Privacy Impact Assessment (PIA) Club EBIOS, 11 mai 2017

Documents pareils
Les nouveaux guides de la CNIL. Comment gérer des risques dont l impact ne porte pas sur l organisme

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

UE 4 Comptabilité et Audit. Le programme

Référentiel de qualification de prestataires de services sécurisés d informatique en nuage (cloud computing) - référentiel d'exigences

Connaître les Menaces d Insécurité du Système d Information

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

Agrément des hébergeurs de données de santé. 1 Questions fréquentes

Recommandations sur le Cloud computing

PROGRAMME DE FORMATION

Politique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PUBLIÉ

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

Comment mieux lutter contre la fraude à l assurance? Gestion de sinistres Odilon Audouin, le 4 avril 2013

Novembre Regard sur service desk

Prestations d audit et de conseil 2015

Politique de Certification de l'ac INFRASTRUCTURE Profil Signature de jetons d horodatage

Gestion des Incidents SSI

DELIBERATION N DU 20 MAI 2015 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE A LA MISE EN ŒUVRE DE LA

TRIBUNE BRAINWAVE GOUVERNANCE ET SéCURITé. Shadow IT, la menace fantôme. Une tendance irréversible mais pas dénuée de risques.

SANS SEC 504 : Techniques de hacking, exploitation de failles et gestion des incidents

AUDIT CONSEIL CERT FORMATION

Génie Logiciel LA QUALITE 1/5 LA QUALITE 3/5 LA QUALITE 2/5 LA QUALITE 4/5 LA QUALITE 5/5

et développement d applications informatiques

Cybersecurite. Leader européen - management des vulnérabilités - monitoring sécurité - Expertise as a service depuis 2007

PROTÉGER VOS BASES DE DONNÉES

Brève étude de la norme ISO/IEC 27003

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014

LES OUTILS. Connaître et appliquer la loi Informatique et Libertés

Introduction Fabrice Pesin, Secrétaire général adjoint de l ACP

5 novembre Cloud, Big Data et sécurité Conseils et solutions

DDN/RSSI. Engagement éthique et déontologique de l'administrateur systèmes, réseaux et de système d'informations

LIVRET SERVICE. Portail Déclaratif Etafi.fr

La présentation qui suit respecte la charte graphique de l entreprise GMF

Atelier A7. Audit de la gestion globale des risques : efficacité ou conformité?

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

De l élaboration d une PSSI d unité de recherche à la PSSI d établissement

DEMANDE D INFORMATION RFI (Request for information)

Sommaire AVANT PROPOS... 3 INTRODUCTION LA THEORIE : LES CONCEPTS DE GESTION DES RISQUES... 5

VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ

Comité réglementation et simplification du conseil national de l industrie 16 mai 2014

DOCUMENT DE TRAVAIL DES SERVICES DE LA COMMISSION RÉSUMÉ DE L'ANALYSE D'IMPACT. Accompagnant le document

Législation et droit d'un administrateur réseaux

Cybersurveillance: quelle sécurité Internet en interne et en externe pour l entreprise? 23/03/2012

Caisse Nationale de l'assurance Maladie des Travailleurs Salariés Sécurité Sociale

LIVRE BLANC WiFi PUBLIC

Big Data et le droit :

LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL. CNRS RSSIC version du 11 mai 2012

Le premier objectif de Quickser est donc de proposer une solution avant tout source d économies et ce dans plusieurs domaines.

Politique de Sécurité des Systèmes d Information

Lettre d information. Octobre 2014

Big Data: les enjeux juridiques

DEMANDE D'AUTORISATION D'EXPLOITATION D'UNE INSTALLATION DE STOCKAGE DE DÉCHETS INERTES. Au titre de l'article L du Code de l'environnement

Une offre performante, la clé du succès Techniques Marketing pour PME, TPE et Indépendant

Les bases de données clients dans le cadre du commerce B2B : Quelques aspects juridiques

Groupe Banque européenne d investissement. Politique de vidéosurveillance

CONVENTION DE DELEGATION DE SERVICE PUBLIC CHAUFFAGE URBAIN DE BELLEVUE NANTES-SAINT HERBLAIN AVENANT N 8

données à caractère personnel (ci-après "la LVP"), en particulier l'article 30 ;

Transposition de l article 8 de la directive européenne 2012/27 relative à l efficacité énergétique

Qu est-ce qu un système d Information? 1

CODE DE DEONTOLOGIE DE LA COMMUNICATION DIRECTE ELECTRONIQUE

Les fiches déontologiques Multicanal

GUIDE INTERMINISTERIEL SUR LES SYSTEMES D'INFORMATION ET APPLICATIONS SENSIBLES

L application doit être validée et l infrastructure informatique doit être qualifiée.

