Selon un sondage Ipswitch en 2014, 56% des entreprises ne savent pas ce qu'est GDPR. GDPR (General Data Protection Regulation) : 200 pages de loi couvrant le traitement des données personnelles pour uniformiser les législations au niveau européen, simplifier les formalités pour les entreprises et renforcer le droit des personnes. Quels impacts pour votre entreprise ? Au programme : - Contexte et particularités de la loi GDPR - Impacts applicables à tous (responsables de traitement et sous-traitants) - Impacts applicables aux seuls responsables de traitement - Impacts applicables aux seuls sous-traitants - Par quoi commencer ? (DPO, Analyse d'impact, Analyse de risque, Privacy by default, Privacy by design, registre des traitements)

1. © Arismore 1
Se préparer aux nouvelles obligations
en matière de traitement des données personnelles.

2. © Arismore 2
Intervenants
Marie ABADIE
Avocate
Spécialisée en droit des affaires et
en protection des données
personnelles et IoT
abadie@abadie-avocats.com
Diane OUANDJI
Consultante sécurité
ISO 27005 Risk Manager
ISO 27001 Lead Implementer
diane.ouandji@arismore.fr
Younès FELAHI
Consultant sécurité
younes.felahi@arismore.fr

3. © Arismore 3
Agenda
• Contexte
> Historique et particularités
> Entreprises et données concernées
> Le calendrier
• Impacts
> Impacts applicables à tous
> Impacts applicables aux responsables de traitement
> Impacts applicables aux sous traitants
• Conclusion

4. © Arismore 4
Contexte
Historiques et particularités
Loi
« Informatique et Libertés »
du 6 janvier 1978
Directive
européenne
95/46/CE
Transposition
par la loi du
6 août 2004
Règlement
européen
2016/679

5. © Arismore 5
CONTENU
• 200 pages de loi, de nombreux articles
• La réforme de la protection des données se compose de deux projets législatifs:
> Un règlement général, couvrant le traitement des données personnelles dans l'UE
> Une directive sur le traitement des données pour prévenir, enquêter, détecter
ou poursuivre les infractions pénales ou appliquer des sanctions pénales.
OBJECTIFS
• Uniformisation des législations au niveau européen
• Simplification des formalités pour les entreprises
• Renforcement des droits des personnes
Contexte
Historique et particularités

6. © Arismore 6
TOUTE ENTREPRISE
privée ou publique proposant des biens et services sur le marché de l’UE dès
lors que le traitement de données à caractère personnel concerne des résidents
de l’UE. Sont donc inclus :
• Les organismes publics
• Les entreprises dont le siège est hors UE mais opérant dans l’UE sur des données de
citoyens UE
• Les sous-traitants dont les activités rentrent dans ce cadre
Contexte
Entreprises concernées

7. © Arismore 7
LE RÈGLEMENT S’APPLIQUE
au traitement des données à caractère personnel*, automatisé ou non automatisé
contenues ou appelées à figurer dans un fichier
*DONNÉES À CARACTÈRE PERSONNEL
toute information se rapportant à une personne physique identifiée ou identifiable
Contexte
Données concernées
La définition des données personnelles ne change donc pas fondamentalement

8. © Arismore 8
Contexte
Calendrier
Contrairement à une directive, le règlement est
obligatoire dans toutes ses dispositions et sans transposition au niveau interne
14
14 avril 2016
adoption par le
parlement européen
24
24 mai 2016
Publication
au JO de l’UE
25
25 mai 2018
Application
directe

9. © Arismore 9
Agenda
• Contexte
> Historique et particularités
> Entreprises et données concernées
> Calendrier
• Impacts
> Impacts applicables à tous
> Impacts applicables aux responsables de traitement
> Impacts applicables aux sous traitants
• Conclusion

