\makeatletter\let\ifGm@compatii\relax\makeatother %\documentclass{beamer} \documentclass[notes,page number]{beamer} %\documentclass[trans]{beamer} % PAS OVERLAYS %\documentclass[handout]{beamer} % PAS OVERLAYS %\documentclass[red]{beamer} % TOUT ROUGE %\documentclass[compress]{beamer} % ??? taile sortie??? %\documentclass[draft]{beamer} % Enleve les section %\documentclass{article} % fait des slides ``LATEX'' %\usepackage[envcountsect]{beamerarticle} % Do NOT take this file as a template for your own talks. Use a file % in the directory solutions instead. They are much better suited. % Try the class options [notes], [notes=only], [trans], [handout], % [red], [compress], [draft] and see what happens! % Copyright 2003 by Till Tantau . % % This program can be redistributed and/or modified under the terms % of the LaTeX Project Public License Distributed from CTAN % archives in directory macros/latex/base/lppl.txt. % For a green structure color use: %\colorlet{structure}{green!50!black} \mode
% only for the article version { \usepackage{fullpage} \usepackage{hyperref} } \mode { %\usetheme{Antibes} %++ Bleu noir up + % \usetheme{Berkeley} %+ Bleu Gauche %\usetheme{Berlin} % Bleu Gauche up - % \usetheme{default} % Soft % \usetheme{Dresden} % bleu Rond % \usetheme{Goettingen} %soft degrade droit % \usetheme{Hannover} % soft bleute gauche % \usetheme{Luebeck} %++ black bleu milieu % \usetheme{Malmoe} % ++ black bleu milieu % \usetheme{Marburg} % ++ black degrade bleu droite %%%% %\usetheme{Pittsburgh} %soft classique droite + item rond % \usetheme{Rochester} % + bleu up titre %\usetheme{Copenhagen} % ++ black noir NO GASTEX % \usetheme{Darmstadt} % black bleu pb NO GASTEX %\usetheme{Frankfurt} % black bleu NO GASTEX % \usetheme{Ilmenau} % bleu pb up NO GASTEX % \usetheme{JuanLesPins} % ++ up black bleu Titre NO GASTEX % \usetheme{Malmoe} % ++ black bleu milieu % \usetheme{Madrid} % +soft bleu titre... NO GASTEX % \usetheme{PaloAlto} % bleu bleu gauche.. NO GASTEX %\usetheme{Singapore} % bleute up Rond NO GASTEX % \usetheme{Szeged} % Soft bleute up Rond % \usetheme{Warsaw} %++ black bleu milie NO GASTEX %\usetheme{Montpellier} % ++ soft up plan .. blanc OK \usetheme{These} % \beamertemplatenavigationsymbolsempty %numero de page enbas gauche \setbeamertemplate{footline} { \begin{flushright} \textcolor{Violet}{\insertframenumber{} / \inserttotalframenumber \hspace*{2ex} } \end{flushright} } % \useinnertheme[shadow=true]{rounded} %PB % \setbeamertemplate{background canvas}[vertical shading]%[bottom=red!10,top=blue!10] } \usepackage{tikz,pgflibraryarrows,pgffor,pgflibrarysnakes} \usetikzlibrary{snakes} \usepackage[english]{babel} %\usepackage{pstricks} %\usepackage{graphicx,epsfig} \usepackage{amsmath,amssymb} \usepackage{mathpartir} \usepackage{eurosym} \usepackage{url} \usepackage{epsfig} %\usepackage{pstricks,pst-grad,pst-node} %\usepackage{pstricks,pst-grad,pst-node,pst-tree,pspicture,pifont} \usepackage{graphicx} %\usepackage{gastex} \usepackage{xcolor} \graphicspath{{IMAGES/}} \include{macro} \input{macros}% Yassine %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% \xdefinecolor{LemonChiffon}{rgb}{1,.98,.8} \xdefinecolor{Vert}{rgb}{0.01,.5,0.13} %\xdefinecolor{Vert}{rgb}{0.07,0.5,0.4} %\xdefinecolor{Bleu}{rgb}{0,.2,.54} \xdefinecolor{Bleu}{rgb}{0, .4, .6} % en fait le bleu du LSV \xdefinecolor{Ver}{rgb}{0.0525,0.375,0.3} \xdefinecolor{Rouge}{rgb}{1,0,0} \xdefinecolor{Violet}{rgb}{.5,0,.7} \xdefinecolor{Bordeaux}{rgb}{.7,.2,0} \xdefinecolor{Ivory}{rgb}{1,1,0.9} \xdefinecolor{Marron}{rgb}{0.6,0.4,0.4} \xdefinecolor{GrisClair}{rgb}{0.75,0.75,0.75} \xdefinecolor{GrisFonce}{rgb}{0.55,0.55,0.55} \xdefinecolor{BleuMarine}{rgb}{0,0,0.5} %\xdefinecolor{BleuMarine}{rgb}{0.2,.1,.9} %\xdefinecolor{BleuMarine}{rgb}{0,0,0.5} \xdefinecolor{Turquoise}{rgb}{0.4,1.,1.} \xdefinecolor{Rose}{rgb}{1.0,0.8,0.8} \xdefinecolor{RoseFonce}{rgb}{0.8,0.,0.6} \xdefinecolor{Blanc}{rgb}{0,0,0} \xdefinecolor{Jaune}{rgb}{1,1,0} %\xdefinecolor{Jaune}{rgb}{.95,.63,.21} \xdefinecolor{Mycolor}{rgb}{.95,.81,.81} % %\xdefinecolor{Jaune}{rgb}{1,.9,0} %\xdefinecolor{Jaune}{rgb}{.9,.6,.2} % \newrgbcolor{orange}{.7 .2 0} % \definecolor{bleu}{rgb}{0,.2,.54} % \newrgbcolor{Rouge}{1 0 0} % \newrgbcolor{ivory}{1 1 0.9} % \newrgbcolor{Marron}{0.6 0.4 0.4} % \newrgbcolor{GrisClair}{0.75 0.75 0.75} % \newrgbcolor{GrisFonce}{0.55 0.55 0.55} % \newrgbcolor{BleuMarine}{0 0 0.5} % \newrgbcolor{Turquoise}{0.4 1. 