L'enjeu et la démarche GDPR pour l'entreprise. Amal Marc, DPO Région Europe Capgemini, André Follic, Leader CyberSécurité Capgemini

1. Mardi 26 septembre 2017 │ CNIT Paris La Défense
Copyright © 2017 Capgemini and Sogeti. All rights reserved. 1
#CWIN17
Amal Marc │ Data Protection Officer Région Europe, Capgemini
André Follic │ Leader cybersécurité, Capgemini
#CWIN17 #PARIS
Mardi 26 septembre | CNIT Paris La Défense | Salle Pierre Paulin
L’enjeu et la démarche GDPR
pour l’entreprise

2. Mardi 26 septembre 2017 │ CNIT Paris La Défense
Copyright © 2017 Capgemini and Sogeti. All rights reserved. 2
#CWIN17
Brève histoire du GDPR et démarche Capgemini
Projet SAFARI
Projet gouvernemental
de surveillance de
masse
1. Evolution des contraintes réglementaires en France et en Europe
Directive 95/46/CE
Texte européen à transposer
dans chaque Etat membre
= Autant d’interprétation du
texte que de pays
04/2016: Adoption du Règlement européen
(General Data Protection Regulation) applicable en mai 2018
Risque financier en cas de non-conformité: max 4% CA annuel
Monde
GDPR
2. L’approche de Capgemini
CYSIP
BCR
Loi du 6 jan. 78
Création de la CNIL
Cadre juridique français
de protection des
données personnelles
Loi de 2004
Transpose la directive
95/46/CE et modifie loi
de 78
2014-2017: Cybersecurity & Information Protection Program
(orienté sécurité) Protection de toutes les données Capgemini
2016-2018: Binding Corporate Rules
(orienté privacy compliance) Approbation obtenue auprès de la CNIL
Et des 27 autres autorités de protection des données européennes
Loi de 2009
Crise Safe Harbor
Octobre 2015

3. Mardi 26 septembre 2017 │ CNIT Paris La Défense
Copyright © 2017 Capgemini and Sogeti. All rights reserved. 3
#CWIN17
Mais de quelle « data » parle-t-on ?
Biens essentiels à
considérer
Domaine
Impacts à
considérer
Protection des
données
Protection de la
vie privée
Donnéess
sensibles
secrètes
Données
personnelles
Autres
questions
de vie
privée
Impact sur
l’organisme
Impact sur
les
personnes
Toute donnée qui permet d’identifier directement ou indirectement une personne – notion très largement
étendue par le GDPR
Il existe 2 catégories de données – dont les données sensibles au sein de la loi - à dissocier de la
sensibilité des données d’un point de vue IT, sécurité ou métier

4. Mardi 26 septembre 2017 │ CNIT Paris La Défense
Copyright © 2017 Capgemini and Sogeti. All rights reserved. 4
#CWIN17
4
La protection des données ?
sé
 la collecte,
 l’enregistrement,
 l’organisation,
 la conservation,
 l’adaptation
 la modification,
 l’extraction,
 la consultation,
 l’utilisation,
 la communication par transmission, diffusion ou toute autre
forme de mise à disposition, transfert
 le rapprochement ou l’interconnexion,
 le verrouillage, l’effacement ou la destruction
COLLECTE
TRAITEMENT
STOCKAGE
SUPPRESSION
1
DONNEE A CARACTERE PERSONNEL
Toute donnée qui permet d’identifier
DIRECTEMENT ou INDIRECTEMENT une personne physique.
2
TRAITEMENT
Toute opération ou tout ensemble d’opérations portant sur des données, quel que soit le
procédé utilisé, et notamment :
.
3 4
DROITS & OBLIGATIONS
La loi fixe des principes destinées à imposer des règles aux organismes qui réalisent des
traitements de données et à protéger les droit des personnes concernées par ces traitements
.
ENCADREMENT DU CYCLE DE VIE
La loi encadre les traitements dans le but de protéger les données depuis leur collecte jusqu’à
leur destruction
.
SECURITE
personnes

5. Mardi 26 septembre 2017 │ CNIT Paris La Défense
Copyright © 2017 Capgemini and Sogeti. All rights reserved. 5
#CWIN17
Quelle couverture ?
RESPONSABLE DE TRAITEMENT SOUS TRAITANT INTERNE RELATION AVEC LES TIERS
Sous-traitant
partenaire
clients

