Présentation du partenariat VIRTUALEGIS-NYSTEK : offre conjointe pour un #accompagnement de la mise en #conformité au #RGPD et de la sécurité de votre #SI, avec, le cas échéant, une mise en conformité ou une #certification #ISO 27001-5
1. Mise en conformité au Règlement Général de Protection des
Données à caractère personnel (RGPD)
2017 – Tous droits réservés – Virtualegis/Nystek Editions
2. RGPD
Mise en conformité des systèmes d’information, des procédures et de la documentation
1 Dates et chiffres clés
2 Les principales nouveautés du RGPD par rapport au droit actuel
3 Les étapes de la mise en conformité
4 Notre offre d’assistance complète à la gouvernance informatique et libertés
5 Informations de contact
2017 – Tous droits réservés – Virtualegis/Nystek Editions
5 Informations de contact
3. Dates clés
Petit rappel historique
La loi informatique et
libertés
Nouvelles obligations légales
pour les responsables de
traitement.
1978
Directive européenne
95/46
La directive 95/46 adapte le
droit des données
personnelles (CIL).
1995
Modification de la loi
informatique et libertés
Transposition tardive de la
directive européenne dans le
droit français.
2004
Adoption du RGPD
Responsabilisation des
acteurs, renforcement des
droits, adaptation et
uniformisation du droit.
2016
Loi pour la République
Numérique
Renforcement des droits,
création de droits,
augmentation des sanctions.
2017 2018
Deadline
2017 – Tous droits réservés – Virtualegis/Nystek Editions
4. Plus que quelques mois…
Pour se mettre en conformité et valoriser un avantage concurrentiel
Deadline : 25/05/2018 Avantage concurrentiel
Les plus grandes entreprises
sont en cours de mise en
conformité. Elles ne pourront
contracter qu’avec des
entreprises conformes.
Communication valorisante
De lourdes sanctions
A partir du 25/05/2018,
l’entreprise non-conforme
risque d’être condamnée à
hauteur de 20.000.000 € ou de
4% du chiffre d’affaires annuel.
Un préjudice d’image
En cas de non-conformité, le
risque de préjudice d’image est
accru par la possibilité de la
CNIL de rendre publiques ses
décisions
Les entreprises soumises au
RGPD doivent se mettre en
totale conformité avant le
25/05/2018.
2017 – Tous droits réservés – Virtualegis/Nystek Editions
5. RGPD
Mise en conformité des systèmes d’information, des procédures et de la documentation
1 Dates et chiffres clés
2 Les principales nouveautés du RGPD par rapport au droit actuel
3 Les étapes de la mise en conformité
4 Notre offre d’assistance complète à la gouvernance informatique et libertés
5 Informations de contact
2017 – Tous droits réservés – Virtualegis/Nystek Editions
6. A qui s’applique le RGPD ?
Etes-vous concernés ?
Toute entreprise établie hors UE,
lorsqu’elle traite des DCP
concernant des personnes se
trouvant sur le territoire de l’UE
lorsque :
• les activités de traitement sont liées à
l'offre de biens ou de services dans
l'UE,
• les activités de traitement sont liées
au suivi du comportement de ces
personnes.
Toute entreprise traitant des DCP et
ayant une activité professionnelle
sur le territoire de l’UE
• Quel que soit son secteur d’activité,
• Qu’elle soit publique ou privée,
• Quel que soit le type (sensibles ou
non) et le nombre des données
traitées,
• Quelles que soient les modalités du
traitement (automatisé en tout ou en
partie ou non automatisé).
2017 – Tous droits réservés – Virtualegis/Nystek Editions
7. Les grands principes du RGPD
La RGPD responsabilise les entreprises et renforce les droits des personnes
• Lors de la conception ou
du développement du SI
interne, des produits ou
services fournis aux tiers :
intégration de la
protection des données.
• Mesures techniques
• Méthodologies dans les
process métier.
“Privacy By Default”
Lors du traitement :
Résultat de la mise en place de
mesures techniques et
organisationnelles : par
défaut, seules les données à
caractère personnel
nécessaires au regard de
chaque finalité spécifique du
traitement sont traitées.
