Analyse d Impact / Privacy Impact Assessment Oui ou Non? Enjeu? Avancée? Opportunité? Contrainte majeure?

Transcription

1 SYC CONSULTANTS Analyse d Impact / Privacy Impact Assessment Oui ou Non? Enjeu? Avancée? Opportunité? Contrainte majeure? D. Entraygues, J.P. Boé, S. Yablonsky 1

2 De quoi s agit il? D évaluer l impact des risques relatifs aux traitements de données au regard des droits et libertés des personnes; 2

3 A quoi elle sert? A mettre en évidence les traitements qui présentent des risques au regard des droits et libertés des personnes. A évaluer la vraisemblance de survenance des risques. A documenter les modalités et démarches de réductions des risques pour, in fine, décider d accepter ou non les risques résiduels (risques après mesures). 3

4 Mesure phare du projet de Règlement Européen L analyse d impact fait partie des obligations générales incombant au responsable de traitement (article 33.1 et 4). Elle sera obligatoire pour les traitements présentant des risques particuliers au regard des droits et libertés des personnes concernées. La nature, la portée et les finalités sont autant de critères qui permettent de déterminer s ils présentent ou non des risques particuliers. Selon la proposition de règlement, les traitements suivants entrent dans le périmètre de traitements soumis à analyse d impact: 1. Concernant la nature du traitement: traitements portant sur un volume important de données ou concernant un nombre important de personnes; traitements ayant recours à des technologies nouvelles, telles que la biométrie; 4

5 traitements concernant des populations sensibles, tels que les enfants; traitements impliquant la manipulation de données sensibles, tels que des données génétiques. 2. Concernant la portée du traitement: Traitements susceptibles d engendrer la privation d une personne d un droit, et notamment les traitements sur la base desquels des mesures ou des décisions concernant des personnes peuvent être prises. 3. Concernant la finalité du traitement: Traitements de surveillance. 5

6 Règlement européen ou pas, en quoi consiste cette démarche? À identifier le plus tôt possible les risques et à faire en sorte de les minimiser pendant toute la durée du traitement de données. En utilisant une méthode de gestion des risques reconnue et qui a fait ses preuves. Dans le domaine «Informatique et libertés», seuls les risques que les traitements font peser sur la vie privée des personnes concernées sont considérés. Ces risques sont composés d un événement redouté (que craint-on?) et de toutes les menaces qui les rendent possible (comment cela peut-il arriver?). 6

7 Qui conduit l analyse d impact? En pratique, c est un exercice collectif qui met en présence plusieurs intervenants potentiels tels que: Le service informatique; Le métier (chef de projet entité utilisatrice); Le service juridique (département privacy). En concertation avec les parties prenantes (fournisseurs externes, clients, usagers, RSSI, etc.) La consultation interne comme externe est à proportionner à la nature et taille du projet et aux risques inhérents 7

8 Comment procéder? Une démarche méthodologique souple pour s intégrer au mieux dans le cadre de processus de gestion des risques déjà opérationnels; Une démarche en 3 phases et 6 étapes; Une attention particulière doit être portée : à la participation et à la consultation des acteurs pertinents tout au long du processus à la formalisation de la démarche à la mise à niveau périodique de l étude d impact 8

9 Impliquer les acteurs internes et externes per nents de manière con nue Phase 1 : Analyse ini ale Etape 1 Analyser le contexte et le besoin de réaliser un PIA Oui Etape x 2 Cartographier les flu de données Phase 2 : Evalua on des risques Etape 3 Iden fier les risques et leurs impacts poten els Etape 4 Iden fier les mesures de contrôle Rapport Etape 5 Décrire la résolu on et iden fier les risques résiduels acceptés Phase 3 : Améliora on con nue Etape 6 Me re en œuvre les ac ons correc ves et me re à jour le PIA 9

10 Comment procéder? Phase d analyse initiale Décrit le périmètre de l application et identifie le besoin de réaliser une analyse d impact Phase d évaluation des risques où les organisations Décrivent les applications (données et traitements) traitant de données personnelles Identifient les menaces sur la vie privée et évaluent la probabilité d occurrence des menaces et la gravité des évènements redoutés Documentent les contrôles qui permettent de réduire le niveau de risque Décrivent les risques résiduels et l acceptation ou le refus de ces derniers Phase d amélioration continue qui Définit les modalités de surveillance des évolutions dans le temps (évolution du contexte, des mesures, ) et les déclencheurs de la mise à jour de l étude d impact. 10

