Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.
Règlement Général
sur la Protection des Données
(RGPD)
Janvier 2018 – V.1
Par aYaline
Comprendre pour se mettre en conform...
aYaline
Sommaire
▪ Qu’est-ce que le RGPD ?
▪ Les grands principes
▪ Démarche de conformité
▪ Des outils pour se lancer
▪ S...
aYaline
Sommaire (rappel)
▪ Qu’est-ce que le RGPD ?
▪ Les grands principes
▪ Démarche de conformité
▪ Des outils pour se l...
aYaline
Qu’est-ce que le RGPD ?
▪ En quelques mots
▪ Définitions essentielles
▪ Objectifs, genèse et dates-clés
▪ Concepts...
aYaline
En quelques mots
Le RGPD, officiellement nommé Règlement (UE) 2016/679, est un texte
réglementaire publié par le P...
aYaline
Définitions essentielles (1/3)
Données à caractère personnel : toute information se rapportant à une
personne phys...
aYaline
Définitions essentielles (2/3)
Traitement : toute opération ou tout ensemble d'opérations effectuées ou
non à l'ai...
aYaline
Définitions essentielles (3/3)
Fichier : tout ensemble structuré de données à caractère personnel
accessibles selo...
aYaline
Pourquoi le RGPD ?
Depuis une décennie :
▪ Explosion du nombre de plateformes digitales, app mobiles, objets
conne...
aYaline
Objectifs
▪ Large extension des droits des personnes physiques à maîtriser et
reprendre le contrôle de leurs donné...
aYaline
Genèse
RGPD, un long processus de maturation :
▪ 4 années d’âpres négociations à partir de janvier 2012.
▪ Près de...
aYaline
Dates-clés
RGPD : Comprendre et se mettre en conformité12
Règlement
(UE)2016/679 du
27 avril 2016
Publication au
J...
aYaline
Règlements, directives, lois
RGPD : Comprendre et se mettre en conformité13
LOIINFORMATIQUEETLIBERTES
Loi n° 78-17...
aYaline
Concepts novateurs
Le RGPD introduit trois grandes nouveautés impliquant un important
changement culturel dans la ...
aYaline
De profonds changements (1/3)
RGPD : Comprendre et se mettre en conformité15
AVANT LE RGPD MAINTENANT
Principesren...
aYaline
De profonds changements (2/3)
Cas concret : conception d’un simulateur de crédit en ligne
RGPD : Comprendre et se ...
aYaline
De profonds changements (3/3)
Cas concret : conception d’un simulateur de crédit en ligne
RGPD : Comprendre et se ...
aYaline
Des répercussions énormes
DES ACTIVITÉS EN DANGER :
Publicité programmatique : achat d’espaces
publicitaires, mise...
aYaline
25 mai 2018
Tous les organismes, privés ou publics, devront s’être engagés dans une
démarche de conformité au RGPD...
aYaline
Incitations à la mise en conformité
▪ Coercitives : amendes administratives pouvant s’élever jusqu’à 20
millions d...
aYaline
Des opportunités
Le RGPD peut être un levier efficace de transformation numérique, tout
en se mettant en conformit...
aYaline
Sommaire (rappel)
▪ Qu’est-ce que le RGPD ?
▪ Les grands principes
▪ Démarche de conformité
▪ Des outils pour se l...
aYaline
Les grands principes
▪ Consentement
▪ Transparence
▪ Droits des personnes
▪ Responsabilité
RGPD : Comprendre et se...
aYaline
Consentement
Le RGPD renforce considérablement la notion de consentement.
▪ Toute personne physique doit rester li...
aYaline
Transparence
Le principe-clé de transparence de la finalité des traitements est
étroitement lié à celui de consent...
aYaline
Droits des personnes
L’un des buts de la réforme européenne est d’octroyer davantage de
contrôle et de visibilité ...
aYaline
Responsabilité
En passant d’un système déclaratif (cf. déclaration à la CNIL pratiquée
jusqu’à maintenant) à un sy...
aYaline
Sommaire (rappel)
▪ Qu’est-ce que le RGPD ?
▪ Les grands principes
▪ Démarche de conformité
▪ Des outils pour se l...
aYaline
Démarche de conformité
▪ Pourquoi une démarche ?
▪ Désigner un pilote
▪ Cartographier les traitements
▪ Prioriser ...
aYaline
Pourquoi une démarche ?
