données personnelles & systèmes d’information - isaca.org · les données personnelles, et...

D é v e l o p p e r l a c a p a c i t é d e s g r a n d e s e n t r e p r i s e s à i n t é g r e r e t m a î t r i s e r l e n u m é r i q u e

© C

op

yrig

ht

CIG

REF

20

16

– T

ou

s d

roit

s ré

serv

és

© C

op

yrig

ht

CIG

REF

20

11

– T

ou

s d

roit

s ré

serv

és

Données Personnelles & Systèmes d’Information

Groupe de Travail DPSI, conjoint AFAI, CIGREF & TECH IN France

Réunion plénière du 20 avril 2017

1 ©

Co

pyr

igh

t C

IGR

EF 2

01

6 –

To

us

dro

its

rése

rvés


© C

op

yrig

ht

CIG

REF

20

16

– T

ou

s d

roit

s ré

serv

és

© C

op

yrig

ht

CIG

REF

20

11

– T

ou

s d

roit

s ré

serv

és Groupe de Travail AFAI, CIGREF, TECH IN France

1. Cartographier les obligations réglementaires sur

les données personnelles, et donner une lecture

explicite et opérationnelle des exigences du GDPR

2. Emettre des recommandations concrètes, applicables

opérationnellement par les fournisseurs de services

logiciels (on-premise ou SaaS), et par les entreprises

utilisatrices, quels que soient les choix d’architectures

1

2

Objectif: Evaluation de l’impact sur l’architecture des SI

des réglementations sur les données personnelles

01/03/2017

3


© C

op

yrig

ht

CIG

REF

20

16

– T

ou

s d

roit

s ré

serv

és

© C

op

yrig

ht

CIG

REF

20

11

– T

ou

s d

roit

s ré

serv

és

Gouvernance du groupe de travail DPSI

Comité de Pilotage

DPSI Pilotes AFAI, CIGREF, TECH IN France

SG2

« Mesures techniques

applicables sur les SI »

Pilotage CIGREF

De Gaulle, Fleurance & Associés

SG1

« Check-list des questions à

se poser pour se mettre en

conformité »

Pilotage AFAI

August-Debouzy

SG3

« Mode d’emploi et outils de

conformité avec le cadre

législatif et réglementaire »

Pilotage TECH IN France

Samman

Osborne Clarke

Réunions plénières trimestrielles ouvertes à l’ensemble de la communauté

Le groupe de travail conjointement mis en place par l’AFAI, le CIGREF et TECH IN France repose sur 3 volets (SG1, SG2, SG3) pilotés respectivement par chacune des trois associations, avec le concours de quatre cabinets d’Avocats spécialisés

01/03/2017

4

AFAI, CIGREF, TECH IN France

Cabinets d’Avocats

CNIL

Socle commun des exigences du GDPR

Cabinets d’Avocats


© C

op

yrig

ht

CIG

REF

20

16

– T

ou

s d

roit

s ré

serv

és

© C

op

yrig

ht

CIG

REF

20

11

– T

ou

s d

roit

s ré

serv

és

Oct. Nov. Dec. Jan. Fev. Mar. Avr. Mai Juin Juil. Aout Sept. Oct.

2017 2016

Oct. 2017

Production livrable

(guide de bonnes pratiques)

14/12/2016

Plénière

20/04/2017

Plénière

04/07/2017

Plénière

Septembre

2017

Plénière

Le groupe de travail lancé au 4T2016 a l’ambition d’aboutir à des résultats concrets et

directement applicables par l’ensemble de l’écosystème à horizon d’un an:

Calendrier du groupe de travail DPSI

01/03/2017

5


© C

op

yrig

ht

CIG

REF

20

16

– T

ou

s d

roit

s ré

serv

és

© C

op

yrig

ht

CIG

REF

20

11

– T

ou

s d

roit

s ré

serv

és

• Introduction : Régis Delayat, SCOR, VP CIGREF, Administrateur AFAI

• Les grands axes d’exigences du GDPR : Cabinets d’Avocats (De Gaulle Fleurance & Associés,

August-Debouzy, Osborne Clarke, Samman)

• Présentation des travaux des 3 sous-groupes DPSI

• Regard croisé de la CNIL : Sophie Nerbonne, Directrice de la Conformité

• Grand témoin : Michael Nguyen, SCOR, Head of IT Management & Control

« Comment une grande entreprise se prépare au GDPR ? Gouvernance et gestion du projet »

