Please enable JavaScript.
Coggle requires JavaScript to display documents.
Module 5 : Protéger - Cycle de vie opérationnel des données personnelles -…
Module 5 : Protéger - Cycle de vie opérationnel des données personnelles
Obj du module
Mesures à mettre en place pour protéger efficacement les données personnelles
sur le plan organisationnel
sur le plan technique
Protection des données dès la conception
Privacy by design = impose que la confidentialité soit intégrée dès la première étapes de conception et non ajouté a posteriori
Concept formalisé par Ann Cavoukian dans les années 90
repris dans le RGPD
7 principes fondamentaux
préventif pas réactif
protection par défaut
intégré à la conception
fonctionnalité intégrale (somme positive)
la protection des données ne doit pas nuire à l'efficacité ou l'expérience utilisateur
sécurité de bout en bout
visibilité et transparence
respect de la vie privée des utilisateurs
Applications pratiques
Paramétrage par défaut respectueux de la vie privée
pseudonymisation ou minimisation des données dès la phase de conception
architecture logicielle pensée pourlimiter l'accès aux données
conception de formulaires limitant les champs obligatoires au strict nécessaire
test dès la phase de développement
Conception de formulaires limitant les champs obligatoires au strict nécessaire
Pourquoi c'est important ?
Réduction des risques de fuite ou d’usage abusif
Meilleure conformité RGPD (article 25)
Amélioration de la confiance des utilisateurs
Intégration plus facile dans les analyses d’impact (AIPD)
Moins coûteux que de corriger a posteriori des failles ou des non-conformités
Protection des données dès la conception et par défaut
par défaut = faire en sorte que ce respect soit automatique, sans action de la personne concernée
Diagramme de protection des données dès la conception
utilité :
clarifie qui fait quoi à chaque étape
permet une vision transversale entre les métiers
sert de base à l'information
Sécurité des informations
3 piliers classiques de la sécurité (triade CIA)
confidentialités
intégrité
les données ne peuvent pas être modifiées de manière non autorisée
disponibilité
Mesures e sécurité techniques (exemples)
chiffrement
authentification forte
contrôle d'accès basé sur les rôles
journalisation des accès et actions (logs)
pare-feux, antivirus, segmentation nréseau
tests de vulnérabilités : audits de sécurité réguliers
Mesures organisationnelles (exemples)
politiques de sécurité de l'information
procédures de gestion des incidents
formations
charet informatique
plan de continuité d'activité
Méthodes de gestion des risques
EBIOS RM
ISO 27001/27005
NIST Risk management framework
Protection des données personnelles et sécurité des informations
Différences fondamentales
sécurité de l'information
vise à protéger tous types d'informations (personnelles ou non)
repose sur la triade CIA
obj : prévenir les incidents techniques ou humains
protection des données personnelles
se concentre exclusivement sur les données à caractère personnel
repose sur les principes du RGPD
obj : protéger les droits et libertés des personnes
Bonnes pratiques
aligner les équipes DPO, sécurité, juridique et IT
intégrer les exigences RGPD dans les politiques de sécurité
auditer conjointelent les traitements sous l'angle sécurité + conformité
Utiliser des normes comme ISO/IEC 27001 + ISO/IEC 27701 (extension vie privée)
Politique de protection des données personnelles et contrôles techniques
politique de protection de dcp = document stratégique adopté par l'organisation qui :
décrit les engagements de conformité
détermine les rôles et responsabilités
définit les règles internes en matière de collecte
distincte de la politique de sécurité de l'information mais doit être cohérente
pour éviter la confusion des responsabilités
les obligations du rgpd dépassent la seule sphère technique
pour donner de la visibilité au programme de conformité