Marketing et gdpr

LEGDPRVA-T-ILTUERLEMARKETINGDIGITAL?

Jacques Folon, Ph.D.

Partner & GDPR Director

Edge Consulting

Professeur ICHEC

Me. de Conf. Université de Liège

Prof. inv. Université Saint Louis

Keynote speaker

Derniers livres Le GDPR et la vie privée en questions? (sortie

prévue : 25 mai 2018)

Le printemps numérique

Internet et vie privée, faut-il avoir peur?

[email protected]

linkedin.com/in/folon

+ 32 475 98 21 15LA PRESENTATION EST A VOTRE DISPOSITION EN CC SUR

WWW.SLIDESHARE.NET/FOLON

Commençonsparvousrassurer

RASSUREZ-VOUS!VOUSN'ETESPASENRETARDPARRAPPORTAUGDPR.

VOUSAVEZ25ANSDERETARDPARRAPPORTÀLA

LOIDE1992!!!

LE GDPRLA RUEE VERS L'OR DE CONSULTANTS,

D'AVOCATS, DE SPECIALISTES EN SECURITE,…

ATTENTION AUX "CERTIFICATION GDPR"

ELLES N'EXISTENT PAS (ENCORE)

6

A.LE GDPR CA FAIT PEUR B.LE GDPR C'EST (PAS BEAUCOUP)DU DROIT C.LE GDPR C'EST COMPLIQUE D.COMMENT ON FAIT? E.LE GDPR CA PEUT ETRE POSITIF F.CONTEXTE DU GDPR G.RAPPEL : QUELQUES DEFINITIONS H.LES 12 GRANDS PRINCIPES >< MARKETING I.Q & A

A. LE GDPR CA FAIT PEUR

A. LE GDPR CA FAIT PEUR

A. LE GDPR CA FAIT PEUR

B. LE GDPR C'EST (PAS BEAUCOUP) DU DROIT

DROIT CONTRAT SOUS-TRAITANTS PRIVACY POLICIES RH (CONFIDENTIALITÉ-CODE DE CONDUITE)

INFORMATIQUE PRIVACY BY DESIGN/DEFAULT SECURITE DE L'INFORMATION IAM CODE DE CONDUITE ICT DOCUMENTATION DES PROGRAMMES DROIT D'ACCES DROIT A L'OUBLI CC81

ORGANISATION ANALYSE DE RISQUES ARCHIVAGE DIGITAL GESTION DE PROJET CHANGE MANAGEMENT REGISTRE DE TRAITEMENT COMMUNICATION DE CRISE (DATA BREACH) FORMATION

C. LE GDPR C'EST COMPLIQUE ! "REGULATIONSSSSS" !

C.LE GDPR C'EST COMPLIQUE !

C. LE GDPR C'EST COMPLIQUE !

ON COMMENCE PAR QUOI ?

D.Comment on fait?

UNE MÉTHODO QUI A FAIT SES PREUVES

COMMENT ON FAIT?

E.LE GDPR CA PEUT ETRE POSITIF

MEILLEURE CONNAISSANCE DES PROCESSUS INTERNES

E. LE GDPR CA PEUT ETRE POSITIF INTÉRÊT LEGITIME ?

INTÉRÊT LEGITIME ?CONSIDÉRANT 47 .Les intérêts légitimes d'un responsable du traitement, y compris ceux d'un responsable du traitement à qui les données à caractère personnel peuvent être communiquées, ou d'un tiers peuvent constituer une base juridique pour le traitement, à moins que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent, compte tenu des attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable du traitement. Un tel intérêt légitime pourrait, par exemple, exister lorsqu'il existe une relation pertinente et appropriée entre la personne concernée et le responsable du traitement dans des situations telles que celles où la personne concernée est un client du responsable du traitement ou est à son service. En tout état de cause, l'existence d'un intérêt légitime devrait faire l'objet d'une évaluation attentive, notamment afin de déterminer si une personne concernée peut raisonnablement s'attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l'objet d'un traitement à une fin donnée. Les intérêts et droits fondamentaux de la personne concernée pourraient, en particulier, prévaloir sur l'intérêt du responsable du traitement lorsque des données à caractère personnel sont traitées dans des circonstances où les personnes concernées ne s'attendent raisonnablement pas à un traitement ultérieur.

E. LE GDPR CA PEUT ETRE POSITIF POUR VÉRIFIER LA LÉGALITÉ DU MARKETING

F. CONTEXTE

21

Data breaches

Disastrous data breaches

So it is a real threat !