• Questions/Réponses

• Conclusion : Stanislas de Rémur, CEO Oodrive, VP TECH IN France

1

2

3

4

6

5

6

7

Agenda de la plénière DPSI du 20 avril 2017


© C

op

yrig

ht

CIG

REF

20

16

– T

ou

s d

roit

s ré

serv

és

© C

op

yrig

ht

CIG

REF

20

11

– T

ou

s d

roit

s ré

serv

és Socle commun des exigences du GDPR

6

Travail conjoint des Cabinets d’Avocats pour établir un tableau du GDPR reprenant :

Une présentation des articles du GDPR

Les évolutions par rapport au droit existant

Les interrogations soulevées par les nouvelles dispositions

Les actions à envisager pour les entreprises

Il constitue un document de base pour la suite des travaux des 3 sous-groupes

Rappel :

Est personnelle toute donnée

permettant l’identification d’un individu

Identification (nom, prénom, genre, âge, adresse…)

Vie personnelle (habitudes de vie, préférences

religieuses, politiques, sexuelles…)

Vie professionnelle (CV, formation, profession,

contrat de travail…)

Comportement (messagerie, réseaux sociaux,

recherches web, consommation en ligne...)

Localisation (déplacements, gps, gsm…)

Données économiques et financières (revenus,

situation financière et fiscale…)

Données sensibles (santé, médicales, infractions,

condamnations…)


© C

op

yrig

ht

CIG

REF

20

16

– T

ou

s d

roit

s ré

serv

és

© C

op

yrig

ht

CIG

REF

20

11

– T

ou

s d

roit

s ré

serv

és

Grandes catégories d’exigences du GDPR – FOCUS

01/03/2017

Partage de

Responsabilité

• Stipulation contractuelles obligatoires

• Responsabilité du responsable

du traitement

• Régime de responsabilité conjointe

Définitions /

Notions de bases

• Données à caractère personnel ("DP")

• Traitement de DP (types, principes)

• Flux de DP

• Responsable de traitement

• Sous-traitant

• Violation de DP

Transfert de

données hors UE

• Mécanisme de transferts existants : adéquation, clause

contractuelle, BCR, Privacy Shield

• Dérogations

Gouvernance

Interne

• Rôle et responsabilité du DPO

• Registre des activités de traitement

• Privacy Impact Assessment

(PIA) & Privacy by Design

• Codes de conduites et Certification

Sécurité et

notification des

violations de

données

personnelles

• Mesures de sécurité

• Dispositif de détection

• Dispositif de notification

Rapport avec les

data subjects

• Transparence, information et consentement

• Gestion de l’exercice des droit

des personnes : accès,

opposition, rectification,

effacement, portabilité, limitation

• Profilage et décisions automatisées

Voies de recours,

responsabilité et

sanctions

• Droit de recours (réclamation, recours juridictionnel)

• Droit à réparation et responsabilité

• Sanctions

8


© C

op

yrig

ht

CIG

REF

20

16

– T

ou

s d

roit

s ré

serv

és

© C

op

yrig

ht

CIG

REF

20

11

– T

ou

s d

roit

s ré

serv

és




• Les 3 sous-groupes DPSI






1

2

3

4

9

5

6

7


• SG1, Check-list des questions à se poser pour se mettre en conformité Bertrand Helfre, Senior Manager EY, AFAI

• SG2, Mesures techniques applicables sur le SI Sophie Bouteiller, IT Governance Officer de SCOR, CIGREF

• SG3, Mode d’emploi juridique pour une conformité GDPR Loïc Rivière, Délégué Général de TECH IN France

9 01/03/2017

Les 4 sous-groupes du SG1

A : Aspects Fonctionnels du GDPR B : Gouvernance

C : Métiers D : Sécurité SI

Les thèmes retenus par le groupe de travail sont les suivants:

1. Licéité du traitement

2. Types de traitements mis en place

3. Catégories de données collectées

4. Droit des personnes

5. Obligations dans les relations entre responsables de traitement (RT) et sous-traitants (ST)

6. Transferts de données en dehors de l’Espace Economique Européen

7. Sécurité des données

15/07/2017 10

A : Aspects fonctionnels du RGPD

15/07/2017 11

Thèmes Sous-Thèmes


Détermination des finalités poursuivies

Proportionnalité des données collectées par rapport aux finalités poursuivies

Base légale des traitements de données mis en place (consentement, intérêt légitime,

exécution contrat, etc.)

