RGPD

Territoires Numériques
Bourgogne-Franche-Comté

Objectif

Comprendre les enjeux du RGPD

Au menu

  1. Contexte d'apparition :
    • Enjeu stratégique
    • Marchandisation des données
    • Confidentialité et piratage
  2. Objectifs du RGPD
  3. Principes et définitions
  4. La démarche Super Chef RGPD

1. Contexte

Contexte - Données personnelles = enjeu stratégique

Today is election day - ted.com

Facebook a affiché un widget à 61 millions de personnes, ce qui a poussé 300K personnes supplémentaires à aller voter. Sachant que les dernières élections se sont gagnées par 100K voix d'avance et que FB connaît leur tendance politique ...

Contexte - Données personnelles = enjeu stratégique

Affaire Snowden, 6 juin 2013

Le programme de surveillance PRISM permet au FBI et à la NSA de surveiller les internautes. Ils utiliseraient pour cela des portes d'entrée cachées dans les logiciels fabriqués par les principales Entreprises informatiques américaines, et accèderaient aux serveurs de neuf d'entre elles, dont Microsoft, Google, Facebook, Apple.

Contexte - Données personnelles = marchandise

Gmail, Juin 2016

Google ne "lira plus le contenu" des boîtes mail des utilisateurs de son service Gmail dans le but de faire de la publicité ciblée, a annoncé ce vendredi 23 juin l'entreprise, qui faisait face à des poursuites à ce sujet.

Contexte - Données personnelles = marchandise

Gmail, Juillet 2018

Le Wall Street Journal : si Gmail a effectivement cessé d’analyser le contenu des messages, Google a en revanche laissé la porte ouverte aux développeurs tiers qui souhaiteraient en faire autant.

Les données personnelles sont piratées tous les jours

Contexte - Confidentialité et piratage

Maif, Auchan, Renault, St Gobain
(perte globale : 250 M€ de CA, 80 M€ de résultat), des centaines de sociétés (PME) ont disparu

Contexte - Confidentialité et piratage

Deloitte piraté, Septembre 2017

5 millions de mails des 244.000 employés de Deloitte compromis

Une ou plusieurs personnes ont eu accès pendant aux moins quatre mois aux courriels d’une des plus grandes sociétés de conseil du monde.

Contexte - Confidentialité et piratage

Uber piraté, Novembre 2017

Piratage des données de 57 millions d’utilisateurs dont 600.000 chauffeurs.

Contexte - Confidentialité et piratage

L’Express piraté, Mars 2018

Les données de 700.000 lecteurs et abonnés à l’Express piratées.

Contexte - Confidentialité et piratage

Les données personnelles sont comme les matières radioactives. On les manipule seulement si on a les moyens de sécurité nécessaires.

Contexte - Confidentialité et piratage

Quelle est la 1ère cause de piratage ?

Les mots de passe faibles ou volés

Contexte - Confidentialité et piratage

Mais aucun mot de passe
va nous protéger de nous mêmes

IBM considère que 60% des attaques
... viennent de l'intérieur

Source : 2016 Cyber Security Intelligence Index

Contexte - Confidentialité et piratage

Et parfois, pas la peine de pirater ...

On a en permanence 3-4 stagiaires.

Pour gagner du temps, on a sur Google Drive un document avec les procédures internes et un autre nommé « codes » avec tous les logins et mots de passe.

Non, on ne change pas les mots de passe quand ils partent !

Entre temps, la CNIL travaillait avec la Loi Informatique et Libertés

... savez-vous ce qu'elle a fait ?

2. Agenda du RGPD

2. Agenda du RGPD

1. Donner aux citoyens le contrôle sur leurs données

Information, modification, suppression, portabilité, ...

2. Agenda du RGPD

1. Donner aux citoyens le contrôle sur leurs données

La liga

2. Agenda du RGPD

2. Garantir la sécurité des données

Mise en place de mesures de sécurité adaptées à la sensibilité et aux risques

2. Agenda du RGPD

3. Rendre compte à tout moment

Registres de traitement, des sous-traitants, des violations, ...

Mais cela va plus loin, il faut avoir une connaissance détaillée de votre SI, des données qui transitent, des règles de conservation, des contrats, une cartographie des risques, etc

2. Agenda du RGPD

3. Rendre compte à tout moment

2. Agenda du RGPD

3. Rendre compte à tout moment

"Vous organisez vous-même votre conformité. Et vous l'organisez en fonction de vos contraintes, en fonction de votre organisation interne et des risques que vous avez identifiés"

2. Agenda du RGPD

Guillaume DESGENS-PASANAU
Enseignant associé au CNAM, magistrat,
ancien chef du service des affaires juridiques de la CNIL

3. Définitions et principes

Définitions - art. 1 - Objet

Protéger les personnes physiques

à l'égard du traitement

des données à caractère personnel.

Définitions - art. 4.1

Donnée à caractère personnel:

Toute information se rapportant à une personne physique identifiée ou identifiable.

Définitions

La puissance fiscale est une donnée à caractère personnel ?

Et le taux d'imposition ?

Croisement de données

Dans un village de 250 habitants, combien de personnes ont une voiture avec 15 CV fiscaux et paient 45% d'impôts sur le revenu ?

Définitions - art. 4.2

Traitement:

Toute opération [...] telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.

Définitions - art. 4.7

Responsable de traitement:

La personne physique ou morale, l'autorité publique, le service ou un autre organisme qui détermine les finalités et les moyens du traitement.

Définitions - art. 4.8

Sous-traitant:

La personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

Définitions - art. 4.1

Personne concernée:

La personne physique identifiée ou identifiable dont on traite les données.

Passons au site Super Chef RGPD

Super Chef RGPD