1.} % \newrgbcolor{ver}{0.0525 0.375 0.3} % \newrgbcolor{Rose}{1.0 0.8 0.8} % \newrgbcolor{RoseFonce}{0.8 0. 0.6} % \newrgbcolor{Violet}{0.5 0. 0.7} % \newrgbcolor{BleuMarine}{0 0 0.5} % \newrgbcolor{vert}{0.07 0.5 0.4} % \newrgbcolor{violet}{0.5 0. 0.7} % %\definecolor{violet}{rgb}{.5,0,.7} % \definecolor{bleu}{rgb}{0,.2,.54} % \definecolor{LemonChiffon}{rgb}{1.,0.98,0.8} % \newrgbcolor{toto}{0.6 1 0.6} % \newrgbcolor{LemonChiffon}{1 0.98 0.8} % \newrgbcolor{RoseFonce}{0.8 0. 0.6} % \newcmykcolor{WildStrawberry}{0 0.96 0.39 0} % \newrgbcolor{blanc}{0 0 0} \def\pair#1#2{\langle #1, #2 \rangle} \def\crypt#1#2{\{#1\}_{#2}} \def\dect{\vdash} \title{\bf{GDPR}} \author{\bf{Pascal Lafourcade} } \institute{ \includegraphics[width=2cm]{logo_limos_coul_def} \hfill \includegraphics[width=1.5cm]{UCA.png}} \date[]{ESC January 2021} \begin{document} \begin{frame} \titlepage \end{frame} \AtBeginSection[] { \begin{frame} \frametitle{Outline} \tableofcontents[currentsection] \end{frame} } \section{Contexte} \begin{frame} \frametitle{Big Data} \begin{center} \includegraphics[width=11cm]{2268666_orig.jpeg} \end{center} \end{frame} \begin{frame} \frametitle{IoT} \begin{center} \includegraphics[width=10cm]{iot.jpg} \end{center} \end{frame} \begin{frame} \frametitle{IoT} \begin{center} \includegraphics[width=10cm]{IOTnb.jpg} \end{center} \end{frame} \begin{frame} \frametitle{Big Data and Security} \begin{center} \includegraphics[width=8cm]{cheap-data-collection.jpg} \end{center} \end{frame} \begin{frame} \frametitle{Free ?} \begin{center} \includegraphics[width=7cm]{pigs-and-the-free-model.jpg} \end{center} \end{frame} \begin{frame} \frametitle{Free ?} \begin{center} \includegraphics[width=8cm]{zukerberg-thanks.jpg} \end{center} \begin{center} \textcolor{red}{If it is free then you are the product} \end{center} \end{frame} \begin{frame} \frametitle{Data Privacy ?} \begin{center} \includegraphics[width=3cm]{stencil_anonymous.jpg}\includegraphics[width=3cm]{convers.jpg} \includegraphics[width=3cm]{privacy.jpg} \end{center} \end{frame} \section{Cadre juridique} \begin{frame} \frametitle{CNIL cr\'e\'e en 1978} \begin{center} \includegraphics[width=5cm]{cnil-logo.png} \end{center} Commission nationale de l'informatique et des libert\'es \begin{block}{BUT} Prot\'eger les donn\'ees personnelles, accompagner l'innovation, pr\'eserver les libert\'es individuelles \end{block} ANSSI cr\'e\'ee le 7 juillet 2009. \end{frame} \begin{frame} \frametitle{STAD} \vspace{-1cm} \hfill \includegraphics[width=1cm]{image72.png} \begin{block}{Syst\`eme de Traitement Automatis\'e de Donn\'ees} \emph{``Tout ensemble compos\'e d'une ou plusieurs unit\'es de traitement, de m\'emoire, de logiciel, de donn\'ees, d'organes d'entr\'ees-sorties et de liaisons, qui concourent \`a un r\'esultat d\'etermin\'e, cet ensemble \'etant prot\'eg\'e par des dispositifs de s\'ecurit\'e''}. \end{block} \begin{center} \textcolor{red}{Aucune d\'efinition pr\'ecise dans la loi} \end{center} Dans les faits c'est presque tout : \includegraphics[width=2cm]{android-samsung.png} \includegraphics[width=2cm]{tablette.jpeg} \includegraphics[width=2cm]{pc-nettoyage.jpeg} \includegraphics[width=2cm]{baie_server.jpeg} \vspace{-2cm} \hfill \includegraphics[width=2cm]{hackerjpg.jpeg} \end{frame} \begin{frame} \frametitle{3 acteurs} \hfill \includegraphics[width=2cm]{silhouette-de-l-39-utilisateur-male_318-35708.jpeg} \hfill \includegraphics[width=2cm]{modifier.jpeg} \hfill \includegraphics[width=3cm]{hacker-icon-2.jpeg} \hfill~ \ \\ \hfill Utilisateur \hfill Responsable \qquad \hfill Pirate \qquad \hfill~ \end{frame} \begin{frame} \frametitle{L'utilisateur} \vspace{-.8cm} \hfill \includegraphics[width=1.5cm]{silhouette-de-l-39-utilisateur-male_318-35708.jpeg} \begin{block}{Droits} \begin{itemize} \item D'acc\`es : demander directement au responsable d'un fichier s'il d\'etient l'int\'egralit\'e de ces donn\'ees \item De rectification \item D'opposition d\^etre dans un fichier \item D\'er\'ef\'erencement sur le web par rapport au nom et pr\'enom \end{itemize} \end{block} \hfill \includegraphics[width=2cm]{logo_ctondroit.png} \hfill \includegraphics[width=2cm]{ifac-droit-montpellier-code.png}\hfill \includegraphics[width=2cm]{arton338.jpeg} \hfill~ \end{frame} \begin{frame} \frametitle{Le responsable} Et le sous-traitant via le contrat. \vspace{-.8cm} \hfill \includegraphics[width=1.5cm]{modifier.jpeg} \begin{block}{Devoirs} \begin{itemize} \item D\'eclarer les traitements de donn\'ees personnelles {\bf 5 ans \& 300 000} \item Prendre toutes pr\'ecautions pour la s\'ecurit\'e des donn\'ees selon \begin{itemize} \item la nature des donn\'ees \item les risques pr\'esent\'es par le traitement \end{itemize} \bf{5 ans \& 300 000} \end{itemize} \end{block} Lois informatique et libert\'es : Article 22 et Article 34. Guide de la CNIL : La s\'ecurit\'e des donn\'ees personnelles \vspace{-1cm} \hfill \includegraphics[width=1.5cm]{ifac-droit-montpellier-code.png} \end{frame} \begin{frame} \frametitle{Conservation des logs} \begin{block}{LCEN 2004} $\bullet$ 1 an pour les logs (jurisprudence de la BNP Paribas) $\bullet$ D\'ecret 2011-219 du 25 f\'evrier 2011 relatif \`a la conservation et \`a la communication des donn\'ees permettant d'identifier toute personne ayant contribu\'e \`a la cr\'eation d'un contenu mis en ligne: \begin{itemize} \item ip, url, protocole, date heure, nature de l'op\'eration \item \'eventuellement les donn\'ees utilisateurs \item \'eventuellement donn\'ees bancaires \item acc\'ed\'ees dans le cadre d'une r\'equisition \item conserv\'ees un an \item donn\'ees utilisateurs pendant un an apr\`es la cl\^oture \end{itemize} \vspace{-3cm} \hfill \includegraphics[width=2cm]{log-pc.jpeg} \vspace{1cm} \end{block} Article 226-20 : les logs ont une date de p\'eremption \vspace{-.6cm} \hfill \includegraphics[width=.8cm]{expired.jpeg} \includegraphics[width=1cm]{boite-conserve.jpeg} \end{frame} \begin{frame} \frametitle{Le pirate} \vspace{-1cm} \hfill \includegraphics[width=3cm]{hacker-icon-2.jpeg}\hfill \includegraphics[width=2cm]{dessin-prison-copie.png} \hfill ~ %\vspace{-.5cm} \begin{block}{Risques (STAD (Article 323-1))} \begin{itemize} \item acc\`es frauduleux ou maintien frauduleux de l'acc\`es {\bf 2 ans \& 60 000} \item suppression ou modification des donn\'ees {\bf3 ans \& 100 000} \item si donn\'ees \`a caract\`ere personnel {\bf 5 ans \& 150 000} \item alt\'eration du fonctionnement {\bf 5 ans et de 75 000} \item si donn\'ees \`a caract\`ere personnel {\bf 7 ans \& 100 000} \end{itemize} \end{block} \end{frame} \begin{frame} \frametitle{Risques encourus } \begin{block}{En pratique} \begin{itemize} \item Atteintes aux int\'er\^ets fondamentaux de la nation (S\'ecurit\'e nationale) Article 410-1 \`a 411-6 \item Secret des communication pour l'autorit\'e publique et FAI {\bf 3 ans et 45 000} Article 432-9 \item Usurpation d'identit\'e {\bf 5 ans et de 75 000} Article 434-23 \item Importer, d\'etenir, offrir ou mettre \`a disposition un moyen de commettre une infraction est puni \end{itemize} \end{block} \begin{center} \includegraphics[width=2cm]{dessin-prison-copie.png} \end{center} \end{frame} \begin{frame} \frametitle{Sauf si } \begin{block}{Pas de condamnation si} \begin{itemize} \item aucune protection \item aucune mention de confidentialit\'e \item accessible via les outils de navigation grand public \item m\^eme en cas de donn\'ees nominatives \end{itemize} \end{block} \vspace{-2cm} ~ \hfill \includegraphics[width=2cm]{open-door-983422_960_720.png} \pause \begin{center} \textcolor{red}{Il est donc important de prot\'eger ces donn\'ees} \ \\ \includegraphics[width=3cm]{bouclier-secu.png} \end{center} \end{frame} \section{RGPD Apr\`es le 25 mai 2018} \begin{frame} \frametitle{} \begin{center} \includegraphics[width=4cm]{voitures-dessin-accident} \includegraphics[width=3cm]{RIP-tombe.jpg} \pause \includegraphics[width=3cm]{Ceinture-de-securite-dans-un-campingcar.jpg} \includegraphics[width=3cm]{infographie-non-port-ceinture-de-securite.jpg} \pause \includegraphics[width=7cm]{statistiques-mortalite-routiere-2011-big.jpg} \end{center} \end{frame} \begin{frame} \frametitle{Sanctions} \begin{center} \includegraphics[width=3cm]{sanctions-rgpd} 20 millions \includegraphics[width=2cm]{billets-en-euros-pile_318-56433} ou 4 \% \includegraphics[width=2cm]{000000013870} \end{center} En France la CNIL devient autorit\'e de contr\^ole \end{frame} \begin{frame} \frametitle{} \begin{center} \includegraphics[width=7cm]{Reported-Security-Vulnerabilities} % \end{center} R\`eglement G\'en\'eral sur la Protection des Donn\'ees \ \\ GDPR : General Data Protection Regulation \begin{center} \includegraphics[width=5cm]{IMAGES/GDPR-reported-breaches.jpg} \end{center} \end{frame} \begin{frame} \frametitle{Qui est touch\'e ?