6. Mardi 26 septembre 2017 │ CNIT Paris La Défense
Copyright © 2017 Capgemini and Sogeti. All rights reserved. 6
#CWIN17
Stratégie de déploiement du GDPR de Capgemini
 Conformité aux
BCRs (programme
interne de conformité
de Capgemini
approuvé par le
régulateur sur la base
d‘un référentiel produit
par la Commission
européenne)
 Conformité au GDPR
(les dispositions
complémentaires
relatives au GDPR
seront intégrées dans
le programme de
BCRs)
 Conformité au droit
actuel
1
2
3
2014 2016 20182017
Un an avant l’entrée en vigueur du GDPR

7. Mardi 26 septembre 2017 │ CNIT Paris La Défense
Copyright © 2017 Capgemini and Sogeti. All rights reserved. 7
#CWIN17
Les sous-projets BCRs : des engagements très forts
ENGAGEMENTS
● Engagement fort à déployer au sein du groupe de
hauts standards de protection des données
personnelles
CONTROLE
● Information des employés des risques encourus en
cas de non respect des BCRs
● Définition de moyens (contrôle/sanctions)
TRAINING/ CHANGE
● Design d’un programme global and spécifique
● Création d’un plan de formation et d’un suivi de
complétude et de performance
NETWORK
● Création et coordination d’un réseaux d’experts
(Standardisation et partage de bonnes pratiques
AUDITS
● Création d’un « département » d’audit interne et de
contrôles internes privacy
● Suivi des audits
SECURITY
● Application des 68 règles de la Baseline CYSIP
● Certification ISO 27001
OUTILS
● Création d’outils de gouvernance imposés par le
GDPR et par les BCRs
INCIDENT MANAGEMENT
● Création et coordination d’outils de détection et de
gestion des incidents internes et des incidents sur
les projets clients

8. Mardi 26 septembre 2017 │ CNIT Paris La Défense
Copyright © 2017 Capgemini and Sogeti. All rights reserved. 8
#CWIN17
GDPR : comment mettre en œuvre le GDPR?
Stratégie
Supervision
Protection
Déploiement
opérationnel
Sensibilisation & Gestion du
Changement
Transformation de l’Organisation
& Professionnalisation
Diagnostic & Plan de Transformation
Analyse d’Impact
4
3
2
1
Gestion des Identités / Accès
Gestion de la conformité
Classification des Données
Inventaire des Données
8
7
6
5
IDaaS
Sécurité des Données & Bases
de Données + Anonymisation
10
9
SOC & SOCaaS
Prévention des fuites
de Données
1112

9. Mardi 26 septembre 2017 │ CNIT Paris La Défense
Copyright © 2017 Capgemini and Sogeti. All rights reserved. 9
#CWIN17
Notre approche d’un accompagnement
9
Reporting
GDPR Readiness Assessment
Understand current state
GDPR Compliance Maturity Assessment
using Capgemini’s Privacy Impact
Assessment Tool
Baseline
Compliance
Document
Compliance
Maturity
Strategic
Roadmap
Program
Governance
Structure
Initiation Analysis
Expert
Guidance
GDPR Solution Implementation
 Establish Controller
 Assign Data Protection Officer
 Process definitions / revisions
 Develop GDPR compliance
solutions (new and/or revised)
 Metric Capture & Reporting
Transition
& Support
TrainingEnterprise
Rollout
Steady State
CentralizedGDPR
Governance
 Centralized registry for Data
Privacy Regulations
 Remediation activities workflows
 Centralized reporting
 Measure outcome using standard
metrics
Operational
Execution
Track SLA/
Metrics
Core Team
Setup
 Gap Analysis
 Execute Select Pilots
 Establish GDPR Compliance
Framework
 Build Foundational Team
 Finalize RACI
GDPR Compliance Roadmap
Core Team
Setup
Complexity and Compliance needs
Organization needs
Solutions Requirements
Select
Pilots
GDPR
Workable
Solutions
Gap Analysis
Select Pilots
Effort and Cost Estimates
Continuous
Improvement
360° Assessment Assistance to ImplementationConsolidation phase

10. Mardi 26 septembre 2017 │ CNIT Paris La Défense
Copyright © 2017 Capgemini and Sogeti. All rights reserved. 10
#CWIN17
Amal Marc │ Data Protection Officer Région Europe, Capgemini
André Follic │ Leader cybersécurité, Capgemini
#CWIN17 #PARIS
Mardi 26 septembre | CNIT Paris La Défense | Salle Pierre Paulin
L’enjeu et la démarche GDPR
pour l’entreprise
< VOS QUESTIONS ! >