A l’instar d’une démarche qualité, la mise en conformité au RGPD et son
maintien dans le t...
aYaline
Désigner un pilote (étape n°1)
La première étape sur le chemin de la mise en conformité est de désigner
un délégué...
aYaline
Cartographier les traitements (étape n°2)
Une fois le pilote (DPO) désigné, l’étape suivante consiste à repérer et...
aYaline
Prioriser la mise en conformité (étape n°3)
Un plan d’actions est à établir en fonction des priorités de mise en c...
aYaline
Gérer les risques (étape n°4)
Une étude d’impact sur la vie privée (EIVP) ou privacy impact assessment (PIA) doit ...
aYaline
Organiser les procédures internes (étape n°5)
Gérer au quotidien les événements liés à la protection des données p...
aYaline
Documenter la conformité (étape n°6)
Le nouveau concept d’Accountability (« rendre des comptes », c’est-à-
dire pr...
aYaline
Vers la certification
Le RGPD est l’enjeu de conformité de l’année 2018. Une démarche de
certification par un orga...
aYaline
Sommaire (rappel)
▪ Qu’est-ce que le RGPD ?
▪ Les grands principes
▪ Démarche de conformité
▪ Des outils pour se l...
aYaline
Des outils pour se lancer
▪ Pourquoi des outils ?
▪ Sensibilisation
▪ Auto-diagnostic
▪ Registre des traitements
▪...
aYaline
Pourquoi des outils ?
Avant de choisir peut-être une solution logicielle du marché dédiée au RGPD, souvent
onéreus...
aYaline
Sensibilisation
Afin de sensibiliser efficacement tous les collaborateurs de l’organisme, il
est indispensable de ...
aYaline
Auto-diagnostic
Les modules d’auto-diagnostic, se présentant sous forme de
questionnaires avec calcul de score, on...
aYaline
Registre des traitements
Le registre des traitements est un élément central dans la
documentation de la conformité...
aYaline
Plateforme PIA
L’analyse d’impact est une obligation dans certains cas de traitement (à
grande échelle, données se...
aYaline
Espace documentaire
La mise en conformité au RGPD et son maintien reposent sur un ensemble de procédures
et de doc...
aYaline
Sommaire (rappel)
▪ Qu’est-ce que le RGPD ?
▪ Les grands principes
▪ Démarche de conformité
▪ Des outils pour se l...
aYaline
Se faire accompagner
▪ Qui sommes-nous ?
▪ Une approche méthodique et outillée
▪ Nous vous accompagnons
▪ Notre of...
aYaline
Qui sommes-nous ?
aYaline est une agence digitale spécialisée depuis 1995 dans les solutions open source
pour déve...
aYaline
Une approche méthodique et outillée
Se conformer aux grands principes du RGPD
requiert une approche méthodique et ...
aYaline
Nous vous accompagnons
Comme tout professionnel, privé ou
public, nous - AYALINE - entreprenons
notre projet de mi...
aYaline
Notre offre de services
RGPD : Comprendre et se mettre en conformité51
SENSIBILISATION ET FORMATION
Comprendre les...
aYaline
Nous contacter
Vous souhaitez en savoir plus sur notre offre de services RGPD ?
Vous avez un besoin d’accompagneme...
Nächste SlideShare
Wird geladen in …5
×

RGPD / GDPR : Principes, Démarche, Outils

3.080 Aufrufe

Veröffentlicht am

Tous les organismes, privés ou publics, devront s’être engagés dans une démarche de conformité au RGPD (ou GDPR) et avoir franchi une première marche dès le 25 mai 2018, dans toutes ses dimensions : organisationnelle, juridique et technique.

Ce document vise à faire comprendre la protection des données personnelles selon le RGPD et à identifier les étapes et les outils de la démarche de mise en conformité :

- Qu’est-ce que le RGPD ?
- Les grands principes
- Démarche de conformité
- Des outils pour se lancer
- Se faire accompagner

(Par aYaline)

Veröffentlicht in: Internet
  • If you want to download or read this book, Copy link or url below in the New tab ......................................................................................................................... DOWNLOAD FULL PDF EBOOK here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download EPUB Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download Doc Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... .........................................................................................................................
