Protection des données à caractère personnel
Plan de contrôle interne pour la mise en conformité RGPD
Luxembourg Data Protection Days6 mai 2019
Stéphane Omnes – DPO POST
Luxembourg Data Protection Days’19 - © POST Luxembourg (Tous droits réservés)
Micro-CV - Stéphane OMNES
• Génie électrique & Informatique Industrielle – Electronique & Hyper-Fréquence
• Développement de logiciels Temps Réel (Image de synthèse)
• SysAdmin (Unix / Linux) / Administrateur - Atelier Génie Logiciel
• Assistance technique simulateur M200D(optique, électronique, avionique, asservissements)
• Mastère spécialisé Réseaux, Télécoms & Cyber-Sécurité
• Consultant SSI (Conseil, PenTest, Audit)
• Evaluateur CESTI (ISO 15408)
• RSSI / CISO
• ISO 27001 LI
• ISO 27005 Risk Manager
• ISO 22301 LI
• Data Protection Officer (DPO)
• Formation « I&L » labellisée CNIL
• Formation GDPR
1988
1999
2015
2007
2004
2000
2018
2
POSTLuxembourg
Fondée en 1842 sous la
forme d’une administration
Transformée en 1992 en entreprise publique
Soutenue par l’État luxembourgeois
Plus grand opérateur de services postaux etde télécommunicationau Luxembourg
Offre également desservices financiers
POSTLuxembourg
4371collaborateurs
43 nationalités différentes
Premier employeur national
770 M€
Luxembourg Data Protection Days’19 - © POST Luxembourg (Tous droits réservés) 3
POST Luxembourg
Telecom & ICTInfrastructures Telecom & ICT
Opérateur Telecom/ICT : solutions deconnectivité sécurisées, Internet ultra hautdébit, ainsi que des services mobiles, Cloudet ICT, au Luxembourg et à l’étranger.
Conception, développement et gestion des infrastructurestélécoms et ICT de POST Luxembourg et d’autresopérateurs, au Luxembourg et à l’étranger.
Courrier & Logistique
Nos services postaux acheminent le courrier, les coliset les envois express et gèrent un important réseaude points de vente, distribuent les quotidiens et leshebdomadaires luxembourgeois aux abonnés danstout le pays avant 06h30.
Services financiers
Propose des comptes courants, des transfertsd’argent, ainsi que des cartes de débit et crédit.
Luxembourg Data Protection Days’19 - © POST Luxembourg (Tous droits réservés) 4
Plan de contrôle interne pour la mise en conformité RGPD
Un programme initial en mode projet…
• Sélection sous-traitants• Clauses contractuelles adaptées• Pilotage conformité sous-traitants
• Traiter les données à l’intérieur de l’UE• Encadrement strict transferts hors UE• Clauses contractuelles spécifiques
• Protection contre la divulgation, l’altération, la destruction• Approche par les risques• Notification violations sous 72h à la CNPD, aux personnes
• Accès, rectification, opposition• Portabilité des données• Effacement, limitation du traitement
• Base légale identifiée & documentée• Information préalable claire & adaptée
• Pas de collecte de données très sensibles• Collecte de données strictement nécessaires• Correction données erronées• Suppression, anonymisation
• Durées de conservation définies• Durées de conservation communiquées• Durées de conservation respectées
• Privacy by Design• Privacy by Default• Data Protection Impact Assessment (DPIA)• Pilotage conformité
La politique de protection des données personnelles POST
Page 6
1 2
3
4
56
7
8
Licéité & Transparence
Sécurité & Notifications
Pertinence & Proportionnalité
Territorialité
Responsabilité vis-à-vis sous-traitance
Anticipation & maîtrise des risques
Conservation limitée des données
Respect des droits des personnes
Luxembourg Data Protection Days’19 - © POST Luxembourg (Tous droits réservés)
Page 7
La gouvernance & l’organisation Data Protection POST
Head of POST Luxembourg
Data Protection Steering Committee
Audit Committee
Governing board
DPO
Reporting
Invited
Aurélie Da Silva Charlin Jounang Nadine Fleschen Régis Salagnac Elodie Joseph Janice BautistaDavid Silvestre
Stéphane Omnes
Mohamed OurdaneGabriel De La Bourdonnaye
Lead
