Règlement européen sur les données personnelles : J-18 mois

Transcription

1 Règlement européen sur les données personnelles : J-18 mois Quelles exigences et quels moyens pour s'y conformer? Olivier JOFFRAY [email protected]

2 Olivier JOFFRAY Directeur technique we make digital security easier Avant propos RÈGLEMENT EUROPÉEN SUR LES DONNÉES PERSONNELLES 2

3 Quelques éléments du règlement 3

4 Acteurs et Fonctions opérationnels Organisation Nouveaux acteurs: Le délégué à la protection des données ( «RSSI++») L autorité de contrôle Nouvelles exigences: Rendre-compte à l autorité Formaliser les traitements Impliquer le délégué Engagement de la Direction Générale 4

5 Travail préparatoire RSI, RSSI, Experts Transparence : Règles internes Moyens mis en œuvre Exigences sur les données : Rectification Droit à l oubli, effacement Transfert La preuve incombe au responsable du traitement 5

6 Variables multiples et complexes SI, Fournisseurs, PASSI, Certification Codifier les règles: Classifier les données et les traitements Architecture du SI Documentation Sécurisation par conception Audit des installations: Code de conduite Certification 6

7 Responsabilités conjointes Responsabilités: Sécurisation par conception Sous-traitance Nouvelles fonctions du SI Traitements à risques Direction générale, RSI, RSSI++ Engagement de moyens vs. engagement de résultats Au début: engagement de moyens Ensuite: «Actes délégués» = engagement de résultats 7

8 Progression des exigences Amener des éléments qui montrent que les données à caractère personnel sont traitées selon le règlement: PREUVES DE SÉCURITÉ Montrer l anticipation (organisation, documentation ) Classifier les données et les traitements Instaurer une traçabilité significative Utiliser des composants certifiés Utiliser des référentiels standardisés 8

9 Hypothèse de calendrier Publication au Journal Officiel Mise en application Période de tolérance Effort de standardisation Sécurité effective Sécurité demandée

10 Changement de paradigme ISO 9001 / Réglementation ISO 9001 UE 1. Dites ce que vous faites, conformément au règlement 2. Faites ce que vous dites, mettez en œuvre la sécurité des données 3. Documentez-le, participez à la rédaction création des codes de conduites et des certifications standards 4. Prouvez-le en faisant évaluer votre organisation et en utilisant des produits certifiés 10

11 Vers une transition sereine Stratégie Comprendre le règlement et les évaluations sécuritaires pour les intégrer dans la stratégie d entreprise. Etablir les Facteurs Clés de Succès de la transition et amener de la valeur ajoutée. Initier une réflexion sur l innovation. Enrichir l offre. Organisation Réalisation Comprendre les impacts du règlement sur l organisation et le fonctionnement de l entreprise. Anticiper les changements et apporter de la valeur ajoutée. Comprendre le règlement & les évaluations sécuritaires pour homogénéiser les solutions, préparer les projets et les produits. Inclure le changement de paradigme pendant la phase avant-projet. Etudier des cas pratiques. Sécuriser la transition. Utilisateurs Fournisseurs 11

12 Olivier JOFFRAY Directeur technique we make digital security easier Merci RÈGLEMENT EUROPÉEN SUR LES DONNÉES PERSONNELLES 12