GROUPE DE TRAVAIL «ARTICLE 29» SUR LA PROTECTION DES DONNÉES

Manuel Management Qualité ISO 9001 V2000. Réf Indice 13 Pages : 13

Panorama général des normes et outils d audit. François VERGEZ AFAI

ISO/CEI 27001:2005 ISMS -Information Security Management System

Charte d audit du groupe Dexia

Charte d exploitation et de demande d accès aux Géoservices. Plateforme Territoriale GUYANE SIG

Le BIG DATA. Les enjeux juridiques et de régulation Claire BERNIER Mathieu MARTIN. logo ALTANA CABINET D AVOCATS

Le régime juridique qui est contractuellement attaché aux

L'insertion professionnelle des bénéficiaires du RSA en outre-mer

GOUVERNANCE DES IDENTITES ET DES ACCES ORIENTEE METIER : IMPORTANCE DE CETTE NOUVELLE APPROCHE

Matinée d information Sécurité du système d information. 18 novembre Agen

Conditions d'utilisation de la plateforme Défi papiers

L analyse de risques avec MEHARI

CHAPITRE V SELECTION DES CONSULTANTS ET D AUTRES PRESTATAIRES DE SERVICES

UE 8 Systèmes d information de gestion Le programme

Créer un tableau de bord SSI

TIC : QUELS RISQUES JURIDIQUES POUR L ENTREPRISE? COMMENT LES LIMITER? Présentation 9 Avril 2015

DEMANDE D AUTORISATION D UN SYSTEME DE VIDEOPROTECTION

EVALUATION DES SERVICES GUIDE A L INTENTION DE LA CHEFFE OU DU CHEF DE SERVICE ET DE SES COLLABORATRICES ET COLLABORATEURS

Le contrat Cloud : plus simple et plus dangereux

BYOD. Éléments de réflexion pour gérer les risques

Textes de référence : articles 223-1, et du règlement général de l AMF

FICHE D IMPACT PROJET DE TEXTE REGLEMENTAIRE

INDICATIONS DE CORRECTION

Prestations de conseil en SRM (Storage Ressource Management)

Code de conduite du Label de Qualité BeCommerce pour la Vente à

Optimisation de la gestion des risques opérationnels. EIFR 10 février 2015

curité des TI : Comment accroître votre niveau de curité

Attaques ciblées : quelles évolutions dans la gestion de la crise?

Sécurité des Systèmes d Information

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

France Luxembourg Suisse 1

Guide juridique de l'e-commerce et de l'e-marketing

Contractualiser la sécurité du cloud computing

INDICATIONS DE CORRECTION

Transcription:

Privacy Impact Assessment (PIA) Club EBIOS, 11 mai 2017

Point de situation RGPD (DPIA) Norme (ISO/IEC 29134) Guides de la CNIL Logiciel libre Le paysage des PIA Guidelines du G29 Atelier CIL Étude de cas (Captoo) 13/04/2017 PIA / DPIA 2

Que dit le règlement général sur la protection des données? (et les Guidelines du G29) L ANALYSE D IMPACT SUR LA PROTECTION DES DONNÉES (DPIA) 13/04/2017 PIA / DPIA 3

En synthèse Qu est-ce qu un DPIA? Un processus pour évaluer la nécessité et la proportionnalité et de gérer les risques Sur quoi porte un DPIA? Un traitement ou des traitements similaires Quelles sont les conditions qui exigent un DPIA? Tout traitement susceptible d engendrer des risques élevés (au moins 2 critères parmi 10), sauf exceptions (déjà autorisé et inchangé, base légale) Quand un DPIA doit-il être mené? Avant mise en œuvre du traitement Qui participe? DPO, personnes concernées, sous-traitants, et si possible métier, RSSI ou informatique Quelle démarche? Description, nécessité et proportionnalité, risques, mesures ; et des critères détaillés Quand la CNIL doit-elle être consultée? Quand les risques résiduels demeurent élevés Un DPIA doit-il être communiqué? Oui, à la CNIL en cas de consultation, à autrui pour apporter la confiance (tout ou partie) Quelles sanctions en cas de manquement aux obligations? 10M ou 2% du chiffre d affaires mondial consolidé 13/04/2017 PIA / DPIA 4