11 Que documenter? La documentation / formalisation de la démarche est essentielle pour «rendre compte» Cela suppose un rapport d analyse incluant notamment, Une cartographie des processus et des flux de données La documentation des simulations des risques identifiés et leur évaluation en termes de gravité et vraisemblance La documentation des incidents qui doivent prendre en compte les risques liés à la vie privée (par exemple, base de sinistralité, base contentieux, base réclamations ) => source de métriques Cela suppose aussi, Formalisation de la décision d acceptation ou pas des risques résiduels et du plan d actions associé (qui? Quand? Comment?) Visa formel matérialisant l acceptation final des risques résiduels 11

12 Ce n est pas une analyse de risques classique Sécurité des systèmes d information Objectif : protéger l organisme Sujet de l étude : Toutes les informations manipulées eu sein de l organisme (dont les données à caractère personnel) Les processus métiers Impacts étudiés : Sur l image, juridique (dont le non- respect de la loi informatique & libertés), financier Protection de la vie privée Objectif : protéger les personnes concernées et leur droits Sujet de l étude : Les données à caractère personnel confiées à l organisme Les processus légaux Impacts étudiés : Sur la vie privée, l identité humaine, les droits de l homme, les libertés publiques Elle est à faire dès le début du projet. 12

13 L analyse d impact: une nouveauté? Les entreprises n ont pas attendu la proposition de règlement pour procéder à des analyses de risques et d impact. Quelle méthode utiliser? Pas de précision dans la proposition de règlement. La méthodologie EBIOS développée par l ANSSI il y a une vingtaine d années et utilisée couramment est recommandée par la CNIL; Utilisée par la CNIL Impossible, depuis 2009, d aller présenter à la CNIL un projet sans avoir fait une analyse d impact 13

14 Une avancée? Permet une meilleure prise en compte de la protection des données dès la conception, Met en évidence les risques liés au traitement envisagé. Permet une évaluation en amont des risques avec un changement de logique: passage d une logique de conformité à «postériori» à une logique de gestion des risques à «priori», D entrer immédiatement dans une démarche de réduction des risques qui contribue à améliorer la performance en s inscrivant dans une stratégie d entreprise gagnante. Copyright Lexing 2014 ConfidentEntreprise 14

15 Une opportunité? D avoir une vision claire du projet/application. Une plus grande sensibilisation des intervenants internes et externes Une meilleure transparence vis à vis du responsable de traitement auquel on peut faire des recommandations dès la conception. De convaincre en interne, non seulement que le projet est faisable mais qu en plus il est maîtrisé. D avoir des contrats plus adaptés aux réalités du traitement et des mesures pour minimiser les risques proportionnées. D apporter la preuve, en cas de demande de l autorité de contrôle, que le dispositif n est pas disproportionné et que les mesures appropriées ont bien été prises. 15

16 Contrainte majeure? En termes de: Temps Organisation Ressources, etc. 16

17 Standard de vidéo-surveillance sécurisée Etude SSI basée sur la méthode EBIOS Analyser les risques Exprimer les objectifs de sécurité Les besoins de sécurité Confidentialité des images Données à caractère personnel Classifiées «confidentiel» Intégrité et disponibilité Contraintes légales : Préfecture, CNIL 17

18 Standard de vidéo-surveillance sécurisée Les risques Perte de la maîtrise des données Capture illicite des images Abus de droit Intrusion dans le système d information Accès au réseau interne du site 18

19 Gravité maximum des événements redoutés Exemple 4 Maximale 3 Importante R3 R1 2 Limitée R2 R3 R4 R5 1 Négligeable 1 Négligeable 2 Limitée 3 Importante 4 Maximale Vraisemblance maximum des menaces R1:Indisponibilité des processus légaux R2 :Modification du traitement R3 :Accès illégitime aux DCP R4 :Modification non désirées des DCP R5 : Disparition des DCP 19

20 Conclusion Questions? 20

21 Questions - Réponses 21

22 Informations 22