50
Êtes-vous prêt à assumer les risques de données sensibles peu protégées, d'une sécurité informatique insuffisante et du non-respect des lois sur la vie privée? Bruxelles, le 17 décembre2008

Privacy Ptitdej Jitm Decembre 2008 V2

Embed Size (px)

Citation preview

Page 1: Privacy Ptitdej Jitm Decembre 2008 V2

Êtes-vous prêt à assumer les risques de données sensibles peu protégées, d'une sécurité informatique insuffisante et du

non-respect des lois sur la vie privée?

Bruxelles, le 17 décembre2008

Page 2: Privacy Ptitdej Jitm Decembre 2008 V2

  Introduction   Définitions importantes   Contexte actuel   Responsabilités du responsable de traitement   Droits du consommateur   Transfert de données vers et en provenance de tiers   Quelques aspects particuliers

  La sécurité   Contrôle des employés   Comment implémenter la loi?   Conclusion

Sujets abordés

Page 3: Privacy Ptitdej Jitm Decembre 2008 V2

AVANT

Page 4: Privacy Ptitdej Jitm Decembre 2008 V2

Ce que vous croyez

Page 5: Privacy Ptitdej Jitm Decembre 2008 V2

En réalité…

Page 6: Privacy Ptitdej Jitm Decembre 2008 V2

Where are your data?

Page 7: Privacy Ptitdej Jitm Decembre 2008 V2

Tout le monde se parle !

Page 8: Privacy Ptitdej Jitm Decembre 2008 V2
Page 9: Privacy Ptitdej Jitm Decembre 2008 V2

Source : https://www.britestream.com/difference.html.

Page 10: Privacy Ptitdej Jitm Decembre 2008 V2
Page 11: Privacy Ptitdej Jitm Decembre 2008 V2
Page 12: Privacy Ptitdej Jitm Decembre 2008 V2

La transparence est devenue indispensable !

Page 13: Privacy Ptitdej Jitm Decembre 2008 V2

Comment faire pour protéger

vos données?

Page 14: Privacy Ptitdej Jitm Decembre 2008 V2

•  60% des citoyens européens se sentent concernés

•  La découverte des vols de données se fait après-coup!

•  La protection des données est un risque opérationnel => observé par les investisseurs

•  La connaissance de ses clients est un atout (CRM)

La mise en conformité de la sécurité avec la protection de la vie privée est rentable

Page 15: Privacy Ptitdej Jitm Decembre 2008 V2

Quels sont les risques?

• Perte de réputation (procès, articles,…)

• Les médias en parlent systématiquement

• Vol de données de clients, d’employés, d’administrateurs, …

• Perte de confiance des clients

• Sanctions pénales et civiles

On en parlera !

Page 16: Privacy Ptitdej Jitm Decembre 2008 V2

Contexte juridique belge

Page 17: Privacy Ptitdej Jitm Decembre 2008 V2

Définitions importantes

Page 18: Privacy Ptitdej Jitm Decembre 2008 V2

3 importantes définitions

•  Qu’est-ce qu’une donnée personnelle? •  Qu’est-ce qu’un traitement? •  Qu’est-ce qu’un responsable de traitement?

Page 19: Privacy Ptitdej Jitm Decembre 2008 V2

On entend par "données à caractère personnel"

toute information concernant une personne physique identifiée

ou identifiable, désignée ci-après "personne concernée";

est réputée identifiable une personne qui peut être identifiée,

directement ou indirectement, notamment par référence

à un numéro d'identification ou à un ou plusieurs éléments

spécifiques, propres à son identité physique, physiologique,

psychique, économique, culturelle ou sociale

Donnée personnelle

Page 20: Privacy Ptitdej Jitm Decembre 2008 V2

Par "traitement", on entend toute opération ou ensemble

d'opérations effectuées ou non à l'aide de procédés automatisés

et appliquées à des données à caractère personnel,

telles que la collecte, l'enregistrement, l'organisation,

la conservation, l'adaptation ou la modification, l'extraction,

la consultation, l'utilisation, la communication par transmission,

diffusion ou toute autre forme de mise à disposition,

le rapprochement ou l'interconnexion, ainsi que le verrouillage,

l'effacement ou la destruction de données à caractère personnel.

Traitement de données

Page 21: Privacy Ptitdej Jitm Decembre 2008 V2

Par "responsable du traitement", on entend la personne

physique ou morale, l'association de fait ou l'administration

publique qui, seule ou conjointement avec d'autres,

détermine les finalités et les moyens du traitement

de données à caractère personnel.

Responsable de traitement

Page 22: Privacy Ptitdej Jitm Decembre 2008 V2

1.  Loyauté 2.  Finalité 3.  Proportionalité 4.  Exactitude des données 5.  Conservation non excessive 6.  Securité 7.  Confidentialité 8.  Finalité expliquée avant le consentement 9.  Information à la personne concernée 10.  Consentement indubitable (opt in) 11.  Déclaration à la commission de la vie privée

Responsabilités du responsable de traitement

Page 23: Privacy Ptitdej Jitm Decembre 2008 V2

Droits du consommateur

Page 24: Privacy Ptitdej Jitm Decembre 2008 V2

Droits du consommateur 6 PRINCIPES:

1.  Droit d’accès 2.  Droit de rectification 3.  Droit de refuser le

marketing direct 4.  Droit de retrait 5.  Droit à la sécurité 6.  Acceptation

préalable

Page 25: Privacy Ptitdej Jitm Decembre 2008 V2

Utilité du registre public

Page 26: Privacy Ptitdej Jitm Decembre 2008 V2

Données reçues et transférées

Page 27: Privacy Ptitdej Jitm Decembre 2008 V2

Informations sensibles

Page 28: Privacy Ptitdej Jitm Decembre 2008 V2

Informations sensibles • Race

• Opinions politiques

• Opinions religieuses ou philosophiques

• Inscriptions syndicales

• Comportement sexuel

• Santé

• Décisions judiciaires

Page 29: Privacy Ptitdej Jitm Decembre 2008 V2
Page 30: Privacy Ptitdej Jitm Decembre 2008 V2

Coockies

Page 31: Privacy Ptitdej Jitm Decembre 2008 V2

Transferts de données transfrontaliers

Page 32: Privacy Ptitdej Jitm Decembre 2008 V2

Sécurité

Page 33: Privacy Ptitdej Jitm Decembre 2008 V2
Page 34: Privacy Ptitdej Jitm Decembre 2008 V2

Que dois-je faire?

Page 35: Privacy Ptitdej Jitm Decembre 2008 V2

Sécurité imposée par la loi

•  Sécurité organisationnelle – Département sécurité – Consultant en sécurité – Procédure de sécurité – Disaster recovery

Page 36: Privacy Ptitdej Jitm Decembre 2008 V2

Sécurité imposée par la loi

•  Sécurité technique – Risk analysis – Back-up – Procédure contre incendie, vol,

etc. – Sécurisation de l’accès au réseau

IT – Système d’authentification

(identity management) – Loggin and password efficaces

Page 37: Privacy Ptitdej Jitm Decembre 2008 V2

Sécurité imposée par la loi

•  Sécurité juridique – Contrats d’emplois et information – Contrats avec les sous-contractants – Code de conduite – Contrôle des employés – Respect complet de la réglementation

Page 38: Privacy Ptitdej Jitm Decembre 2008 V2

Contrôle des employés : équilibré

•  Protection de la vie privée des travailleurs

ET •  Les prérogatives de

l’employeur tendant à garantir le bon déroulement du travail

Page 39: Privacy Ptitdej Jitm Decembre 2008 V2

Convention collective

Principe de finalité (4 finalités)

Principe de proportionnalité Procédure (information collective et individuelle)

Individualisation (procédure directe et indirecte)

Page 40: Privacy Ptitdej Jitm Decembre 2008 V2

Les 4 finalités

1.  Prévention de faits illégaux, de faits contraires aux bonnes mœurs ou susceptibles de porter atteinte à la dignité d’autrui

2.  La protection des intérêts économiques, commerciaux et financiers de l’entreprise auxquels est attaché un caractère de confidentialité ainsi que la lutte contre les pratiques contraires

Page 41: Privacy Ptitdej Jitm Decembre 2008 V2

Les 4 finalités

3 La sécurité et/ou le fonctionnement technique de l’ensemble des systèmes informatiques en réseau de l’entreprise, en ce compris le contrôle des coûts y afférents, ainsi que la protection physique des installations de l’entreprise

4 Le respect de bonne foi des principes et règles d’utilisation des technologies en réseau fixés dans l’entreprise

Page 42: Privacy Ptitdej Jitm Decembre 2008 V2

Securité: à retenir

•  Top down •  Obligation légale •  Risque ou opportunité? •  Sécurité juridique •  Sécurité organisationelle •  Sécurité informatique •  Contrôle des employés

Page 43: Privacy Ptitdej Jitm Decembre 2008 V2

COMMENT IMPLEMENTER LA LOI?

Page 44: Privacy Ptitdej Jitm Decembre 2008 V2

Méthodologie

http://www.sunera.com/typo3temp/pics/f43202fdda.jpg

Page 45: Privacy Ptitdej Jitm Decembre 2008 V2

Procédure et méthodologie •  Décision stratégique à haut niveau •  Réflexion et décision quant à la procédure de mise en place et ses

implications en terme d’organisation et en particulier: –  Change management –  Identity management –  Security management

•  Désignation d’un chef de projet interne •  Analyse et adaptation des procédures de collecte de données •  Analyse et adaptation des bases de données existantes •  Régler la situation actuelle •  Établissement de règles pour le futur •  Procédures de contrôle et d’audit

Page 46: Privacy Ptitdej Jitm Decembre 2008 V2

Aspects stratégiques

Il faut gagner la confiance des consommateurs •  Le respect de la vie privée peut être un incitant à

repenser l’organisation •  L’obligation légale de sécurité peut être un moyen

de penser une sécurité globale •  Le respect de la vie privée est un excellent outil

marketing à partir du moment où la loi n’est pas encore respectée.

Page 47: Privacy Ptitdej Jitm Decembre 2008 V2

Alors quand vous pensez à vos données vous êtes?

Page 48: Privacy Ptitdej Jitm Decembre 2008 V2

Ou plutôt?

Page 49: Privacy Ptitdej Jitm Decembre 2008 V2

La mise en place des règles légales de protection de la vie privée des

citoyens est et sera une excellente opportunité de

communication pour les organismes qui seront les

premiers à les installer

UP TO YOU…

Page 50: Privacy Ptitdej Jitm Decembre 2008 V2

Jacques Folon

www.jitm.be

[email protected]

+ 32 475 98 21 15 +32 2 290 53 17

Just in Time Management Avenue Louise 149/24, 1050 Bruxelles

I