       Antworten 
    Sind Sie sicher, dass Sie …  Ja  Nein
    Ihre Nachricht erscheint hier

RGPD / GDPR : Principes, Démarche, Outils

  1. 1. Règlement Général sur la Protection des Données (RGPD) Janvier 2018 – V.1 Par aYaline Comprendre pour se mettre en conformité #1 Sensibilisation
  2. 2. aYaline Sommaire ▪ Qu’est-ce que le RGPD ? ▪ Les grands principes ▪ Démarche de conformité ▪ Des outils pour se lancer ▪ Se faire accompagner RGPD : Comprendre et se mettre en conformité2
  3. 3. aYaline Sommaire (rappel) ▪ Qu’est-ce que le RGPD ? ▪ Les grands principes ▪ Démarche de conformité ▪ Des outils pour se lancer ▪ Se faire accompagner RGPD : Comprendre et se mettre en conformité3
  4. 4. aYaline Qu’est-ce que le RGPD ? ▪ En quelques mots ▪ Définitions essentielles ▪ Objectifs, genèse et dates-clés ▪ Concepts novateurs ▪ De profonds changements ▪ 25 mai 2018 ▪ Des opportunités RGPD : Comprendre et se mettre en conformité4
  5. 5. aYaline En quelques mots Le RGPD, officiellement nommé Règlement (UE) 2016/679, est un texte réglementaire publié par le Parlement européen et le Conseil le 27 avril 2016. Il vise à protéger les personnes physiques, résidant dans l’Union européenne, à l'égard du traitement de leurs données à caractère personnel et garantir la libre circulation de ces données. Tout le monde est concerné. Toutes les entreprises, collectivités, associations, etc., quelle que soit leur taille, ont l’obligation de se mettre en conformité au RGPD. Le RGPD s’appliquera le 25 mai 2018 dans tous les États membres de l’Union européenne. RGPD : Comprendre et se mettre en conformité5
  6. 6. aYaline Définitions essentielles (1/3) Données à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement. Identification directe ou indirecte par : ▪ Un nom, un numéro d'identification, des données de localisation, un identifiant en ligne… ▪ Un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. RGPD : Comprendre et se mettre en conformité6
  7. 7. aYaline Définitions essentielles (2/3) Traitement : toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel. Exemples de traitement : ▪ Collecte, enregistrement, organisation, structuration, conservation, adaptation ou modification, extraction, consultation, utilisation… ▪ Communication par transmission, diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, limitation, effacement ou destruction. RGPD : Comprendre et se mettre en conformité7
  8. 8. aYaline Définitions essentielles (3/3) Fichier : tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique. Responsable du traitement : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement. Sous-traitant : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement. RGPD : Comprendre et se mettre en conformité8
  9. 9. aYaline Pourquoi le RGPD ? Depuis une décennie : ▪ Explosion du nombre de plateformes digitales, app mobiles, objets connectés, etc. et des applications de big data, profilage, retargeting, analyse comportementale, personnalisation, achat automatisé, etc. ▪ Qui, à outrance pour la plupart, collectent, traitent, stockent, partagent, transmettent des données personnelles. L’Union européenne se devait de réformer profondément le droit pour faire face aux exploitations abusives. Avec le règlement général sur la protection des données (RGPD), l’Europe s'est dotée d’un arsenal moderne de défense de la vie privée. RGPD : Comprendre et se mettre en conformité9
  10. 10. aYaline Objectifs ▪ Large extension des droits des personnes physiques à maîtriser et reprendre le contrôle de leurs données personnelles. ▪ Responsabilisation totale des acteurs privés et publics quant aux traitements de données personnelles. ▪ Renforcement des pouvoirs de l’autorité de contrôle de chaque État membre (la CNIL en France). ▪ Harmonisation des politiques et des pratiques de traitement des données personnelles au sein de l’Europe. ▪ Collaboration accrue entre les autorités de contrôle des États membres de l’Union européenne. RGPD : Comprendre et se mettre en conformité10
  11. 11. aYaline Genèse RGPD, un long processus de maturation : ▪ 4 années d’âpres négociations à partir de janvier 2012. ▪ Près de 4 000 amendements. ▪ Un texte constitué de 173 considérants et 99 articles. ▪ Adopté le 8 avril 2016 par le Conseil de l’Europe puis le 16 avril 2016 par le Parlement européen. ▪ Entré en vigueur le 24 mai 2016. ▪ S’appliquera le 25 mai 2018. RGPD : Comprendre et se mettre en conformité11
  12. 12. aYaline Dates-clés RGPD : Comprendre et se mettre en conformité12 Règlement (UE)2016/679 du 27 avril 2016 Publication au JOUE le 4 mai 2016 Entrée en vigueur le 24 mai 2016 Entrée en application le 25 mai 2018
  13. 13. aYaline Règlements, directives, lois RGPD : Comprendre et se mettre en conformité13 LOIINFORMATIQUEETLIBERTES Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés Directive 1995/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces donnéesLoi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés Directive 2002/58/CE du 12 juillet 2002 relative au traitement des données à caractère personnel et à la protection de la vie privée dans le secteur des communications électroniques Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE Directive (UE) 2016/680 du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale Projet de loi du 13 décembre 2017 relatif à la protection des données personnelles Projet de règlement ePrivacy Dans un souci d’intelligibilité et de lisibilité, l’architecture de la loi Informatique et Libertés restera en vigueur.