} \begin{center} \includegraphics[height=2cm]{associations.png} \qquad \includegraphics[height=2cm]{admins} \qquad \includegraphics[height=2cm]{stage-entreprise.jpg} \ \\ TOUT LE MONDE ! \ \\ \includegraphics[width=4cm]{rgpdeurope.jpeg} \end{center} \end{frame} \begin{frame} \frametitle{5 types de donn\'ees} \begin{enumerate} \item neutres \item personnelles \item sensibles \item pseudonymis\'ees \item anonymis\'ees \end{enumerate} \end{frame} \begin{frame} \frametitle{Qu'est-ce qu'une donn\'ee personnelle ?} \begin{center} \includegraphics[width=9cm]{carto_donnees_personnelles.png} \end{center} Toutes informations relatives \`a une personne physique qui peuvent \'etre utilis\'ees pour re-indentifier la personne. \end{frame} \begin{frame} \frametitle{Qu'est-ce qu'une donn\'ee personnelle ?} {\bf Information qui permet d’identifier une personne physique, directement ou indirectement.} \begin{itemize} \item un nom, \item une photographie, \item une adresse IP, \item un num\'ero de t\'el\'ephone, \item un identifiant de connexion informatique, \item une adresse postale, \item une empreinte, \item un enregistrement vocal, \item un num\'ero de s\'ecurit\'e sociale, \item un mail, etc. \end{itemize} \end{frame} %% \begin{frame} %% \frametitle{Qu'est-ce qu'une donn\'ee personnelle {\bf sensible}?} %% Donn\'ees li\'es \`a de la discrimination ou des pr\'ejug\'es : %% \begin{itemize} %% \item Une opinion politique, %% \item une sensibilit\'e religieuse, %% \item un engagement syndical, %% \item une appartenance ethnique, %% \item une orientation sexuelle, %% \item une situation m\'edicale ou des id\'ees philosophiques sont des donn\'ees %% sensibles. %% \end{itemize} %% Toute collecte sans consentement pr\'ealable \'ecrit, clair et explicite est interdite ! %% \end{frame} \begin{frame} \frametitle{Qu'est-ce qu'une donn\'ee personnelle {\bf sensible}?} \hfill \includegraphics[height=2cm]{politique} \hfill \includegraphics[height=2cm]{symboles-religieux} \hfill \includegraphics[height=2cm]{syndicats.jpg} \hfill~ \hfill \includegraphics[height=2cm]{ETHNICgroup2} \hfill \includegraphics[height=2cm]{medical.png} \hfill~ \hfill \includegraphics[height=1.5cm]{Young-couple-in-bed-014-725x375.jpg} \hfill~ Collecte sans consentement pr\'ealable \'ecrit, clair et explicite \hfill \includegraphics[height=1.5cm]{interdit-sens.jpg} \hfill~ %$\Rightarrow$ interdit ! \end{frame} \begin{frame} \frametitle{Safe Harbor: 07 octobre 2015} \begin{itemize} \item Invalidation par la Cour de Justice de l'Union europ\'eenne \item Une d\'ecision cl\'e pour la protection des donn\'ees, \item Quel niveau de protection des donn\'ees personnelles transf\'er\'ees aux Etats-Unis ? \end{itemize} \pause \begin{center} R\`eglement G\'en\'eral sur la Protection des Donn\'ees (RGPD) Règlement no \href{https://www.cnil.fr/fr/reglement-europeen-protection-donnees}{2016/679} adopt\'e le {\bf 27 avril 2016}. Mise en application le {\bf 25 mai 2018}. \end{center} \end{frame} \begin{frame} \frametitle{Plus de droits pour vos donn\'ees !} \hfill \includegraphics[width=3cm]{sanction} \hfill \includegraphics[width=3cm]{transparence_0} \hfill \includegraphics[width=3cm]{droit-oubli} \hfill~ \hfill Sanction \hfill Plus de transparence \hfill Droit \`a l'oubli \hfill ~ \hfill \includegraphics[width=3cm]{guichet-unique}\hfill \includegraphics[width=3cm]{protection-mineur} \hfill \includegraphics[width=3cm]{portabilite} \hfill~ \hfill Guichet unique \hfill Protection des mineurs \hfill Portabilit\'e \hfill~ \end{frame} \begin{frame} \frametitle{Objectifs?} Renforcer la transparence: \begin{itemize} \item Quelles donn\'ees sont collect\'ees? \item Dans quels buts? \item Pour combien de temps? \end{itemize} Faciliter l'exercice des droits \begin{itemize} \item droit \`a la rectification \item droit \`a la portabilit\'e : r\'ecup\'eration et communication \`a un autre traitement \item droit \`a l'oubli : suppression de données personnelles \begin{itemize} \item d\`es qu'elles ne sont plus n\'ecessaires au traitement \item d\`es que le consentement de l'utilisateur a \'et\'e retir\'e \item d\`es que la personne s'y oppose \end{itemize} \end{itemize} \end{frame} \begin{frame} \frametitle{R\`egles d'or de la CNIL } \begin{enumerate} \item Lic\'eit\'e du traitement \item Finalit\'e du traitement \item Pertinence et proportionnalit\'e des