présentation gdpr - business & decision

© 1

PETIT-DÉJEUNER GDPRPARIS – 30 MARS 2017

© 2

Votre interlocuteur

[email protected]

06 50 87 13 26

Directeur de l’innovation BusinessMick LEVY

10/03/2016 GDPR : En route pour la conformité

@mick_levy

© 3

Business & Decision

est un groupe international

de consulting et d’intégration de systèmes

Business & Decision en bref


227

© 4

Business & Decision : c’est la Data et le Digital

DIGITALDATA

Un éco-système complet pour vos initiatives Digitales

Web, Mobile, Social, IoT, Sécurité, Change…

La Data comme avantage concurrentiel

BI, MDM/DQM, Big Data, Data Science…


© 5

1. GDPR : pourquoi une nouvelle réglementation ?

2. Comprendre GDPR

3. Challenges pour les entreprises

4. Solutions pour la mise en conformité

5. Nos offres

Adopter GDPR – En route pour la conformité


© 6

GDPR en 4 chiffres


Le règlement 679/2016 appelé GDPR s’applique à toutes les entreprises qui détiennent ou traitent des données personnelles de citoyens européens

GDPR est traduit en Français en Règlement Général sur la Protection des Données (RGPD)

Le périmètre des données personnelles concernées est large

99articles

composent le règlement

2 ans

pour se conformerEntrée en application

en Mai 2018

29pays

signataires pour un champ

d’application mondial

4% du CA global

ou 20 M€ d’amende possible

© 7

Pourquoi un règlement européen tel que GDPR ?


Objectif général du règlement

« Redonner aux citoyens le contrôle de leurs

données personnelles,

tout en simplifiant l’environnement

réglementaire des entreprises »

Si la data est le nouveau pétrole

Alors la confiance est la nouvelle monnaie

GDPR crée le cadrepour instaurer cette confiance

Objectif général du règlement

Redonner aux citoyens le contrôle

de leurs données personnelles,

tout en simplifiant

l’environnement réglementaire des entreprises

© 8

Des citoyens plus concernés par la question de l’utilisation de leurs données


Source : Gigya “The 2015 State of Consumer Privacy & Personalization” report

Vous sentez-vous concerné par la protection des données et par la manière dont les entreprises utilisent les données de leurs clients ?

Source : Altimeter Group, “Consumer Perceptions in the Internet of Things”, 2015

© 9

Des pertes de données de plus en plus fréquentes


Source : http://breachlevelindex.com/

Mercredi 19/10/2016

http://breachlevelindex.com/

© 10

La Protection des données personnelles doit devenir un sujet pour l’entreprise


© 11

GDPR présente de nombreuses obligations

… Mais n’empêche pas l’entreprise de développer des usages avec

les données

• Rien n’est interdit (en dehors des usages non éthiques bien sûr)

• Mais GDPR vient encadrer la façon de traiter et manipuler les données

… et surtout présente de nouvelles opportunités

• les informations deviennent plus fluides

• l’orientation devient centrée sur la personne et va favoriser un véritable marketing 1-1

• les entreprises vont travailler à développer une gouvernance des informations et donc à créer les conditions pour valoriser les données

• GDPR instaure un climat de confiance qui permettra aux personnes de confier leurs données

GDPR : Obligation ou Opportunité ?


© 12


2. Comprendre GDPR



5. Nos offres



© 13

« GDPR n’interdit rien mais encadre tout »

Seuls sont interdits des usages non éthiques, notamment liés à des données sensibles (politique, santé, religion…)

Le règlement est construit dans une logique d’ensemble, de « paquet réglementaire »

– Chaque point de la réglementation ne peut pas être pris séparément

– Il n’y a pas de solution unique à GDPR mais un mix technologique, contractuel, administratif

© 14

« Est personnelle toute donnée permettant l’identification d’un individu »

• Identification (nom, prénom, genre, âge, adresse…)

• Vie personnelle (habitudes de vie, préférences religieuses, politiques, sexuelles…)

• Vie professionnelle (CV, formation, profession, contrat de travail…)

• Comportement (messagerie, réseaux sociaux, recherches web, consommation en ligne...)

• Localisation (déplacements, GPS, GSM, …)

• Données économiques et financières (revenus, situation financière et fiscale…)

Parmi les données personnelles, le règlement définit aussi la notion de données sensibles

(santé, médicales, infractions, condamnations, préférences religieuses ou sexuelles…)

La notion de donnée personnelle est donc directement liée à la notion d’identification

• Identifiants directs

− Ex : numéro de personne, numéro de client, numéro de matricule, numéro de contrat, etc

• Identification obtenue par corrélation

− Ex : Dans mon portefeuille client, je n’ai qu’une seule personne née le 29/02/1976 à Vesoul

Qu’est-ce qu’une donnée personnelle ?


