Focus sur les implications techniques du RGPD - GPDR Description de l'offre d'assistance de SysStreaming

1. 12/09/2017 © SysStreaming 2017 – Confidentiel 1
RGPD/GDPR
Focus sur les aspects
Technico-Réglementaires
Règlement Général sur la Protection des Données
General Data Protection Regulation

2. 12/09/2017 © SysStreaming 2017 – Confidentiel 2
Le GDPR
Vision d’Ensemble

3. 12/09/2017 © SysStreaming 2017 – Confidentiel 3
LE GDPR
Le Règlement Général Européen sur la Protection des Données (RGPD ou GDPR en anglais) est un texte
de 88 pages dans sa version Française. Sa mise en place est un changement majeur de la loi sur la
protection des données dans l'Union Européenne et dans le monde.
Le GDPR remplacera les 28 lois nationales de protection des données basées sur la Directive sur la
Protection des Données (DPD) de 1995.
Ce nouveau règlement a pour objectif de :
• Consolider la confiance des consommateurs et usagers envers les organisations qui collectent,
détiennent et traitent leurs données à caractère personnel en renforçant leurs droits de
confidentialité et de sécurité de manière cohérente.
• Simplifier, à l'aide d'un cadre de protection des données cohérent et uniforme dans l'ensemble des
États membres, le libre flux des données, en particulier à caractère personnel, au sein de l'UE.
S’il ne modifie pas intrinsèquement les règles de la DPD, le GDPR étend plutôt les exigences de la
Directive en mettant en place plusieurs nouvelles obligations afin de renforcer ces règles.

4. 12/09/2017 © SysStreaming 2017 – Confidentiel 4
LE CALENDRIER DU GDPR
Certaines obligations supplémentaires sont déjà en vigueur, en particulier en Allemagne. Il y
est nécessaire de nommer des délégués à la protection des données (DPO). Il y est aussi
recommandé de recourir à la « pseudonymisation » des données et il y existe de nombreuses
exigences liées à la protection des données personnelles quant aux contrats des sous-traitants.
L’ensemble des états membres va devoir suivre les obligations inhérentes au GDPR et tous vont
devoir adapter leurs lois en conséquence.
A défaut de loi spécifique, le GDPR s’applique, et ce dès le 25 mai 2018 dans toute l’Union
Européenne.
Chaque organisation qui traite ou partage des données à caractère personnel devrait se
conformer au nouveau règlement.

5. 12/09/2017 © SysStreaming 2017 – Confidentiel 5
LES CONTRAINTES DU GDPR
Les organisations vont avoir à cartographier les données à caractère personnel qu'elles collectent,
détiennent et traitent ainsi que les risques liés à ces données (DPIA : Data Privacy Impact Assement).
Elles vont devoir adapter leurs procédés commerciaux, leurs solutions techniques, les technologies
employées et leurs infrastructures, mettre en place des outils et des procédés conformes au règlement,
mais aussi changer leur façon de collaborer avec les autorités de contrôle, avec les fournisseurs ainsi
qu’avec les sous-traitants. Fréquemment, ces changements seront importants et ces organisations vont
devoir se mettre rapidement en conformité. L’échéance touche toutes les organisations de l'UE, et il
existe notoirement une pénurie de ressources qualifiées dans le domaine de la conformité.
Pour beaucoup d'organisations, ce règlement est perçu comme un fardeau administratif. Néanmoins,
négliger le RGPD ou mal le mettre en place peut avoir de graves conséquences : la violation du
règlement est assortie d’amendes administratives pouvant représenter jusqu'à 4 % du chiffre d'affaires
mondial annuel ou 20 millions d’euros, selon le montant le plus élevé.