donn\'ees; principe de minimisation \item Conservation limit\'ee des donn\'ees \item Exactitude, int\'egrit\'e et confidentialit\'e des donn\'ees : principe de s\'ecurit\'e \item Renforcement de la transaparence et exercice des doits facilit\'e \end{enumerate} \end{frame} \begin{frame} \frametitle{Nouveaut\'es} RESPONSABILITATION de TOUS les acteurs ! Outils de la confirmit\'e \begin{itemize} \item Registre des traitements \item Registre sous-traitant \item Analyse d'impact PIA (CNIL) \end{itemize} Archivage et RGPD : \`a des fins statistiques. \end{frame} \begin{frame} \frametitle{Principes } {\bf Tous responsables et tous auditables} {\bf Privacy by design} {\bf Security by default} DPO (Data Protection Officer) \begin{itemize} \item conformit\'e au RGPD \item Point de contact avec les autorit\'es \end{itemize} Analyse d'impact (PIA: Privacy Impact Assessment) \end{frame} \begin{frame} \frametitle{RPGD : en 6 \'etapes @CNIL} \begin{enumerate} \item D\'esigner un pilote \item Cartographier \item Prioriser \item G\'erer les risques \item Organiser \item Documenter \end{enumerate} \end{frame} \begin{frame} \frametitle{\'Etape 1 : D\'esigner un pilote} \centering{\includegraphics[width=5cm]{rgpd-etape1.png}} \begin{center} D\'el\'egu\'e \`a la protection des donn\'ees \end{center} Mission d'information, de conseil et de contr\^ole en interne. Conformit\'e au RGPD. \end{frame} \begin{frame} \frametitle{\'Etape 2 : Cartographier} \begin{center} \includegraphics[width=5cm]{rgpd-etape2.png} \end{center} {\bf Tenir une documentation interne compl\`ete sur leurs traitements de donn\'ees personnelles} \begin{itemize} \item Cat\'egories les donn\'ees trait\'ees \item Recenser pr\'ecisement vos traitements de donn\'ees personnelles ({\bf Registre des traitements}) \item Lister les objectifs \item Identifier les acteurs \item Identifier les flux des donn\'ees \end{itemize} {\bf But} : Assurer que ces traitements respectent bien le r\`eglement. \end{frame} \begin{frame} \frametitle{\'Etape 3 : Prioriser } \centering{ \includegraphics[width=5cm]{rgpd-etape3.png}} \begin{enumerate} \item Collecter et traiter {\bf que les donn\'ees n\'ecessaires}. \item {\bf Base juridique du traitement} : consentement de la personne, contrat, obligation l\'egale ... \item R\'evisez vos {\bf mentions d'information} : articles 12, 13 et 14: droits de la personne concern\'ee : Transparence, Information et Transitivit\'e \item V\'erifier vos {\bf sous-traitants} et clause des contrats \item Pr\'evoyez les {\bf modalit\'es d'exercice des droits} des personnes concern\'ees : droit d'acc\`es, de rectification, droit \`a la portabilit\'e, retrait du consentement... \item V\'erifiez les {\bf mesures de s\'ecurit\'e} mises en place. \end{enumerate} \end{frame} \begin{frame} \frametitle{\'Etape 3 : VIGILANCE, des {\bf types} de donn\'ees } \begin{itemize} \item origine pr\'etendument {\bf raciale ou ethnique}, les opinions politiques, philosophiques ou religieuses, l'appartenance syndicale, \item la {\bf sant\'e} ou l'orientation sexuelle, \item g\'en\'etiques ou {\bf biom\'etriques}, \item infraction ou de condamnation {\bf p\'enale}, \item sur les {\bf mineurs}. \end{itemize} \end{frame} \begin{frame} \frametitle{\'Etape 3 : VIGILANCE, votre traitement } \begin{itemize} \item la surveillance {\bf syst\'ematique} \`a grande \'echelle d'une zone accessible au public \item l'\'evaluation {\bf syst\'ematique} et approfondie d'aspects personnels, y compris le profilage, sur la base de laquelle vous prenez des d\'ecisions produisant des effets juridiques \`a l'\'egard d'une personne physique ou l'affectant de mani\`ere significative. \end{itemize} \end{frame} \begin{frame} \frametitle{\'Etape 3 : VIGILANCE {\bf transfert} des donn\'ees hors UE} \begin{itemize} \item V\'erifiez que le pays vers lequel vous transf\'erez les donn\'ees est reconnu comme ad\'equat par la Commission europ\'eenne ; \item Dans le cas contraire, encadrez vos transferts. \end{itemize} \end{frame} \begin{frame} \frametitle{\'Etape 4 : G\'erer les risques } \vspace{-.5cm} \begin{center} {\bf Privacy Impact Assessment (PIA)} Data protection impact assessment \includegraphics[width=5cm]{rgpd-etape4.png} \end{center} \begin{itemize} \item Principes et droits fondamentaux, {\bf non n\'egociables}, de la loi \item Gestion des {\bf risques sur la vie priv\'ee} des personnes concern\'ees, pour d\'eterminer les mesures techniques et d'organisation pour prot\'eger les donn\'ees personnelles. \end{itemize} Un PIA contient : \begin{itemize} \item Une {\bf description} du traitement \'etudi\'e et de ses {\bf finalit\'es}. \item Une {\bf \'evaluation de la n\'ecessit\'e et de la proportionnalit\'e} des op\'erations de traitement au regard des finalit\'es \item Une {\bf \'evaluation des risques} pour les droits et libert\'es des personnes, les mesures envisag\'ees pour faire face aux risques. \end{itemize} \end{frame} \begin{frame} \frametitle{\'Etape 4 : Qui participe au PIA?