Formation

Comprendre le RGPD
Règlement Général Européen sur la Protection des Données

Hamza KONDAH
Une formation
 Introduction au RGPD
Règlement général sur la protection
des données personnelles
Harmoniser la législation sur la
protection des données
Europe
Droits de tous les consommateurs
Une formation
Gouvernements et Entreprises
 Plan de la formation
Introduction
1. Désigner un DPO
2. Cartographier les traitements de données
personnelles
3. Prioriser les actions à mener
4. Gérer les risques
5. Organiser les processus internes
6. Documenter la conformité
Une formation Conclusion
 Public concerné
DPO
CIL
RSSI
Dirigeants
Responsables juridiques
Toute personne concernée par le traitement
des données personnelles
Une formation
Une formation
Merci
 Qu’est ce que c’est
le RGPD?

Hamza KONDAH
Une formation
 Plan

Définition
Pourquoi ce règlement ?
Lab : RGPD

Une formation
 Définition

Une formation
 Pourquoi ce règlement ?

Evolution des menaces

Manque de procédure
Données sensibles
Traitement hors EU

Une formation
 Lab : RGPD

Une formation
Merci
 Les changements

Hamza KONDAH
Une formation
 Plan

Introduction
Les changements

Une formation
 Introduction

Dernière réforme : 1995

Sophistications des menaces
Données de valeurs
Droits ?
Le temps de l’amélioration
Date clé : 2012
Une formation
 Objectifs de la réforme

Renforcer les Crédibiliser

Responsabiliser
droits des
les acteurs la réforme
personnes

Une formation
 Les changements

Un cadre Application Portabilité

Consentement
harmonisé Hors-EU des données

Sécurité Notifications
Nomination Evaluation
en cas de
par défaut d’un DPO d’impact (IPA)
fuite

Comité Code de
Sanctions
européen conduite
Une formation
Merci
 La France et le RGPD

Hamza KONDAH
Une formation
 Introduction

Très forte implication

Ministère de la justice
French Data Protection Act (FDPA)
22 Février 2017
Commission européenne
Une formation
 Introduction

European Data Protection Authorities

Sanctions et pénalités
Article 29
CNIL
Vision Mai 2018
Une formation
Merci
 Points clés du RGPD

Hamza KONDAH
Une formation
 Points clés

Une formation
Merci
 Processus RGPD

Hamza KONDAH
Une formation
 Processus RGPD

LA DPO agit dans la durée sur tout le périmètre

Une formation
Merci
 Sanctions

Hamza KONDAH
Une formation
 Sanctions

Une formation
Merci
 Le CNIL

Hamza KONDAH
Une formation
 Plan

La CNIL
La CNIL et le RGPD
Lab : La CNIL

Une formation
 La CNIL

Commission Nationale de l'Informatique et des Libertés

Régulateur des données personnelles
Accompagnement dans la mise en
conformité et la maîtrise des données
personnelles et droits

Une formation
 La CNIL et le RGPD

La CNIL est très impliquée dans chacun des

groupes de travail mis en place par le G29
Elle assure la Présidence jusqu’en février
2018
Intermédiaire principale
Obligation de consultation
Une formation
 La CNIL et le RGPD

Guichet unique
Notification des décisions adoptées,
défavorables ou susceptibles de recours
devant le Conseil d’État
Procédure spécifique

Une formation
 La CNIL et le RGPD

« la Cnil a procédé en 2016 à 430 contrôles, et

prononcé 82 mises en demeure et 13 sanctions –
quatre sanctions financières, dont une visant Meetic, et
neuf avertissements, à l’encontre notamment de
Numéricable, de CDiscount, ou encore du Parti
socialiste. » Le monde.fr

Une formation
 Lab : La CNIL

Une formation
Merci
 Introduction à la désignation
d’un DPO

Hamza KONDAH
Une formation
 Plan

Le CIL
Le DPO
Lab : Le CIL

Une formation
 Le CIL

Veille à la sécurité juridique et informatique

de son organisme
Vocation à devenir le délégué à la
protection des données
Référent sur les questions de protection des
données personnelles au sein de
l'organisme qui l'a désigné
Une formation
 Le CIL