6. 12/09/2017 © SysStreaming 2017 – Confidentiel 6
LES BÉNÉFICES DU GDPR
Les organisations qui auront su se préparer et se conformer au GDPR éviteront le risque
d'importantes amendes ainsi qu’une atteinte à leur réputation et à leur image de marque.
Il est de plus prévisible que ces organisations observeront après la mise en conformité avec le
GDPR une réelle amélioration dans leurs traitements des données, dans la sécurité des
informations, dans les procédés de conformité et dans les relations contractuelles, qui en
sortiront plus solides et plus fiables.
Qui plus est, les relations commerciales, en particulier de sous-traitance, seront rendues plus
aisées de par la certitude de toutes les parties que la protection des données fait partie
intégrante des traitements et des processus mis en œuvre. Cela est d’autant plus primordial
lorsque ces relations commerciales impliquent le partage ou la transmission de données à
caractère personnel.

7. 12/09/2017 © SysStreaming 2017 – Confidentiel 7
LES ACTEURS CONCERNÉS PAR LE GDPR
Le responsable du traitement (organisation) est « la personne physique ou morale, l'autorité
publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres,
détermine les finalités et les moyens du traitement des données à caractère personnel ».
La personne concernée est une personne physique « identifiable de manière directe ou
indirecte, notamment par référence à un identifiant, tel qu'un nom, un numéro
d'identification, des données de localisation ou un identifiant en ligne. »
Le sous-traitant (prestataires de services) est « la personne physique ou morale, l'autorité
publique, le service ou un autre organisme qui traite des données à caractère personnel pour
le compte du responsable du traitement », Par exemple : un fournisseur de services Cloud
proposant du stockage de données ou une solution de gestion électronique de documents en
mode SaaS.

8. 12/09/2017 © SysStreaming 2017 – Confidentiel 8
LES DONNÉES À CARACTÈRE PERSONNEL SELON LE
GDPR
Les données à caractère personnel sont les « informations se rapportant à une personne physique
identifiée ou identifiable (la « personne concernée ») ». Le règlement stipule que cela inclut également
les identifiants en ligne comme les adresses IP, les cookies et la jurisprudence va dans le sens d’y inclure
aussi les identifiants de communications (numéros de téléphone, adresse email…).
La formulation officielle est, telle que définie à l’Article 4.1 du GDPR : … toute information se rapportant
à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est
réputée être une «personne physique identifiable» une personne physique qui peut être identifiée,
directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro
d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments
spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle
ou sociale;

9. 12/09/2017 © SysStreaming 2017 – Confidentiel 9
LES DROITS DES PERSONNES
Le GDPR introduit de nouveau droits pour les personnes concernées
Le Droit d’accès permet de demander directement au responsable d’un fichier si des informations concernant une personne sont
détenues dans celui-ci, auquel cas il permet aussi de demander à ce que soient communiquées l’intégralité de ces données. Ainsi,
seront transmises les finalités du traitement, le type de données enregistrées, l’origine et les destinataires des données ainsi que
les éventuels transferts en dehors de l’Union Européenne. Ce droit permet de contrôler l’exactitude des données, mais aussi de
les faire rectifier ou effacer selon la situation.
Le Droit d’opposition au traitement permet de s’opposer à ce que les données personnelles soient présentes dans un fichier,
soient diffusées, transmises ou conservées. Ce droit peut s’exercer au moment de la collecte de l’information ou plus tard, en
s’adressant au responsable du traitement. La plupart du temps, un motif légitime est requis, sauf en matière de prospection
commerciale. Par exemple, il est possible de s’opposer à ce que son nom soit encore présent dans l’organigramme d’un ancien
employeur.
Le Droit relatif au profilage rend possible de demander le retrait ou l’annulation de toute décision produisant des effets juridiques
lorsqu’elle est adoptée exclusivement sur la base d’un traitement automatisé qui est destiné à examiner certains aspects de la
personnalité des personnes, comme le profilage. Les effets de cette décision doivent être négatifs, c’est à dire qu’il doit y avoir
exclusion ou refus. Par exemple, une personne a le droit de s’opposer à ce qu’une compagnie d’assurance refuse de l’assurer au
motif qu’un algorithme a détecté sa présence récurrente sur des lieux de consommation d’alcool.