  14. 14. aYaline Concepts novateurs Le RGPD introduit trois grandes nouveautés impliquant un important changement culturel dans la protection au quotidien des données à caractère personnel : ▪ Accountability (« rendre des comptes ») : logique de responsabilisation reposant sur l’auto-contrôle des mesures prises pour garantir la conformité des traitements de données et la prouver. ▪ Privacy by Design : prise en compte de la protection de la vie privée dès la conception d’un service ou d’un produit. ▪ Privacy by Default (étroitement lié au Privacy by Design) : principe de protection des données au plus haut niveau possible par défaut. RGPD : Comprendre et se mettre en conformité14
  15. 15. aYaline De profonds changements (1/3) RGPD : Comprendre et se mettre en conformité15 AVANT LE RGPD MAINTENANT Principesrenforcés Déclaration des traitements auprès de la CNIL Finalité Pertinence Conservation Droits Sécurité RGPD Documentation interne et auto-contrôle ACCOUNTABILITY PRIVACY BY DESIGN PRIVACY BY DEFAULT Finalité Pertinence Conservation Droits Sécurité Loi Informatique et Libertés
  16. 16. aYaline De profonds changements (2/3) Cas concret : conception d’un simulateur de crédit en ligne RGPD : Comprendre et se mettre en conformité16 Proposer un calculateur de mensualités de crédit à partir de données telles que : apport, revenus, durée du prêt, etc. Donner la possibilité d’être recontacté par mail ou par téléphone. Transmettre une offre de crédit par mail au demandeur. Besoin Élaboration des spécifications fonctionnelles et techniques INCLUANT : Conception « RGPD Compliant » PRIVACY BY DESIGN : obtention d’un consentement clair, termes des conditions d’utilisation, minimisation des données personnelles, durée de conservation et suppression des données personnelles, etc. PRIVACY BY DEFAULT : sécurisation du protocole (https), chiffrement des données personnelles en base, etc. ACCOUNTABILITY : explication et documentation du traitement. A - Spécifications
  17. 17. aYaline De profonds changements (3/3) Cas concret : conception d’un simulateur de crédit en ligne RGPD : Comprendre et se mettre en conformité17 Prise en compte par son équipe du Privay by Design, du Privacy by Default et de l’Accountability. Sélection des sous-traitants et partenaires en mesure de garantir le respect des principes du RGPD. Établissement ou révision des contrats avec les sous- traitants et clients pour être en phase avec les obligations issues du RGPD. Enregistrement, explication et documentation du traitement dans le registre des traitements de l’organisme. Responsable du traitement Sous-traitant B - Acteurs Prise en compte par son équipe du Privay by Design, du Privacy by Default et de l’Accountability. Établissement ou révision des contrats avec le responsable du traitement pour être en phase avec les obligations issues du RGPD. Enregistrement, explication et documentation du traitement dans le registre des traitements du sous- traitant dans le cas d’une délégation de service (registre de sous-traitance).
  18. 18. aYaline Des répercussions énormes DES ACTIVITÉS EN DANGER : Publicité programmatique : achat d’espaces publicitaires, mise en place des campagnes et diffusion réalisés de manière automatisée. Monétisation (third party) ou partagées (second party) entre d’innombrables prestataires à des fins publicitaires. Agrégation et monétisation de données de provenances variées. RGPD : Comprendre et se mettre en conformité18 DES ENGAGEMENTS FORTS À GRANDE ÉCHELLE : GAFA : politique, guide et outils par Google, nouveaux principes de confidentialité de Facebook, d’Amazon… Facebook ouvre un nouveau centre de confidentialité au niveau global qui rassemble en un seul endroit les principaux paramètres liés à la protection de données personnelles. Et beaucoup d’autres du fait champ d'action extraterritorial du RGPD (critère d’établissement – organisme établi dans un des États membres de l’Union européenne - et critère de ciblage – visant les résidents européens -). DE NOUVEAUX SERVICES ET ACTEURS : Plateforme de gestion de contentement telle que ForgeRock Identity Platform : 1re plateforme de gestion des identités conçue pour le partage de données et de consentement des clients.