Le DPIA dans le RGPD Qu est-ce qu un DPIA? Un processus permettant de : évaluer la nécessité et la proportionnalité ; gérer les risques sur les droits et libertés. Un outil pour bâtir sa conformité et la démontrer DPIA (RGPD) = PIA (partout ailleurs!) 13/04/2017 PIA / DPIA 5

L objet du DPIA Sur quoi un DPIA porte-t-il? Un traitement (généralement) Des traitements similaires Traitements identiques mis en œuvre par plusieurs responsables de traitements (RT) Traitements partagés par plusieurs RT Traitements similaires en termes de finalités, fonctionnalités, risques, technologies, etc. (Un produit (utilisé par plusieurs RT)) 13/04/2017 PIA / DPIA 6

Les conditions pour mener un DPIA (2 listes à produire par la CNIL) DPIA obligatoire? Au moins 2 critères Évaluation/scoring Décision automatique avec effet légal Surveillance systématique Données sensibles Large échelle Croisement de données Personnes vulnérables Usage innovant Transfert hors UE Blocage d un droit/contrat DPIA pas nécessaire? Pas susceptible d engendrer des risques élevés Déjà autorisé (tant que le traitement n a pas changé et que les conditions de mise en œuvre sont respectées!) Autorisations unitaires Formalités simplifiées Base légale 13/04/2017 PIA / DPIA 7

Les traitements concernés Quels traitements font l objet d un DPIA? Tous ceux créés après mai 2018 Ceux créés avant, tant qu ils ne changent pas Contexte : finalité, fonctionnalités, etc. Composants des risques : données, supports des données, sources de risques, impacts potentiels, menaces Bonne pratique : mise à jour au moins après 3 ans 13/04/2017 PIA / DPIA 8

Le moment où mener un DPIA À quel moment du cycle de vie d un traitement un DPIA doit-il être mené? Avant la mise en œuvre du traitement Principe de Privacy by design 13/04/2017 PIA / DPIA 9

Les parties prenantes du DPIA Le responsable de traitement (RT) Le DPIA peut être mené par autrui, mais le RT est responsable Le DPO, s il est désigné Conseil et vérification d exécution, évaluation des mesures et risques résiduels, développement de bases de connaissances personnalisées Les personnes concernées (ou leurs représentants), le cas échéant Leur avis doit être pris, et documenté Les sous-traitants, s il y en a Assistance et fourniture d informations (règles à contractualiser) Le métier, si possible Proposition de mener un DPIA, participation au DPIA et à sa validation Le responsable de la sécurité des systèmes d information (RSSI) ou la direction informatique, si possible Proposition de mener un DPIA, assistance 13/04/2017 PIA / DPIA 10

La démarche pour mener un DPIA Quel est le contenu obligatoire? a) Description du traitement b) Évaluation de la nécessité et de la proportionnalité c) Évaluation des risques d) Mesures envisagées pour : faire face aux risques ; apporter la preuve du respect du présent règlement. 13/04/2017 PIA / DPIA 11

Les critères d un bon DPIA / méthode Description du traitement Nature, périmètre, context et finalités Données, destinataires, durées de conservation Description fonctionnelle Supports de données Codes de conduite à prendre en compte Étude juridique Nécessité et la proportionnalité Finalité, loyauté, minimization, durées de conservation Mesures prévues pour permettre l exercice des droits Information, droit d accès, soustraitants, transferts, etc. Étude des risques Sources de risques Impacts potentiels sur les droits et libertés en cas de : accès illégitime ; modification non désirée ; disparition de données. Gravités et vraisemblances Mesures prévues pour traiter les risques Organisation, sécurité logique, sécurité physique, etc. Implication des parties prenantes Conseil du DPO Avis des personnes concernées 13/04/2017 PIA / DPIA 12