© 15

2 notions de base : le traitement et la finalité

• Tout est traitement et chaque traitement a sa finalité

• Définition d’un traitement : « Toute opération, ou ensemble d’opérations, portant sur de telles données, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction, ...) » (CNIL)

• A chaque traitement doit correspondre une finalité explicite et clairement déterminée

• … et les moyens mis en œuvre doivent être proportionnés au regard de la finalité déclarée

Tout est traitement


© 16

Article 7

Consentement explicite

Articles 11 à 14

Information de la personne

Articles 15

Droit d’accès

Article 16Droit de

rectification

Article 17Droit à l’oubli

Article 20

Droit à la portabilité

Article 21Droit d’opposition

Article 22

Décisions automatisées

(profilage)

GDPR : Zoom sur 8 droits pour les individus


© 17

Article 5Responsabilité et « Accountability »

Article 25

Privacyby Designby Default

Article 30Registre des traitements

Article 32

Sécurisation des traitements

Article 33 et 34

Fuites de données

Article 35

Data Privacy Impact Assessment (DPIA)

Article 37 à 39

Data Protection Officer(DPO)

Articles 44 à 49

Transferts de données

GDPR : Zoom sur 8 obligations pour les organisations


© 18


2. Comprendre GDPR



5. Nos offres



© 19

GDPR pose de nombreux challenges pour les entreprises


Identification des données personnelles

dans le SI

Projet transverse nécessitant d’impliquer

plusieurs métiers

Flou sur les moyens de mise en œuvre

Multiples compétences nécessaires

Conduite du changement

© 20

Comment s’y prendre ?

• Un premier niveau de cartographie peut être obtenu par l’analyse des modèles des bases de données et par des entretiens

• Des outils d’analyse exploratoire ou de data preparation peuvent être utilisés pour réaliser efficacement cette cartographie des données

Le premier challenge consiste à localiser les données à caractère personnel dans le SI

Les principaux gisements résident généralement dans :

• Données Clients

• Données RH

• Données partenaires et prestataires

Les données structurées et non structurées sont concernées

• Il faut donc être en mesure d’identifier les données contenues dans des contrats, dans des documents internes ou encore dans les messageries ou les logs des SI

Tous les environnements informatiques sont concernés : Production mais aussi

développement, test, pré-production, etc.

GDPR : Les challenges pour l’entreprise


Identification des données personnelles

dans le SI

© 21

Projet transverse nécessitant d’impliquer

plusieurs métiers




• Le projet est à structurer autour du DPO qui est à nommer rapidement

• Un Comité de Pilotage constitué avec toutes les parties prenantes est à réunir

GDPR de par ses multiples exigences est un projet transverse à l’entreprise

De nombreuses fonctions sont à impliquer, notamment :

• Direction Juridique (qui donne généralement l’impulsion)

• Direction du Système d’Information

• Direction Marketing et/ou Commerciale

• Direction des Ressources Humaines

• Direction de la Conformité, des Risques et du contrôle interne (Banque/Assurance)

Les conséquences en termes de risque et de choix d’implémentation à réaliser sont fortes

• Une implication directe de la direction générale de l’entreprise est recommandée

© 22

Flou sur les moyens de mise en œuvre

Si le « Quoi » du règlement est bien défini, le « Comment » est encore flou

Le groupe de travail « Article 29 Working Party » (WP29 ou G29) est l’organe consultatif

européen qui travaille sur la mise en application du règlement

• Emet des avis sur tous les sujets liés à la protection des données des citoyens

• Ce groupe a émis le 13 Décembre 2016 trois dossiers d’opinion « guidelines » pour GDPR :

− Portabilité des données

− Data Protection Officer (DPO)

− Autorités de surveillance groupe

• D’autres dossiers sont à venir courant 2017 : Consentement, Transparence, Profiling, traitements à haut risque, certification, sanctions, notifications de pertes de données, transfert de données

De nombreux points restent toutefois flous et laissent une certaine latitude sur la manière

d’appliquer la réglementation dans les entreprises




• Réaliser un assessment basé sur une évaluation des risques

• Prioriser les actions sur celles qui sont les plus claires et les plus simples à mener