10. 12/09/2017 © SysStreaming 2017 – Confidentiel 10
LES DROITS DES PERSONNES
Le GDPR introduit de nouveau droits pour les personnes concernées
Le Droit de rectification permet de faire rectifier ses données personnelles lorsqu’elles sont erronées, inexactes, incomplète,
périmées ou lorsque la collecte et le traitement sont interdits. La rectification doit intervenir dans un délai d’un mois après la
demande. L’organisme doit alors informer les tiers auxquels elle a communiqué ces données et informer les personnes au sujet des
tiers auxquels les données ont été divulguées. Cependant, ce droit de rectification ne s’applique pas aux traitements littéraires,
artistiques et journalistiques.
Le Droit à la Portabilité des données est la possibilité de gérer ses propres données. La personne dont les données sont détenues par
une organisation peut demander à les transférer d’un environnement informatique à un autre d’une manière sure et sécurisée. Ces
données doivent être transférées sous une forme structurée, lisible et couramment utilisée. Ce transfert doit être réalisé
gratuitement et dans un délai d’un mois. Par exemple, un utilisateur qui utilise un service de carnet d’adresses en ligne contenant les
coordonnées et des informations relatives à ses contacts peut demander à ce que lui soit transmis sous un format exploitable la liste
des données contenues dans son carnet d’adresses en ligne.
Le Droit à l’effacement : Les personnes ont le droit de faire effacer leurs données personnelles et d’empêcher leur traitement lorsque
celui-ci leur cause des dommages. Le responsable du traitement est tenu de procéder aux opérations demandées et de répondre à la
personne sous deux mois suivant la réception de la demande. Par exemple, l’individu retire son consentement à ce que son adresse
e-mail soit utilisée à des fins de prospection commerciale par une entreprise.
Le Droit au déréférencement rend possible de demander aux moteurs de recherche de déréférencer une page web qui est associée à
un nom et un prénom. Chacun de ces moteurs de recherche dispose d’un formulaire en ligne. Le déréférencement par le moteur de
recherche n’entraine pas la suppression des informations qui figurent sur le site ressorti dans la liste des résultats, c’est-à-dire le site
internet source qui héberge le contenu.

11. 12/09/2017 © SysStreaming 2017 – Confidentiel 11
LES OBLIGATIONS SELON LE GDPR
Tenir et maintenir un registre des traitements de données. Ce registre est décrit plus loin dans ce document.
Effectuer une analyse d’impact en ce qui concerne les données personnelles et leurs traitements.
Mettre en œuvre les procédures et les mesures de sécurité nécessaires à la protection des données personnelles.
Informer en cas de faille ou de fuites de données. Notifier dans les 72h l’autorité de contrôle (la CNIL en France) ET les personnes concernées. Tous
les tiers à qui les données ont été transmises, par exemple dans le cadre d’accords de sous-traitance ou de partenariat, doivent aussi être
informés.
Mettre en œuvre les procédures nécessaires pour traiter toutes les demandes auxquelles ont le droit les personnes concernées (demande d’accès,
effacement, portabilité, etc.). L’automatisation du traitement de ces demandes est fortement recommandée.
Informer de façon transparente, complète et facilement compréhensive les personnes concernées en ce qui concerne les données collectées, les
traitements de ces données, la finalité de ces traitements et les droits des personnes concernées.
Recueillir le consentement exprès et explicite des personnes concernées à ce que leurs données soient collectées et traitées. En particulier, les
cases à cocher d’acceptation de conditions générales ne peuvent généralement plus être cochées par défaut, et un cookie ne peut être déposé
avant acceptation explicite.
Sensibiliser le personnel à la protection des données, voire le former afin que les dispositions du GDPR lui soit familières et que les traitements des
données prennent en compte ces dispositions.
S’assurer du respect des obligations du GDPR de bout en bout du flux de circulation des données, en particulier en cas de sous-traitance, de
partage, de partenariat, de collaboration etc. mettant en œuvre des données à caractère personnel.
Désigner un DPO n’est pas systématiquement obligatoire mais est
fortement recommandé dès que des données à caractère personnel
sont prises en charge.