La consultation préalable de la CNIL Quand la CNIL doit-elle être consultée? «Le responsable du traitement consulte l'autorité de contrôle préalablement au traitement lorsqu'une analyse d'impact relative à la protection des données effectuée au titre de l'article 35 indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque» [art. 36(1)] Le G29 considère que la consultation est obligatoire quand les risques résiduels demeurent élevés 13/04/2017 PIA / DPIA 13

La communication du DPIA Un DPIA doit-il être communiqué? À la CNIL Communication obligatoire en cas de consultation préalable Communication potentiellement requise en cas de contrôle Aux personnes intéressées (public, partenaires, personnes concernées) Publication ou communication conseillée afin d apporter de la confiance Tout ou partie du DPIA (on peut exclure des parties compromettantes : risques de sécurité, secrets industriels ou commerciaux, etc.) 13/04/2017 PIA / DPIA 14

La logique générale Susceptible d engendrer des risques élevés? [art. 35(1), (3) et (4)] Conseil du DPO [art. 35(2)] Vérification d exécution [art. 39(1) (c)] Code(s) de conduite [art. 35(8)] Avis des personnes concernées [art. 35(9)] Non Oui Exception? [art. 35(5) et (10)] Pas besoin de DPIA Oui Non DPIA [art. 35(7)] Risques résiduels élevés? [art. 36(1)] Examen du traitement [art. 35(11)] Non Oui Consultation préalable Pas de besoin de consulter la CNIL 13/04/2017 PIA / DPIA 15

Les sanctions Que risque-t-on? «Amendes administratives pouvant s'élever jusqu'à 10 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu» [art. 83(4)(a)] Dans quels cas? Quand un DPIA n a pas été mené alors qu il aurait dû l être Quand un DPIA n a pas été correctement mené et documenté Quand la CNIL n a pas été consultée alors qu elle aurait dû l être 13/04/2017 PIA / DPIA 16

Comment mener un PIA? LA DÉMARCHE MÉTHODOLOGIQUE 13/04/2017 PIA / DPIA 17

Un PIA repose sur deux piliers Que signifie être conforme au Règlement? 1. Respect des principes fondamentaux 2. Gestion des risques liés à la sécurité des données PIA (Privacy Impact Assessment) Les principes et droits fondamentaux (finalité, information ), «non négociables», fixés par la loi, devant être respectés et ne pouvant faire l objet d aucune modulation La gestion des risques sur la vie privée des personnes concernées, qui permet de déterminer les mesures techniques et d organisation appropriées pour protéger les données Le Privacy Impact Assessment (PIA) est un moyen de se mettre en conformité et de le démontrer (notion d accountability) 13/04/2017 PIA / DPIA 18

La démarche Contexte Principes fondamentaux Proportionnalité et nécessité Mesures protectrices des droits Description fonctionnelle Données Supports des données Etc. Réitérations possibles (PIA non validé, mise à jour du traitement ) Validation du PIA Risques liés à la sécurité des données Mesures existantes ou prévues Appréciation des risques Juristes Évaluation (intégrée aux étapes précédentes) Plan d action (intégré aux étapes précédentes) Décision Experts techniques 13/04/2017 PIA / DPIA 19

Étape 1 Le contexte De quoi parle-t-on? Le traitement de données à caractère personnel Quelle est sa finalité? Quels sont ses apports? (pour l organisme, pour les personnes concernées, pour la société ) Le plus important : comprendre le cycle de vie des données Quelles sont les données? Qui sont les destinataires? Qui peut y accéder? Quelle est leur durée de conservation? Sur quoi reposent-elles? Quelles sont les étapes du traitement? Collecte Conservation Utilisation Transfert Destruction 13/04/2017 PIA / DPIA 20

Étape 2 Les principes fondamentaux Quel est le dispositif prévu? Analyse des mesures garantissant la proportionnalité et la nécessité du traitement Finalité(s) (déterminée, explicite et légitime interdiction du détournement de finalité) [art. 5.1 (b)] Fondement/licéité du traitement [art. 6] Données adéquates, pertinentes, non excessives (minimisation), exactes et tenues à jour [art. 5 (c)] Durées de conservation limitée [art. 5 (e)] Analyse des mesures protectrices des droits des personnes des personnes concernées Information des personnes (traitement loyal et transparent) [art. 12, art. 13, art. 14] Droit d accès et droit à la portabilité Droit de rectification, d effacement, d opposition et de limitation du traitement Destinataire(s) Sous-traitance [art. 28] Transferts [art. 44 et suivants] Obligation de consultation de l autorité de contrôle [art. 36] 13/04/2017 PIA / DPIA 21

