Règlement RGPD Quel impact sur la «sécurité» des données?

Transcription

1 Règlement RGPD Quel impact sur la «sécurité» des données? Me Eric Barbry Avocat Directeur Pôle Droit du numérique Alain Bensoussan Avocats Lexing Copyright Lexing

2 Une exigence DOUBLE CONFORMITE Publication au JOUE du Entrée en vigueur: Mise en application: le PRESENT FUTUR ET PASSE Copyright Lexing

3 Un défi Loi n Directive 95/46 RGPD 72 articles 34 articles 99 articles 20 titres 17 titres 26 titres Hors EU Cnil et Autorités de controle Lois nationales Règlement Copyright Lexing

4 Des risques «majeurs» 10 à 20M 2 à 4% du Chiffre d affaire mondial Condamnation pénale Impact conformité Impact financier Préjudice (Class Action) Impact image Copyright Lexing

5 Un impact fort pour la DSI et le RSSI - Absence de protection des données dès la conception et protection des données par défaut - Absence de représentant établi dans l Union - Absence de registre des activités de traitement - Absence de coopération avec l autorité de contrôle - Absence de notification à l autorité de contrôle ou à la personne concernée d une violation des données - Absence d analyse d impact ou 2 % du CA annuel mondial - Non respect des principes de base d un traitement (licéité, loyauté, légitimité, adéquation et pertinence des données, consentement, données sensibles, etc.) - Non respect du droit des personnes - Non respect des règles relatives aux transferts de données à caractère personnel ou 4 % du CA annuel mondial 23/03/2017 Copyright Lexing

6 Implication forte de la DSI et du RSSI En cas de sanction Nature, gravité et durée de la violation Catégorie de données à caractère personnel concernées Manière dont l autorité de contrôle a eu connaissance de la violation Nombre de personnes concernées et niveau de dommage subi Degré de coopération établi avec l autorité de contrôle Application de codes de conduite ou de mécanismes de certification Violation commise délibérément ou par négligence Violations commises précédemment Mesures déjà ordonnées à l encontre du responsable de traitement ou de soustraitant Mesures prises pour atténuer le dommage subi Degré de responsabilité compte tenu des mesures techniques et organisationnelles mises en œuvre Autres circonstances aggravantes ou atténuantes Copyright Lexing

7 Un petit rappel Loi pour une République numérique «Le montant de la sanction pécuniaire prévue au I de l'article 45 est proportionné à la gravité du manquement commis et aux avantages tirés de ce manquement. La formation restreinte de la Commission nationale de l'informatique et des libertés prend notamment en compte le caractère intentionnel ou de négligence du manquement, les mesures prises par le responsable du traitement pour atténuer les dommages subis par les personnes concernées, le degré de coopération avec la commission afin de remédier au manquement et d'atténuer ses effets négatifs éventuels, les catégories de données à caractère personnel concernées et la manière dont le manquement a été porté à la connaissance de la commission. «Le montant de la sanction ne peut excéder 3 millions d'euros.» Copyright Lexing

8 De nombreux chantiers Chantier Codes de conduite Chantier données sensibles Chantier Flux transfrontères Chantier Transparence Chantier analyse d impact Chantier droit à l oubli Chantier Sous-traitant Chantier droit à la portabilité Chantier sécurité Chantier droits accès, rectification, opposition Chantier registre des traitements Chantier licéité Chantier délégué à la protection des données Chantier profilage Chantier Accountability Chantier privacy by design Une transition Copyright et pas un Lexing «big 2017 bang» c est plus dur! 8

9 Une démarche Analyse de situation (écart) Lotissement et organisation en mode projet Implémentation d outils appropriés Organisation adaptée et gouvernance de la data 23/03/2017 Copyright Lexing

10 Quel impact sur le (la) DSI et le (la) RSSI? Copyright Lexing

11 Plan 1. Sécurisation des données 2. Analyse d impact 3. Sous-traitance 4. Gouvernance des données Copyright Lexing

12 1. La sécurité des données 1. La protection 2. La sécurité 3. La réaction 4. L amélioration continue Copyright Lexing

13 Situation (1) Vision 1978 Vision Règlement Article 34 (obligation de sécurité) Article 35 (sécurité et soustraitance) Article 34bis (notification dans certains cas) 7 Considérants Chapitre 4 section 1 «protection des données» (art 25) Chapitre 4 section 2 «sécurité des données» Sécurité (art 32) Notification (art 33) Communication (art 34) Copyright Lexing