“Accountability”
Le RGPD a responsabilisé les
entreprises traitant des DCP
Mise en place de
méthodologies et de
procédures internes
permettant de démontrer le
respect des règles relatives à
la protection des DCP (outils :
registres, certification, codes
de conduite)
Sécurité renforcée
Moyens pour garantir
confidentialité, intégrité,
disponibilité et résilience
constantes des SI et services,
Moyens pour garantir la
disponibilité des données et l’accès
“dans des délais appropriés”,
Procédures de test, d’analyse et
d’évaluation de l’efficacité des
mesures techniques et org.
“Privacy By Design”
2017 – Tous droits réservés – Virtualegis/Nystek Editions
8. Les grands principes du RGPD
La RGPD responsabilise les entreprises et renforce les droits des personnes
Notification à la CNIL des violations
de DCP (accès, alteration,
destruction...) dans le délai
maximum de 72H. Sauf si la
violation n’est pas “susceptible
d’engendrer un risque pour les
droits et libertés…”
+ “dans les meilleurs délais” aux
personnes si “risque elevé pour les
droits et libertés”.
Plus de transparence
Données collectées auprès de la
personne :
identité du RT et du DPO, finalité(s),
base(s) juridique(s), destinataires,
durée, exercice des droits, faculté
de réclamation, caractère
réglementaire ou contractuel
+ le cas échéant : intérêt légitime,
flux hors UE, droit de retirer le
consentement, décision
automatisée.
Consentement éclairé
Le RT doit être “en mesure de
démontrer” le consentement
A partir d’une “demande de
consentement” “claire et simple”
sous une forme “compréhensible et
aisément accessible”.
Nouveau : droit de retirer son
consentement à tout moment.
Règles spécifique pour l’accès des
mineurs aux services en ligne.
Droits des personnes
Objectif : rendre plus effective la
maîtrise de ses données par la
personne intéressée elle-même.
Outre les droits d’accès, de
rectification et d’opposition au
traitement, le RGPD conforte le
« droit à l’oubli » (effacement,
déréférencement…) et institue un
nouveau droit, le droit à la
portabilité
Notif. des violations
2017 – Tous droits réservés – Virtualegis/Nystek Editions
9. Un expert de la protection des données personnelles
Le DPO, qui devra justifier de compétences en matière juridique ainsi que
d’une expérience en matière de protection des données, sera obligatoire :
• Dans le secteur public,
• Si le traitement exige “un suivi régulier et systématique à grande échelle
des personnes »,
• S’il s’agit d’un « traitement à grande échelle » de données sensibles.
Le DPO est optionnel, mais souvent indispensable, dans les autres cas.
Le DPO externe
Le cabinet VIRTUALEGIS, s’appuyant sur son expérience ainsi que sur l’outil
de gouvernance des données à caractère personnel APM (Actecil Privacy
Manager), proposera, à partir du 25 mai 2018, aux entreprises ne disposant
pas de DPO en interne, une désignation en tant que DPO externe.
Le “data protection officer” - DPO
Le DPO au centre du système mis en place par le RGPD
2017 – Tous droits réservés – Virtualegis/Nystek Editions
10. Un partenaire des entreprises
La CNIL a un double visage : c’est une autorité de contrôle qui
sanctionne en cas de constatation de non-conformité. Mais c’est
aussi un partenaire des entreprises (service des CIL, labellisation,
certifications, codes de conduite, etc.) et des usagers des services.
Le service des CIL (futur service des DPO)
Les deux CIL externes du cabinet VIRTUALEGIS ont accès en
permanence au services de la CNIL via un extranet dédié et dans les
locaux de la CNIL (à Paris 7e arrondissement, 3 Place de Fontenoy).
L’autorité de régulation française : la CNIL
Une autoriété de contrôle partenaire du CIL et bientôt du DPO
2017 – Tous droits réservés – Virtualegis/Nystek Editions
11. RGPD
Mise en conformité des systèmes d’information, des procédures et de la documentation
1 Dates et chiffres clés
2 Les principales nouveautés du RGPD par rapport au droit actuel
3 Les étapes de la mise en conformité
4 Notre offre d’assistance complète à la gouvernance informatique et libertés
5 Informations de contact
2017 – Tous droits réservés – Virtualegis/Nystek Editions
12. Les 6 étapes de la mise en conformité au RGPD
Selon la CNIL
Etape 1 : désigner un pilote, un « chef d’orchestre qui
exercera une mission d’information, de conseil et de
contrôle en interne ». Par hypothèse, la personne qui sera
désignée délégué à la protection des données (DPO).
