Tous les organismes, privés ou publics, devront s’être engagés dans une démarche de conformité au RGPD (ou GDPR) et avoir franchi une première marche dès le 25 mai 2018, dans toutes ses dimensions : organisationnelle, juridique et technique. Ce document vise à faire comprendre la protection des données personnelles selon le RGPD et à identifier les étapes et les outils de la démarche de mise en conformité : - Qu’est-ce que le RGPD ? - Les grands principes - Démarche de conformité - Des outils pour se lancer - Se faire accompagner (Par aYaline)

1. Règlement Général
sur la Protection des Données
(RGPD)
Janvier 2018 – V.1
Par aYaline
Comprendre pour se mettre en conformité
#1 Sensibilisation

2. aYaline
Sommaire
▪ Qu’est-ce que le RGPD ?
▪ Les grands principes
▪ Démarche de conformité
▪ Des outils pour se lancer
▪ Se faire accompagner
RGPD : Comprendre et se mettre en conformité2

3. aYaline
Sommaire (rappel)
▪ Qu’est-ce que le RGPD ?
▪ Les grands principes
▪ Démarche de conformité
▪ Des outils pour se lancer
▪ Se faire accompagner
RGPD : Comprendre et se mettre en conformité3

4. aYaline
Qu’est-ce que le RGPD ?
▪ En quelques mots
▪ Définitions essentielles
▪ Objectifs, genèse et dates-clés
▪ Concepts novateurs
▪ De profonds changements
▪ 25 mai 2018
▪ Des opportunités
RGPD : Comprendre et se mettre en conformité4

5. aYaline
En quelques mots
Le RGPD, officiellement nommé Règlement (UE) 2016/679, est un texte
réglementaire publié par le Parlement européen et le Conseil le 27 avril
2016.
Il vise à protéger les personnes physiques, résidant dans l’Union
européenne, à l'égard du traitement de leurs données à caractère
personnel et garantir la libre circulation de ces données.
Tout le monde est concerné. Toutes les entreprises, collectivités,
associations, etc., quelle que soit leur taille, ont l’obligation de se mettre
en conformité au RGPD.
Le RGPD s’appliquera le 25 mai 2018 dans tous les États membres de
l’Union européenne.
RGPD : Comprendre et se mettre en conformité5

6. aYaline
Définitions essentielles (1/3)
Données à caractère personnel : toute information se rapportant à une
personne physique identifiée ou identifiable, directement ou
indirectement.
Identification directe ou indirecte par :
▪ Un nom, un numéro d'identification, des données de localisation, un
identifiant en ligne…
▪ Un ou plusieurs éléments spécifiques propres à son identité physique,
physiologique, génétique, psychique, économique, culturelle ou
sociale.
RGPD : Comprendre et se mettre en conformité6

7. aYaline
Définitions essentielles (2/3)
Traitement : toute opération ou tout ensemble d'opérations effectuées ou
non à l'aide de procédés automatisés et appliquées à des données ou des
ensembles de données à caractère personnel.
Exemples de traitement :
▪ Collecte, enregistrement, organisation, structuration, conservation,
adaptation ou modification, extraction, consultation, utilisation…
▪ Communication par transmission, diffusion ou toute autre forme de
mise à disposition, rapprochement ou interconnexion, limitation,
effacement ou destruction.
RGPD : Comprendre et se mettre en conformité7

8. aYaline
Définitions essentielles (3/3)
Fichier : tout ensemble structuré de données à caractère personnel
accessibles selon des critères déterminés, que cet ensemble soit
centralisé, décentralisé ou réparti de manière fonctionnelle ou
géographique.
Responsable du traitement : la personne physique ou morale, l'autorité
publique, le service ou un autre organisme qui, seul ou conjointement
avec d'autres, détermine les finalités et les moyens du traitement.
Sous-traitant : la personne physique ou morale, l'autorité publique, le
service ou un autre organisme qui traite des données à caractère
personnel pour le compte du responsable du traitement.
RGPD : Comprendre et se mettre en conformité8

9. aYaline
Pourquoi le RGPD ?
Depuis une décennie :
▪ Explosion du nombre de plateformes digitales, app mobiles, objets
connectés, etc. et des applications de big data, profilage, retargeting,
analyse comportementale, personnalisation, achat automatisé, etc.
▪ Qui, à outrance pour la plupart, collectent, traitent, stockent,
partagent, transmettent des données personnelles.
L’Union européenne se devait de réformer profondément le droit pour
faire face aux exploitations abusives.
Avec le règlement général sur la protection des données (RGPD),
l’Europe s'est dotée d’un arsenal moderne de défense de la vie privée.
RGPD : Comprendre et se mettre en conformité9