  19. 19. aYaline 25 mai 2018 Tous les organismes, privés ou publics, devront s’être engagés dans une démarche de conformité au RGPD et avoir franchi une première marche dès le 25 mai 2018, dans toutes ses dimensions : ▪ Organisationnelle : délégué à la protection des données, procédures, registre des traitements… ▪ Juridique : contrat avec ses fournisseurs et sous-traitants, analyse des risques… ▪ Technique : traitements de données, sécurisation… RGPD : Comprendre et se mettre en conformité19
  20. 20. aYaline Incitations à la mise en conformité ▪ Coercitives : amendes administratives pouvant s’élever jusqu’à 20 millions d’€ ou jusqu’4% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. ▪ Créatives : nouveaux services, positionnement concurrentiel. Mais surtout par la pression des résidents européens ! 82% des consommateurs européens ont l’intention de faire valoir leurs droits à partir du 25 mai 2018 (source : enquête de Pegasystems auprès de 7 000 personnes ~ janvier 2018). RGPD : Comprendre et se mettre en conformité20
  21. 21. aYaline Des opportunités Le RGPD peut être un levier efficace de transformation numérique, tout en se mettant en conformité, au niveau : ▪ Concurrentiel : gagner en capital confiance vis-à-vis de ses clients, partenaires, sous-traitants et collaborateurs. ▪ Organisationnel : optimiser la gouvernance des traitements et des données, mettre en place de bonnes pratiques, impliquer tous les collaborateurs. ▪ Technique : rationnaliser les ressources informatiques de traitement, de stockage, sécuriser le système d’information. RGPD : Comprendre et se mettre en conformité21
  22. 22. aYaline Sommaire (rappel) ▪ Qu’est-ce que le RGPD ? ▪ Les grands principes ▪ Démarche de conformité ▪ Des outils pour se lancer ▪ Se faire accompagner RGPD : Comprendre et se mettre en conformité22
  23. 23. aYaline Les grands principes ▪ Consentement ▪ Transparence ▪ Droits des personnes ▪ Responsabilité RGPD : Comprendre et se mettre en conformité23
  24. 24. aYaline Consentement Le RGPD renforce considérablement la notion de consentement. ▪ Toute personne physique doit rester libre dans ses choix. ▪ Le consentement doit être demandé de façon éclairée. ▪ Il doit être accordé par un acte positif clair qui ne souffre d’aucune ambiguïté. ▪ Il concerne un ou plusieurs traitements à finalité spécifique. ▪ Il doit pouvoir être retiré aussi simplement qu’il a été donné. ▪ Le responsable du traitement doit être en mesure de prouver le recueil du consentement dans le cas d’un contrôle de la CNIL. RGPD : Comprendre et se mettre en conformité24
  25. 25. aYaline Transparence Le principe-clé de transparence de la finalité des traitements est étroitement lié à celui de consentement dans la mesure où il le rend possible de manière explicite et éclairé. ▪ Le RGPD vient renforcer la règle de transparence par l’ajout de nouvelles mentions obligatoires adaptées précisément au contexte et à la finalité de la collecte de données personnelles. ▪ Les responsables de traitements doivent informer clairement et univoquement les personnes physiques sur la ou les finalités du traitement de leurs données personnelles et sur leurs droits. ▪ Ces informations doivent être communiquées de façon intelligible et concise, accessibles à tous. RGPD : Comprendre et se mettre en conformité25
  26. 26. aYaline Droits des personnes L’un des buts de la réforme européenne est d’octroyer davantage de contrôle et de visibilité aux résidents européens grâce à un ensemble de droits dont certains sont nouveaux : RGPD : Comprendre et se mettre en conformité26 ▪ Droit à l’information. ▪ Droit d’accès. ▪ Droit de rectification. ▪ Droit d’effacement ou « droit à l’oubli ». ▪ Droit à la limitation du traitement. ▪ Obligation de notification du responsable. ▪ Droit à la portabilité des données. ▪ Droit d’opposition. ▪ Droit de ne pas être soumis à une décision individuelle automatisée. ▪ Droit à la communication d’une violation de données à caractère personnel.
  27. 27. aYaline Responsabilité En passant d’un système déclaratif (cf. déclaration à la CNIL pratiquée jusqu’à maintenant) à un système d’auto-contrôle, le RGPD confère aux organismes privés et publics une totale responsabilité. RGPD : Comprendre et se mettre en conformité27 ▪ Délégué à la protection des données (Data Protection Officer : DPO). ▪ Organisation et de pratiques garantissant la protection de données personnelles. ▪ Dispositif contractuel renforcé. ▪ Encadrement de ses sous-traitants et partenaires. ▪ Pratique des concepts de Privacy by design et Privacy by default. ▪ Tenue d’un registre des traitements de données personnel. ▪ Notification des violations de sécurité (data breach) dans les 72h. ▪ Pouvoir démontrer le respect des règles relatives à la protection des données.