14 Situation (2) Protection Sécurisation Sécurité Notification Communication Copyright Lexing

15 PROTECTION Copyright Lexing

16 La «protection» by design et by default (article 25) Copyright Lexing

17 Protection by design Article 25 Les obligations Mesures techniques et organisationnelles appropriées telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données ( ) répondre aux exigences du règlement et protéger les droits des personnes concernées La démarche prend en compte Connaissance?, Cout, Nature?, Portée?, contexte?, finalité, risques dont le degré et la gravité varie Sur les droits et libertés des personnes! Copyright Lexing

18 Protection by design Article 25 A1: Analyse de risque A2: Choix des solutions technologiques Chantiers A3 : Organisation appropriée A4 : Monitoring des solutions Copyright Lexing

19 Protection by default Principes et obligations Article 25 Durée Acces limité Copyright Lexing

20 Protection by default Mise en oeuvre Article 25 A1: Schéma d accès aux données Chantiers A2: Politique d habilitations A3: Monitoring des accès Copyright Lexing

21 SECURISATION Copyright Lexing

22 Obligation de sécurisation Copyright Lexing

23 Sécurisation des données Principes et obligations Qui? Le responsable de traitement ET le sous-traitant Quoi? Garantir un niveau de sécurité adapté aux risques Comment? Idem que «protection by design» Risque de «destruction», «perte», «altération», «divulgation non autorisée» Copyright Lexing

24 Sécurisation Mise en œuvre Mesures techniques Mesures organisationnelles Chiffrement Pseudonymisation rétablissement Confidentialité Résilience Intégrité Test Code de conduite Certification Copyright Lexing

25 Obligation de «Sécurisation» Article 32 Obligation N 1 Obligation de sécurité qui est rédigé sensiblement comme l article 25 mais s adresse Au responsable du traitement ET au soustraitant A1 : Analyse de risque A2 : Choix des solutions techniques A3 : PSSI orientée données personnelles (code de conduite) A4 Déploiement des solutions techniques A5 : PCA orientée données personnelles (résilience) A6 : PRA orienté données personnelles (rétablissement) A7 : Procédure d audit interne (tester, analyser et évaluer régulièrement l efficacité des mesures techniques de sécurité Copyright Lexing

26 Obligation de «Sécurisation» Article 32 Obligation N 2 Limitation des accès (complète l interdiction d accès à un «nombre indéterminé» de l article 25) A1: Règles d habilitation responsable de traitement (idem article 25) + regarder ce qui se passe avec les sous-traitants Copyright Lexing

27 NOTIFICATION Copyright Lexing

28 Obligation de notification Copyright Lexing

29 Obligation de «Notification» Article 33 Obligation N 1 Responsable de traitement A1: Analyse en situation de crise d un «risque» ou non pour les droits et libertés des personnes physiques» A2: Notification (le règlement fixe les règles) Délais 72h max sinon explication Contenu de la notification (fond) Obligation N 2 Responsable de traitement A1: Mise en œuvre de mesures d urgence - Pour remédier à la violation - Pour atténuer les conséquences A2 : Mise en œuvre PCA / PRA A3: Obligation de «documentation» pour contrôle de l autorité Copyright Lexing

30 Obligation de «Notification» Article 33 Obligation N 1 Soustraitant A1 Annexe Data Breach Procedure A2 Coordination cellule de crise soustraitant et cellule de crise responsable de traitement A3 Audit du process Copyright Lexing

31 COMMUNICATION Copyright Lexing

32 Obligation de communication Copyright Lexing

33 Obligation de «Communication» Article 34 Obligation N 1 Avant la violation A1 : Définition en amont de la notion de «risque élevé» par entité (secteur d activité) A2 : Mise en œuvre de mesure rendant inexploitable les données en cas de violation A1 : Qualification juridique des faits (existence ou non d un «risque élevé») Obligation N 2 Au moment de la violation A2 : Existence d exclusions? Mesures techniques préalables Mesures de correction immédiates Effort disproportionné (info publique) A3 : Sinon = communication «individuelle» dans les meilleurs délais (règles de fond et de forme a définir) Copyright Lexing