Durée de conservation des données

2. Types de traitements

mis en place

Traitements standards

Décisions individuelles automatisées et profilage (conditions de mise en œuvre,

conséquences)

Vidéosurveillance - vidéoprotection / Géolocalisation / Whistleblowing / Ecoute sur le

lieu de travail / Contrôle d’accès aux locaux / Biométrie (ou autres traitements soumis

à des régimes spécifiques ; à compléter…)

Installation de cookies

Problématique des interconnexions de fichier

3. Catégories de

données collectées

Identifier les principales catégories de personnes concernées (RH, données clients,

données fournisseurs, etc.) + les catégories de données traitées (identité, vie

personnelle, vie professionnelle, données de connexion, etc.)

Données relatives à des mineurs (consentement des parents, information, etc.)

Catégories particulières de données (cf conditions permettant de collecter de telles

données)

Données relatives aux condamnations pénales et aux infractions

Détails des thèmes (1/3)


4. Droit des personnes

Provenance des données, collecte directe ou indirecte (et conditions d’obtention en

cas de collecte indirecte)

Mentions d’information à fournir (politique de confidentialité, guide éthique, guide RH,

charte informatique, etc.) de manière adéquate (concises, compréhensibles,

informations exhaustives, etc.)

Gestion de l’exercice des droits des personnes (droit d’accès, d’opposition, portabilité

des données, droit à l’oubli, etc.)

Notification aux destinataires des données de toute rectification, effacement des

données ou limitation du traitement demandés par la personne concernée

Si la base légale du traitement est le consentement : conformité des modalités

d’obtention du consentement avec les obligations du RGPD (forme distinctive,

compréhensible, aisément accessible, termes clairs et simples, etc.) + possibilité de

revenir sur le consentement donné

Obligation d’opt-in / opt-out pour prospection commerciale par voie électronique

Information des instances représentatives du personnel (obligation de droit du travail

ayant un impact direct sur les traitements de données RH mis en place)

Droits en matière de profilage (information, opposition)

15/07/2017 12


15/07/2017 13


5. Obligations dans les

relations entre

responsables de

traitement (RT) et sous-

traitants (ST)

Stipulations contractuelles obligatoires (objet et durée du traitement, finalité du

traitement, confidentialité des données, conditions en cas de sous-traitance ultérieure,

coopération avec le RT, suppression des données à terme, etc.).

Vérification des mesures techniques et organisationnelles mises en place par les ST

pour se conformer au RGPD

Respect des obligations par le ST (coopération avec le RT, demande de permission

pour transférer les données, transmission des demandes des personnes, etc.)

Régime de responsabilité conjointe

6. Transferts de données

en dehors de l’Espace

Economique Européen

Identification des flux de données personnelles au sein de l’entreprise / du groupe

Transferts de données en dehors de l’UE : mécanismes mis en place pour transférer

les données et dérogations

7. Sécurité des données

Mesures de sécurité mises en place (pseudonymisation, chiffrement, mesures de

confidentialité, analyses régulières, etc.)

Dispositif de détection des violations de données à caractère personnel

Procédure de prise en charge des violations de données à caractère personnel et

obligation de notification (à qui notifier, dans quels délais)


14 01/03/2017

B : Check-list Gouvernance*

• DPO

• Processus

• Périmètre

• Contrôle et monitoring pour la mise en conformité

• Prérequis et travaux préparatoires

• Politiques et procédures

• Formation et information

*check-list en annexe

15 01/03/2017

C : Check-list Métiers*

• Questions générales

• Licéité du traitement

• Droit des personnes

• Tiers

• Transferts internationaux des données

• « Privacy Impact Assessement » (PIA)

• Notification des violations de données personnelles


16 01/03/2017

D : Check-list Systèmes d’Information (SI) & cybersécurité * • Mesures de sécurité des données (« Security by Default »)

• Accès aux données personnelles par les développeurs ?

• Date de Conservation ? Suppression des données ?

• Copie des données de production dans d’autres environnements ?

• Lien avec l’étude d’impact sur les données personnelles (PIA)

• Chiffrement / Anonymisation / pseudonymisation de données personnelles

• Dispositif de détection (SIEM/SOC) et de notification

• Big Data ? Comment maitriser ces technologies nouvelles pour adresser les exigences de minimisation



© C

op

yrig

ht

CIG

REF

20

16

– T

ou

s d

roit

s ré

serv

és

© C

op

yrig

ht

CIG

REF

20

11

– T

ou

s d

roit

s ré

serv

és










1

2

3

4

18

5

6

7






© C

op

yrig

ht

CIG

REF

20

16

– T

ou

s d

roit

s ré

serv

és

© C

op

yrig

ht

CIG

REF

20

11

– T

ou

s d

roit

s ré

serv

és Axes de travail du SG2

Méthodologie d’inventaire des données et des traitements associés, et d’appréciation de leur sensibilité