Mathieu Brizard
Loïse Dherbecourt
Luxembourg Data Protection Days’19 - © POST Luxembourg (Tous droits réservés)
Reporting
POST : un terrain de jeu délimité par des règlesapplicables sur tout le cycle de vie des données personnelles
Page 8
Collecte des données
pour des usages définis et
communiqués à l’avance
Limitation des données sensibles
Stockage & transferts des données
En priorité dans l’UE
Strictement encadrés hors
UE
Sur des durées de
conservation limitées
Utilisation des données
Sur une base légale établie
Dans le respect des droits des personnes
Démontrable
Tous concernés
Gouvernance des données
Rôles & responsabilités
DPO / DPAComité de
Protection des Données (CPD)
Protection des données
Privacy by Design / Default
Sécurité IT du Build au Run
Culture Data Privacy
Procédures de
notification
Gestion des sous-traitants opérant les données
Compatibles avec nos objectifs
Encadrés contractuellement
Conformité vérifiable
Tous concernés
Luxembourg Data Protection Days’19 - © POST Luxembourg (Tous droits réservés)
9Luxembourg Data Protection Days’19 - © POST Luxembourg (Tous droits réservés)
Plan de contrôle interne pour la mise en conformité RGPD
Du mode projet vers une dynamique d’amélioration continue…
Article 5.2 : « Le responsable du traitement est responsable du respect du [ndlr : RGPD] et est enmesure de démontrer que celui- ci est respecté (responsabilité). »
Article 24.1 : « Compte tenu de la nature, de la portée, du contexte et des finalités du traitementainsi que des risques, (…) le responsable du traitement met en œuvre des mesures techniques etorganisationnelles appropriées pour s'assurer et être en mesure de démontrer que letraitement est effectué conformément au [ndlr : RGPD]. Ces mesures sont réexaminées etactualisées si nécessaire. »
Introduction
Page 11
Luxembourg Data Protection Days’19 - © POST Luxembourg (Tous droits réservés)
Contexte & enjeux généraux POST
Page 12
Des règles du jeu spécifiques
Un cadre global
Luxembourg Data Protection Days’19 - © POST Luxembourg (Tous droits réservés)
Un référentiel existant
Politique de gestion des risques
Politique de sécurité des SI
Politique de protection des
données personnelles
SMPD - Système de Management de la Protection des Données
Page 13
Notre SMPD est conçu pour s’intégrer complètement dans la gouvernance globale de la gestion des risques POST
Data Protection Management System
Gouvernance globale risques
Métiers et fonctions support
DPO
DPMS“Data Protection
Management System”
Luxembourg Data Protection Days’19 - © POST Luxembourg (Tous droits réservés)
Audit interne
• Evaluer la conformité (« Self-Assessment ») – N1
• Réaliser le reporting
• Contrôler la conformité – N2
• Réaliser des audits internes – N3
• Suivre les actions
• Identifier les plans d’amélioration
• Mener une revue annuelle des traitements
• Faire un retour d’expérience
• Réévaluer les risques
• Ajuster les politiques
•Définir la gouvernance
•Cartographie des traitements(registre)
• Identifier les pratiques pourchaque traitement
•Former / sensibiliser
• Mettre en conformité lestraitements inventoriés
• Gérer les risques et lesmenaces (DPIA)
• Sécuriser les données
• Gérer les demandes d’exercicedes droits & les violations
• Documenter la conformité
SMPD : activités du système de managementVers le maintien en condition opérationnelle de la conformité…
Page 14
Act Plan
DoCheck
Acti
on
s d
ép
loyé
es e
n
20
18
A p
art
ir d
e 2
01
9
Luxembourg Data Protection Days’19 - © POST Luxembourg (Tous droits réservés)
Notre démarche de conception du plan est guidée par :
1. Les obligations règlementaires à respecter issues du RGPD
2. Notre politique interne & les objectifs associés
3. Le référentiel de certification CARPA défini par la CNPD
Tout en adressant les obligations et engagements de POST,la démarche se veut :
• Simple & pragmatique,
• Agile & itérative,
• Facilitante & adaptable.
