Règlement RGPD Quel impact sur la « sécurité » des données...

53
Règlement RGPD Quel impact sur la « sécurité » des données ? Copyright Lexing 2017 ® 1 Me Eric Barbry Avocat Directeur Pôle Droit du numérique Alain Bensoussan Avocats Lexing®

Transcript of Règlement RGPD Quel impact sur la « sécurité » des données...

Page 5: Règlement RGPD Quel impact sur la « sécurité » des données · PDF fileexemple la minimisation des données ... •A7 : Procédure d’audit interne ... •Contenu de la notification

- Absence de protection des données dès la conception et protection des données par défaut

- Absence de représentant établi dans l’Union

- Absence de registre des activités de traitement

- Absence de coopération avec l’autorité de contrôle

- Absence de notification à l’autorité de contrôle ou à la personne concernée d’une violation des données

- Absence d’analyse d’impact

10 000 000 €

ou

2 % du CA

annuel mondial

- Non respect des principes de base d’un traitement (licéité, loyauté, légitimité, adéquation et pertinence des données, consentement, données sensibles, etc.)

- Non respect du droit des personnes

- Non respect des règles relatives aux transferts de données à caractère personnel

20 000 000 €

ou

4 % du CA

annuel mondial

Un impact fort pour la DSI et le RSSI

23/03/2017 Copyright Lexing 2017 ® 5

Page 6: Règlement RGPD Quel impact sur la « sécurité » des données · PDF fileexemple la minimisation des données ... •A7 : Procédure d’audit interne ... •Contenu de la notification

Implication forte de la DSI et du RSSI

En cas de sanction…

Nature, gravité et durée de la violation

Nombre de personnes

concernées et niveau de dommage subi

Violation commise délibérément ou par

négligence

Mesures prises pour atténuer le dommage

subi

Degré de responsabilité

compte tenu des mesures techniques et organisationnelles

mises en œuvre

Violations commises précédemment

Degré de coopération établi avec l’autorité de

contrôle

Catégorie de données à caractère

personnel concernées

Manière dont l’autorité de contrôle a eu connaissance

de la violation

Application de codes de conduite ou de mécanismes de

certification

Mesures déjà ordonnées à l’encontre

du responsable de traitement ou de sous-

traitant

Autres circonstances aggravantes ou

atténuantes

Copyright Lexing 2017 ® 6

Page 7: Règlement RGPD Quel impact sur la « sécurité » des données · PDF fileexemple la minimisation des données ... •A7 : Procédure d’audit interne ... •Contenu de la notification

Un petit rappel… Loi pour une République numérique 7.10.2016

• « Le montant de la sanction pécuniaire prévue au I de l'article 45 est

proportionné à la gravité du manquement commis et aux avantages tirés

de ce manquement. La formation restreinte de la Commission nationale

de l'informatique et des libertés prend notamment en compte le caractère

intentionnel ou de négligence du manquement, les mesures prises par le

responsable du traitement pour atténuer les dommages subis par les

personnes concernées, le degré de coopération avec la commission afin

de remédier au manquement et d'atténuer ses effets négatifs éventuels,

les catégories de données à caractère personnel concernées et la

manière dont le manquement a été porté à la connaissance de la

commission.

• « Le montant de la sanction ne peut excéder 3 millions d'euros. »

Copyright Lexing 2017 ® 7

Page 8: Règlement RGPD Quel impact sur la « sécurité » des données · PDF fileexemple la minimisation des données ... •A7 : Procédure d’audit interne ... •Contenu de la notification

De nombreux chantiers

8Copyright Lexing 2017 ® Une transition et pas un « big bang » … c’est plus dur !

Chantier

Transparence

Chantier

droit à l’oubli

Chantier

droit à la portabilité

Chantier

registre des traitements

Chantier

sécurité

Chantier

Sous-traitant

Chantier

Codes de conduite

Chantier

analyse d’impact

Chantier droits accès ,

rectification, opposition

Chantier

données sensibles

Chantier

licéité

Chantier

Accountability

Chantier délégué à la

protection des données

Chantier

profilage

Chantier

privacy by design

Chantier

Flux transfrontères

Page 13: Règlement RGPD Quel impact sur la « sécurité » des données · PDF fileexemple la minimisation des données ... •A7 : Procédure d’audit interne ... •Contenu de la notification

Situation (1)

Copyright Lexing 2017 ® 13

•Vision 1978

Vision Règlement

• Article 34 (obligation de sécurité)

• Article 35 (sécurité et sous-traitance)

• Article 34bis (notification dans certains cas)