  28. 28. aYaline Sommaire (rappel) ▪ Qu’est-ce que le RGPD ? ▪ Les grands principes ▪ Démarche de conformité ▪ Des outils pour se lancer ▪ Se faire accompagner RGPD : Comprendre et se mettre en conformité28
  29. 29. aYaline Démarche de conformité ▪ Pourquoi une démarche ? ▪ Désigner un pilote ▪ Cartographier les traitements ▪ Prioriser la mise en conformité ▪ Gérer les risques ▪ Organiser les procédures internes ▪ Documenter la conformité ▪ Vers la certification RGPD : Comprendre et se mettre en conformité29
  30. 30. aYaline Pourquoi une démarche ? A l’instar d’une démarche qualité, la mise en conformité au RGPD et son maintien dans le temps nécessitent une approche structurante à l’échelle de tout l’organisme, en prise avec son écosystème (partenaires, sous- traitants). Travail de longue haleine, la mise en œuvre d’une telle démarche est indispensable pour être en mesure de rendre des comptes (cf. concept d’Accountability), c’est-à-dire pouvoir démontrer à tout moment que les traitements des données personnelles sont conformes au RGPD. La CNIL, autorité de contrôle du RGPD pour la France, préconise une démarche en 6 étapes que nous recommandons de suivre. RGPD : Comprendre et se mettre en conformité30
  31. 31. aYaline Désigner un pilote (étape n°1) La première étape sur le chemin de la mise en conformité est de désigner un délégué à la protection des données (ou DPO pour Data Protection Officer). Ses principales missions sont : ▪ Piloter la gouvernance des données personnelles de l’organisme. ▪ Sensibiliser, informer et vérifier en interne le respect du RGPD. ▪ Être force de conseil et de proposition en matière de traitement des données personnelles. ▪ Collaborer avec les partenaires et sous-traitants. ▪ Coopérer avec l’autorité de contrôle (la CNIL en France). RGPD : Comprendre et se mettre en conformité31 Source : CNIL
  32. 32. aYaline Cartographier les traitements (étape n°2) Une fois le pilote (DPO) désigné, l’étape suivante consiste à repérer et cataloguer de façon précise tous les traitements de données personnelles effectués par les différents services de l’organisme. RGPD : Comprendre et se mettre en conformité32 ▪ Traitements de données personnelles. ▪ Catégories de données personnelles. ▪ Finalité principale des traitements. ▪ Flux de données (origine, destination). ▪ Acteurs en jeu (services internes, sous-traitants…). ▪ Qui ? ▪ Quoi ? ▪ Pourquoi ? ▪ Où ? ▪ Jusqu’à quand ? ▪ Comment ? INVENTAIRE EXHAUSTIF QUESTIONS À SE POSER Registre des traitements Source : CNIL
  33. 33. aYaline Prioriser la mise en conformité (étape n°3) Un plan d’actions est à établir en fonction des priorités de mise en conformité des traitements cartographiés dans le registre. La priorisation des traitements s’effectuera au regard des risques qu’ils font peser sur la vie privée des personnes. RGPD : Comprendre et se mettre en conformité33 ▪ Collecte et traitement des seules données personnelles nécessaires. ▪ Identification de la base juridique sur laquelle s’appuie le traitement. ▪ Révision des mentions d’information obligatoires. ▪ Revue du contrat des sous-traitants (clause de sécurité, confidentialité, protection des données personnelles). ▪ Modalités d’exercice des droits des personnes. ▪ Vérification des mesures de sécurité. POINTS DE VIGILANCE Source : CNIL
  34. 34. aYaline Gérer les risques (étape n°4) Une étude d’impact sur la vie privée (EIVP) ou privacy impact assessment (PIA) doit être menée pour les traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes. RGPD : Comprendre et se mettre en conformité34 1. Évaluation ou notation. 2. Décision automatisée avec effet juridique ou effet similaire significatif. 3. Surveillance systématique. 4. Données sensibles ou données à caractère hautement personnel. 5. Données personnelles traitées à grande échelle. 6. Croisement d’ensembles de données. 7. Données concernant des personnes vulnérables. 8. Usage innovant ou application de nouvelles solutions technologiques ou organisationnelles. 9. Exclusion du bénéfice d’un droit, d’un service ou contrat. ▪ Description du traitement étudié et de ses finalités. ▪ Évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités. ▪ Évaluation des risques pour les droits et libertés des personnes concernées. ÉTUDE D’IMPACT9 CRITÈRES D’ANALYSE 2 critères Source : CNIL
  35. 35. aYaline Organiser les procédures internes (étape n°5) Gérer au quotidien les événements liés à la protection des données personnelles (data breach, demande de rectification, changement de prestataire, etc.) nécessite des procédures internes rigoureuses. Il s’agit principalement de : ▪ Prendre en compte la protection des données personnelles dès la conception d’un traitement (concepts de Privacy by design et de Privacy by default). ▪ Sensibiliser et organiser la circulation de l’information au sein des services de l’organisme. ▪ Traiter les réclamations et les demandes des personnes concernées quand à l’exercice de leurs droits. ▪ Notifier les violations de données à l’autorité de contrôle et aux personnes concernées. RGPD : Comprendre et se mettre en conformité35 Source : CNIL
  36. 36. aYaline Documenter la conformité (étape n°6) Le nouveau concept d’Accountability (« rendre des comptes », c’est-à- dire prouver sa conformité au RGPD) oblige à constituer une documentation complète qui sera opposable à un contrôle de la CNIL. RGPD : Comprendre et se mettre en conformité36 ▪ Registre des traitements. ▪ Analyses d’impact sur la protection des données (PIA). ▪ Encadrement des transferts de données hors de l'Union européenne. TRAITEMENT DE DONNÉES INFORMATION DES PERSONNES CONTRATS ▪ Mentions obligatoires d’information des personnes. ▪ Modèles de recueil du consentement des personnes concernées. ▪ Procédures mises en place pour l'exercice des droits. ▪ Contrats avec les sous- traitants. ▪ Procédures internes en cas de violations de données. ▪ Preuves que les personnes concernées par un traitement ont donné leur consentement. Source : CNIL
  37. 37. aYaline Vers la certification Le RGPD est l’enjeu de conformité de l’année 2018. Une démarche de certification par un organisme agréé est sans aucun doute une bonne solution structurante pour se mettre en conformité au RGPD. RGPD : Comprendre et se mettre en conformité37 CERTIFICATIONS SPÉCIFIQUES ▪ AFNOR : AFAQ Protection des données personnelles. ▪ BUREAU VERITAS : Certification de personnes pour les DPO (délégué à la protection des données). L’article 42 du RGPD prévoit explicitement la certification par tierce partie. ET AUSSI… ▪ ISO/IEC 27001 : management de la sécurité de l’information. ▪ ANSSI : certification Critères Communs (CC) et/ou certification de Sécurité de Premier Niveau (CSPN). ▪ CNIL : label Gouvernance RGPD.