Sécurité juridique

Simplification
des formalités Sécurité
auprès de la informatique
CNIL

Une formation
 Le CIL

Le délégué est chargé de mettre en œuvre

la conformité au règlement européen sur la
protection des données au sein de
l’organisme qui l’a désigné
Sa désignation est obligatoire dans certains
cas

Une formation
 Le CIL

Les autorités ou les organismes publics

Les organismes dont les activités de base
les amènent à réaliser un suivi régulier et
systématique des personnes à grande
échelle
Les organismes dont les activités de base
les amènent à traiter à grande échelle des
données « sensibles »
Une formation
 Le DPO

Data Protection Officier

Piloter la gouvernance
Information conseil et contrôle interne
Délégué à la protection de données
Correspondant informatique et liberté

Une formation
 Le DPO

Chef d’orchestre
Obligation
Dialoguer avec les autorités de protection
de données
Réduire les risques de contentieux
Première étape !
Une formation
 Lab : Le CIL

Une formation
Merci
 Rôles d'un DPO

Hamza KONDAH
Une formation
 Plan

Introduction
Rôle d’un DPO
Quand est-ce obligatoire ?
Qui peut être délégué ?

Une formation
 Introduction

Pilotage de la gouvernance
Le chef d’orchestre ☺
Relation directe avec le CNIL
Un rôle pré DPO : le CIL
Bien choisir son DPO est primordial
Une formation
 Rôles d’un DPO

Contrôler les
Informer et Conseiller
aspects du
conseiller l’organisme
règlement

Coopérer avec
S’informer Sensibiliser
le CNIL

Réaliser
l’inventaire
Une formation
 Quand est-ce obligatoire ?

Autorités et organismes publics

Suivi des personnes en temps réel
Traitement de données personnelles
dites « sensibles »

Une formation
 Qui peut être délégué ?

N’importe quel employé

Sens de la communication
Expertise législation
Bonne connaissance du secteur
d’activité
Positionnement en interne
Une formation
Merci
 Comment désigner un DPO ?

Hamza KONDAH
Une formation
 Plan

Désigner un DPO
DPO et CIL ?
Lab : Désignation DPO

Une formation
 Désigner un DPO

Déclaration officielle Niveau décisionnel

Aspect légal : CIL/CNIL Responsabiliser

Une formation
 DPO et CIL ?

Le DPO est le successeur du CIL

Qualification et de formation continue
Fournir les ressources nécessaires
La désignation d’un CIL n’est pas
obligatoire
Une formation
 Lab : Désignation DPO

Une formation
Merci
 Par où commencer ?

Hamza KONDAH
Une formation
 Plan

Acter la position
Sensibiliser régulièrement
Cas particuliers

Une formation
 Acter la position
Faire acter /
valider la
désignation

Permettre au
CIL d’acheter
dans
l’organisme à Formaliser
toutes les
informations
utiles

Mettre en place
Faire signer au le processus de
CIL , si besoin , consultation de
un engagement l’instance
de représentative
confidentialité du personnel
compétent

Une formation Prévoir

 Sensibiliser régulièrement

Informer l’exécutif des

missions essentielles du Faire intervenir le CIL
CIL

Mettre en place un plan de Informer la hiérarchie

communication interne actuelle

Une formation
 Cas particuliers

Remplacem Grands
ent d’un CIL groupes

Secteur public

Une formation
Merci
 Boite à outils du DPO

Hamza KONDAH
Une formation
 Introduction

Une fois les données

Gestion du changement
collectées, que faire ?

Transformer les données

Analyse et suivis
brutes en information

Une formation
 Processus

Privacy Program Framework

Une formation Data Privacy Management Platform
Merci
 Introduction à la
cartographie des données

Hamza KONDAH
Une formation
 Plan

Introduction
Les Questions à se poser

Une formation
 Introduction

Deuxième étape élémentaire

Mesurer l’impact
Recenser les traitements de données
personnelles de manière granulaire
Registre traitement de données
Une formation
 Les Questions à se poser

Jusqu’à Pourquoi
Qui ? Quoi ? Qui ? Où ?
quand ? ?