Etape 2 : cartographier les traitements de données. Pas de
mesure concrète de l’impact du RGPD sur les données
traitées sans recensement précis des traitements. Utiliser
le registre existant (CIL) ou créer un registre.
Etape 3 : prioriser les actions à mener. Sur la base du
registre, identifier les actions à mener pour se conformer
aux obligations actuelles et à venir. Prioriser ces actions au
regard des risques sur les droits des personnes concernées.
Etape 4 : gérer les risques. Si des traitements de DCP
susceptibles d'engendrer des « risques élevés pour les
droits et libertés des personnes intéressées » ont été
identifiés, obligation de mener, pour chaque traitement
concerné, une analyse d'impact (EIVP ou PIA).
Etape 5 : organiser les processus internes. Mise en place
des procédures internes qui garantissent la protection des
données à tout moment, en prenant en compte à l’avance
l’ensemble des événements qui peuvent survenir.
Etape 6 : documenter. Pour prouver la conformité au
règlement, il est nécessaire de constituer et regrouper la
documentation nécessaire. Les actions et documents
réalisés à chaque étape doivent être réexaminés et
actualisés régulièrement.
2017 – Tous droits réservés – Virtualegis/Nystek Editions
13. RGPD
Mise en conformité des systèmes d’information, des procédures et de la documentation
1 Dates et chiffres clés
2 Les principales nouveautés du RGPD par rapport au droit actuel
3 Les étapes de la mise en conformité
4 Notre offre d’assistance complète à la gouvernance informatique et libertés
5 Informations de contact
2017 – Tous droits réservés – Virtualegis/Nystek Editions
14. Notre approche
Offre conjointe : conformité et sécurité
Partie conformité et juridique :
VIRTUALEGIS, cabinet d’avocats ayant 20 années d’expérience du droit de l’informatique,
reconnu en droit des données personnelles (Magazine DECIDEURS : forte notoriété, cours à
l’ENSAE) ayant en son sein deux avocats –CIL expérimentés.
Pilote : Pascal ALIX, Virtualegis
Partie informatique et sécurité
NYSTEK Editions a des experts DSI/RSSI, ayant plus de 15 ans d’expérience dans la
gouvernance de la Sécurité des Systèmes d’Informations, la conformité, la certification, le
réglementaire – PCI DSS, SOX, Bâle, ISO 27001…
Pilote : Frédéric Gouth, Nystek
Editions
2017 – Tous droits réservés – Virtualegis/Nystek Editions
15. L’accompagnement dans les 6 étapes de la mise en conformité :
1. Constitution d’une équipe “conformité et passage au RGPD”,
2. La cartographie des traitements : en commun, à l’aide d’un outil en mode Saas avec
échanges sécurisés,
3. Identification des actions à mener après avoir listé les écarts de conformité et
priorisation en fonction des risques,
4. Analyse des risques (analyse d’impact) pour les droits et libertés des personnes avec
l’outil EIVP proposé par le cabinet,
5. Détermination des processus internes à mettre en place ou modifier,
6. Documentation de la conformité : une partie de la documentation est éditée en temps
réel et une partie est établie séparément (chartes, conditions, mentions, etc.).
A partir de mai 2018 : l’accompagnement du futur DPO ou la désignation
Membre de l’
L’offre conformité et juridique
Une prestation fiabilisée par l’expérience des avocats
2017 – Tous droits réservés – Virtualegis/Nystek Editions
16. Les principaux avantages de notre outil de conformité :
1. Outil conforme au RGPD, intégrant l’ensemble des normes (AU, NS, etc.) de la CNIL, amélioré
depuis 8 années, édité par une entreprise qui a de nombreuses années d’expérience de la
conformité informatique et libertés, de nombreuses fois labellisée par la CNIL,
2. Outil multiutilisateurs, avec gestion aisée des droits d’accès, fonctionnant en mode SaaS,
3. Edition automatique du registre des traitements et du bilan annuel, avec toutes les mentions
exigées par le RGPD,
4. Outil intégré pour effectuer simplement des études d’impact (EIVP), avec édition de
documents,
5. Espace sécurisé d’échange permettant de répondre à bref délai aux diverses questions posées
par les différents utilisateurs relatives à la conformité au RGDP,
6. Preuve historicisée de l’ensemble des actions menées dans le cadre de la mise en conformité,
Partenaire :
L’offre conformité et juridique
Une prestation fiabilisée par un excellent outil de gouvernance des données
2017 – Tous droits réservés – Virtualegis/Nystek Editions
17. Une longue expérience du droit des technologies de l’information :
https://www.virtua-legis.com, site internet du cabinet, dédié au droit des technologies de
l’information, existe depuis février 1999. C’est l’un des tous premiers sites internet
d’avocats en France. Le premier, historiquement, à proposer en France une consultation
juridique en ligne en droit des T.I.C. avec solution de chiffrement.