12. 12/09/2017 © SysStreaming 2017 – Confidentiel 12
LES OBLIGATIONS DES SOUS-TRAITANTS
Tenir un registre des traitements de données effectués par le sous-traitant pour le compte des responsables de traitements.
Mettre en œuvre les procédures et les mesures de sécurité nécessaires et être en mesure d’informer le responsable de traitement en cas de violation de la
sécurité.
Être en mesure de contester les instructions du responsable de traitement lorsqu’elles sont contraires à la loi. En cas de violation importante ou évidente du
GDPR concernant des données et des traitements pris en charge par le sous-traitant, ce dernier pourrait être impliqué et sanctionné par les autorités.
Mettre en œuvre les procédures nécessaires pour assister le responsable de traitement relativement à toutes les demandes des personnes
concernées (demande d’accès, effacement, portabilité, etc.). L’automatisation du traitement de ces demandes est fortement recommandée.
S’assurer, le cas échéant, de ne sous-traiter à un autre sous-traitant qu’avec le consentement écrit ou, selon les cas, avec l’information préalable du
responsable de traitement en ayant signé un contrat similaire à celui signé avec le responsable de traitement, en particulier en ce qui concerne les obligations
de conformité au GDPR.
Le contrat qui lie le sous-traitant au responsable du traitement des données doit définir l'objet et la durée du traitement, la nature et la finalité du traitement,
le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement. Si, en
violation du RGPD, un sous-traitant détermine les finalités et les moyens du traitement, il est considéré comme un responsable du traitement pour ce qui
concerne ce traitement (et les sanctions applicables sont alors celles prévues pour les responsables des traitements)
Désigner un DPO n’est pas systématiquement obligatoire mais est fortement recommandé dès que des données à caractère personnel sont
pris en charge par le sous-traitant.
Dans la plupart des cas, les sanctions applicables aux sous-traitants sont celles prévues à l’article 83.4 du GDPR, soit un maximum de 2% du
chiffre d’affaire mondial ou 10 millions d’Euros, le montant le plus élevé étant retenu.

13. 12/09/2017 © SysStreaming 2017 – Confidentiel 13
LE REGISTRE DES TRAITEMENTS
La tenue d’un registre des traitements ou registre des activités de traitement est imposée par le GDPR.
Les organisations et les sous-traitants mettant en œuvre des traitements de données personnelles
doivent tenir leur propre registre d'activités de traitement des données. Ce registre doit pouvoir être mis
à la disposition des autorités de contrôle. Il doit indiquer clairement quelles sont les données traitées,
où, comment ainsi que la finalité des traitements. Il doit aussi mentionner les durées de conservation
des données.
L’obligation de tenir un registre s'applique aux organisations comptant plus de 250 employés ainsi qu’à
toutes les organisations effectuant des traitements susceptibles de comporter un risque pour les droits
et libertés des personnes concernées. Il en va de même pour les traitements systématiques tels que
l’enregistrement des coordonnées d’un client dans une vente à distance.
Ainsi, toutes les entreprises d’e-commerce et de vente à distance sont a priori concernées, toutes les
associations possédant ou ayant accès à des fichiers contenant des données à caractère personnel, de
même que toutes les organisations qui traitent des données personnelles, même en B2B.

14. 12/09/2017 © SysStreaming 2017 – Confidentiel 14
LE DPO
Le DPO, Data Protection Officer, est le Délégué à la Protection des Données. Son rôle s’apparente à un super
Correspondant Informatique et Libertés (CIL) avec des responsabilités en plus.
Les responsables de traitement et les sous-traitants devront obligatoirement désigner un DPO s’ils
appartiennent au secteur public, si leur activité principale les amène à réaliser à grande échelle un suivi
systématique des personnes ou à traiter des données « sensibles ». Dans les autres cas, dès que des données à
caractère personnel sont traitées au sein d’une organisation, il est vivement recommandé de nommer un DPO
ou une personne assumant les mêmes missions et responsabilités. Le DPO peut être interne, externe et même
mutualisé.
Il est le « chef d’orchestre » de la conformité en matière de protection des données, chargé d’informer et de
conseiller le responsable de traitement ou le sous-traitant, ainsi que leurs employés, de contrôler le respect du
règlement et du droit national en matière de protection des données, de conseiller l’organisation sur la
réalisation d’une analyse d’impact et d’en vérifier l’exécution, de coopérer avec l’autorité de contrôle et d’être
le point de contact de celle-ci.