• 7 Considérants

• Chapitre 4 section 1 « protection des données » (art 25)

• Chapitre 4 section 2 « sécurité des données »

• Sécurité (art 32)

• Notification (art 33)

• Communication (art 34)

Page 17: Règlement RGPD Quel impact sur la « sécurité » des données · PDF fileexemple la minimisation des données ... •A7 : Procédure d’audit interne ... •Contenu de la notification

Protection by design

• Les obligations

– Mesures techniques et organisationnelles appropriées telles

que la pseudonymisation, qui sont destinées à mettre en

œuvre les principes relatifs à la protection des données, par

exemple la minimisation des données (…) répondre aux

exigences du règlement et protéger les droits des personnes

concernées

• La démarche prend en compte

– Connaissance ?, Cout, Nature ?, Portée ?, contexte ?,

finalité, risques dont le degré et la gravité varie

– Sur … les droits et libertés des personnes !

17Copyright Lexing 2017 ®

Article 25

Page 23: Règlement RGPD Quel impact sur la « sécurité » des données · PDF fileexemple la minimisation des données ... •A7 : Procédure d’audit interne ... •Contenu de la notification

Sécurisation des données

Principes et obligations

• Qui ?

– Le responsable de traitement ET le sous-traitant

• Quoi ?

– Garantir un niveau de sécurité adapté aux risques

• Comment ?

– Idem que « protection by design »

– Risque de « destruction », « perte », « altération »,

« divulgation non autorisée »

23Copyright Lexing 2017 ®

Page 25: Règlement RGPD Quel impact sur la « sécurité » des données · PDF fileexemple la minimisation des données ... •A7 : Procédure d’audit interne ... •Contenu de la notification

Obligation de « Sécurisation »

• A1 : Analyse de risque

• A2 : Choix des solutions techniques

• A3 : PSSI orientée données personnelles (code de conduite)

• A4 Déploiement des solutions techniques

• A5 : PCA orientée données personnelles (résilience)

• A6 : PRA orienté données personnelles (rétablissement)

• A7 : Procédure d’audit interne (tester, analyser et évaluer régulièrement l’efficacité des mesures techniques de sécurité

Obligation N°1 – Obligation

de sécurité qui est rédigé sensiblement

comme l’article 25…

mais s’adresse Au responsable du traitement ET au sous-

traitant

Article 32

Copyright Lexing 2017 ® 25

Page 26: Règlement RGPD Quel impact sur la « sécurité » des données · PDF fileexemple la minimisation des données ... •A7 : Procédure d’audit interne ... •Contenu de la notification

Obligation de « Sécurisation »

• A1: Règles d’habilitation responsable de traitement (idem article 25)

• + regarder ce qui se passe avec les sous-traitants

Obligation N°2 – Limitation

des accès (complète

l’interdiction d’accès à un

« nombre indéterminé » de l’article 25)

Article 32

Copyright Lexing 2017 ® 26

Page 29: Règlement RGPD Quel impact sur la « sécurité » des données · PDF fileexemple la minimisation des données ... •A7 : Procédure d’audit interne ... •Contenu de la notification

Obligation de « Notification »

• A1: Analyse en situation de crise d’un « risque » ou non pour les droits et libertés des personnes physiques »

• A2: Notification (le règlement fixe les règles)

• Délais 72h max sinon explication

• Contenu de la notification (fond)

Obligation N° 1

Responsable de traitement

• A1: Mise en œuvre de mesures d’urgence

- Pour remédier à la violation

- Pour atténuer les conséquences

• A2 : Mise en œuvre PCA / PRA

• A3: Obligation de « documentation » pour contrôle de l’autorité

Obligation N° 2

Responsable de traitement

Article 33

Copyright Lexing 2017 ® 29

Page 30: Règlement RGPD Quel impact sur la « sécurité » des données · PDF fileexemple la minimisation des données ... •A7 : Procédure d’audit interne ... •Contenu de la notification

Obligation de « Notification »

• A1 – Annexe Data Breach Procedure

• A2 – Coordination cellule de crise sous-traitant et cellule de crise responsable de traitement

• A3 – Audit du process

Obligation N° 1 –Sous-traitant

Article 33

Copyright Lexing 2017 ® 30

Page 33: Règlement RGPD Quel impact sur la « sécurité » des données · PDF fileexemple la minimisation des données ... •A7 : Procédure d’audit interne ... •Contenu de la notification

Obligation de « Communication »

• A1 : Définition en amont de la notion de « risque élevé » par entité (secteur d’activité)

• A2 : Mise en œuvre de mesure rendant inexploitable les données en cas de violation

Obligation N° 1 –

Avant la violation

• A1 : Qualification juridique des faits (existence ou non d’un « risque élevé »)

• A2 : Existence d’exclusions ?