  38. 38. aYaline Sommaire (rappel) ▪ Qu’est-ce que le RGPD ? ▪ Les grands principes ▪ Démarche de conformité ▪ Des outils pour se lancer ▪ Se faire accompagner RGPD : Comprendre et se mettre en conformité38
  39. 39. aYaline Des outils pour se lancer ▪ Pourquoi des outils ? ▪ Sensibilisation ▪ Auto-diagnostic ▪ Registre des traitements ▪ Plateforme PIA ▪ Espace documentaire RGPD : Comprendre et se mettre en conformité39
  40. 40. aYaline Pourquoi des outils ? Avant de choisir peut-être une solution logicielle du marché dédiée au RGPD, souvent onéreuse, il est important d’effectuer un tour d’horizon de l’utilisation des données personnelles au sein de son organisme par des ateliers de sensibilisation et d’information, puis de structurer la démarche à l’aide d’outils simples. RGPD : Comprendre et se mettre en conformité40 Sensibilisation RGPD à 360° Études de cas Applications à son contexte Sensibilisation Information RGPD à 360° Études de cas Applications à son contexte Auto- diagnostic Niveau de maturité au RGPD Effort à fournir Identifier les priorités Sensibilisation Information RGPD à 360° Études de cas Applications à son contexte Registre des traitements Inventaire et qualification des traitements Sous-traitants Plan d’actions Plateforme PIA Étude d’impact Analyse des risques Demande d’avis à la CNIL Espace documentaire Modèles de mention Notifications et demandes Contrats
  41. 41. aYaline Sensibilisation Afin de sensibiliser efficacement tous les collaborateurs de l’organisme, il est indispensable de disposer d’informations précises collectées auprès des acteurs de référence et synthétisées pour une présentation intelligible, adaptée au contexte de chacun. ▪ Support de sensibilisation des dirigeants et de l’ensemble des collaborateurs. ▪ Support de formation contenant un volet pour chaque thématique principale (organisation, juridique, technique). ▪ Études de cas pour comprendre concrètement les répercussions du RGPD. ▪ Présentation d’applications pratiques du RGPD dans son domaine. RGPD : Comprendre et se mettre en conformité41
  42. 42. aYaline Auto-diagnostic Les modules d’auto-diagnostic, se présentant sous forme de questionnaires avec calcul de score, ont pour objectif d’évaluer le niveau de maturité de son organisme par rapport à la conformité au RGPD sur les plans juridique, organisationnel et technique. Ils sont très utiles également pour mesurer l’effort à fournir pour se mettre en conformité. ▪ Auto-diagnostic juridique (désignation d’un DPO, respect des droits des personnes, collecte et conservation des données, PIA, etc.). ▪ Auto-diagnostic organisationnel (gouvernance, procédures, etc.). ▪ Auto-diagnostic technique (habilitations, gestion des incidents, etc.). RGPD : Comprendre et se mettre en conformité42
  43. 43. aYaline Registre des traitements Le registre des traitements est un élément central dans la documentation de la conformité au RGPD. Il est indispensable pour prouver sa conformité en cas de contrôle. Il est constitué de plusieurs modules complémentaires : ▪ Cartographie « carte mentale » (recensement rapide des traitements). ▪ Liste des traitements (qualification synthétique de l’ensemble des traitements). ▪ Base des traitements décrits en détail (fiches de registre sur le modèle recommandé par la CNIL). ▪ Liste des catégories de traitement (en cas de sous-traitance). ▪ Base des preuves de consentement. RGPD : Comprendre et se mettre en conformité43
  44. 44. aYaline Plateforme PIA L’analyse d’impact est une obligation dans certains cas de traitement (à grande échelle, données sensibles, croisement de données…). Disposer d’un outil pour procéder de façon méthodique à l'analyse d'impact sur la protection des données (PIA) apporte des bénéfices considérables. ▪ Logiciel libre (sous licence GPL v3, conçu par la CNIL) d’accompagnement à la conduite d'une analyse d'impact, didactique avec des références aux articles du RGPD très utiles pour comprendre le contexte légal de la démarche. ▪ Partage des rapports d’analyse au sein de son organisme et avec ses partenaires (extranet mis en place par aYaline). ▪ Rapports d’analyse exportables pour stockage dans l’espace de documentation. RGPD : Comprendre et se mettre en conformité44