15. 12/09/2017 © SysStreaming 2017 – Confidentiel 15
LE DPO
Le DPO est désigné sur la base de son expertise, qui allie connaissances juridiques ou réglementaires et techniques. Il est le
garant de l’application du RGPD.
Il doit pouvoir intervenir et alerter l’organisation qui l’a nommé, et est réputé avoir l’appui de la direction en ce qui concerne la
protection des données à caractère personnel.
Le DPO ne doit pas être soumis à des conflits d’intérêt et ne peut généralement pas être un membre de la direction de
l’organisation qui l’a nommé. Il ne peut ordinairement pas non plus être partie prenante à l’élaboration des finalités des
traitements dont il est chargé de s’assurer de leur conformité au GDPR.
Le DPO est chargé de réaliser ou de faire réaliser audits et analyses de risque, afin d’identifier l’ensemble des traitements de
données personnelles (y compris les lieux de traitement) et, en fonction des spécificités de chaque organisation, de déterminer si
certaines autorisations sont nécessaires ou certaines dérogations applicables.
Le DPO d’une organisation devra être capable de dialoguer avec les DPO de ses clients, fournisseurs et sous-traitants.
Le DPO est chargé de tenir ou de faire tenir le registre des traitements, de la mise en conformité des traitements qui ne
respectent pas la loi ou le règlement et du suivi de l’évolution des traitements.

16. 12/09/2017 © SysStreaming 2017 – Confidentiel 16
CERTIFICATIONS ET CODES DE CONDUITE
S’il n’existe pas aujourd’hui de certification reconnue permettant de faire valoir une conformité au GDPR, il y est prévu des
mécanismes de certification et des contrôles de codes de conduites agréés.
Certaines certifications, en particulier de la famille ISO 2700X, peuvent être utiles en matière de sécurité et de confidentialité des
données, mais sont souvent surdimensionnées par certains aspects et n’adressent pas certaines spécificités, en particulier les
droits des personnes concernées.
Certains certifications existent ou sont sur le point d’exister en ce qui concerne les auditeurs (agrément « CNIL » en particulier).
Des certifications d’organisations (entreprises, collectivités, associations…) spécialement conçues pour le GDPR vont voir le jour
très prochainement. Elles seront a priori basées sur la certification de codes de conduite et de règles, ainsi que sur le respect des
dispositions du GDPR, en particulier en ce qui concerne la prise ne compte des risques informatique, les droits des personnes et
les preuves de consentement explicite.
Notons que les non-respects des conditions du code de conduite ne sont pas a priori sanctionnés par la GDPR !
En revanche, si un auditeur agréé (certification) ou un contrôleur agréé (code de conduite) manque à ses obligations, il est prévu
une perte d’agrément évidemment et des sanctions pécuniaires en format « 4% CA / 20 millions d’amende »

17. 12/09/2017 © SysStreaming 2017 – Confidentiel 17
E-PRIVACY
Une réglementation additionnelle, nommée « RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU
CONSEIL concernant le respect de la vie privée et la protection des données à caractère personnel
dans les communications électroniques », connue sous le nom d’e-Privacy, est en cours
d’élaboration. Elle abrogera la directive 2002/58/CE (règlement « vie privée et communications
électroniques »).
Elle se focalise plus particulièrement sur les traceurs (cookies) et les autres identifiants (adresses IP,
IMEI, adresse MAC…) et contiendra des dispositions relatives au contrôle des personnes concernées
et aux obligations de tous les acteurs du domaine.

18. 12/09/2017 © SysStreaming 2017 – Confidentiel 18
Se faire accompagner
Il est possible de se faire accompagner par des sociétés spécialisées.
Selon les typologies des organisations et des traitements, il peut être judicieux de faire intervenir plusieurs
entreprises accompagnatrices, spécialisées chacune dans un domaine : Technique, Marketing, Juridique pur...
Les interventions conjointes de plusieurs entreprises seront d’autant plus efficaces que les société
accompagnatrices fonctionneront en bonne synergie, voire auront l’habitude de travailler ensemble.