En deux mots…

27

• Le GDPR est un règlement européen concernant la protection des données personnelles

• Il s'impose aux entreprises et au secteur public

28

MAY 2018

G. RAPPEL QUELQUES DEFINITIONS…

29

UNE DONNÉE PERSONNELLE ?

30

toute information se rapportant à une personne physique identifiée ou

identifiable (ci-après dénommée «personne concernée»);

est réputée être une «personne physique identifiable» une personne physique

qui peut être identifiée, directement ou indirectement, notamment par

référence à un identifiant, tel qu'un nom, un numéro d'identification, des

données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments

spécifiques propres à son identité physique, physiologique, génétique,

psychique, économique, culturelle

TRAITEMENT DE DONNEES

31

. toute opération ou tout ensemble d'opérations effectuées ou non à

l'aide de procédés automatisés et appliquées à des données ou des

ensembles de données à caractère personnel, telles que la collecte,

l'enregistrement, l'organisation, la structuration, la conservation,

l'adaptation ou la modification, l'extraction, la consultation, l'utili

sation, la communication par transmission, la diffusion ou toute autre

forme de mise à disposition, le rapprochement ou l'interconnexion, la

limitation, l'effacement ou la destruction;

RESPONSABLE DE TRAITEMENT

32

. la personne physique ou morale, l'autorité publique, le service

ou un autre organisme qui, seul ou conjointement avec d'autres,

détermine les finalités et les moyens du traitement; lorsque les

finalités et les moyens de ce traitement sont déterminés par le

droit de l'Union ou le droit d'un État membre, le responsable du

traitement peut être désigné ou les critères spécifiques

applicables à sa désignation peuvent être prévus par le droit de

l'Union ou par le droit d'un État membre;

SOUS-TRAITANT

33

. la personne physique ou morale, l'autorité publique, le

service ou un autre organisme qui traite des données à

caractère personnel pour le compte du responsable du

traitement;

VIOLATION DE DONNEES

34

une violation de la sécurité entraînant, de manière accidentelle

ou illicite, la destruction, la perte, l'altération, la divulgation

non autorisée de données à caractère personnel transmises,

conservées ou traitées d'une autre manière, ou l'accès non

autorisé à de telles données;

CONSÉQUENCES:

NOTIFICATION PUBLIQUE !!

H. Les 12 grands principes du GDPR Vont-ils tuer le marketing digital?

35

1. Responsabilité-«accountability»2. Droitdelapersonneconcernée(client,employé,citoyen)3. Privacybydesign4. Sécuritédesdonnées5. Notificationdesvols/pertesdedonnées6. Sanctionsimportantes7. Gestiondesaccèsauxdonnées(IAM)8. Licéitédestraitements(réglementationouconsentement)9. Registredestraitements10.AnalysederisquesetPIA11.Formation12.Dataprivacyofficer

1/ ACCOUNTABILITY

36

ACCOUNTABILITY ?

PRINCIPALE TÂCHE

DO-CU-MEN-TA-TION

EN PRATIQUE:

L'APD débarque suite à une plainte, une dénonciation, d'un consommateur, d'un concurrent…

Que faites-vous? Que pouvez-vous leur montrer? Qu'avez-vous préparé? Comment se préparer? Quel type de plainte? Quid vol de données? … c'est ça l'accountability

2. DROIT DE LA PERSONNE CONCERNEE

2/ DROIT DE LA PERSONNE

43

TRANSPARENCE INFORMATIONS LORS DE LA COLLECTE DROIT D'ACCES DROIT DE RECTIFICATION DROIT A L'EFFACEMENT DROIT A LA LIMITATION DU TRAITEMENT PORTABILITE DROIT D'OPPOSITION AU PROFILAGE

RIGHT TO ACCESS

Ca a l'air simple…

Droits d'accès à… tout Depuis longtemps Dans toutes les bases de données Preuve du consentement De tout ce qui dépend du RDT Imaginez un ministère, un annonceur multi-marques et donc

nécessité de programmes de détection de développement

ou pas… analyse de risques

DROIT A L'OUBLI, VRAIMENT ?

3/ PRIVACY BY DESIGN

47

INFORMATION LIFECYCLE

Look at the entire data lifecycle

1.CREATE

OR

BALANCE TEST NEEDED

PRIVACY POLICY OR REGULATION OR …

CONSENT & EVIDENCES

SENSITIVE DATA

IF THEN OR

2.STORE

• SECURITY • ENCRYPTION • AUTHENTICATION • AVAILABILITY • CONFIDENTIALITY • IAM

3. USE

4. SHARE

4. SHARE

5.ARCHIVE

6. DESTROY

4/SECURITE DE L'INFORMATION

61

Mesures techniques et organisationnelles

What are the threats?

