1. Êtes-vous prêt à assumer les risques de données sensibles
peu protégées, d'une sécurité informatique insuffisante et du
non-respect des lois sur la vie privée?
Bruxelles, le 17 décembre2008
2. Sujets abordés
Introduction
Définitions importantes
Contexte actuel
Responsabilités du responsable de traitement
Droits du consommateur
Transfert de données vers et en provenance de tiers
Quelques aspects particuliers
La sécurité
Contrôle des employés
Comment implémenter la loi?
Conclusion
14. La mise en conformité de la sécurité avec la protection de la vie
privée est rentable
• 60% des citoyens européens se sentent
concernés
• La découverte des vols de données se fait
après-coup!
• La protection des données est un risque
opérationnel => observé par les
investisseurs
• La connaissance de ses clients est un
atout (CRM)
15. Quels sont les risques?
On en parlera !
• Perte de réputation (procès, articles,…)
• Les médias en parlent systématiquement
• Vol de données de clients, d’employés,
d’administrateurs, …
• Perte de confiance des clients
• Sanctions pénales et civiles
18. 3 importantes définitions
• Qu’est-ce qu’une donnée personnelle?
• Qu’est-ce qu’un traitement?
• Qu’est-ce qu’un responsable de traitement?
19. Donnée personnelle
On entend par quot;données à caractère personnelquot;
toute information concernant une personne physique identifiée
ou identifiable, désignée ci-après quot;personne concernéequot;;
est réputée identifiable une personne qui peut être identifiée,
directement ou indirectement, notamment par référence
à un numéro d'identification ou à un ou plusieurs éléments
spécifiques, propres à son identité physique, physiologique,
psychique, économique, culturelle ou sociale
20. Traitement de données
Par quot;traitementquot;, on entend toute opération ou ensemble
d'opérations effectuées ou non à l'aide de procédés automatisés
et appliquées à des données à caractère personnel,
telles que la collecte, l'enregistrement, l'organisation,
la conservation, l'adaptation ou la modification, l'extraction,
la consultation, l'utilisation, la communication par transmission,
diffusion ou toute autre forme de mise à disposition,
le rapprochement ou l'interconnexion, ainsi que le verrouillage,
l'effacement ou la destruction de données à caractère personnel.
21. Responsable de traitement
Par quot;responsable du traitementquot;, on entend la personne
physique ou morale, l'association de fait ou l'administration
publique qui, seule ou conjointement avec d'autres,
détermine les finalités et les moyens du traitement
de données à caractère personnel.
22. Responsabilités du responsable de traitement
1. Loyauté
2. Finalité
3. Proportionalité
4. Exactitude des données
5. Conservation non excessive
6. Securité
7. Confidentialité
8. Finalité expliquée avant le consentement
9. Information à la personne concernée
10. Consentement indubitable (opt in)
11. Déclaration à la commission de la vie privée
24. Droits du consommateur
6 PRINCIPES:
1. Droit d’accès
2. Droit de rectification
3. Droit de refuser le
marketing direct
4. Droit de retrait
5. Droit à la sécurité
6. Acceptation
préalable
35. Sécurité imposée par la loi
• Sécurité organisationnelle
– Département sécurité
– Consultant en sécurité
– Procédure de sécurité
– Disaster recovery
36. Sécurité imposée par la loi
• Sécurité technique
– Risk analysis
– Back-up
– Procédure contre incendie, vol,
etc.
– Sécurisation de l’accès au réseau
IT
– Système d’authentification
(identity management)
– Loggin and password efficaces
37. Sécurité imposée par la loi
• Sécurité juridique
– Contrats d’emplois et information
– Contrats avec les sous-contractants
– Code de conduite
– Contrôle des employés
– Respect complet de la réglementation
38. Contrôle des employés : équilibré
• Protection de la vie
privée des travailleurs
ET
• Les prérogatives de
l’employeur tendant à
garantir le bon
déroulement du travail
39. Convention collective
Principe de finalité (4 finalités)
Principe de proportionnalité
Procédure (information collective et
individuelle)
Individualisation (procédure directe et
indirecte)
40. Les 4 finalités
1. Prévention de faits illégaux, de faits contraires
aux bonnes mœurs ou susceptibles de porter
atteinte à la dignité d’autrui
2. La protection des intérêts économiques,
commerciaux et financiers de l’entreprise
auxquels est attaché un caractère de
confidentialité ainsi que la lutte contre les
pratiques contraires
41. Les 4 finalités
3 La sécurité et/ou le fonctionnement technique
de l’ensemble des systèmes informatiques en
réseau de l’entreprise, en ce compris le
contrôle des coûts y afférents, ainsi que la
protection physique des installations de
l’entreprise
4 Le respect de bonne foi des principes et règles
d’utilisation des technologies en réseau fixés
dans l’entreprise
42. Securité: à retenir
• Top down
• Obligation légale
• Risque ou opportunité?
• Sécurité juridique
• Sécurité organisationelle
• Sécurité informatique
• Contrôle des employés
45. Procédure et méthodologie
• Décision stratégique à haut niveau
• Réflexion et décision quant à la procédure de mise en place et ses
implications en terme d’organisation et en particulier:
– Change management
– Identity management
– Security management
• Désignation d’un chef de projet interne
• Analyse et adaptation des procédures de collecte de données
• Analyse et adaptation des bases de données existantes
• Régler la situation actuelle
• Établissement de règles pour le futur
• Procédures de contrôle et d’audit
46. Aspects stratégiques
Il faut gagner la confiance des consommateurs
• Le respect de la vie privée peut être un incitant à
repenser l’organisation
• L’obligation légale de sécurité peut être un moyen
de penser une sécurité globale
• Le respect de la vie privée est un excellent outil
marketing à partir du moment où la loi n’est pas
encore respectée.
49. La mise en place des règles légales de
protection de la vie privée des
citoyens est et sera
une excellente opportunité de
communication
pour les organismes qui seront les
premiers à les installer
UP TO YOU…
50. Jacques Folon
www.jitm.be
jfo@jitm.be
+ 32 475 98 21 15
+32 2 290 53 17
Just in Time Management
Avenue Louise 149/24, 1050 Bruxelles
I