10. © Arismore 10
Impacts applicables à tous
Responsable de traitement et sous-traitant
CE QUE PRÉVOIT LE RÈGLEMENT
• Une simplification des formalités administratives
suppression des déclarations préalables et création d’un guichet unique (one-stop-shop) (Art 60)
• Démontrer la bonne application du règlement
promotion des codes de conduite (Articles 40 à 43) et procédures de certification et de labellisation (Art 42)
• Exigence d’un représentant situé dans l’Union (Article 27)
• Désignation d’un DPO (délégué à la protection des données) (Article 37 et s.)
• Notification des failles de sécurité dans les 72h (Article 33 et 34)
EXEMPLES DE DÉCLINAISON OPÉRATIONNELLE
• Désigner un DPO
Juriste informaticien et non plus un correspondant informatique et libertés
• Mise en place : d’un SMSI, d’outils détectant les tentatives d’intrusion,
processus/procédures de gestion de crises en cas de faille

11. © Arismore 11
Impacts applicables à tous
Mais aussi …
CE QUE PRÉVOIT LE RÈGLEMENT
• Accountability : le registre des traitements désormais obligatoire pour (Art 30)
les entreprise de plus de 250 salariés
les entreprise de moins de 250 salariés, effectuant des traitements comportant des risques pour les
droits et obligations des personnes, ou si les traitements des données personnelles ne représente
pas une activité occasionnelle ou comportent des données sensibles
Selon les modalités des articles 30.1 et 30.2, sont concernées
les responsables de traitements et les sous-traitants

12. © Arismore 12
Impacts applicables
Aux responsables de traitement
CE QUE PRÉVOIT LE RÈGLEMENT
• Analyse d’impact relative à la protection des données (PIA) obligatoire (Art 35)
• Obligation d’information renforcée
promotion des codes de conduite (Articles 40 à 43) et procédures de certification et de labellisation (Art 42)
• Renforcement du consentement (Article 7) : inéluctable et explicite
• Protection spécifique des mineurs (Article 8)
• Droit à l’effacement, droit à l’oubli, portabilité (Article 17)
• Privacy by Design et Privacy by Default (Article 25)
protection de la vie privée dès la conception, par anticipation
EXEMPLES DE DÉCLINAISON OPÉRATIONNELLE
• Mise en place :
d’une gestion globale des risques
• Mise à jour :
des processus et outils pour recueillir explicitement le consentement de l’utilisateur

13. © Arismore 13
• aux responsables de traitement
Impacts applicables
Aux sous-traitants
CE QUE PRÉVOIT LE RÈGLEMENT
• Pour recourir à un autre sous-traitant
obligation d'obtenir l'autorisation préalable du responsable de traitement
• Interdiction d'effectuer un traitement de données
sans instruction du responsable de traitement.
• Obligation de faire figurer des dispositions spécifiques
dans les contrats conclus entre les responsables de traitement et les sous-traitants.
EXEMPLES DE DÉCLINAISON OPÉRATIONNELLE
• Mise en place :
d’un Plan d’Assurance Sécurité, SMSI et certification ISO 27001

14. © Arismore 14
Agenda
• Contexte
> Définitions et vocabulaire
> Historique et particularités
> Entreprises concernées
• Impacts
> Impacts applicables à tous
> Impacts applicables aux responsables de traitement
> Impacts applicables aux sous traitants
• Conclusion

15. © Arismore 15
Conclusion
RESPONSABILITÉ
RENFORCÉE
Régime de responsabilité applicable
aux responsables de traitement et
aux sous-traitants
SANCTIONS
ACCRUES
jusqu’à 20.000.000€ Amendes administratives
4% du CA mondial total de l’exercice
précédent pour les entreprises

16. © Arismore 16
Conclusion
DES VOIES DE RECOURS
(Article 78, 79)
Recours en justice
DES EXIGENCES
Les entreprises devront apporter la preuve
démontrer le respect des exigences GDPR
Dépôt d’une plainte auprès de la CNIL
droit à réparation du préjudice subi du fait du
non-respect des obligations du règlement
AU CŒUR DES ACTIVITÉS
ce qui implique une transformation des
processus internes.

17. © Arismore 17
Par quoi commencer ?
1
DPO
Le nommer dès à présent
2
ANALYSE D’ECARTS
à faire pour définir la trajectoire
6
INTÉGRER
le “Privacy by Design”
et le “Privacy by Default”
5
RISQUES
Gestion globale des risques
4
Registre
des traitements de données
à caractère personnel
3
AUDITER LES CONTRATS

18. © Arismore 18
Merci