10. aYaline
Objectifs
▪ Large extension des droits des personnes physiques à maîtriser et
reprendre le contrôle de leurs données personnelles.
▪ Responsabilisation totale des acteurs privés et publics quant aux
traitements de données personnelles.
▪ Renforcement des pouvoirs de l’autorité de contrôle de chaque État
membre (la CNIL en France).
▪ Harmonisation des politiques et des pratiques de traitement des
données personnelles au sein de l’Europe.
▪ Collaboration accrue entre les autorités de contrôle des États
membres de l’Union européenne.
RGPD : Comprendre et se mettre en conformité10

11. aYaline
Genèse
RGPD, un long processus de maturation :
▪ 4 années d’âpres négociations à partir de janvier 2012.
▪ Près de 4 000 amendements.
▪ Un texte constitué de 173 considérants et 99 articles.
▪ Adopté le 8 avril 2016 par le Conseil de l’Europe puis le 16 avril 2016
par le Parlement européen.
▪ Entré en vigueur le 24 mai 2016.
▪ S’appliquera le 25 mai 2018.
RGPD : Comprendre et se mettre en conformité11

12. aYaline
Dates-clés
RGPD : Comprendre et se mettre en conformité12
Règlement
(UE)2016/679 du
27 avril 2016
Publication au
JOUE le
4 mai 2016
Entrée en
vigueur le
24 mai 2016
Entrée en
application le
25 mai 2018

13. aYaline
Règlements, directives, lois
RGPD : Comprendre et se mettre en conformité13
LOIINFORMATIQUEETLIBERTES
Loi n° 78-17 du 6 janvier 1978
relative à l’informatique, aux fichiers et aux libertés Directive 1995/46/CE du 24 octobre 1995
relative à la protection des personnes physiques à l’égard du
traitement des données à caractère personnel et à la libre
circulation de ces donnéesLoi n° 2004-801 du 6 août 2004
relative à la protection des personnes physiques à l'égard des
traitements de données à caractère personnel et modifiant la loi
n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et
aux libertés
Directive 2002/58/CE du 12 juillet 2002
relative au traitement des données à caractère personnel et à la
protection de la vie privée dans le secteur des communications
électroniques
Règlement (UE) 2016/679 du 27 avril 2016
relatif à la protection des personnes physiques à l'égard du
traitement des données à caractère personnel et à la libre
circulation de ces données, et abrogeant la directive 95/46/CE
Directive (UE) 2016/680 du 27 avril 2016
relative à la protection des personnes physiques à l'égard du
traitement des données à caractère personnel en matière pénale
Projet de loi du 13 décembre 2017
relatif à la protection des données personnelles
Projet de règlement ePrivacy
Dans un souci d’intelligibilité et de lisibilité, l’architecture
de la loi Informatique et Libertés restera en vigueur.

14. aYaline
Concepts novateurs
Le RGPD introduit trois grandes nouveautés impliquant un important
changement culturel dans la protection au quotidien des données à
caractère personnel :
▪ Accountability (« rendre des comptes ») : logique de responsabilisation
reposant sur l’auto-contrôle des mesures prises pour garantir la
conformité des traitements de données et la prouver.
▪ Privacy by Design : prise en compte de la protection de la vie privée
dès la conception d’un service ou d’un produit.
▪ Privacy by Default (étroitement lié au Privacy by Design) : principe de
protection des données au plus haut niveau possible par défaut.
RGPD : Comprendre et se mettre en conformité14

15. aYaline
De profonds changements (1/3)
RGPD : Comprendre et se mettre en conformité15
AVANT LE RGPD MAINTENANT
Principesrenforcés
Déclaration des
traitements auprès
de la CNIL
Finalité
Pertinence
Conservation
Droits
Sécurité
RGPD
Documentation interne
et auto-contrôle
ACCOUNTABILITY
PRIVACY BY DESIGN
PRIVACY BY DEFAULT
Finalité
Pertinence
Conservation
Droits
Sécurité
Loi
Informatique
et Libertés