} \begin{itemize} \item {\bf Le responsable de traitement} : valide et applique le PIA. \item {\bf Le d\'el\'egu\'e à la protection des donn\'ees} : \'elabore le plan d’action et se charge de v\'erifier son ex\'ecution ; \item {\bf Le(s) sous-traitant(s)} : fournit les informations n\'ecessaires \`a l'\'elaboration du PIA ; \item {\bf Les m\'etiers (RSSI, maîtrise d’ouvrage, maîtrise d’œuvre)} : aident \`a la r\'ealisation du PIA en fournissant les \'el\'ements ad\'equats ; \item {\bf Les personnes concern\'ees} : donnent leurs avis sur le traitement. \end{itemize} \end{frame} \begin{frame} \frametitle{\'Etape 4 : {\bf PIA obligatoire} Art. 35} Pour tout traitement susceptible d'engendrer des {\bf risques \'elev\'es} pour les droits et libert\'es des personnes concern\'ees. \begin{enumerate} \item Evaluation ou notation; \item D\'ecision automatis\'ee avec effet juridique significatif; \item Surveillance syst\'ematique ; \item Donn\'ees sensibles ou donn\'ees \`a caract\`ere hautement personnel; \item Donn\'ees personnelles trait\'ees \`a grande \'echelle ; \item Croisement d'ensembles de donn\'ees ; \item Donn\'ees concernant des personnes vuln\'erables ; \item Usage innovant ou application de nouvelles solutions technologiques ou organisationnelles ; \item Exclusion du b\'en\'efice d’un droit, d'un service ou contrat. \end{enumerate} Si {\bf au moins 2 de ces crit\`eres}, alors faire un PIA. \end{frame} \begin{frame} \frametitle{\'Etape 5 : Organiser} \centering{ \includegraphics[width=5cm]{rgpd-etape5.png}} \begin{itemize} \item Protection des donn\'ees personnelles {\bf d\`es la conception} \item {\bf Sensibiliser et d'organiser la remont\'ee d'information} \item Traiter les {\bf r\'eclamations et les demandes} des personnes concern\'ees quand \`a l'exercice de leurs droits \item {\bf Anticiper les violations de donn\'ees}, dans les 72 heures aux autorit\'es et personnes concern\'ees \end{itemize} \end{frame} \begin{frame} \frametitle{\'Etape 6 : Documenter} \begin{center} {\bf Prouver la conformit\'e = Avoir la documentation n\'ecessaire} \includegraphics[width=5cm]{rgpd-etape6.png} \end{center} \begin{itemize} \item Traitements \item Information des personnes \item Contrat pour les acteurs \end{itemize} \end{frame} \begin{frame} \frametitle{\'Etape 6 : Documenter les traitements} \begin{itemize} \item Le {\bf registre des traitements} (pour les responsables de traitements) ou des {\bf cat\'egories d’activit\'es de traitements} (pour les sous-traitants) \item {\bf PIA} pour les traitements \`a risque \item L'{\bf encadrement des transferts} de donn\'ees hors de l'Union europ\'eenne. \end{itemize} \end{frame} \begin{frame} \frametitle{\'Etape 6 : Documenter l'information} \begin{itemize} \item Les {\bf mentions d'information} \item Les mod\`eles de {\bf recueil du consentement} des personnes concern\'ees, \item Les proc\'edures {\bf mises en place} pour l'exercice des droits \end{itemize} \end{frame} \begin{frame} \frametitle{\'Etape 6 : Documenter les contrats} \begin{itemize} \item Les {\bf contrats avec les sous-traitants} \item Les {\bf proc\'edures internes} en cas de violations de donn\'ees \item Les {\bf preuves} que les personnes concern\'ees ont donn\'e leur consentement lorsque le traitement de leurs donn\'ees repose sur cette base. \end{itemize} \end{frame} \begin{frame} \frametitle{Objectif} {\bf Responsabilisation de tous les acteurs impliqu\'es dans le traitement des donn\'ees personnlles d\`es lors qu'elle concernent des r\'esidents europ\'eens.