Étape 3 Les risques Quelles sont les mesures de sécurité? [art. 32] Mesures organisationnelles Organisation Politique (gestion des règles) Gestion des risques Gestion des projets Gestion des incidents et des violations de données Gestion des personnels Relations avec les tiers Maintenance Supervision (audits, tableaux de bord ) Marquage des documents Mesures de sécurité logique Archivage Anonymisation Chiffrement Contrôle d'intégrité Sauvegardes Cloisonnement des données Contrôle d'accès logique Traçabilité Exploitation Surveillance (paramétrages, contrôles de configurations, surveillance en temps réel ) Gestion des postes de travail Lutte contre les codes malveillants (virus, logiciels espions, bombes logicielles ) Protection des canaux informatiques (réseaux) Mesures de sécurité physique Éloignement des sources de risques (produits dangereux, zones géographiques dangereuses ) Contrôle d'accès physique Sécurité des matériels Sécurité des documents papier Sécurité des canaux papier Protection contre les sources de risques non humaines (feu, eau ) 13/04/2017 PIA / DPIA 22

Étape 3 Les risques Que peut-il arriver aux personnes concernées? Un risque sur la «vie privée» est un scénario décrivant un événement redouté et toutes les menaces qui le rendent possible. Il est estimé en termes de gravité et de vraisemblance Risques Menaces Événements redoutés Sources de risques Supports Données Impacts potentiels Vraisemblance Gravité Sources de risques Personnes externes Personnes internes Sources non humaines Supports Matériels Logiciels Réseaux Personnes Supports papier Canaux papier Données Données du traitement Données liées aux mesures Impacts potentiels Vie privée Identité humaine Droits de l homme Libertés publiques 13/04/2017 PIA / DPIA 23

Étape 3 Les risques Comment les décrire? Accès illégitime à des données Modification non désirée de données Disparition de données Sources de risques Impacts potentiels Menaces Mesures Gravité Vraisemblance Notes : Les impacts sont ceux sur la vie privée des personnes concernées, et non ceux sur l organisme Les menaces sont tous les moyens que les risques se concrétisent Les mesures sont celles qui contribuent à traiter le risque parmi celles identifiées La gravité est essentiellement estimée en fonction des impacts potentiels La vraisemblance est essentiellement estimée en fonction des vulnérabilités exploitables 13/04/2017 PIA / DPIA 24

Étape 3 Les risques Comment les présenter? 4. Maximal 3. Important Gravité Accès illégitime à des données Accès illégitime à des données Une cartographie des risques permet de comparer visuellement les risques les uns par rapport aux autres 2. Limitée 1. Négligeable Modification non désirée de données Disparition de données Disparition de données Modification non désirée de données Elle permet également de faciliter la détermination des objectifs pour les traiter (par «zones») Vraisemblance Cartographie des risques 1. Négligeable 2. Limité 3. Important 4. Maximal 13/04/2017 PIA / DPIA 25

Étape 4 La décision Les risques résiduels sont-ils acceptables? Dispositif choisi Enjeux Si les mesures prévues (pour respecter les principes fondamentaux et traiter les risques) sont jugées suffisantes et les risques résiduels acceptables, alors le PIA peut être validé par le responsable de traitement Sinon, alors il convient d identifier les objectifs pour y parvenir et de refaire une itération de la démarche 13/04/2017 PIA / DPIA 26

En conclusion Le PIA permet de construire la mise en conformité d un traitement et de pouvoir la démontrer Mener un PIA est équivalent à ce qu on fait actuellement pour certains traitements (dossiers de formalités et échanges avec la CNIL) Il ne s agit pas d ajouter un nouveau processus, mais de faire converger les existants vers le PIA : vos processus habituels alimentent le PIA (audits I&L, registre, gestion des risques SSI, intégration de la sécurité dans les projets ) Il est facile et utile d intégrer le point de vue «protection de la vie privée» et le point de vue «SSI / cybersécurité» 13/04/2017 PIA / DPIA 27

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back