Analyse des offres des éditeurs (Microsoft, salesforce, Workday, etc…) en matière de protection des données personnelles

Inventaire des mesures techniques applicables, et outillage associé

Renforcement de la sécurité en général

Protection des données

Evaluation des impacts opérationnels (performances, évolutions des infrastructures, etc…)

Mapping des mesures techniques sur les exigences du GDPR

Illustration de bout en bout sur un cas d’usage CRM

Gouvernance

Recommandation de mise en place d’un projet global d’entreprise, avec implication forte des métiers

Communication interne de sensibilisation sur les enjeux et les règles de bonne conduite

19


© C

op

yrig

ht

CIG

REF

20

16

– T

ou

s d

roit

s ré

serv

és Les 20 contrôles du CIS

20

1) Inventory of Authorized and Unauthorized Devices

2) Inventory of Authorized and Unauthorized Software

3) Secure Configurations for Hardware and Software

4) Continuous Vulnerability Assessment and Remediation

5) Controlled Use of Administrative Privileges

6) Maintenance, Monitoring and Analysis of Audit Logs

7) Email and Web Browser Protections

8) Malware Defenses

9) Limitation and Control of Network Ports

10) Data Recovery Capability

11) Secure Configurations for Network Devices

12) Boundary Defense

13) Data Protection

14) Controlled Access Based on the Need to Know

15) Wireless Access Control

16) Account Monitoring and Control

17) Security Skills Assessment and Appropriate Training to fill Gaps

18) Application Software Security

19) Incident Response and Management

20) Penetration Tests and Red Team Exercices

Sensibiliser et former Connaître le Système

d’Information

Authentifier et contrôler

les accès

Sécuriser les postes

Sécuriser le réseau Sécuriser

l’administration

Gérer le nomadisme

Superviser, auditer, réagir

Maintenir le système d’information à jour

21


© C

op

yrig

ht

CIG

REF

20

16

– T

ou

s d

roit

s ré

serv

és

© C

op

yrig

ht

CIG

REF

20

11

– T

ou

s d

roit

s ré

serv

és Mapping des exigences du GDPR et des mesures techniques applicables sur le SI

23

• Renforcement de la sécurité

• Protection des données

Exigences GDPR Mesures Techniques


© C

op

yrig

ht

CIG

REF

20

16

– T

ou

s d

roit

s ré

serv

és

© C

op

yrig

ht

CIG

REF

20

11

– T

ou

s d

roit

s ré

serv

és

SG2 – Mesures spécifiques de protection des données

Schéma-type d’un service traitant des données personnelles,

SaaS et on-premise, en architecture globale ou distribuée

Poste de travail

Storage

Server

Application server

Application A

Database

Données source Storage

Server

Application server

Application B

Database

Data Warehouse

Reportings Extractions Excel Emails

Transferts de

données

Traitements portant spécifiquement

sur les données, tout au long de son

cycle de vie

• Consentement

• Rectification

• Effacement

• Portabilité

• Collecte

• Localisation

• Accès, transferts

• Sauvegarde, Archivage

• Chiffrement (@rest, in-transit)

• Physique (poste, serveur,

stockage)

• Base de données

• Fichiers

• Emails

• Obfuscation (anonymisation,

pseudonymisation)

• Détection de violation

• Notification

• …

24


© C

op

yrig

ht

CIG

REF

20

16

– T

ou

s d

roit

s ré

serv

és

© C

op

yrig

ht

CIG

REF

20

11

– T

ou

s d

roit

s ré

serv

és

Proposer une déclinaison pratique des travaux du groupe de travail, qui :

Réponde aux préconisations du régulateur

Illustre les mesures à prendre par les membres du groupe de travail, et plus largement les adhérents du CIGREF, de l’AFAI et de TECH IN France

25

• La gestion de la relation client (CRM) est une stratégie business qui optimise les revenus et la rentabilité tout en favorisant la satisfaction et la fidélité de la clientèle.

• Les technologies de CRM permettent de déployer cette stratégie, elles permettent d’identifier et de conduire les relations avec la clientèle, en vis-à-vis ou de façon virtuelle.

