contexte organisationnel pour gdpr
TRANSCRIPT
GDPR & DPO : contexte des organisations
JacquesFolonPartnerEdgeConsulting
MaîtredeconférencesUniversitédeLiègeProfesseurICHECProfesseurinvitéUniversitédeLorraine(Metz)VisitingprofessorESCRennesSchoolofBusiness
PROGRAMME DE LA FORMATION
JOUR 1
Introduction
Le monde change, le contexte de la sécurité en entreprise
La sécurité ISO 27002
Exercice de prise en main du rôle
Espérons que votre sécurité
ne ressemble jamais à ceci !
LE MONDE CHANGE
Bienvenue au XXIème siècle
LE MONDE CHANGE… VITE ET BRUTALEMENT
RIEN DANS CETTE VIDEO N’EXISTAIT
EN 2007 !
CONTRASTE
Source:hIp://school.stagnesoLohemia.org/OldClass5.jpg
1916
Crédit:h*p://www.gutenberg.org/files/15595/15595-h/images/imagep158.jpg
1916
Crédits:h*p://www.spacegrant.nau.edu/stargazer/Classroom%20group.JPG
2016
Crédit:h*p://www.faw.com/Events/images/044-2.jpg
2016
RESISTANCE AU CHANGEMENT
On ne change rien !
internet des objets
today 15 billion connected objects in 2020 50 billon….
http://java.sys-con.com/node/3261583
Quid des données personnelles vis à vis d’IOT?
L’ENTREPRISECHANGE
CULTURE D’ENTREPRISE
LA CULTURE D’ENTREPRISE CADRE DE LA SECURITE DE L’INFORMATION
IL Y A 20 ANS
LA CULTURE NE PEUT PLUS ETRE IDENTIQUE
DES METIERS DISPARAISSENT
DES ORGANISATIONS DISPARAISSENT
Source: http://fr.slideshare.net/briansolis/official-slideshare-for-whats-the-future-of-business
LES MEDIA SOCIAUX ONT CHANGE NOTRE VIE
ET LES COMPORTEMENTS DES COLLABORATEURS
this is what 2.0 means
NOUVEAUX MÉTIERS
DATA ANALYST CHIEF DATA OFFICER
COMMUNITY MANAGER RESPONSABLE DE VEILLE
E-CRM MANAGER USER CENTRIC DESIGNER
PILOTE DE DRONE RESPONSABLE MODELISATION
… DPO
LA FORMATIONCHANGE
SERIOUS GAMES
Role du DPO dans le cadre de la formation ?
LE RECRUTEMENT
A CHANGE
1980
71http://img.over-blog.com/600x311/3/35/60/49/Le-Recrutement-2.0.png
2000
72http://img.over-blog.com/600x311/3/35/60/49/Le-Recrutement-2.0.png
2016
73http://img.over-blog.com/600x311/3/35/60/49/Le-Recrutement-2.0.png
ORGANIGRAMME
Increasing pressure on “traditional” organizations
Formal organization/ Hierarchy
Social organization / Heterarchy
SOURCE: http://fr.slideshare.net/eteigland/building-the-networked-innovative-organization?from_search=14
ou est le DPO?
ERGONOMIE
SOURCE: http://fr.slideshare.net/bradfrostweb/for-a-futurefriendly-web-mobilism-2012
SOURCE: http://fr.slideshare.net/bradfrostweb/for-a-futurefriendly-web-mobilism-2012
COMMANDE &
CONTROLE
Fin de la gestion par commande et contrôle ?
SOURCE: www.entrepriseglobale.biz Jean-Yves Huwart
MANAGEMENT BY OBJECTIVES
LA FIN DU SILO
Communication transversale, IAM et need to have !!!
BRING YOUR OWN DEVICE
ACATAWAD!
http://fr.slideshare.net/MicrosoftEntrepreneurs/rdi105-byod-resister-ou-embrasser?qid=d1192010-03b1-49ee-a555-ab31c4e7a1cd&v=default&b=&from_search=4
DIGITAL GENERATION
http://sandstormdigital.com/2012/11/08/understanding-digital-natives/
GESTION DES CONNAISSANCES
h*p://fr.slideshare.net/brainopera/seducLon-of-the-swarm
h*p://fr.slideshare.net/brainopera/seducLon-of-the-swarm
Sourcedel’image:h*p://agiledudes.com/wp-content/uploads/brain-transfer.jpg
LES ORGANISATIONS
CHANGENT … VITE
CHOC DE VALEURS
Les valeurs
ET LA SECURITÉ ?
IMPORTANCE DES COMPORTEMENTS POUR ILLUSTRER LES VALEURS
RESEAUX SOCIAUX INTERNES
http://fr.slideshare.net/BusinessGoesSocial/why-enterprise-social-networks-fail-part-one?qid=916adb6a-2ddf-4771-87f1-11582e9cc43a&v=&b=&from_search=1
SECURITE DE L’INFORMATION
Privacy VS. Security
SECURITE
SOURCE DE L’IMAGE: http://www.techzim.co.zw/2010/05/why-organisations-should-worry-about-security-2/
Source : https://www.britestream.com/difference.html.
86
La sécurité des données personnelles est une obligation légale…
Where do one steal data?
• Banks• Hospitals• Ministries• Police• Newspapers• Telecoms• ...
Which devices are stolen?