La clientèle du cabinet est composée majoritairement d’entreprises agissant dans le
secteur du numérique (éditeurs de logiciels, e-commerçants, plateformes de réseaux
sociaux, ESN, etc.).
Une longue expérience de la rédaction et de la standardisation de la documentation
juridique (rédaction d’actes-types) :
Depuis 2000, nous avons conçu, créé et développé une bibliothèque de plus de 500
modèles de contrats et actes commentés par des avocats, commercialisés sur le réseau
Internet, projet racheté en 2010 par une filiale de VIVENDI.
Cette expérience garantit une relecture fiable de l’ensemble des chartes, documents et
contrats conclus avec les sous-traitants, au-delà de la présence des mentions obligatoires.
L’offre conformité et juridique
Une longue expérience du droit des T.I.C.
2017 – Tous droits réservés – Virtualegis/Nystek Editions
18. Principales prestations :
1. Analyses des risques,
2. Mise en place de mesures techniques, organisationnelles et automatisées,
3. Audits sur la Sécurité du Système d’Information – organisationnel, intrusion, code,
social engineering…,
4. Accompagnement à la conformité et à la certification ISO 27001, PCI DSS, SOX…,
5. Gouvernance et rédaction de PGSSI et de PSSI,
6. Mise en place de contrôles permanents,
7. Elaboration de PCA et de PRA,
8. Sensibilisation
L’offre sécurité informatique
Une prestation fiabilisée par une grande expérience de la sécurité informatique
2017 – Tous droits réservés – Virtualegis/Nystek Editions
19. Plan de remédiation :
NYSTEK Editions établit un rapport unique contenant le plan de remédiation bâti sur la
criticité :
1. Mandatory
2. Must-have
3. Nice-to-have
Le rapport explique et détaille les mesures à mettre en place pour réduire et éliminer
chaque écart.
Fort de notre expertise technique et notre approche pragmatique, nous nous assurons
que nos clients seront en mesure de mettre en place toutes les mesures que nous avons
préconisées.
Nous assurons également un suivi de ce plan de remédiation afin de garantir que toutes
les actions sont menées à leur terme.
L’offre sécurité informatique
Une prestation fiabilisée par une grande expérience de la sécurité informatique
2017 – Tous droits réservés – Virtualegis/Nystek Editions
20. L’offre VIRTUALEGIS + NYSTEK Editions
Une offre unique et complète pour le passage au RGPD
Notre offre s’appuie sur une collaboration permanente entre des
experts de la fonction sécurité du SI et des expert de la conformité au
RGPD, collaborant avec la CNIL, en combinant diverses compétences :
Juridique
Recensement des traitements
Analyse d’impacts
Analyse et gestion des risques
Gestion de la conformité
Politique de Sécurité (PSSI)
Sécurité du SI
Notre complémentarité permet d’avoir une offre unique mise à votre service !
2017 – Tous droits réservés – Virtualegis/Nystek Editions
21. Informations de contact
Cabinet VIRTUALEGIS
5 rue Jean-Baptiste Dumas
75017 Paris
Tel. : +33 (0)9 61 45 85 24
NYSTEK Editions
238 route de de l’Empereur
92500 Rueil-Malmaison
Tel. : 06 09 17 80 44
2017 – Tous droits réservés – Virtualegis/Nystek Editions
Pascal ALIX
alix@virtua-legis.com
Virtualegis
https://www.virtua-legis.com
Twitter
https://twitter.com/virtualegis
Nystek Editions
contact@nystek-editions.com
Nystek Editions
https://www.nystek.com/
Nystek Editions
https://twitter.com/ContactNystek