CRM (Gartner)

1. Identifier les interactions avec la clientèle

2. Identifier les systèmes utilisés par les interactions

3. Identifier les modalités d’hébergement de

ces systèmes (on premise, cloud, hébergement, système externe,…)

4. Identifier les données personnelles collectées par ces systèmes et les flux le cas échéant

Démarche

Application pratique au cas d’usage CRM


© C

op

yrig

ht

CIG

REF

20

16

– T

ou

s d

roit

s ré

serv

és

© C

op

yrig

ht

CIG

REF

20

11

– T

ou

s d

roit

s ré

serv

és Application pratique au cas d’usage CRM

26

Données Personnelles Traitements Sensibilité / Priorité Mesures Techniques

• Contacts « Clients »

• Identification

• Coordonnées

• Fonction

• Manager

• Visites

• Centres d’intérêts

• Mailings

• …

• Utilisateurs

• Identification

• Profil

• Droits

• Adresse IP

• …

• Contacts Clients

• Rencontres,

rapports de visite

• Retours campagnes

marketing

• Stratégie de

prospection

• Reporting

• …

• Utilisateurs

• Authentification

• Traçabilité des

accès

• Reporting

• …

Exemple de catégorisation

1. Données personnelles

critiques

2. Données personnelles

sensibles

3. Autres données

personnelles

• Localisation

• Accès

• Sauvegarde, archivage

• Consentement

• Rectification

• Effacement

• Portabilité

• Chiffrement (@rest, in

transit)

• hardware

• base de données

• fichiers

• emails

• Obfuscation

• …


© C

op

yrig

ht

CIG

REF

20

16

– T

ou

s d

roit

s ré

serv

és

© C

op

yrig

ht

CIG

REF

20

11

– T

ou

s d

roit

s ré

serv

és










1

2

3

4

27

5

6

7





Démarche du groupe 3

Approche juridique et transversale focalisée sur les conséquences du

GDPR

Approche s’appuyant sur les problématiques identifiées par le Groupe

de travail 1

Objectif : fournir aux membres les outils pour la mise en œuvre du GDPR

notamment dans leurs relations contractuelles

Agenda de travail

7 février

16 mars

19 mai

22 Juin

Juillet Automne

Présentation des

objectifs des 2

autres SG

Définition des

objectifs du SG3

État des lieux des

labels et

certifications

existants : CNIL

(label gouvernance,

pack de conformité et

certification) et

ANSSI

(SecNumCloud)

Présentation

Responsabilité du

controller et du

processor

Présentation

Compétence du

DPO

Interventions de

Controllers et de

Processors

- Cap Gemini

- Mastercard

- Total

Comment vos

entreprises

envisagent le GDPR

?

Quels outils à mettre

en place ?

Interventions de

Controllers et de

Processors

- Microsoft

- Box

Comment vos

entreprises

envisagent le GDPR

?

Quels outils à mettre

en place ?

Définition du

livrable

Interventions de

Controllers et de

Processors

Rédaction du

livrable

Fourniture d’une

boite à outils pour se

conformer aux

dispositions du

GDPR

Restitution des

travaux du SG3

Travaux à venir

Après identification des besoins et obligations des entreprises notamment s’agissant du registre des activités

de traitement et du DPO, le SG3 apportera aux entreprises une boîte à outils pour leur gouvernance et leurs

relations avec les tiers dans le cadre de la mise en œuvre du GDPR.

Objectifs de travail

Gouvernance interne

PIA et DPO

Outils de confiance vis-à-vis des tiers

Présomption de conformité

Relations avec les tiers

Responsabilité

PIA

• Quand dois-je faire un Privacy Impact

Assessment ?

• Comment définir le contenu du PIA ?

• Quelles démarches entreprendre à la suite

du PIA ? …

DPO

• Dois-je nommer un DPO ?

• Qui choisir comme DPO ?

• Quel environnement doit entourer le DPO

(moyens techniques, financiers, humains)

Code de bonne conduite

• Pourquoi se doter d’un code de bonne conduite ?

• Comment rédiger un code de bonne conduite ?

• Quel contenu ?

Clauses contractuelles

• Identifier les clauses-types (clauses sous-

traitant / clauses responsables)

• Identifier ce qui est obligatoire / ce qui va

changer / les points d’alertes

• Identifier les points non couverts par les

outils de conformité

Certification

• Pourquoi se faire certifier/labelliser ?

• Comment se préparer à la certification?

BCR

• Quelles évolutions pour les BCR existantes ?

• Quelle est la pertinence des BCR post GDPR ?