Une formation
Merci
 Identifier les traitements
des données personnelles

Hamza KONDAH
Une formation
 Plan

Introduction
Lab : Identification

Une formation
 Introduction

Première étape primordiale

Registre des traitements effectués
Solution spécialisée Workflow
Voir présentation boite à outils
Traitements spécifiques aux données
personnelles
Une formation
 Lab : Identification

Une formation
Merci
 Etude de cas et boite à outils

Hamza KONDAH
Une formation
 Plan

Introduction
Applications dédiées
Lab : Etude de cas

Une formation
 Introduction

Structuration du workflow
Construction et traitement
Répertorier les données
Structurer selon le modèle CNIL
Applications dédiées
Une formation
 Applications dédiées

Une formation
 Lab : Etude de cas

Une formation
Merci
 Introduction

Hamza KONDAH
Une formation
 Introduction

Identification des actions à mener

pour une mise en conformité
Prioriser les actions au regard des
risques qui se prolifère contre les
traitements effectués
Libertés oh liberté! ☺
Une formation
Merci
 Identification des bases
juridiques

Hamza KONDAH
Une formation
 Plan

Introduction
Points Clés
Les fondamentaux
Lab : Base Juridique

Une formation
 Introduction

Fondamentaux juridiques de
traitements de données
Titre rendu RGPD
Nouvelles restrictions concernant le
consentement, le traitement à des fins
d’intérêt légitime et finalités diverses
Une formation
 Points clés

Consentement de la personne
Intérêt légitime
Contrat
Obligation légale

Une formation
 Les Fondamentaux

Exécution d’un contrat avec la personne

Respecter une obligation légale
Protéger les intérêts vitaux d’une personne
Exécution d’une mission d’intérêts publics
Fins d’intérêts légitimes

Une formation
 Les Nouvelles restrictions

Prouver que le consentement a été donné

librement
Intérêts légitimes le responsable du
traitement informe la personne concernée
Liste des critères à prendre en compte

Une formation
 Lab : Base juridique

Une formation
Merci
 Les Mentions d'informations

Hamza KONDAH
Une formation
 Plan

Introduction
Lab : Mention d’information

Une formation
 Introduction

Conformité
Exigence au règlement
Article 12, 13 et 14
Consentement de l’utilisateur
Manière directe
CIL/DPO ☺
Une formation
 Lab : Mention d’information

Une formation
Merci
 Obligations des sous traitants

Hamza KONDAH
Une formation
 Plan

Introduction
Le ST et DPO
Solutions de traçabilité
Lab : Sous traitants
Une formation
 Introduction

Rôle clé par rapport au RGPD

Les sous traitants doivent connaitre les
nouvelles obligations et responsabilités
Clauses contractuelles

Sécurité Confidentialité Protection

Une formation
 Le ST et DPO

Tenir un registre interne des traitements

Registre sur les catégories d’activités
S’assurer de la mise en conformité
Techniques et organisation

Une formation
 Solutions de traçabilité

Une formation
 Lab : Sous traitants

Une formation
Merci
 Les Droits des personnes

Hamza KONDAH
Une formation
 Plan

Introduction
Droits applicables
Droits enforcés

Une formation
 Introduction

Nouveauté coté RGPD

Affiner les droits des personnes
Plus de respect pour la vie privée
Contrairement à maintenant, les
utilisateurs auront droit de retirer
leurs informations
Une formation
 Droits applicables

Droit d’accès
Droit de rectification
Droit à la portabilité
Retrait du consentement
Droit à l’oublie
Une formation
 Droits renforcés

Une formation
Merci
 Vérification et améliorations
des mesures de sécurité

Hamza KONDAH
Une formation
 Plan

Introduction
Exemple de mesures

Une formation
 Introduction

Vérification des mesures de sécurité

Audit et pentest (surtout le pentest)
Mesures techniques
Mesures organisationnelles aussi ^^
Correction de l’écart
Quand la protection devient un droit
Une formation
 Exemple de mesures

Le recours à la pseudonymisation
Le chiffrement des données
L’adoption de moyens permettant de
garantir la confidentialité
L’intégrité, la disponibilité et la
résilience des systèmes
Une formation
 Exemple de mesures