19. 12/09/2017 © SysStreaming 2017 – Confidentiel 19
ASPECTS TECHNICO-RÉGLEMENTAIRES
Le GDPR introduit des obligations mettant en œuvre des connaissances techniques, en particulier :
• Cartographie des données, des flux et des traitements,
• Implémentation technique en accord avec la finalité des traitements,
• Analyses de risque,
• « Privacy by design »,
• Audits de sécurité, initiaux et au fil de l’eau (tests d’intrusion, détections de failles etc.)
• Documentation et rédaction à valence technique nécessaires à l’élaboration du registre des traitements, des conditions
générales etc.
En ce qui concerne les aspects techniques, il est recommandé de mandater une société ayant des compétences techniques et
réglementaires, qui sera à même d’assister les organisations clientes dans l’élaboration et la mise en œuvre de leur stratégie de
mise en conformité au GDPR. En particulier, l’expertise de la société en charge de l’accompagnement technique doit permettre à
ses clients de vérifier l’adéquation au GDPR des technologies mises en œuvre et, le cas échéant, d’élaborer des stratégies de mise
en conformité.

20. 12/09/2017 © SysStreaming 2017 – Confidentiel 20
CARTOGRAPHIE ET FINALITÉ
En collaboration avec les personnels techniques (CTO, directeur R&D, chefs de projets, développeurs…), les
schémas de bases de données, les modèles conceptuels de données, les programmes et applications, les
protocoles utilisés et les transmissions de données doivent être étudiés.
Cela permet de bâtir la cartographie des données et de leurs flux.
Cette cartographie servira de base à certaines section du registre des traitements et à l’élaboration de
mentions utiles dans les documents de type conditions générales ou d’information destinés aux personnes
concernées, ainsi qu’à certaines sections de documents contractuels.
L’aspect technique de la finalité des traitements s’élabore en étroite collaboration avec le personnel technique.
Cela englobe par exemple les aspects scoring (profilage, reconnaissance d’un même utilisateur sur différents
appareils…), l’indexation, les métadonnées ainsi que les données utiles à la performance des traitements…

21. 12/09/2017 © SysStreaming 2017 – Confidentiel 21
IMPLÉMENTATION ET PRIVACY BY DESIGN
Les organisations clientes devront organiser la
collaboration entre les personnels techniques et
technologiques et les consultants externes, de façon à
élaborer des architectures et des implémentations
tenant compte des contraintes du GDPR, en particulier
de confidentialité (Privacy by Design) et de sécurité, tout
en restant en adéquation avec les finalités des
traitements.
L’anonymisation ou la pseudonymisation des données
devra être étudiée dès que cela sera envisageable, et
proposée dès que cela sera faisable.
Anonymisation et Pseudonymisation
L’anonymisation est une technique qui rend impossible
l’identification de la personne concernée.
La pseudonymisation est une technique qui rend difficile la ré-
identification de la personne concernée.
Par exemple, l’utilisation d’une fonction de hachage (SHA-3 ou
autre) sur des données de type nom et prénom des personnes
concernées est une technique d’anonymisation, alors que
l’utilisation d’une fonction de cryptage symétrique (AES-256
par exemple) sur les mêmes données rend possible le
décryptage dès lors que la clé est accessible. Dans l’exemple de
pseudonymisation ci-dessus, l’accès à la clé de
cryptage/décryptage devra être protégé et, de préférence,
journalisé.