© C

op

yrig

ht

CIG

REF

20

16

– T

ou

s d

roit

s ré

serv

és

© C

op

yrig

ht

CIG

REF

20

11

– T

ou

s d

roit

s ré

serv

és










1

2

3

4

31

5

6

7



© C

op

yrig

ht

CIG

REF

20

16

– T

ou

s d

roit

s ré

serv

és

© C

op

yrig

ht

CIG

REF

20

11

– T

ou

s d

roit

s ré

serv

és










1

2

3

4

32

5

6

7



© C

op

yrig

ht

CIG

REF

20

16

– T

ou

s d

roit

s ré

serv

és

© C

op

yrig

ht

CIG

REF

20

11

– T

ou

s d

roit

s ré

serv

és










1

2

3

4

33

5

6

7


Remerciements

Le collectif

CIGREF

AFAI TECH IN France

Les groupes de travail

La CNIL

Ampleur du Projet

Perspectives d’avenir

La GDPR, véritable opportunité

• Cadre de confiance = Croissance

• Un équilibre à trouver

Protection des consommateurs

Compétitivité de l’Economie

Rappel du calendrier et des objectifs

Un livrable clair et pratique

… pour les entreprises comme pour les acteurs publics

…pour les utilisateurs comme pour les fournisseurs de solutions

… restitué à l’automne 2017

D’ici là, chaque sous-groupe se réunira en commissions.

Prochaine étape : La plénière du 4 juillet

CIGREF, AFAI et TECH IN France = une seule voix Les missions que se donne le collectif :

• Etre le partenaire / interlocuteur privilégié de la CNIL et des institutions

• Enrichir le livre blanc au fur et à mesure des retours d’expérience

• Participer à l’accompagnement des entreprises vers la mise en conformité

• Apporter le point de vue des entreprises (utilisatrices et sous-traitants)

• Aider à la traduction du GDPR dans la loi nationale et dans les lignes directrices du G29

• en répondant aux consultations lancées par la CNIL ou le G29

• en rencontrant les pouvoirs publics en France


© C

op

yrig

ht

CIG

REF

20

16

– T

ou

s d

roit

s ré

serv

és

© C

op

yrig

ht

CIG

REF

20

11

– T

ou

s d

roit

s ré

serv

és

Annexes

38

• DPO Est-on soumis à une exigence de nomination d’un DPO ? Dans la négative, est-on

capable de le justifier ?

Selon quelle procédure est désigné le DPO ?

Auprès de qui reporte-t-il ?

S’est-on assuré qu’il a les compétences nécessaires ?

Le Groupe envisage-t-il de nommer un DPO Groupe ? Dans ce cas, quel sera le mode de collaboration au sein du groupe ?

Des mesures ont-elles été prises pour garantir l’indépendance et le secret professionnel du DPO désigné ?

Les procédures en place permettent-elles au DPO d’avoir accès aux données et aux opérations de traitement ?

15/07/2017 38


• Processus

Une procédure de consultation du DPO a-t-elle été mise en place pour toute

question relative aux données personnelles ou pour tout nouveau projet ?

A-t-on défini une procédure de gestion des incidents (violation des données à

caractère personnel) et des demandes ? Un responsable a-t-il été désigné à ce

titre ?

15/07/2017 39


• Périmètre A-t-on établi un registre des traitements DCP?

A-t-on déterminé le périmètre des filiales concernées par le plan de mise en conformité ?

Pour les groupes internationaux, l’autorité externe (ex:CNIL) chef de file a-t-elle été identifiée ?

Les traitements de DCP impliquant des sous-traitants sont-ils identifiés ?

A-t-on défini l’organe ou le groupe de travail à même de définir ce que sont des traitements de données personnelles dans l’organisation ?

A-t-on défini les modalités d’approche et de traitement des données soumises au GDPR ?

A-t-on réalisé un inventaire des applications ou contenants impactés par le GDPR ?

A-t-on défini quels systèmes, quelles données devaient être soumises au GDPR ?

A-t-on identifié les parties prenantes ayant à traiter des données personnelles de l’entreprise ?

15/07/2017 40


• A-t-on identifié un sponsor pour la mise en œuvre du GDPR ?

• Le budget alloué au projet est-il raisonnablement adapté au besoin ?

• Existe-t-il un plan d’actions pour la mise en conformité au GDPR ?

• Existence d’un comité de pilotage pour s’assurer de l’avancement du plan d’actions et décider d’ actions correctrices, si nécessaire ?

• Existence d’un reporting périodique au Board/Comex

• A-t-on défini indicateurs et KPI permettant de suivre le niveau de conformité au sein de l’entreprise au GDPR ?

• A-t-on défini les modalités permettant de répondre aux questions de conformité de l’autorité ?