L’adoption de moyens permettant de

rétablir la disponibilité et l’accès aux
données personnelles en cas
d’incident technique ou physique

Une formation
Merci
 L'authentification
des utilisateurs

Hamza KONDAH
Une formation
 Plan

Introduction
Précautions
Ce qu’il ne faut pas faire !
Lab : Authentification

Une formation
 Introduction

Les données ne doivent être accédées

que si le privilège en octroie l’accès
Exercice de la mission CIL
Identifiant propre
Autorisation CIL
Une formation
 Précautions

Politique de sécurité
Normes de sécurité
Puissance du mot de passe
RGPD Un droit ☺

Une formation
 Ce qu’il ne faut pas faire !

Communiquer son mot de passe à autrui

Stocker ses mots de passe dans un fichier en
clair ou dans un lieu facilement accessible par
d’autres personnes

Une formation
 Ce qu’il ne faut pas faire !

Utiliser des mots de passe ayant un lien avec soi (nom,

date de naissance…)
Utiliser le même mot de passe pour des accès
différents
Configurer les applications logicielles afin qu’elles
permettent d’enregistrer les mots de passe

Une formation
 Lab : Authentification

Une formation
Merci
 La Sécurité des postes
de travail

Hamza KONDAH
Une formation
 Plan

Introduction
On protège quoi ?
Précautions élémentaires
Lab : Sécurité de l’hôte

Une formation
 Introduction

Rentre toujours dans le cadre de la

politique de sécurité
Sécurité des postes de travail
OpenSpace ☺
Gestion et exploitation des postes
(sans oublier leur sécurité logique)
Une formation
 On protège quoi ?

Tentatives d’accès frauduleux

Anti virus
Prise de contrôle à distance
Risques d’intrusion

Une formation
 Précautions
On élémentaires
protège quoi ?

Limiter le nombre de tentatives d’accès

Pare-feu
Antivirus
Verrouillage automatique
Traçabilité
Une formation
 Labprotège
On : Sécurité hôte
quoi ?

Une formation
Merci
 La Menace
interne vs externe

Hamza KONDAH
Une formation
 Comparaison des menaces

Une formation
Merci
 L'archivage des données

Hamza KONDAH
Une formation
 Plan

Introduction
Catégories archivées
Précautions
Lab : archivage des données

Une formation
 Introduction

Action vitale
Spécificités RGPD
Communiquer le temps de
conservation des données
Conservation qui doit être sécurisée
Une formation
 Catégories archives

Archives
Archives courantes Archive définitives
intermédiaires

Une formation
 Précotions

Modalités d’accès spécifiques aux

données archivées
Réglementation RGPD fiche 17
Mesures et communication
destruction d’archives
ANSSI ☺
Une formation
 Lab : Archivage de données

Une formation
Merci
 Le chiffrement

Hamza KONDAH
Une formation
 Plan

Définition
Lab : Chiffrement

Une formation
 Définition

Texte
non Texte
crypté crypté

Texte
Texte
non
crypté
crypté

Une formation
 Lab : Le chiffrement

Une formation
Merci
 Qu’est ce que c’est un risque?

Hamza KONDAH
Une formation
 Plan

Définition
Les niveaux de risques

Une formation
 Définition

Un degré incertain d’un évènement

pouvant causer des dommages sur un SI

Probabilité
d’assurance
Faiblesse

Une formation
 Les niveaux de risques
Niveau de risque Action
• Des mesures immédiares devraient être
prises pour combattre le risque
• Identifier et imposer des contrôles pour
Extrême / Haut réduire les risques à un niveau
raisonnablement bas

• Une action immédiate n'est pas requise

mais devrait être mise en œuvre
rapidement
Moyen • Mettre en œuvre les contrôles dès que
possible pour réduire les risques à un
niveau raisonnablement bas

Faible • Prendre des mesures préventives pour

Une formation atténuer les effets du risque
 Les niveaux de risques

Une formation
Merci
 Effectuer une PIA

Hamza KONDAH
Une formation
 Plan

Introduction
Définition d’un PIA
Les impacts sur la vie privée
Méthodologie d’un PIA
Lab : Effectuer un PIA
Une formation
 Introduction