• Mesures techniques préalables

• Mesures de correction immédiates

• Effort disproportionné (info publique)

• A3 : Sinon = communication « individuelle » … dans les meilleurs délais (règles de fond et de forme a définir)

Obligation N° 2 Au

moment de la violation

Article 34

Copyright Lexing 2017 ® 33

Page 34: Règlement RGPD Quel impact sur la « sécurité » des données · PDF fileexemple la minimisation des données ... •A7 : Procédure d’audit interne ... •Contenu de la notification

Obligation de « Communication » Article 34

Copyright Lexing 2017 ® 34

• Intervention de l’autorité de contrôle mode

« normal »

– Contrôle en pleine crise…

– Contrôle ex ante

• Intervention de l’autorité de contrôle mode

« Exigences »

– Risque de contentieux élevé

Page 37: Règlement RGPD Quel impact sur la « sécurité » des données · PDF fileexemple la minimisation des données ... •A7 : Procédure d’audit interne ... •Contenu de la notification

L’analyse d’impact (2)

• Quand :

– Evaluation systématique et approfondie « Profilage »)

• DMP … Customer Centric

– Traitement à grande échelle de données « sensibles »

– Surveillance de masse

– Liste « noire » ou « blanche » de l’autorité de contrôle

– + risque élevé (notamment technologie)

• Comment savoir si on est en risque élevé sans analyse

d’impact ?

• Avec qui : le DPO s’il en existe un (sinon le CIL ? )

37Copyright Lexing 2017 ®

Art 9

Art 10

Page 40: Règlement RGPD Quel impact sur la « sécurité » des données · PDF fileexemple la minimisation des données ... •A7 : Procédure d’audit interne ... •Contenu de la notification

La consultation … « préalable »

Règles de forme

Consultation de l’autorité de controle

Avis de l’autorité de contrôle si protection

ou explications insuffisantes

Mise en œuvre des mesures

40Copyright Lexing 2017 ®

8 semaines de base

6 semaines en plus si complexe

Page 45: Règlement RGPD Quel impact sur la « sécurité » des données · PDF fileexemple la minimisation des données ... •A7 : Procédure d’audit interne ... •Contenu de la notification

Garanties suffisantes quant à la mise en œuvre de mesures

techniques et organisationnelles

Autorisation écrite préalable, spécifique ou générale du responsable

de traitement pour le recrutement d’un autre

sous-traitant par le sous-traitant

Encadrement par un contrat ou autre acte juridique liant le sous-traitant au responsable

de traitement

Traitement des données sur instruction

documentée du responsable de

traitement

Obligation de confidentialité

Respecte les exigences de sécurité du règlement

Aide le responsable de traitement pour donner

suite aux demandes d’exercice des droits des personnes concernées

Suppression ou renvoi des données au responsable de traitement au terme de

la prestation (sauf si le droit de l’UE ou de l’Etat

membre exige la conservation des données)

Mise à disposition du responsable de traitement

des informations nécessaires pour apporter la

preuve du respect de ses obligations et permettre la

réalisation d’audits

La sous-traitante,

Un contrat obligatoireArticle 28

Copyright Lexing 2017 ® 45

Page 49: Règlement RGPD Quel impact sur la « sécurité » des données · PDF fileexemple la minimisation des données ... •A7 : Procédure d’audit interne ... •Contenu de la notification

Le DPO • sur les obligations du responsable du traitement, du sous-

traitant ou des salariés traitant des données à caractèrepersonnel découlant du règlement et des dispositions del'Union ou de l'Etat membre concerné

Informer et conseiller

• la conformité au règlement et à d'autres dispositions del'Union ou de l'Etat membre

• la conformité aux règles internes en matière de protectiondes données

Contrôler

• pour la réalisation de l’analyse d’impactConseiller

• avec l'autorité de contrôleCoopérer

• la fonction de point de contact pour l'autorité de contrôleExercer

Article 39

Copyright Lexing 2017 ® 49

Page 53: Règlement RGPD Quel impact sur la « sécurité » des données · PDF fileexemple la minimisation des données ... •A7 : Procédure d’audit interne ... •Contenu de la notification

Crédits photos

Data protection privacy security network business Concept©duncanandison

Protection des données privacy vie privée data protection © dizain - Fotolia.com

3D cerveau data IA intelligence artificielle données code © Sebastian Kaulitzki – Fotolia

Information Processing © agsandrew - Fotolia.com

Copyright Lexing 2017 ® 53