie privée data protection © dizain - Fotolia.com
3D cerveau data IA intelligence artificielle données code © Sebastian Kaulitzki – Fotolia
Information Processing © agsandrew - Fotolia.com
Copyright Lexing 2017 ® 53