Territoires Numériques
Bourgogne-Franche-Comté
Comprendre les enjeux du RGPD
Contexte - Données personnelles = enjeu stratégique
Today is election day - ted.com
Facebook a affiché un widget à 61 millions de personnes, ce qui a poussé 300K personnes supplémentaires à aller voter. Sachant que les dernières élections se sont gagnées par 100K voix d'avance et que FB connaît leur tendance politique ...
Contexte - Données personnelles = enjeu stratégique
Affaire Snowden, 6 juin 2013
Le programme de surveillance PRISM permet au FBI et à la NSA de surveiller les internautes. Ils utiliseraient pour cela des portes d'entrée cachées dans les logiciels fabriqués par les principales Entreprises informatiques américaines, et accèderaient aux serveurs de neuf d'entre elles, dont Microsoft, Google, Facebook, Apple.
Contexte - Données personnelles = marchandise
Gmail, Juin 2016
Google ne "lira plus le contenu" des boîtes mail des utilisateurs de son service Gmail dans le but de faire de la publicité ciblée, a annoncé ce vendredi 23 juin l'entreprise, qui faisait face à des poursuites à ce sujet.
Contexte - Données personnelles = marchandise
Gmail, Juillet 2018
Le Wall Street Journal : si Gmail a effectivement cessé d’analyser le contenu des messages, Google a en revanche laissé la porte ouverte aux développeurs tiers qui souhaiteraient en faire autant.
Les données personnelles sont piratées tous les jours
Contexte - Confidentialité et piratage
Maif, Auchan, Renault, St Gobain
(perte globale : 250 M€ de CA, 80 M€ de résultat), des centaines de sociétés (PME) ont disparu
Contexte - Confidentialité et piratage
Deloitte piraté, Septembre 2017
5 millions de mails des 244.000 employés de Deloitte compromis
Une ou plusieurs personnes ont eu accès pendant aux moins quatre mois aux courriels d’une des plus grandes sociétés de conseil du monde.
Contexte - Confidentialité et piratage
Uber piraté, Novembre 2017
Piratage des données de 57 millions d’utilisateurs dont 600.000 chauffeurs.
Contexte - Confidentialité et piratage
L’Express piraté, Mars 2018
Les données de 700.000 lecteurs et abonnés à l’Express piratées.
Contexte - Confidentialité et piratage
Les données personnelles sont comme les matières radioactives. On les manipule seulement si on a les moyens de sécurité nécessaires.
Contexte - Confidentialité et piratage
Quelle est la 1ère cause de piratage ?
Les mots de passe faibles ou volés
Contexte - Confidentialité et piratage
Mais aucun mot de passe
va nous protéger de nous mêmes
IBM considère que 60% des attaques
... viennent de l'intérieur
Source : 2016 Cyber Security Intelligence Index
Contexte - Confidentialité et piratage
Et parfois, pas la peine de pirater ...
On a en permanence 3-4 stagiaires.
Pour gagner du temps, on a sur Google Drive un document avec les procédures internes et un autre nommé « codes » avec tous les logins et mots de passe.
Non, on ne change pas les mots de passe quand ils partent !
Entre temps, la CNIL travaillait avec la Loi Informatique et Libertés
... savez-vous ce qu'elle a fait ?
2. Agenda du RGPD
1. Donner aux citoyens le contrôle sur leurs données
Information, modification, suppression, portabilité, ...
2. Agenda du RGPD
1. Donner aux citoyens le contrôle sur leurs données
La liga
2. Agenda du RGPD
2. Garantir la sécurité des données
Mise en place de mesures de sécurité adaptées à la sensibilité et aux risques
2. Agenda du RGPD
3. Rendre compte à tout moment
Registres de traitement, des sous-traitants, des violations, ...
Mais cela va plus loin, il faut avoir une connaissance détaillée de votre SI, des données qui transitent, des règles de conservation, des contrats, une cartographie des risques, etc
2. Agenda du RGPD
3. Rendre compte à tout moment
2. Agenda du RGPD
3. Rendre compte à tout moment
"Vous organisez vous-même votre conformité. Et vous l'organisez en fonction de vos contraintes, en fonction de votre organisation interne et des risques que vous avez identifiés"
2. Agenda du RGPD
Guillaume DESGENS-PASANAU
Enseignant associé au CNAM, magistrat,
ancien chef du service des affaires juridiques de la CNIL
Définitions - art. 1 - Objet
Protéger les personnes physiques
à l'égard du traitement
des données à caractère personnel.
Définitions - art. 4.1
Donnée à caractère personnel:
Toute information se rapportant à une personne physique identifiée ou identifiable.
Définitions
La puissance fiscale est une donnée à caractère personnel ?
Et le taux d'imposition ?
Croisement de données
Dans un village de 250 habitants, combien de personnes ont une voiture avec 15 CV fiscaux et paient 45% d'impôts sur le revenu ?
Définitions - art. 4.2
Traitement:
Toute opération [...] telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.
Définitions - art. 4.7
Responsable de traitement:
La personne physique ou morale, l'autorité publique, le service ou un autre organisme qui détermine les finalités et les moyens du traitement.
Définitions - art. 4.8
Sous-traitant:
La personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
Définitions - art. 4.1
Personne concernée:
La personne physique identifiée ou identifiable dont on traite les données.
Passons au site Super Chef RGPD