34 Obligation de «Communication» Article 34 Intervention de l autorité de contrôle mode «normal» Contrôle en pleine crise Contrôle ex ante Intervention de l autorité de contrôle mode «Exigences» Risque de contentieux élevé Copyright Lexing

35 2. Analyse d impact 1. L analyse 2. La consultation Copyright Lexing

36 L analyse d impact (1) Copyright Lexing

37 L analyse d impact (2) Quand : Evaluation systématique et approfondie «Profilage») DMP Customer Centric Traitement à grande échelle de données «sensibles» Art 9 Art 10 Surveillance de masse Liste «noire» ou «blanche» de l autorité de contrôle + risque élevé (notamment technologie) Comment savoir si on est en risque élevé sans analyse d impact? Avec qui : le DPO s il en existe un (sinon le CIL? ) Copyright Lexing

38 L analyse d impact (3) Règles de fond Auditabilité Copyright Lexing

39 La consultation Copyright Lexing

40 La consultation «préalable» Règles de forme Consultation de l autorité de controle Avis de l autorité de contrôle si protection ou explications insuffisantes Mise en œuvre des mesures 8 semaines de base 6 semaines en plus si complexe Copyright Lexing

41 Les «impliqués» Assistance du sous-traitant sur demande du responsable du traitement Conseil du délégué à la protection des données Copyright Lexing

42 La consultation préalable, Règles de forme Copyright Lexing

43 3. La sous-traitance 1. Un nouveau régime 2. Des impacts Copyright Lexing

44 La sous-traitance, des garanties suffisantes Cahier des charges + Pré-requis juridiques Copyright Lexing

45 La sous-traitante, Un contrat obligatoire Article 28 Garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles Autorisation écrite préalable, spécifique ou générale du responsable de traitement pour le recrutement d un autre sous-traitant par le soustraitant Obligation de confidentialité Traitement des données sur instruction documentée du responsable de traitement Encadrement par un contrat ou autre acte juridique liant le soustraitant au responsable de traitement Respecte les exigences de sécurité du règlement Aide le responsable de traitement pour donner suite aux demandes d exercice des droits des personnes concernées Suppression ou renvoi des données au responsable de traitement au terme de la prestation (sauf si le droit de l UE ou de l Etat membre exige la conservation des données) Mise à disposition du responsable de traitement des informations nécessaires pour apporter la preuve du respect de ses obligations et permettre la réalisation d audits Copyright Lexing

46 En pratique Clauses contractuelles Révision des contrats en cours Assurance PAS Data breach Process Copyright Lexing

47 4. Gouvernance de la donnée 1. Situation 2. Choix 3. Organisation Copyright Lexing

48 L implication de la DSI / RSSI DPO ou CIL Portabilité Minimisation Registre des traitements Question de la Cnil ( ) Copyright Lexing

49 Le DPO Informer et conseiller Article 39 sur les obligations du responsable du traitement, du soustraitant ou des salariés traitant des données à caractère personnel découlant du règlement et des dispositions de l'union ou de l'etat membre concerné Contrôler la conformité au règlement et à d'autres dispositions de l'union ou de l'etat membre la conformité aux règles internes en matière de protection des données Conseiller pour la réalisation de l analyse d impact Coopérer avec l'autorité de contrôle Exercer la fonction de point de contact pour l'autorité de contrôle Copyright Lexing

50 L organisation Le choix DPO or not DPO? DSI / RSSI as DPO? La gouvernance de la data L éthique de la donnée Cellule de crise Copyright Lexing

51 Retrouvez moi 58, boulevard Gouvion-Saint-Cyr Paris Tél. : +33 (0) Fax : +33 (0) paris@lexing.law Alain Bensoussan Lexing Alain Bensoussan Avocats Mob. : +33 (0) alain-bensoussan@lexing.law Eric Lexing est une marque déposée par Alain Bensoussan Selas Alain Bensoussan Avocats Alain Bensoussan LEXING 23/03/2017 Copyright Lexing

52 Copyright Lexing

53 Crédits photos Data protection privacy security network business Concept duncanandison Protection des données privacy vie privée data protection dizain - Fotolia.com 3D cerveau data IAintelligence artificielle données code Sebastian Kaulitzki Fotolia Information Processing agsandrew - Fotolia.com Copyright Lexing