• USB • Laptops• Hard disks• Papers• Binders• Cars
LE MAILLON FAIBLE
SOURCE:UWE|5juin2013|@awtbe|AndréBlavier&PascalPoty
ISO 27002
«ISO 27002 c’est donner des recommandations pour gérer la sécurité de l’information à l’intention de ceux qui sont responsables de définir, d’implémenter ou de maintenir la sécurité dans leur organisation.
Elle est conçue pour constituer une base commune de développement de normes de sécurité organisationnelle et de pratiques efficaces de gestion de la sécurité, et pour introduire un niveau de confiance dans les relations dans l’entreprise. »
Rappel:
ISO est avant tout un recueil de bonnes pratiques
ISO 27002 est le fil rouge de la sécurité de l’information
Pas de proposition de solutions technique
les autres départements sont concernés
Et le DPO dans tout ça?
http://jchambon.fr/professionnel/PAF/PME-PMI/s5-diaporama/images/iso27002.png
http://www.randco.fr/img/iso27002.jpg
Pour que ca marche ....
Elle ne permet pas de définir quelles sont les mesures de sécurité à mettre en oeuvre en fonction du contexte de l’entreprise. Il y a trois limites:
1.Il est aberrant d'imaginer qu'il faille mettre en œuvre l'ensemble des mesures de sécurité décrites dans la norme (pour des questions de coût et de besoins réels). Il faut démarrer la démarche par une analyse des enjeux et des risques.2.Le seconde limite est liée au cycle de normes ISO, en effet une évolution de norme prend environ 5 ans. Dans le domaine des technologies de l'information, les menaces potentielles et les mesures de sécurité liées évoluent plus rapidement que cela.3.Enfin la troisième limite est son hétérogénéité, certains domaines sont
Les limites d’ISO 27002
EXEMPLE
8 Sécurité liée aux ressources humaines 8.1 Avant le recrutement 8.1.1 Rôles et responsabilités 8.1.2 Sélection 8.1.3 Conditions d’embauche 8.2 Pendant la durée du contrat 8.2.1 Responsabilités de la direction 8.2.2 Sensibilisation, qualification et formations en matière de sécurité de l’information 8.2.3 Processus disciplinaire 8.3 Fin ou modification de contrat 8.3.1 Responsabilités en fin de contrat 8.3.2 Restitution des biens 8.3.3 Retrait des droits d’accès
LE DRH ET SON PC…
Les employés partagent des informations
Les consultants Les sous-traitants Les auditeurs externes Les comptables Le personnel d’entretien
LES CONTRATS OUBLIES
�On ne sait jamais qui sera derrière le PC �Nécessité que le responsable de sécurité soit informé �Attentions aux changements de profils
GDPR
CONTEXTE
GDPR
CALENDRIER
GDPR
TO DO
Résistance au changement
crainte du contrôle
Imposer ou convaincre ?
Positionnement du DPO
atteinte à l’activité économique
Culture d’entreprise et nationale
Besoins du business
les freins
Vous contrôlez quoi ?
CONTRÔLE DES COLLABORATEURS
161
SOURCE DE L’IMAGE: http://blog.loadingdata.nl/2011/05/chinese-privacy-protection-to-top-american/
L’EMPLOYEUR PEUT-IL TOUT CONTROLER?
VERS LE CONTREMAÎTRE ELECTRONIQUE
• Contremaître traditionnel – personne repérable, chargée de contrôler la présence physique du salarié sur son lieu de
travail et en activité
• Contremaître électronique – chargé du contrôle de la présence physique : les badges d ’accès…
• Contremaître virtuel – pouvant tout exploiter sans que le salarié en ait toujours conscience et permettant, le cas
échéant, d ’établir le profil professionnel, intellectuel ou psychologique du salarié
➨ Développement des chartes d ’information
Les emails
• Ne sont pas de la correspondance
• L’employeur peut-il les ouvrir ?
• Emails privés avec adresse privée ?
• Emails privés avec adresse professionnelle
• Emails professionnels ?169
Usage d’internet• Que faire en cas d’usage illégal ?
• Crime (pédophilie, etc.) ?
• Racisme, sexisme?
• Atteinte au droit d’auteur?
• Criminalité informatique?
• Espionnage industriel ?
• Concurrence déloyale ? 170
Le code de conduite
• Activités illégales
• Activités non autorisées durant certaines heures
• Activités autorisées avec modération
• Différence entre code de conduite et application de la CC 81
171
Contrôle des employés : équilibre
CC 81
! Principe de finalité ! Principe de proportionnalité ! Information ! Individualisation ! sanctions
3 La sécurité et/ou le fonctionnement technique de l’ensemble des systèmes informatiques en réseau de l’entreprise, en ce
compris le contrôle des coûts y afférents, ainsi que la protection physique des installations de l’entreprise
4 Le respect de bonne foi des principes et règles d’utilisation des technologies en réseau fixés dans l’entreprise
1. Prévention de faits illégaux, de faits contraires aux bonnes mœurs ou susceptibles de porter atteinte à la dignité d’autrui
2. La protection des intérêts économiques, commerciaux et financiers de l’entreprise auxquels est attaché un caractère de confidentialité ainsi que la lutte contre les pratiques contraires
Les 4 finalités
Bref vous ne pouvez pas accepter d’être
complètement coincé ou…
Sinon votre sécurité ce sera ça…
LA PEUR EST PRESENTE
NOUS SOMMES FACE A UN NOUVEAU MONDE QUI CHANGE RAPIDEMENT
ET QUI NECESSITE QUE NOUS CHANGIONS ENSEMBLE
processus complexe
191
BONNE CHANCE A TOUS
QUESTIONS ?