Un PIA repose sur deux piliers :

1. Les principes et droits fondamentaux «

non négociables nature, la gravité et la
vraisemblance des risques encourus
2. La gestion des risques sur la vie privée
des personnes concernées »
Une formation
 Domaine d’application

Il s’adresse aux responsables de traitement

Fournisseurs de produits
Les autorités décisionnaires

Une formation
 Domaine d’application

Les maîtrises d’ouvrage (MOA)

Les maîtrises d’oeuvre (MOE)
Correspondants « informatique et libertés »
Les responsables de la sécurité des
systèmes d’information

Une formation
 Pourquoi mener un PIA

Un PIA peut être mené sur tout traitement de

DCP ou produit complexe
Valeur pour l’organisme qui les traite
Responsabilité du fait des risques qu’il fait
encourir

Une formation
 Pourquoi mener un PIA

Valeur marchande dans le cas où elles sont

exploitées à des fins commerciales
Un PIA contribue à démontrer la mise en
œuvre des principes de protection de la vie
privée afin que les personnes concernées
gardent la maîtrise de leurs DCP

Une formation
 Risque sur la vie privée

Une formation
 Niveaux des risques

Une formation
 Mener un PIA

Une formation
 Démarche PIA

Une formation
 Qui y participe ?

Une formation
 Lab : Effectuer un PIA

Une formation
Merci
 Organiser
les processus internes

Hamza KONDAH
Une formation
 Plan

Introduction
Ce que ça implique
Lab : Processus internes

Une formation
 Introduction

Pour garantir un haut niveau de protection

des données personnelles en permanence
Procédures internes qui garantissent la
protection des données
Ensemble des événements qui peuvent
survenir au cours de la vie d’un traitement

Une formation
 Ce que ça implique

Prendre en compte de la protection

des données personnelles dès la
conception
Sensibiliser et d'organiser la remontée
d’informations

Une formation
 Ce que ça implique

Traiter les réclamations et les

demandes des personnes concernées
quand à l’exercice de leurs droits
Anticiper les violations de données

Une formation
 Lab : Processus internes

Une formation
Merci
 La sécurité dès la conception

Hamza KONDAH
Une formation
 Plan

Introduction
Sécurité des données
SDLC
Lab : SDLC

Une formation
 Introduction

Approche de sécurité
Sécurité dès la conception
Hardening non suffisant
Une faille en cache toujours une autre
Approches différentes selon le
domaine
Une formation
 Sécurité des données

Une formation
 SDLC

Une formation
 SDLC

Une formation
 Lab : SDLC

Une formation
Merci
 La Sensibilisation :
La clé de voute

Hamza KONDAH
Une formation
 Plan

Introduction
Lab : Veille en cybersécurité

Une formation
 Introduction

Se tenir informé des menaces et

vulnérabilités
Cellule dédiée
Services publics CERT
Organiser sont référentiel et sa
communication
Une formation
 Lab : Veille en cybersécurité

Une formation
Merci
 Documentation de la
conformité du RGPD

Hamza KONDAH
Une formation
 Plan

Introduction
Contenu

Une formation
 Introduction

Constituer et regrouper la
documentation nécessaire
Les actions et documents réalisés à
chaque étape doivent être réexaminés
et actualisés
Protection des données en continu
Une formation
 Contenu

Le registre des traitements

Les analyses d’impact sur la
protection des données
L'encadrement des transferts
Les mentions d’informations
Une formation
 Contenu

Recueil du
consentement des Mentions
Exercice des droits
personnes d’informations
concernées

Une formation
 Contenu

Les contrats avec les sous-traitants

Les procédures internes en cas de
violation de données
Les preuves que les personnes
concernées ont donné leur
consentement
Une formation
Merci
 L'amélioration continue

Hamza KONDAH
Une formation
 L'amélioration continue

Une formation
Merci
 Conclusion

Hamza KONDAH
Une formation
 Bilan

Concept RGPD
Mise en situation
Processus RGPD
Mesures RGPD

Une formation
 Formation à suivre

Une formation
Merci