2. Jacques Folon, Ph.D.
CEO & Founder GDPRfolder.eu
DPO externe
Professeur ICHEC
Prof. inv. Université Saint Louis – ESC Rennes
Keynote speaker
Livres publiés au sujet de la vie privée
Guide de survie du DPO (sortie sept. 2021)
50 nuances de liberté
Le printemps numérique
Internet et vie privée, faut-il avoir peur?
jacques@gdprfolder.eu
linkedin.com/in/folon
+ 32 475 98 21 15
IFC STRATEGIE DIGITALE
3. AGENDA GDPR
• Principes de base
• Vos questions dans le chat ou oralement
• Questions de stratégie digitale
1. RGPD et stratégie digitale ?
2. Le RGPD pourquoi ?
3. Le RGPD c’est quoi ?
4. Breaking news
5. Le RGPD en Belgique
6. On fait comment ?
7. Qq points importants
8. Privacy by design
9. Deux exercices
10. Debriefing et feed back
• SAV possible après le cours 👨🏼💻😊
28. 3.
Le RGPD
c’est quoi
en un slide
TER
R
ITO
R
IA
LSC
O
PE
Non-EUEstablishedO
rganizations
O
ffer goods or ser vices or engaging in
m
onitoring within the EU
.
PER
SO
NA
LD
A
TA SENSITIVED
A
TA
ENFO
R
C
EM
ENT
LA
W
FU
LPR
O
C
ESSING
C
O
NSENT
R
ESPO
NSIB
ILITIESO
FD
A
TAC
O
NTR
O
LLER
SA
NDPR
O
C
ESSO
R
S
R
IG
H
TSO
FD
A
TASU
B
JEC
TS
Transparency
Purpose
Specificationand
M
inim
ization
A
ccess and
R
ectification
A
utom
ated
D
ecision- M
aking
R
ightto D
ata
Portability
R
ightto
Erasure
D
A
TAB
R
EA
C
HNO
TIFIC
A
TIO
N
D
ataProtection
O
fficer (D
PO
)
D
ata
Protectionby
D
esign
INTER
NA
TIO
NA
LD
A
TATR
A
NSFER
D
ataIm
pact
A
ssessm
ent
R
ecordof D
ata
ProcessingA
ctivities
TH
EPLA
YER
S
D
ata
Subjects
D
ataC
ontrollers
D
ata
Processors
Supervisory
A
uthorities
Identified Identifiable
R
acial or
EthnicO
rigin
R
eligious or
Philosophical
B
eliefs
H
ealth
Trade U
nion
M
em
bership Sex
Life
Political
O
pinions
B
iom
etric
D
ata
G
enetic
D
ata
“R
ight not to be subject to a
decision basedsolely on
autom
atedprocessing,
including profiling.”
Apersonal databreachis “abr each of
security leading to the accidental or
unlawful destr uction,loss,alter ation,
unauthorized disclosure of,or access
to,personal datatransm
itted,storedor
otherwise processed.”
C
ollection and processing of per sonal datam
ust
be for “specified,explicit and legitim
ate purposes”
– withconsent of datasubject or necessar y for
C
onsent m
ust be freely
given,specific,
infor m
ed,and
unam
biguous.
M
odel
C
ontractual
C
lauses
Privacy
Shield
B
inding
C
orporate
R
ules
(B
C
R
s)
A
dequate Level of
D
ataProtection
If likely to result in ahighprivacy r isk notify datasubjects
Notify super visory authorities no later
than 72hour s after discovery.
U
pto 20 m
illion euros or 4%of total annual worldwide
turnover . Less serious violations: U
pto 10m
illion
euros or 2%of total annual worldwide turnover.
EUEstablishm
ents
M
aintain adocum
ented
r egister of all activities
involving processing of EU
per sonal data.
built in starting at
the beginning of the
design process
D
esignate D
POif core
activity involves r egular
m
onitoring or processing
large quantities of
per sonal data..
For highr isk
situations
www.teachpr iv acy.com
GDPR
W
orkforce aw
areness trainingbyProf.D
aniel J.Solove
• perform
ance of a contr act
• com
pliance with alegal
obligation
• to pr otect aperson’s
vital interests
• taskin the public
interest
• legitim
ate inter ests
Effective Judicial R
em
edies:
com
pensation for m
ater ial and
non-m
aterial harm
.
Fines
Security
Please askperm
issionto reuse or distribute
31. EN PRATIQUE:
L'APD débarque suite à une plainte, une
dénonciation, d'un consommateur, d'un
concurrent…
Que faites-vous?
Que pouvez-vous leur montrer?
Qu'avez-vous préparé?
Comment se préparer?
Quel type de plainte?
Quid vol de données?