22. 12/09/2017 © SysStreaming 2017 – Confidentiel 22
ANALYSE DE RISQUE ET SÉCURITÉ
L’accompagnement devra aussi porter sur l’analyse des risques, en particulier ceux liés aux choix
techniques et technologiques.
Cela prend en compte la sécurité des données, ainsi que les aspects plus généraux liés à la sécurité
des installations informatiques et des réseaux.
Par exemple, un questionnaire peut-être utilisé pour évaluer les pratiques en œuvre et, le cas
échéant, des actions correctives sont proposées.
En accord avec les responsables en charge de la sécurité informatique, une société en charge de
l’accompagnement peut parfois effectuer des tests de vulnérabilité : une batterie de tests est
effectuée initialement, et, en fonction de ses résultats, des actions correctives sont proposées. Des
tests de vulnérabilité peuvent aussi être effectués à intervalle régulier, de façon à vérifier
l’adéquation des mesures de sécurité dans le temps, aussi bien en ce qui concerne l’évolution des
systèmes de l’organisation que celle des failles de sécurité répertoriées.

23. 12/09/2017 © SysStreaming 2017 – Confidentiel 23
RÉDACTION TECHNICO-RÉGLEMENTAIRE
Le GDPR introduit plusieurs dispositions qui se traduisent par l’obligation de créer et de maintenir à jour des
documents incluant des sections comprenant des aspects techniques :
• Le registre des traitements
• Les documents d’information à l’usage des personnes concernées
…mais aussi
• Des documents internes (bonnes pratiques etc.),
• Des documents contractuels entre autre de fourniture de biens ou de services, de sous-traitance, de
partenariat etc.
Il peut alors s’avérer judicieux de se faire accompagner par une société ayant une solide expérience en matière
de rédaction technico-réglementaire ou de vulgarisation, de façon à permettre l’élaboration de ces documents
en tenant compte de leur lectorat et du formalisme propre à chacun.

24. 12/09/2017 © SysStreaming 2017 – Confidentiel 24
SENSIBILISATION À LA
PROTECTION DES DONNÉES
Le GDPR prévoit la formation et la sensibilisation du personnel des organisation responsables des traitements
informatiques.
Une société accompagnatrice peut alors organiser pour ses clients des sessions de sensibilisation à la
protection des données et au respect du GDPR, à destination de tout le personnel mais aussi des sessions plus
spécifiques destinées au personnel technique et scientifique ainsi qu’aux personnes chargées de missions de
marketing.
Les aspects techniques constituent généralement une grande partie de ces sessions de sensibilisation, mais
les autres aspects doivent aussi y être abordés, en particulier les sanctions, l’impact de la violation du
règlement et, surtout, de la fuite ou du vol de données.
Notons que s’il est possible de sensibiliser les actuels Correspondants Informatique et Libertés (CIL) afin de les
informer sur les rôles et responsabilités des DPO, il n’y a pas de « passerelle » automatique : certains CIL
s’adapteront facilement à un rôle de DPO, lorsque d’autres devront plutôt être le correspondant privilégié d’un
DPO spécifique, et parfois externalisé.

25. 12/09/2017 © SysStreaming 2017 – Confidentiel 25
DPO EXTERNALISÉ
Certaines sociétés accompagnatrices peuvent mettre à disposition de leurs clients un DPO externalisé. On
cherchera généralement à se faire accompagner par un DPO qui a une bonne connaissance du marché et de
l’écosystème de l’organisation cliente.
Un DPO externalisé devra s’imprégner des technologies et process mis en œuvre dans l’organisation cliente
afin d’être en mesure d’assurer le rôle et les responsabilités inhérentes à sa mission.
En étroite collaboration avec la direction et le personnel de l’organisation, en particulier avec le personnel
technique et scientifique et le personnel du marketing, il devra superviser l’élaboration de la cartographie, du
registre des traitements, de la description des finalités des traitements. Il supervisera aussi les audits, y
compris de sécurité et la mise en conformité avec le GDPR et sera en mesure de faire des recommandations
de mise en conformité. Enfin, il supervisera les aspects techniques des documents de condition générales,
d’information (interne et externe) et contractuels (lorsque des données personnelles sont impliquées dans la
relation contractuelle).

26. 12/09/2017 © SysStreaming 2017 – Confidentiel 26
Pour en savoir plus
Contact : gdpr@sysstreaming.com
+33/0 6 16 32 17 03
Infographie de la commission européenne :
http://ec.europa.eu/justice/newsroom/data-protection/infographic/2017/index_fr.htm
Texte officiel :
http://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX:32016R0679