} \begin{itemize} \item Obligation de transparence et tra\c{c}abilit\'e \begin{itemize} \item Contrtat \'ecrit entre les acteurs \item Autorisation \'ecrite des traitement \item D\'emontrer le respect de vos obligations \item Ternir un {\bf registre des traitements} \end{itemize} \item Protection by design et by default (param\`etres, acc\`es, purge) \item Obligation de garantir la s\'ecurit\'e des donn\'ees trait\'ees \item Obligation d'assistance, d'alerte et de conseil (imm\'ediate) \end{itemize} \end{frame} \begin{frame} \frametitle{Registre des cat\'egories d'activit\'es de traitement} \begin{itemize} \item nom et les coordonn\'ees de chaque client \item le nom et les coordonn\'ees de chaque sous-traitant \item le nom et les coordonn\'ees du d\'el\'egu\'e à la protection des donn\'ees \item les cat\'egories de traitements effectu\'es \item les transferts de donn\'ees hors UE \item une description g\'en\'erale des mesures de s\'ecurit\'e techniques et organisationnelles que vous mettez en place \end{itemize} \end{frame} \begin{frame} \frametitle{Qui est touch\'e ?} TOUT LE MONDE ! \begin{itemize} \item les prestataires de services informatiques \item les agences de marketing ou de communication \item tout organisme offrant un service ou une prestation \item Un organisme public ou une association \end{itemize} qui traite les donn\'ees personnelles. \end{frame} \begin{frame} \frametitle{Sanctions} \vspace{-.25cm} Jusqu'\`a 10 ou 20 millions d’euros, ou 2\% ou 4\% du chiffre d'affaires annuel mondial de l'exercice pr\'ec\'edent. En France la CNIL devient autorit\'e de contr\^ole \end{frame} \begin{frame} \frametitle{Sanctions pour le sous-traitant} \begin{itemize} \item si vous agissez en dehors des instructions licites de votre client ou contrairement \`a ces instructions ; \item si vous n'aidez pas votre client \`a respecter ses obligations %% (notamment notification d’une violation de donn\'ees ou r\'ealisation %% d’une analyse d’impact) \item si vous ne mettez pas \`a la disposition de votre client les informations permettant de d\'emontrer le respect des obligations ou pour permettre la r\'ealisation d'audits \item si vous n'informez pas votre client qu'une instruction constituerait une violation du r\`eglement europ\'een \item si vous sous-traitez sans autorisation pr\'ealable de votre client \item si vous fait es appel \`a un sous-traitant qui ne pr\'esente pas de garanties suffisantes \item si vous ne d\'esignez pas un d\'el\'egu\'e \`a la protection des donn\'ees \item si vous ne tenez pas de registre des cat\'egories d'activit\'es de traitement %% que vous mettez en oeuvre %% pour le compte de vos clients dans le cas d'une entreprise, \end{itemize} \end{frame} %GROUPE DE TRAVAIL «ARTICLE 29» SUR LA PROTECTION DES DONN\'EES %0829/14/FR WP216 %Avis 05/2014 sur les Techniques d’anonymisation \begin{frame} \frametitle{Bilan apr\`es 6 mois} \begin{itemize} \item 32 000 organismes ont 1 DPO: 15000 DPO contre 5000~CIL \item 100 notifications de violations, environ 7 par jour \item 7 millions de visites sur le site de la CNIL \item 130 000 téléchargements du PIA de la CNIL \item 9 700 plaintes \item plus de 345 plaintes transfrontalières \item Conception d'un MOOC \end{itemize} 24 Juillet 2018 : Sanction de 50 000 \euro{} de la CNIL à l’encontre de la société DAILYMOTION, mot de passe stock\'e en clair temporairement. 15 Aout 2018 : Sanction de 30 000 \euro{} par la CNIL à l’encontre de l’Office Public de l’Habitat de Rennes M\'etropole L’amende (50 Millions \euro{}) infligée par la CNIL à Google : le manque de transparence, le manque d’information adéquate, l’absence de consentement explicite préalablement recueilli. %https://www.cnil.fr/fr/rgpd-quel-premier-bilan-4-mois-apres-son-entree-en-application \end{frame} \begin{frame} \frametitle{Sanctions de la CNIL} \begin{center} \includegraphics[width=8cm]{santions-infligees-par-la-CNIL-depuis-2011.jpg} \end{center} \end{frame} \begin{frame} \frametitle{Par pays} \includegraphics[width=11cm]{ufo18_2.png} \end{frame} \begin{frame} \frametitle{Par industries} \includegraphics[width=11cm]{ufo18_3.png} \end{frame} \begin{frame} \frametitle{\'Evolution} \includegraphics[width=11cm]{ufo18_1.png} \end{frame} \begin{frame} \frametitle{Plaintes d\'epos\'ees 2018} \includegraphics[width=10cm]{plaintesrgpdcnil2018.jpg} \end{frame} \begin{frame} \frametitle{Tendances 2018} \includegraphics[width=10cm]{tendancesplaintes.jpg} \end{frame} \begin{frame} \frametitle{Contr\^oles 2018} \includegraphics[width=10cm]{controlesrgpd.jpg} \end{frame} \begin{frame} \frametitle{Sanctions 2018} \includegraphics[width=10cm]{sanctionsrgpd2018.jpg} \end{frame} \begin{frame}{1 