…
c'est ça l'accountability
33. Les amendes
• Maximum 4% CA Annuel mondial
• 20 Millions €
• Quelques exemples:
• Google 50 millions
• Hôpital portugais 480.000€
• Autriche 4.800 caméra de surveillance
• Huissier 15.0000€
40. Historique
• 2015 première décision contre Safe
Harbour
• 2016 Début du Privacy shield
• 2020 Décision de la CJUE
• 2020 plainte contre 101 sociétés
européennes (en Belgique Bpost,
Roularta)
• Décision de l’EDPD de coordonner les
réponses des APD
• …
50. LE GDPR C'EST (PAS BEAUCOUP) DU DROIT
DROIT
CONTRAT SOUS-TRAITANTS
PRIVACY POLICIES
RH (CONFIDENTIALITÉ-CODE DE CONDUITE)
INFORMATIQUE
PRIVACY BY DESIGN/DEFAULT
SECURITE DE L'INFORMATION
IAM
CODE DE CONDUITE ICT
DOCUMENTATION DES PROGRAMMES
DROIT D'ACCES
DROIT A L'OUBLI
CC81
ORGANISATION
ANALYSE DE RISQUES
ARCHIVAGE DIGITAL
GESTION DE PROJET
CHANGE MANAGEMENT
REGISTRE DE TRAITEMENT
COMMUNICATION DE CRISE (DATA BREACH)
FORMATION
51. LE GDPR CA PEUT ETRE POSITIF
MEILLEURE CONNAISSANCE
DES PROCESSUS INTERNES
56. DROIT DE LA PERSONNE
56
TRANSPARENCE
INFORMATIONS LORS DE LA COLLECTE
DROIT D'ACCES
DROIT DE RECTIFICATION
DROIT A L'EFFACEMENT
DROIT A LA LIMITATION DU TRAITEMENT
PORTABILITE
DROIT D'OPPOSITION AU PROFILAGE
57. Ca a l'air simple…
Droits d'accès à… tout
Depuis longtemps
Dans toutes les bases de données
Preuve du consentement
De tout ce qui dépend du RDT
Imaginez un ministère, un annonceur multi-marques
et donc
nécessité de programmes de détection
de développement
ou pas…
analyse de risques
64. PROACTIVE NOT REACTIVE
CE N’EST PAS QUAND LA MAISON BRULE
QU’IL FAUT SE DEMANDER OU EST
L’EXTINCTEUR
IL FAUT PREVENTIVEMENT PENSER AUX
MESURES DE SECURITE ET DE
PROTECTION DES DONNÉES
65. PRIVACY BY DEFAULT
LA PERSONNE CONCERNÉE NE DOIT
RIEN FAIRE, LES MESURES DE
SECURITE ET DE PROTECTION ONT
ÉTÉ PRISES ANTICIPATIVEMENT
66. EMBED IN DESIGN
LA PROTECTION DES DONNÉES PERSONNELLES DOIT
ÊTRE INTÉGRÉE DANS LE DESIGN, LES PROCESS, LES
OPERATIONS, L’INFRASTRUCTURE SANS DIMINUER LES
POSSIBILITÉS D’USAGE DE LA PERSONNE CONCERNÉE
67. FULL FONCTIONALITY:
POSITIVE SUM NOT ZERO SUM
IL EST POSSIBLE D’AVOIR LA
SECURITE
ET
LA PROTECTION DE LA VIE PRIVÉE
IL NE DOIT PAS Y AVOIR DE CHOIX
68. END TO END SECURITY & PRIVACY
DURANT TOUTE LA DUREE DE VIE DES DONNEES
COLLECTE
UTILISATION
MISE A
DISPOSITION
CONSERVATION
DESTRUCTION
69. VISIBILITY & TRANSPARENCY
VOUS DEVEZ ETRE CAPABLE DE DEMONTRER AUX
AUTORITES DE CONTROLE QUE VOUS RESPECTEZ LE RGPD
ET QUE VOUS TENEZ VOS PROMESSES
103. GESTION DES PROFILS
NEED TO HAVE ACCESS !!
La question qui tue:
puis-je voir votre procédure de
gestion des profils et la
documentation quant aux besoins
d'accès?
105. DELIVRABLE : LE DOSSIER GDPR
• REGISTRE DE TRAITEMENT
• PLAN DE SECURITE
• POLITIQUE D'ARCHIVAGE
• IAM
• DECISIONS PRISES
• CONTRATS SOUS-TRAITANCE
• FORMATIONS
• BEST PRACTICES INTERNES
• CC 81
106. Dossier GDPR
Vous pouvez démontrer en un clic les mesures prises
en imprimant le dossier gdpr mis à jouer en permanence
116. Votre employeur est un site de vente en ligne B2C de vêtements
et accessoires et il veut implémenter un CRM.
Quels sont les points dont vous devez tenir compte pour
respecter le RGPD?
LISTER sur un PPT AU MOINS 10 POINTS ET EXPLIQUER EN QUOI
C’EST IMPORTANT
Votre employeur est un chasseur de têtes qui veut digitaliser
tout le processus de recrutement et sélection et a confié le
projet à l’équipe IT interne
Lister sur un PPT 10 points auxquels il faut penser pour
respecter le RGPD?