Territoires Numériques
Bourgogne-Franche-Comté
Bonjour
Bertrand (89), Caroline
Ambassadeurs de proximité
Jennifer
Responsable des relations avec les adhérents
Victor
Open data + DPD
Juridique, développement web, crawlers, SEO, dataviz
Tour de table ?
Comprendre pourquoi il est important de collaborer avec le DPD
Savoir entamer une démarche de mise en conformité
Contexte - Données personnelles = enjeu stratégique
Eric Schmidt, CEO de Google, Décembre 2009, CNBC
« Si vous faites quelque chose et que vous ne voulez que personne ne le sache, peut-être devriez-vous déjà commencer par ne pas le faire » (Zdnet)
Contexte - Données personnelles = enjeu stratégique
Mark Zuckerberg, fondateur de Facebook, Janvier 2010
« Les gens sont désormais à l'aise avec l'idée de partager plus d'informations [...], de façon plus ouverte et avec plus de personnes »
Facebook avait à l’époque 400M de membres ... et le FBI et la NSA se servaient directement à la source.
Contexte - Données personnelles = enjeu stratégique
Today is election day - ted.com
En 2010, aux élections de mi-mandat, Facebook a conduit une expérience sur 61 millions de personnes américaines qui a été révélée après les faits...
Contexte - Données personnelles = enjeu stratégique
Affaire Snowden, 6 juin 2013
Le programme de surveillance PRISM permet au FBI et à la NSA de surveiller les internautes. Ils utiliseraient pour cela des portes d'entrée cachées dans les logiciels fabriqués par les principales Entreprises informatiques américaines, et accèderaient aux serveurs de neuf d'entre elles, dont Microsoft, Google, Facebook, Apple.
Contexte - Données personnelles = marchandise
Gmail, Juin 2016
Google ne "lira plus le contenu" des boîtes mail des utilisateurs de son service Gmail dans le but de faire de la publicité ciblée, a annoncé ce vendredi 23 juin l'entreprise, qui faisait face à des poursuites à ce sujet.
Contexte - Données personnelles = marchandise
Si c'est gratuit, c'est vous le produit
Les données personnelles sont piratées tous les jours
Contexte - Confidentialité et piratage
Maif, Auchan, Renault, St Gobain
(perte globale : 250 M€ de CA, 80 M€ de résultat), des centaines de sociétés (PME) ont disparu
Contexte - Confidentialité et piratage
Deloitte piraté, Septembre 2017
5 millions de mails des 244.000 employés de Deloitte compromis
Une ou plusieurs personnes ont eu accès pendant aux moins quatre mois aux courriels d’une des plus grandes sociétés de conseil du monde.
Contexte - Confidentialité et piratage
Uber piraté, Novembre 2017
Piratage des données de 57 millions d’utilisateurs dont 600.000 chauffeurs.
Uber a payé 100.000$ aux hackers sans succès.
Contexte - Confidentialité et piratage
L’Express piraté, Mars 2018
Les données de 700.000 lecteurs et abonnés à l’Express piratées.
Contexte - Confidentialité et piratage
Ashley Madison, site de rencontres adultères, piraté, Juillet 2015.
Le piratage vise à dénoncer la publicité de la société ALM qui promet de supprimer toutes les données personnelles des utilisateurs moyennant 19 dollars. Cette option aurait rapporté 1,7 million de dollars à ALM en 2014.
Ce piratage prouve que ces données existent encore...
Contexte - Confidentialité et piratage
Quelle est la 1ère cause de piratage ?
Les mots de passe faibles ou volés
Contexte - Confidentialité et piratage
Mots de passe les plus courants ?
Contexte - Confidentialité et piratage
Temps nécessaire pour trouver un mot de passe ?
6 caractères : abcdef 10 minutes
+ majuscules : AbCdEf 10 heures
+ chiffres et symboles : #b_2Ef 18 jours
9 caractères : abcdefghi 4 mois
+ majuscules : AbCdEfHhI 178 ans
+ chiffres et symboles : #b_dEf123 44K ans
Contexte - Confidentialité et piratage
Mais aucun mot de passe
va nous protéger de nous mêmes
IBM considère que 60% des attaques
... viennent de l'intérieur
Source : 2016 Cyber Security Intelligence Index
Contexte - Confidentialité et piratage
Et parfois, pas la peine de pirater ...
On a en permanence 3-4 stagiaires.
Pour gagner du temps, on a sur Google Drive un document avec les procédures internes et un autre nommé « codes » avec tous les logins et mots de passe.
Non, on ne change pas les mots de passe quand ils partent !
Entre temps, la CNIL travaillait avec la Loi Informatique et Libertés
... savez-vous ce qu'elle a fait ?
1. Donner aux citoyens le contrôle sur leurs données
Information, modification, suppression, portabilité, ...
1. Donner aux citoyens le contrôle sur leurs données
La liga
2. Garantir la sécurité des données
Mise en place de mesures de sécurité adaptées à la sensibilité et aux risques
3. Rendre compte à tout moment
Registres de traitement, des sous-traitants, des violations, ...
Mais cela va plus loin, il faut avoir une connaissance détaillée de votre SI, des données qui transitent, des règles de conservation, des contrats, une cartographie des risques, etc
3. Rendre compte à tout moment
3. Rendre compte à tout moment
"Vous organisez vous-même votre conformité. Et vous l'organisez en fonction de vos contraintes, en fonction de votre organisation interne et des risques que vous avez identifiés"
Guillaume DESGENS-PASANAU
Enseignant associé au CNAM, magistrat,
ancien chef du service des affaires juridiques de la CNIL
Définitions - art. 1 - Objet
Protéger les personnes physiques
à l'égard du traitement
des données à caractère personnel.
Définitions - art. 4.1
Donnée à caractère personnel:
Toute information se rapportant à une personne physique identifiée ou identifiable.
Définitions
La puissance fiscale est une donnée à caractère personnel ?
Et le taux d'imposition ?
Croisement de données
Dans un village de 250 habitants, combien de personnes ont une voiture avec 15 CV fiscaux et paient 45% d'impôts sur le revenu ?
Tout ce qui leur permet d'identifier une personne,
est une donnée personnelle
Définitions - art. 4.2
Traitement:
Toute opération [...] telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.
Définitions - art. 4.7
Responsable de traitement:
La personne physique ou morale, l'autorité publique, le service ou un autre organisme qui détermine les finalités et les moyens du traitement.
Définitions - art. 4.8
Sous-traitant:
La personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
Définitions - art. 4.1
Personne concernée:
La personne physique identifiée ou identifiable dont on traite les données.
Définitions
DPD / DPO:
Collègue très apprécié en charge de la protection des données.
Passons au site Super Chef RGPD ou aux docs Excel
Dans un papier faites 2 colonnes :
Dans un papier faites 2 colonnes :
Identifiez ensuite qui utilise le logiciel / matériel, où se trouve, quel type de données traite et toute autre information utile.
Renseignez dans un papier tous les sous-traitants que vous avez. Indiquez pour chacun :