Aller au contenu

Spécifications des slides — Session B15 : Conformité & réglementations vie privée

Parcours : B 20 sessions | Module : D — Gouvernance, risque & conformité | Format : Spécifications Markdown

Slide 1 — Page de garde

  • Type : titre
  • Points clés (bullets) :
  • Conformité & réglementations vie privée
  • Le RGPD, le rôle de la CNIL et du DPO, et le lancement du Mini-projet 3
  • Parcours B — Session B15
  • Notes orateur : Bienvenue dans notre quinzième session. Aujourd'hui, nous clôturons notre module Gouvernance, Risque et Conformité (GRC) par un sujet juridique majeur : la conformité réglementaire et la protection de la vie privée. Nous allons décrypter le Règlement Général sur la Protection des Données (RGPD), comprendre les pouvoirs de la CNIL, étudier le rôle du DPO et lancer les travaux de notre Mini-projet 3.
  • Visuel suggéré : Représentation tridimensionnelle de la balance de la justice fusionnée avec un bouclier numérique vert marqué du sigle "RGPD" et entouré des étoiles du drapeau européen.
  • alt-text : Symbole de la justice et de la conformité européenne RGPD.
  • Élément interactif : Question sondage : "Qui sait ce que signifie concrètement le droit à l'oubli numérique ?"

Slide 2 — Objectifs de la séance & Sommaire

  • Type : contenu
  • Points clés (bullets) :
  • Expliquer les principes fondamentaux et obligations du RGPD pour les organismes.
  • Identifier le rôle de la CNIL et les sanctions financières associées aux violations.
  • Distinguer les missions du Délégué à la Protection des Données (DPO).
  • Associer l'évaluation des risques à la rédaction d'une ébauche de PSSI (Mini-projet 3).
  • Sommaire : Principes clés du RGPD (20 min), Rôles de la CNIL et du DPO (20 min), Analyse de politique de confidentialité (15 min), Lancement du Mini-projet 3 (25 min), Quiz (10 min).
  • Notes orateur : Durant ces 90 minutes, nous allons explorer les grands principes du RGPD. Nous verrons comment travaillent le DPO et la CNIL. Nous ferons une analyse concrète d'une politique de confidentialité avant de détailler les livrables attendus pour le Mini-projet 3 et de terminer par notre quiz de validation.
  • Visuel suggéré : Agenda de la session affiché dans deux boîtes contrastées de couleur, avec la répartition minutée et les compétences cibles.
  • alt-text : Tableau d'agenda minuté de la session synchrone de conformité.

Slide 3 — Qu'est-ce que le RGPD ?

  • Type : contenu
  • Points clés (bullets) :
  • RGPD : Règlement Général sur la Protection des Données (entré en application en 2018).
  • S'applique à toute entité (publique ou privée) traitant des données personnelles de résidents de l'Union européenne, quel que soit le lieu d'implantation de l'entité.
  • Donnée personnelle : Toute information identifiant directement ou indirectement une personne physique (nom, e-mail, adresse IP, localisation, empreinte).
  • Notes orateur : Le RGPD est le texte de loi européen de référence. Beaucoup pensent qu'il ne concerne que les entreprises européennes. C'est faux. Si une entreprise américaine ou asiatique cible des résidents européens, elle doit respecter le RGPD. Une donnée personnelle est définie très largement : même une simple adresse IP ou un identifiant de cookie est une donnée personnelle car il permet de tracer un individu.
  • Visuel suggéré : Une carte de l'Europe stylisée rétroéclairée en vert, avec le texte "RGPD / GDPR" en relief au centre.
  • alt-text : Carte de l'Union européenne associée à la protection des données personnelles.

Slide 4 — Les 5 Principes clés du traitement de données

  • Type : schéma
  • Points clés (bullets) :
    1. Licéité, loyauté, transparence : Avoir une base légale pour traiter les données et informer clairement l'utilisateur.
    1. Limitation des finalités : Ne collecter les données que pour un but précis et ne pas s'en servir pour autre chose.
    1. Minimisation des données : Collecter uniquement ce qui est strictement nécessaire (ne pas demander le groupe sanguin pour livrer un livre).
    1. Limitation de la conservation : Supprimer ou anonymiser les données une fois l'objectif atteint.
    1. Intégrité et confidentialité : Assurer la sécurité technique des données stockées.
  • Notes orateur : Le RGPD repose sur cinq grands principes. Vous devez expliquer pourquoi vous collectez la donnée, l'utiliser uniquement pour ce but, collecter le moins d'informations possible, les supprimer dès qu'elles ne servent plus, et garantir leur sécurité. C'est la base de la loyauté envers l'utilisateur.
  • Visuel suggéré : Infographie présentant les 5 principes sous forme d'une main ouverte ou d'un engrenage de 5 pièces interconnectées.
  • alt-text : Les 5 principes fondamentaux de traitement des données selon le RGPD.

