RGPD

Territoires Numériques
Bourgogne-Franche-Comté

Bonjour

Bertrand (89), Caroline
Ambassadeurs de proximité

Jennifer
Responsable des relations avec les adhérents

Victor
Open data + DPD
Juridique, développement web, crawlers, SEO, dataviz

Tour de table ?

2 objectifs

Comprendre pourquoi il est important de collaborer avec le DPD

Savoir entamer une démarche de mise en conformité

Au menu

1. Contexte d'apparition :
   • Marchandisation des données
   • Enjeu stratégique
   • Confidentialité et piratage
2. Objectifs du RGPD
3. Principes et définitions
4. La démarche Super Chef RGPD
5. Ateliers

1. Contexte

Contexte - Données personnelles = enjeu stratégique

Eric Schmidt, CEO de Google, Décembre 2009, CNBC

« Si vous faites quelque chose et que vous ne voulez que personne ne le sache, peut-être devriez-vous déjà commencer par ne pas le faire » (Zdnet)

Contexte - Données personnelles = enjeu stratégique

Mark Zuckerberg, fondateur de Facebook, Janvier 2010

« Les gens sont désormais à l'aise avec l'idée de partager plus d'informations [...], de façon plus ouverte et avec plus de personnes »

Facebook avait à l’époque 400M de membres ... et le FBI et la NSA se servaient directement à la source.

Contexte - Données personnelles = enjeu stratégique

Today is election day - ted.com

En 2010, aux élections de mi-mandat, Facebook a conduit une expérience sur 61 millions de personnes américaines qui a été révélée après les faits...

Contexte - Données personnelles = enjeu stratégique

Affaire Snowden, 6 juin 2013

Le programme de surveillance PRISM permet au FBI et à la NSA de surveiller les internautes. Ils utiliseraient pour cela des portes d'entrée cachées dans les logiciels fabriqués par les principales Entreprises informatiques américaines, et accèderaient aux serveurs de neuf d'entre elles, dont Microsoft, Google, Facebook, Apple.

Contexte - Données personnelles = marchandise

Gmail, Juin 2016

Google ne "lira plus le contenu" des boîtes mail des utilisateurs de son service Gmail dans le but de faire de la publicité ciblée, a annoncé ce vendredi 23 juin l'entreprise, qui faisait face à des poursuites à ce sujet.

Contexte - Données personnelles = marchandise

Si c'est gratuit, c'est vous le produit

Les données personnelles sont piratées tous les jours

Contexte - Confidentialité et piratage

Maif, Auchan, Renault, St Gobain
(perte globale : 250 M€ de CA, 80 M€ de résultat), des centaines de sociétés (PME) ont disparu

Contexte - Confidentialité et piratage

Deloitte piraté, Septembre 2017

5 millions de mails des 244.000 employés de Deloitte compromis

Une ou plusieurs personnes ont eu accès pendant aux moins quatre mois aux courriels d’une des plus grandes sociétés de conseil du monde.

Contexte - Confidentialité et piratage

Uber piraté, Novembre 2017

Piratage des données de 57 millions d’utilisateurs dont 600.000 chauffeurs.

Uber a payé 100.000$ aux hackers sans succès.

Contexte - Confidentialité et piratage

L’Express piraté, Mars 2018

Les données de 700.000 lecteurs et abonnés à l’Express piratées.

Contexte - Confidentialité et piratage

Ashley Madison, site de rencontres adultères, piraté, Juillet 2015.

Le piratage vise à dénoncer la publicité de la société ALM qui promet de supprimer toutes les données personnelles des utilisateurs moyennant 19 dollars. Cette option aurait rapporté 1,7 million de dollars à ALM en 2014.

Ce piratage prouve que ces données existent encore...

Contexte - Confidentialité et piratage

Quelle est la 1ère cause de piratage ?

Les mots de passe faibles ou volés

Contexte - Confidentialité et piratage

Mots de passe les plus courants ?

• 123456
• password
• 12345678
• qwerty
• abc123

Source : Bloomberg

Contexte - Confidentialité et piratage

Temps nécessaire pour trouver un mot de passe ?

6 caractères : abcdef 10 minutes

+ majuscules : AbCdEf 10 heures

+ chiffres et symboles : #b_2Ef 18 jours

9 caractères : abcdefghi 4 mois

+ majuscules : AbCdEfHhI 178 ans

+ chiffres et symboles : #b_dEf123 44K ans

Contexte - Confidentialité et piratage

Mais aucun mot de passe
va nous protéger de nous mêmes

IBM considère que 60% des attaques
... viennent de l'intérieur

Source : 2016 Cyber Security Intelligence Index

Contexte - Confidentialité et piratage

Et parfois, pas la peine de pirater ...

On a en permanence 3-4 stagiaires.

Pour gagner du temps, on a sur Google Drive un document avec les procédures internes et un autre nommé « codes » avec tous les logins et mots de passe.

Non, on ne change pas les mots de passe quand ils partent !

Entre temps, la CNIL travaillait avec la Loi Informatique et Libertés

... savez-vous ce qu'elle a fait ?

20 000 000 €
4 % CA

2. Agenda du RGPD

1. Donner aux citoyens le contrôle sur leurs données

Information, modification, suppression, portabilité, ...

2. Agenda du RGPD

1. Donner aux citoyens le contrôle sur leurs données

La liga

2. Agenda du RGPD

2. Garantir la sécurité des données

Mise en place de mesures de sécurité adaptées à la sensibilité et aux risques

2. Agenda du RGPD

3. Rendre compte à tout moment

Registres de traitement, des sous-traitants, des violations, ...

Mais cela va plus loin, il faut avoir une connaissance détaillée de votre SI, des données qui transitent, des règles de conservation, des contrats, une cartographie des risques, etc

2. Agenda du RGPD

3. Rendre compte à tout moment

2. Agenda du RGPD

3. Rendre compte à tout moment

"Vous organisez vous-même votre conformité. Et vous l'organisez en fonction de vos contraintes, en fonction de votre organisation interne et des risques que vous avez identifiés"

Guillaume DESGENS-PASANAU
Enseignant associé au CNAM, magistrat,
ancien chef du service des affaires juridiques de la CNIL

3. Définitions et principes

Définitions - art. 1 - Objet

Protéger les personnes physiques

à l'égard du traitement

des données à caractère personnel.

Définitions - art. 4.1

Donnée à caractère personnel:

Toute information se rapportant à une personne physique identifiée ou identifiable.

Définitions

La puissance fiscale est une donnée à caractère personnel ?

Et le taux d'imposition ?

Croisement de données

Dans un village de 250 habitants, combien de personnes ont une voiture avec 15 CV fiscaux et paient 45% d'impôts sur le revenu ?

Tout ce qui leur permet d'identifier une personne,
est une donnée personnelle

Définitions - art. 4.2

Traitement:

Toute opération [...] telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.

Définitions - art. 4.7

Responsable de traitement:

La personne physique ou morale, l'autorité publique, le service ou un autre organisme qui détermine les finalités et les moyens du traitement.

Définitions - art. 4.8

Sous-traitant:

La personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

Définitions - art. 4.1

Personne concernée:

La personne physique identifiée ou identifiable dont on traite les données.

Définitions

DPD / DPO:

Collègue très apprécié en charge de la protection des données.

Passons au site Super Chef RGPD ou aux docs Excel

Atelier - Identifier une donnée personnelle

Atelier - Localiser les données dans votre SI

Atelier - Localiser les contrats de sous-traitance

Atelier - Recenser les traitements