an apr\`es} ``70 \% des Français se disent aujourd’hui plus sensibles aux problématiques de protection des données.'' \begin{itemize} \item 2 044 notifications de violation de données en France \item 89 271 au niveau européen ; \item Plus de 19 000 DPO désignés par plus de 53 000 organismes \item Plus de 8,1 millions de visites depuis un an cnil.fr \end{itemize} \end{frame} \begin{frame} \frametitle{4 Croyances sur le RGPD par Florence BONNET} \begin{block}{I. La probabilité de faire l’objet d’un contrôle de la CNIL est faible} \begin{itemize} \item obligation de notifier et de communiquer les violations de données personnelles à l’autorité et aux personnes concernées le cas échéant. \item toute personne a le droit de r\'eclamer auprès d’une autorité de contrôle et d'exercer son droit d’obtenir réparation. \end{itemize} \end{block} \end{frame} \begin{frame} \frametitle{4 Croyances sur le RGPD par Florence BONNET} \begin{block}{II. En cas de contrôle, il suffira de collaborer avec la CNIL et de faire preuve de réactivité pour éviter une sanction} \begin{small} Absence de mesures élémentaires de sécurité = non-conformité. \begin{itemize} \itemsep0em \item Mise en ligne d'un site sans test \item Exposition aux donn\'ees sans authentification (mot de passe suffisamment robustes) \item Ne doivent pas être conservés ou transmis en clair mais de manière sécurisée \item Les connexions et flux de données doivent être sécurisés \item Les connexions à une plateforme des paiements doivent être tracés \item Le dispositif de communication bluetooth doit être sécurisé \item La connexion à distance doit être sécurisée (VPN, IP) \item Les données les sensibles doivent être conservées et sécurisées \item Le chiffrement doit être à l’état de l’art ! Pas de MD5 ! \end{itemize} \end{small} \end{block} \end{frame} \begin{frame} \frametitle{4 Croyances sur le RGPD par Florence BONNET} \begin{block}{II. } \begin{small} \begin{itemize} \itemsep0em \item Protection du secret : le sel doit être conservé dans un espace distinct de celui où sont stockés les mots de passe ; \item Les numéros de carte bancaire ne doivent pas être conservés en clair avec les cryptogrammes . \item Les accès aux données doivent être strictement limités aux seules personnes ayant besoin d’en connaitre \item il appartient au responsable de traitement, d’adapter les conditions d’usage de ce logiciel à sa propre population \end{itemize} \end{small} \end{block} \end{frame} \begin{frame} \frametitle{4 Croyances sur le RGPD par Florence BONNET} \begin{block}{III. Se croire à l’abri parce qu’il existe forcément une politique de sécurité dans l’entreprise} \begin{itemize} \item il est vain pour la société de chercher à se dégager de sa responsabilité en invoquant de supposées procédures préventives en la matière (procédure sécurité conforme ISO 27001, exigences du Règlement CRBF 97-02) \end{itemize} \end{block} \end{frame} \begin{frame} \frametitle{4 Croyances sur le RGPD par Florence BONNET} \begin{block}{IV. c’est le sous-traitant qui sera responsable} \begin{itemize} \item Il convient de tracer et de documenter les échanges avec le prestataire \item L’intervention d’un prestataire crée une responsabilité supplémentaire de contrôle effectif des agissements du prestataire et des solutions utilisées par ce dernier. \item La prestation de service doit obligatoirement faire l’objet d’un contrat encadrant les obligations du sous-traitant en matière de sécurité et de confidentialité des données à caractère personnel \end{itemize} \end{block} \end{frame} %http://www.protection-des-donnees.fr/gdpr-entreprises-estiment-risque-de-sanctions-administratives-judiciaires-liees-a-faille-de-securite-donnees/ \begin{frame}{} \begin{center} \includegraphics[height=6cm]{rgpd_4_etapes.jpg} \end{center} \end{frame} \begin{frame} \frametitle{Note: 70\% } Faire un PIA pour votre entreprise ou une partie de votre entreprise. \end{frame} \section{Conclusion} \begin{frame}{A retenir} \begin{itemize} \item Contexte \item Cadre juridique \item R\'eglementation \item RGPD \end{itemize} \end{frame} \begin{frame}{Bruce Schneier} \begin{center} {\bf ''If you think technology can solve your security problems, then you don't understand the problems and you don't understand the technology.''} \ \\ \includegraphics[height=4cm]{IMAGES/bruce-schneier-by-josh-more} \end{center} \end{frame} \end{document}