DON'T FORGET THE HUMAN

Concrètement ca veut dire quoi?

ÊTES VOUS CAPABLE D'IDENTIFIER LES FUITES ?

Ne pas oublier Plan de sécurité de l'information Archivage Destruction des données ISO 2700X audit de sécurité Test de pénétration, …

5/ NOTIFICATION DES VOLS/PERTES

68

Préparer la communication de crise

1/ dans quels cas doit-on prévenir l'APD? 2/ Si on prévient l'APD et après?

6/ SANCTIONS

70

7/ Identity Access Management (GESTION DES ACCÈS)

71

GESTION DES PROFILS

NEED TO HAVE ACCESS !!

La question qui tue:

puis-je voir votre procédure de gestion des profils et la documentation quant aux besoins d'accès?

8/ LICEITE

73

Consentement - B2B - Intérêt légitime

Consentement pour quelle finalité ? Privacy policy? Preuve du consentement?

Cookies

VOUS AVEZ UNE BASE DE DONNEES MAIS POUVEZ-VOUS PROUVER QUE VOUS AVEZ LES CONSENTEMENTS?

DONNEES PUBLIQUES ?

9/ REGISTRE DES TRAITEMENTS

79

UNE FICHE BIEN UTILE

NOM ET COORDONNEES DU RESPONSABLE DE TRAITEMENT FINALITES DU TRAITEMENT CATÉGORIES DE PERSONNES CONCERNEES CATEGORIE DE DESTINATAIRES PAYS TIERS DELAIS D'EFFACEMENT MESURES DE SECURITE TECHNIQUES ET ORGANISATIONELLES

MÉTHODOLOGIE

Proof Of Concept RDT ou SST ? Attention=> log de non conformité lien vers les consentement, les décisions, les sources Le registre sert à se défendre !

10/ ANALYSE DE RISQUES /PIA

82

Quand ? Utile même si pas indispensable Permet de se poser les bonnes

questions Bon sens

11/ FORMATIONS

84

Différents types de formation

Pas (encore) de formation "certifiante"

Sensibilisation de la direction (1h00) Formation de base du personnel (2h00) Quelques formation externes plus approfondies

3/5 jours Technofutur 6 jours ICHEC Formation continue Un an Infosafe/Datasafe (ICHEC-UNAMUR-CRIDS) …

Formation pour registre (1/2 jour) Formation privacy by design (1 jour) Formation DPO/chef de projet GDPR

12/ DATA PRIVACY OFFICER

86

4 fonctions différentes !!

GDPR Sécuritédel’information

Conseil DataPrivacyOfficer(DPO) InformationSecurityAdvisor(ISA)

Miseenœuvre ChefdeprojetGDPRoucorrespondantGDPRdansles

diversdépartements

Responsabledelasécuritédessystèmesd’information

(RSSI)

Indépendance rapporter à >< hiérarchie description de fonction conflit d'intérêt interne ou DPOaaS mutualisation

Final tips

Final tips

Conclusion

Last words

CONCLUSION

94

SOURCES• https://www.slideshare.net/TrishMcGinity/csa-privacy-by-design-amp-gdpr-austin-chambers-11417?

qid=b15cffa4-6e24-40ca-8c3b-7230dd1cae30&v=&b=&from_search=1#

• https://www.slideshare.net/mactvdp/training-privacy-by-design?qid=c5022dbe-afbd-4905-aba4-1a92b1382de1&v=&b=&from_search=3

• `https://ico.org.uk/for-organisations/guide-to-data-protection/privacy-by-design/

• https://www.bdb-law.co.uk/blogs/no-blogs/conducting-a-privacy-impact-assessment-the-what-the-why-and-the-how/

• https://www.slideshare.net/DragonBe/privacy-by-design-82454527?qid=2ba69b5e-bf28-40f4-b1ec-fc8328355fec&v=&b=&from_search=4

• https://www.slideshare.net/markieturbo/advantages-of-privacy-by-design-in-ioe?qid=f2e5fc34-f946-4fd4-bace-c3fc244a8b7e&v=&b=&from_search=8

• https://www.slideshare.net/feyeleanor/dont-ask-dont-tell-the-virtues-of-privacy-by-design?qid=1b0459a2-a969-467b-947d-6a0e3304f432&v=&b=&from_search=14

• https://www.slideshare.net/kristyngreenwood/privacy-by-design-white-papaer?qid=1b0459a2-a969-467b-947d-6a0e3304f432&v=&b=&from_search=17