SMPD - Check : Plan de contrôle interne
Page 15
Luxembourg Data Protection Days’19 - © POST Luxembourg (Tous droits réservés)
Objectif : alimenter la première ligne de maîtrise
• Un référentiel commun de points de contrôles : 25 points de contrôles, 9 thèmes
• Un outil d’auto-évaluation mis à disposition des responsables métiers :
• Simple d’emploi (~QCM)
• Auto-évaluation de la maturité (4 niveaux prédéfinis)
• Indicateurs de progrès par métier, globaux
• Coordination et support du métier : DPO / DPA
• Un reporting d’évaluation périodique :
• 3 fois par an
• Ajusté sur le calendrier du comité d’audit
SMPD - Check : Contrôles de Niveau 1
Page 16
Luxembourg Data Protection Days’19 - © POST Luxembourg (Tous droits réservés)
SMPD - Check : Contrôles de Niveau 1
Page 17
Grille de lecture des points de contrôle :
Thématique de référencedu contrôle (9 au total)
Description de chaque niveau de maturité attendu pour le point de contrôle
(échelle à 4 niveaux)
Portée du point de contrôle (spécifique métier ou global POST)
Correspondance points de contrôle CARPA
Luxembourg Data Protection Days’19 - © POST Luxembourg (Tous droits réservés)
Description synthétique du point de contrôle
Objectif : alimenter la seconde ligne de maîtrise
• Une liste de contrôles documentés, à réaliser sur l’ensemble des 9 thèmes
• Un planning prévisionnel des opérations, projeté sur 3 ans
• Une répartition des tâches entre le DPO & les DPA
• Un pilotage global au Comité Protection des Données
• Un reporting consolidé au comité d’audit (3 fois / an)
• Une révision annuelle du plan (« Act ») :
• Etat des plans d’actions
• Réexamen des risques, prise en compte des incidents éventuels
• Ajustement des contrôles
• Adaptation du planning
SMPD - Check : Contrôles de Niveau 2
Page 18
Contrôles transversaux
Contrôles par métiers
A1 - Gouvernance & moyens
A6 - Processus « Gestion des Sous-traitants »
A2 - Inventaire / Registre des traitements
A3 – Mise en conformité des traitements
A4 – Processus « Privacy by Design »
A5 – Processus « Gestion des droits »
A7 – Processus « Gestion des violations »
A8 – Processus « Gestion des clients Pro. »
A9 – Sécurité des données personnelles
Luxembourg Data Protection Days’19 - © POST Luxembourg (Tous droits réservés)
CONCLUSION
Documenter les traitements de données (Registre)
Déployer une organisation opérationnelle
(DPO / DPA)
Concevoir les produits & Services en mode Privacy by Design / Default
Sécuriser & notifier les
violations de données
Piloter les sous-traitants
impliqués
Gérer les demandes
d’exercice des droits
Contrôler la conformité
L’accountability chez POST – une multitude de facettes
Page 20
Luxembourg Data Protection Days’19 - © POST Luxembourg (Tous droits réservés)
Merci pour votre attention
Des question ?
Contacts
Stéphane OMNES
DPO POST Luxembourg / POST Telecom
http://www.linkedin.com/in/stephaneomnes
www.postgroup.lu
22Luxembourg Data Protection Days’19 - © POST Luxembourg (Tous droits réservés)
« Prétendre que le droit à la vie privéen’est pas important dès lors que l’on n’arien à cacher, cela revient à dire que laliberté d’expression n’est pas essentiellesous prétexte que l’on n’a rien à dire. »
Edward Snowden
Top Related