  45. 45. aYaline Espace documentaire La mise en conformité au RGPD et son maintien reposent sur un ensemble de procédures et de documents de référence, accessibles au sein de l’organisme en fonction des habilitations. ▪ Analyses d’impact sur la protection des données (PIA). ▪ Encadrement des transferts de données hors de l'Union européenne. ▪ Mentions obligatoires d’information des personnes. ▪ Modèles de recueil du consentement des personnes concernées. ▪ Procédures mises en place pour l'exercice des droits. ▪ Contrats avec les sous-traitants. ▪ Procédures internes en cas de violations de données. ▪ Preuves que les personnes concernées par un traitement ont donné leur consentement. RGPD : Comprendre et se mettre en conformité45
  46. 46. aYaline Sommaire (rappel) ▪ Qu’est-ce que le RGPD ? ▪ Les grands principes ▪ Démarche de conformité ▪ Des outils pour se lancer ▪ Se faire accompagner RGPD : Comprendre et se mettre en conformité46
  47. 47. aYaline Se faire accompagner ▪ Qui sommes-nous ? ▪ Une approche méthodique et outillée ▪ Nous vous accompagnons ▪ Notre offre de services ▪ Nous contacter RGPD : Comprendre et se mettre en conformité47
  48. 48. aYaline Qui sommes-nous ? aYaline est une agence digitale spécialisée depuis 1995 dans les solutions open source pour développer des dispositifs Web & mobiles d'envergure. RGPD : Comprendre et se mettre en conformité48
  49. 49. aYaline Une approche méthodique et outillée Se conformer aux grands principes du RGPD requiert une approche méthodique et outillée, sous la responsabilité d’un délégué à la protection des données personnelles (DPO), impliquant tous les départements ou services de l’entreprise, de la collectivité ou de l’administration. L’investissement nécessaire pour cette mise en conformité est porteur de progrès parce qu'il répond à une exigence croissante des personnes, internautes en particulier, d’utiliser leurs données à bon escient et de manière transparente et d’en assurer la protection. RGPD : Comprendre et se mettre en conformité49
  50. 50. aYaline Nous vous accompagnons Comme tout professionnel, privé ou public, nous - AYALINE - entreprenons notre projet de mise en conformité avec le RGDP afin d’être prêts le 25 mai 2018, date d’application du règlement européen. Ce faisant, nous souhaitons vous faire bénéficier de notre retour d’expérience assortie d’une offre de services dans le but de vous accompagner de façon pragmatique et progressive dans la prise en compte du RGPD. RGPD : Comprendre et se mettre en conformité50
  51. 51. aYaline Notre offre de services RGPD : Comprendre et se mettre en conformité51 SENSIBILISATION ET FORMATION Comprendre les principes moteurs du RGPD et leurs implications au quotidien, cartographier les traitements de données personnelles, établir les priorités de mise en conformité, analyser les impacts et prendre en main la plateforme PIA. MÉTHODES & OUTILS Interpréter les articles du RGPD, connaître et mettre en pratique les recommandations de la CNIL (autorité de contrôle), dérouler les étapes de préparation, choisir les outils appropriés à son contexte. PLATEFORME D’ANALYSE D’IMPACT Disposer d’une plateforme pour procéder à l'analyse d'impact sur la protection des données (PIA) qui est un volet majeur du RGPD, partager les rapports au sein de son organisme et avec ses partenaires (extranet). DÉVELOPPEMENTS ADAPTATIFS Identifier les zones à risques de vos applications web vis-à-vis des exigences du RGPD, étudier les impacts fonctionnels et/ou techniques, développer les adaptations, assurer leur maintenance. ASSISTANCE ET CONSEIL Vous accompagner tout au long de votre projet de mise en conformité avec le RGPD, répondre au quotidien à vos questions, être force de proposition, vous mettre en relation avec des interlocuteurs spécialisés (juristes...) si nécessaire.
  52. 52. aYaline Nous contacter Vous souhaitez en savoir plus sur notre offre de services RGPD ? Vous avez un besoin d’accompagnement sur-mesure ? N’hésitez pas à nous en parler. RGPD : Comprendre et se mettre en conformité52 Personne à contacter : Mathis Guille Consultant mguille@ayaline.com Mob. : 06 10 07 42 35 Ou via le formulaire de contact : https://goo.gl/JCvtjE AYALINE 4, allée des Frères Montgolfier 86360 Chasseneuil-du-Poitou [Poitiers-Futuroscope] www.ayaline.com contact@ayaline.com Tél. : 05 49 41 46 00

×