Slide 5 — La CNIL et ses pouvoirs de sanction

  • Type : contenu
  • Points clés (bullets) :
  • CNIL : Commission Nationale de l'Informatique et des Libertés (Autorité de contrôle en France).
  • Missions : Conseiller les entreprises, contrôler la conformité (audits sur site ou en ligne) et sanctionner les manquements.
  • Sanctions administratives majeures :
    • Avertissements publics, rappels à l'ordre, suspension de traitement.
    • Amendes pouvant atteindre 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial d'un groupe.
  • Notes orateur : En France, le gendarme de la vie privée est la CNIL. Elle a un double rôle d'accompagnement et de contrôle. Si une entreprise ne sécurise pas ses fichiers ou ignore les plaintes de ses clients, la CNIL peut prononcer des sanctions financières colossales, allant jusqu'à 4% du chiffre d'affaires mondial d'un groupe, en plus des dégâts de réputation liés à la publication de la sanction.
  • Visuel suggéré : Un bâtiment officiel de justice avec le logo de la CNIL et un marteau de juge en bois à côté d'un panneau d'avertissement de sanctions financières.
  • alt-text : Représentation symbolique des pouvoirs de contrôle et de sanction de la CNIL.

Slide 6 — Le rôle du Délégué à la Protection des Données (DPO)

  • Type : contenu
  • Points clés (bullets) :
  • DPO : Data Protection Officer.
  • Obligatoire dans les organismes publics et les entreprises dont l'activité principale implique un suivi régulier et systématique des personnes à grande échelle.
  • Missions clés :
    • Veiller à la conformité de l'organisme au RGPD.
    • Tenir le registre des traitements (cartographie de toutes les données collectées).
    • Être le point de contact privilégié de la CNIL et des utilisateurs qui exercent leurs droits.
  • Il travaille en étroite collaboration avec le RSSI.
  • Notes orateur : Le DPO est le chef d'orchestre de la protection des données en entreprise. Il s'assure de la légalité des traitements, conseille les équipes projets et tient le registre des traitements. Le DPO gère les aspects juridiques et de conformité, tandis que le RSSI met en œuvre les mesures de sécurité techniques pour protéger ces mêmes données.
  • Visuel suggéré : Silhouette d'un conseiller juridique tenant un dossier "Registre des traitements" discutant avec un ingénieur système devant un écran de serveurs.
  • alt-text : Collaboration entre le Délégué à la Protection des Données (DPO) et le RSSI.

Slide 7 — Droits des personnes : Reprendre le contrôle

  • Type : schéma
  • Points clés (bullets) :
  • Le RGPD donne des droits puissants aux citoyens sur leurs données :
    • Droit d'accès et de rectification : Savoir ce que l'entreprise stocke sur nous et corriger les erreurs.
    • Droit à l'effacement (droit à l'oubli) : Demander la suppression définitive de ses données personnelles.
    • Droit à la portabilité : Récupérer ses données dans un format standardisé pour les transférer à un autre service.
    • Droit d'opposition : Refuser l'usage de ses données pour du ciblage publicitaire.
  • Notes orateur : Grâce au RGPD, les utilisateurs ont repris le contrôle. Si vous demandez à une entreprise de supprimer toutes vos données personnelles, elle doit le faire sous un mois, sauf obligation légale contraire comme la conservation des factures. C'est le fameux droit à l'effacement ou droit à l'oubli.
  • Visuel suggéré : Une main d'utilisateur repoussant virtuellement des lignes de profilage publicitaire, avec des boutons cliquables "Effacer mes données" et "Télécharger mes données".
  • alt-text : Droits fondamentaux des citoyens sur leurs données personnelles.

Slide 8 — Présentation du Mini-projet 3 : Évaluation des risques d'EcoLog

  • Type : étude de cas
  • Points clés (bullets) :
  • Contexte : EcoLog a terminé sa classification des données et son plan de sauvegarde (Mini-projet 2). Cependant, l'entreprise n'a pas de vision globale de ses risques informatiques majeurs et ne possède aucun document de politique interne (PSSI).
  • Objectif : Identifier les risques et rédiger la première ébauche de la PSSI de l'entreprise.
  • Notes orateur : Passons au lancement de notre Mini-projet 3, qui fait la synthèse de notre module GRC. Vous intervenez de nouveau chez EcoLog. L'entreprise doit formaliser ses risques cybersécurité et poser ses premières règles de conduite internes. Ce projet va vous demander d'associer la gestion des risques et la gouvernance.
  • Visuel suggéré : Classeur de projet avec le logo d'EcoLog posé à côté d'un stylo de validation et d'une checklist de risques.
  • alt-text : Présentation du Mini-projet 3 d'évaluation de risques et d'ébauche de PSSI.