15/07/2017 41

Gouvernance – contrôle et monitoring pour la mise en conformité

• Comment intègre-t-on au cours du projet de mise en conformité les Guidelines émises par l’Article des 29 et

la CNIL (veille) ?

• Dans l’attente d’une communication de la CNIL, a-t-on établi des procédures concernant les analyses

d’impact ? Sur quels traitements et sur quels critères ? Selon quels critères le CIL / la CNIL seront consultés

avant de lancer le traitement ?

• A-t-on intégré les modifications contractuelles dans les contrats signés entre le responsable de traitement et

les sous-traitants ?

• Les données personnelles transférées hors « zone GDPR, ie. EEA » sont-elles identifiées ? Par quels

instruments juridiques ces transferts sont-ils couverts (BCR, Clauses contractuelles, Privacy Shield…) ?

• Les données personnelles faisant l’objet de la nouvelle obligation relative à la portabilité sont-elles

identifiées ? Les plans d’actions associés ont-ils été initiés ?

• Comment les mesures relatives à la sécurité/cybersécurité sont-elles intégrées au sein des projets impliquant

des traitements de DCP ?

15/07/2017 42

Gouvernance – Prérequis & travaux préparatoires

• Procédures et politiques Dispose-t-on d’une politique Informatique et Liberté intégrant les éléments suivants?

• Durée de conservation des DCP

• Sécurité des données

• Procédure à respecter en cas de contrôle de la CNIL/autorité de contrôle

• Confidentialité à destination des personnes extérieures concernées par les traitements (clients et fournisseurs)

• Transferts internationaux de données hors Union Européenne (et BCR pour les transferts intragroupes)

• Accès, disponibilité, suppression (droit à l’oubli)

• Notification en cas de violation des DCP

• Validation périodique de la pertinence du dispositif en place

15/07/2017 43

Gouvernance – Politiques et procédures

• Toutes les politiques et procédures mises en place ont-elles été diffusées aux membres du personnel et aux personnes adéquat(e)s ?

• A-t-on rédigé et diffusé des procédures et des référentiels liés au GDPR ?

• A-t-on défini les moyens de communication interne et externe sur la mise en application du GDPR dans l’entreprise ?

• A-t-on défini des supports de formation et diffusion de l’information à propos du GDPR ?

15/07/2017 44

Gouvernance – formation et information

1. Questions générales

• Un DPO a-t-il été désigné dans votre entreprise ?

• Connaissez-vous le DPO de votre entreprise ?

• Avez-vous une politique de protection des données personnelles dans votre département ?

• Avez-vous reçu une formation en matière de protection des données personnelles ?

• Les services informatique et juridique sont-ils consultés pour tout nouveau projet?

15/07/2017 45

SG 1 Check-list métiers


• Avez-vous défini des finalités de traitement pour toutes les données collectées ?

• Les finalités des traitements sont-elles conformes aux finalités pour lesquelles les données ont été collectées ? (risque d’utilisation pour une finalité non prévue)

• Des durées de conservation ont-elles été définies pour l’ensemble des données que vous traitez ?

• Avez-vous vérifié la proportionnalité des données que vous collectez par rapport aux finalités ?

• Collectez-vous des données sensibles ou particulières? Si oui, avez-vous vérifié la légalité de la collecte et du traitement des données sensibles ?

• Quelle est la base légale du traitement (intérêt légitime, exécution d’un contrat, consentement,…) ?

15/07/2017 46



• Effectuez-vous des traitements de données qui nécessitent le consentement de des personnes concernées ?

• Si oui, avez-vous mis en place des mécanismes de recueil et d’enregistrement de ces consentements?

• Collectez-vous des données concernant des personnes autres que celles qui sont concernées par la finalité ?

• Effectuez-vous des croisements entre plusieurs catégories de données collectées séparément ?

• Effectuez-vous du profilage dans le cadre de vos activités ? Si oui, avez-vous vérifié la légalité de ce profilage?

15/07/2017 47


3. Droit des personnes concernées

• Vos formulaires/supports de collecte des données personnelles contiennent-ils les mentions d’informations obligatoires (liste des mentions)?

• Les personnes concernées peuvent-elles accéder facilement à une information claire et compréhensible sur les données collectées et les traitements ?

• Les personnes concernées peuvent-elles modifier leurs consentements ?

• Avez-vous une procédure pour répondre aux demandes d’accès, de rectification, de suppression, de portabilité des données au sein de votre département/service ?

15/07/2017 48


4. Tiers

• Faites-vous appel à des sous-traitants/prestataires externes pour les traitements des données que vous collectez?