• Suivre l’actualité du domaine et faire de la veille régulière

© 23

Multiples compétences nécessaires

Mener le projet de mise en conformité à GDPR nécessite de déployer de nombreuses

compétences dans l’entreprise

Les directions juridiques ne sont pas familières des travaux de mise en conformité sur les

données

Pour la DSI, le point central est la Data, matière sur laquelle bon nombre d’entreprises

• n’ont pas encore défini de stratégie ou de gouvernance

• Manquent de compétences et de savoir-faire




• Planifier une feuille de route réaliste et volontariste

• Capitaliser sur les connaissances acquises d’autres projets (bien souvent au Décisionnel)

• Faire appel à des sociétés externes expertes ;-)

© 24


• Communiquer et évangéliser largement dans l’entreprise

• Aborder ce sujet comme un projet au même titre les autres pans de solution à déployer




Une prise de conscience globale est à opérer dans l’entreprise sur les questions de protection

des données

• 69% des pertes de données sont dues à des utilisateurs internes

• Les collaborateurs exposés aux données personnelles n’ont pas connaissance des règles et de la conduite à appliquer

Les exigences de « Privacy by Design » et « Privacy by Default » vont amener les entreprises à

repenser les processus de gestion des projets informatiques

Toutes les fonctions de l’entreprise en contact avec des données personnelles (commerciaux,

opérateurs des centres d’appel, RH, etc.) sont concernées

© 26

La mise en conformité à GDPR va nécessiter le déploiement de multiples briques technologiques

Quelles solutions pour GDPR ?


Sécurité

• Cryptage et sécurité des données

• Protection contre les intrusions et le vol de données

• Identity and Access Management

• Gestion des accès et droits sur les données

Data Management

• Centralisation et gestion de la qualité des données

• Gestion des données de référence

• Traçabilité des données (Metadata et Data Lineage)

• Anonymisation / Pseudonymisation et génération de jeux de données


• Revue des procédures clients

• Intégration du privacy-by-design dans les méthodos projet

• Changement de comportement face aux questions de sécurité

© 27

Principales causes de vol de données


Sources : Ponemon Institute True Cost of Compliance Study (2013), Cost of a Data Breach Report (2013)

© 28

Les données (totalement) anonymisées « ne sont plus » des données personnelles. Les questions à se poser sont donc :

• Peut-on anonymiser les données ?

• As-t-on besoin de conserver des données identifiantes ?

Une donnée est anonyme si 3 principes sont respectés :

• L’individualisation : est-il toujours possible d’isoler un individu ?

• La corrélation : est-il possible de relier entre eux des ensembles de données distincts concernant un même individu ?

• L’inférence : peut-on déduire de l’information sur un individu ?

Il faut évaluer la technique d’anonymisation à employer

au regard de la finalité du traitement concerné.

Des dizaines de techniques d’anonymisation sont possibles

• Appauvrissement

• Concaténation et Agrégation

• Pseudonymisation (par encodage, chiffrement, hachage…)

L’anonymisation, pilier de la réponse à GDPR


© 29

Les éditeurs Data et Sécurité proposent des solutions pour GDPR

Il n’y a pas sur le marché une solution unique pour GDPR

Il faut assembler différentes briques pour répondre totalement aux

exigences

Les solutions des éditeurs identifiées pour GDPR

GDPR : En route pour la conformité

Principales solutions Data

Principales solutions Sécurité


• Business & Decision vous conseille sur les outils et solutions à mettre en œuvre dans votre contexte particulier

10/03/2016

Nous consulter

Nous consulter

© 31

Il y a du boulot !


By 2020, 40% of organizations will be in violation of the GDPR

This is expected to be near zero by 2023

© 32

Roadmap pour la mise en conformité


GDPR Quick Assessment

Obtenir une vision globale de la conformité dans l’entrepriseEvaluer le travail à réaliser pour un assessment complet

GDPR Full Assessment

Cartographier les données et traitements pour mesurer le niveau de risqueObtenir une vision détaillée et priorisée des travaux de conformité à mener

Pilo

tage d

u p

rogram

me

d

e m

ise e

n co

nfo

rmité

Conduite du Changement

Co

nse

il Jurid

iqu

e

Mise en œuvre Data et Gouvernance

Mise en œuvre Volet Sécurité

Initier

Au

diter

Réaliser

GDPR Starter

Formation, évangélisation et initialisation des travaux

© 33

A emporter

SAVE THE DATE !

Matinale GDPR Paris

Mercredi 21 Juin 2017

Blog Big Data & Digital

Dossier spécial GDPR en ce moment

http://blog.businessdecision.com

présentation gdpr - business & decision

Technology