Slide 9 — Livrables attendus pour le Mini-projet 3

  • Type : contenu
  • Points clés (bullets) :
  • Votre livrable devra obligatoirement contenir :
      1. Un registre des risques qualifiant 3 scénarios majeurs pour EcoLog (Ransomware, Fuite de données, Perte de locaux).
      1. Une charte informatique utilisateur (règles de mots de passe, usage du matériel pro/perso, signalement d'incidents).
      1. Une fiche de poste simplifiée du futur DPO d'EcoLog.
  • Notes orateur : Pour ce mini-projet, vous devez livrer trois éléments : un mini-registre avec 3 scénarios de risques détaillés selon notre méthode, une charte informatique utilisateur simple et pragmatique qui sera lue par les salariés d'EcoLog, et enfin la fiche de poste du futur DPO pour structurer la conformité réglementaire.
  • Visuel suggéré : Liste ordonnée des trois livrables avec des icônes de tableau de risques, de charte signée et de carte de visite de DPO.
  • alt-text : Contenu obligatoire du livrable du Mini-projet 3.

Slide 10 — Activité pratique : Analyser une politique de confidentialité

  • Type : étude de cas
  • Points clés (bullets) :
  • Scénario : EcoLog a rédigé cette phrase dans sa politique de confidentialité pour les clients :
    • "Nous collectons vos données de localisation en continu pour améliorer nos services. Nous les conservons indéfiniment pour des besoins d'analyses futures."
  • Mission : Analyser cette règle par rapport aux principes du RGPD.
    • Quels sont les principes violés ?
    • Proposer une réécriture conforme.
  • Notes orateur : Faisons un exercice pratique. Voici un extrait de la politique de confidentialité rédigée par EcoLog pour ses clients. Lisez-la attentivement. Quels principes clés du RGPD cette phrase viole-t-elle ? Proposez une réécriture conforme en limitant la collecte et la durée de conservation.
  • Visuel suggéré : Texte vulnérable affiché sur un écran virtuel avec des surbrillances rouges sur "en continu" et "indéfiniment", et à côté un exemple de correction verte.
  • alt-text : Exercice d'audit et de correction de conformité RGPD d'un texte contractuel.
  • Élément interactif : Discussion collective en plénière de 15 minutes avec réécriture participative au tableau.

Slide 11 — Quiz de validation

  • Type : quiz
  • Points clés (bullets) :
    1. Le RGPD s'applique-t-il à une entreprise canadienne qui vend des services à des résidents français ?
    1. Quelle est la sanction financière maximale prévue par le RGPD en cas de violation grave ?
    1. Quelle est la différence majeure entre le rôle du RSSI et celui du DPO ?
  • Notes orateur : C'est le moment de notre quiz de validation. Prenez vos téléphones ou vos ordinateurs et répondez aux questions sur la portée du RGPD, les amendes CNIL et la répartition des tâches entre DPO et RSSI.
  • Visuel suggéré : QR Code vert d'accès au quiz à gauche et questions à choix multiples à droite.
  • alt-text : QR Code d'accès au vote interactif synchrone.
  • Élément interactif : Quiz interactif avec statistiques de réponses et débriefing.

Slide 12 — Conclusion & Transition vers la technique

  • Type : récap
  • Points clés (bullets) :
  • Résumé : RGPD (principes de loyauté, minimisation, durée limitée), CNIL (autorité de contrôle/sanctions), DPO (registre des traitements), et Mini-projet 3.
  • Devoirs : Rédiger et déposer le Mini-projet 3 d'ici la semaine prochaine.
  • IBM SkillsBuild : Suivre le cours "Privacy and GDPR Essentials" (~1h30).
  • Prochaine session : Centre des opérations de sécurité (SOC) & supervision (B16).
  • Notes orateur : Nous venons de terminer notre module GRC ! Vous avez désormais toutes les clés organisationnelles et juridiques. Rédigez votre Mini-projet 3 et validez votre cours SkillsBuild. À partir de la semaine prochaine, nous basculons dans la technique et le monitoring réseau avec l'étude des opérations de sécurité, des SOC et du traitement des alertes. Bonne semaine !
  • Visuel suggéré : Badge d'achèvement de cours d'IBM SkillsBuild pour la protection de la vie privée et le RGPD.
  • alt-text : Badge de réussite du cours GDPR d'IBM SkillsBuild.