• Evaluez-vous vos prestataires sur la protection de données personnelles ?

• Les relations avec vos prestataires sont-elles régies par un contrat écrit ?

• Avez-vous défini contractuellement des exigences en termes la protection des données avec vos prestataires ou fournisseurs ?

15/07/2017 49


5. Transferts internationaux de données

• Effectuez-vous des transferts de données personnelles à des entreprises situées hors de l’Union Européenne ?

• Vous êtes vous rapprochés de votre DPO ou de votre service juridique pour vérifier que les transferts effectués soient couverts par des garanties appropriées ?

• Les transferts de données internes à l’entreprise (ou au groupe) et à vos prestataires sont-ils réalisés par des moyens sécurisés (chiffrement, pseudonymisation, anonymisation) ?

15/07/2017 50


6. Privacy Impact Assessment (PIA)

• Avez-vous effectué une évaluation de la criticité du traitement pour déterminer si une analyse d’impact (PIA) était nécessaire ?

• Avez-vous effectué une analyse de risques sur la vie privée (PIA) pour les traitements de données que vous effectuez?

15/07/2017 51


7. Notification des violations de données personnelles

• Etes-vous impliqué dans la procédure de gestion des failles de sécurité et de notification des violation de données personnelles ?

15/07/2017 52


8. Autres (voir ave check-list DSI)

• Les données personnelles sont-elles stockées dans un endroit sécurisé (système informatique interne ou local, Cloud interne ou externe) ?

• Les accès aux données personnelles sont-ils restreints et sécurisés ?

15/07/2017 53


Sensibiliser et former

Connaître le système

d’information

Authentifier et contrôler

les accès

Sécuriser les postes

Sécuriser le réseau Sécuriser

l’administration

Maintenir le Système

d’information à jour

Superviser, auditer, réagir

Gérer le nomadisme

Former les équipes opérationnelles à la sécurité des SI

Sensibiliser les utilisateurs aux bonnes pratiques élémentaires de sécurité informatique

Maîtriser les risques de l’infogérance

Identifier les informations et serveurs les plus sensibles et maintenir un schéma du réseau

Disposer d’un inventaire exhaustif des comptes privilégiés et le maj

Organiser les procédures d’arrivée, de départ et de changement de fonction des utilisateurs

Autoriser la connexion au réseau de l’entité aux seuls équipements maîtrisés

Identifier nommément chaque personne accédant au SI et distinguer les rôles utilisateurs/administrateurs

Attribuer les bons droits sur les ressources sensibles du SI

Définir et vérifier des règles de choix et de dimensionnement des mots de passe

Protéger les mots de passe stockés sur les systèmes

Changer les éléments d’authentification par défaut sur les équipements et services

Privilégier une authentification forte

Mettre en place un niveau de sécurité minimal sur l’ensemble du parc informatique

Se protéger des menaces relatives à l’utilisation de supports amovibles

Utiliser un outil de gestion centralisée afin d’homogénéiser les politiques de sécurité

Activer et configurer le pare-feu des postes de travail

Chiffrer les données sensibles transmises par voie internet

Segmenter le réseau et mep un cloisonnement entre ces zones

S’assurer de la sécurité des réseaux d’accès wifi et de la séparation des usages

Utiliser des protocoles sécurisés

Mettre en place une passerelle d’accès sécurisé à internet

Cloisonner les services visibles depuis internet du reste du SI

Protéger sa messagerie professionnelle

Sécuriser les interconnexions réseau dédiées avec les partenaires

Interdire l’accès à internet depuis les postes ou serveurs utilisés pour l’administration du SI

Utiliser un réseau dédié et cloisonné pour l’administration du SI

Limiter au strict besoin opérationnel les droits d’administration des postes de travail

Prendre des mesures de sécurisation physique des terminaux nomades

Chiffrer les données sensibles, en particulier sur le matériel potentiellement perdable

Sécuriser la connexion réseau des postes utilisés en situation de nomadisme

Définir une politique de maj des composants du SI

Anticiper la fin de la maintenance des logiciels et systèmes et limiter les adhérences logicielles

Activer et configurer les journaux des composants les plus importants

Définir et appliquer une politique de sauvegarde des composants critiques

Procéder à des contrôles et audits de sécurité réguliers puis appliquer les actions correctives associées

Désigner un référent en sécurité des SI et le faire connaître auprès du personnel

Définir une procédure de gestion des incidents de sécurité

55

données personnelles & systèmes d’information - isaca.org · les données personnelles, et...

Documents