16. aYaline
De profonds changements (2/3)
Cas concret : conception d’un simulateur de crédit en ligne
RGPD : Comprendre et se mettre en conformité16
Proposer un calculateur de mensualités de crédit à partir
de données telles que : apport, revenus, durée du prêt,
etc.
Donner la possibilité d’être recontacté par mail ou par
téléphone.
Transmettre une offre de crédit par mail au demandeur.
Besoin
Élaboration des spécifications fonctionnelles et
techniques INCLUANT :
Conception « RGPD Compliant »
PRIVACY BY DESIGN : obtention d’un consentement clair,
termes des conditions d’utilisation, minimisation des
données personnelles, durée de conservation et
suppression des données personnelles, etc.
PRIVACY BY DEFAULT : sécurisation du protocole (https),
chiffrement des données personnelles en base, etc.
ACCOUNTABILITY : explication et documentation du
traitement.
A - Spécifications

17. aYaline
De profonds changements (3/3)
Cas concret : conception d’un simulateur de crédit en ligne
RGPD : Comprendre et se mettre en conformité17
Prise en compte par son équipe du Privay by Design, du
Privacy by Default et de l’Accountability.
Sélection des sous-traitants et partenaires en mesure de
garantir le respect des principes du RGPD.
Établissement ou révision des contrats avec les sous-
traitants et clients pour être en phase avec les
obligations issues du RGPD.
Enregistrement, explication et documentation du
traitement dans le registre des traitements de
l’organisme.
Responsable du traitement Sous-traitant
B - Acteurs
Prise en compte par son équipe du Privay by Design, du
Privacy by Default et de l’Accountability.
Établissement ou révision des contrats avec le
responsable du traitement pour être en phase avec les
obligations issues du RGPD.
Enregistrement, explication et documentation du
traitement dans le registre des traitements du sous-
traitant dans le cas d’une délégation de service (registre
de sous-traitance).

18. aYaline
Des répercussions énormes
DES ACTIVITÉS EN DANGER :
Publicité programmatique : achat d’espaces
publicitaires, mise en place des campagnes et diffusion
réalisés de manière automatisée.
Monétisation (third party) ou partagées (second party)
entre d’innombrables prestataires à des fins
publicitaires.
Agrégation et monétisation de données de provenances
variées.
RGPD : Comprendre et se mettre en conformité18
DES ENGAGEMENTS FORTS À GRANDE ÉCHELLE :
GAFA : politique, guide et outils par Google, nouveaux
principes de confidentialité de Facebook, d’Amazon…
Facebook ouvre un nouveau centre de confidentialité au
niveau global qui rassemble en un seul endroit les principaux
paramètres liés à la protection de données personnelles.
Et beaucoup d’autres du fait champ d'action extraterritorial
du RGPD (critère d’établissement – organisme établi dans un
des États membres de l’Union européenne - et critère de
ciblage – visant les résidents européens -).
DE NOUVEAUX SERVICES ET ACTEURS :
Plateforme de gestion de contentement telle que ForgeRock Identity Platform : 1re plateforme de gestion des
identités conçue pour le partage de données et de consentement des clients.

19. aYaline
25 mai 2018
Tous les organismes, privés ou publics, devront s’être engagés dans une
démarche de conformité au RGPD et avoir franchi une première marche
dès le 25 mai 2018, dans toutes ses dimensions :
▪ Organisationnelle : délégué à la protection des données, procédures,
registre des traitements…
▪ Juridique : contrat avec ses fournisseurs et sous-traitants, analyse des
risques…
▪ Technique : traitements de données, sécurisation…
RGPD : Comprendre et se mettre en conformité19

20. aYaline
Incitations à la mise en conformité
▪ Coercitives : amendes administratives pouvant s’élever jusqu’à 20
millions d’€ ou jusqu’4% du chiffre d’affaires annuel mondial, le
montant le plus élevé étant retenu.
▪ Créatives : nouveaux services, positionnement concurrentiel.
Mais surtout par la pression des résidents européens !
82% des consommateurs européens ont l’intention de faire valoir leurs
droits à partir du 25 mai 2018 (source : enquête de Pegasystems auprès de
7 000 personnes ~ janvier 2018).
RGPD : Comprendre et se mettre en conformité20

21. aYaline
Des opportunités
Le RGPD peut être un levier efficace de transformation numérique, tout
en se mettant en conformité, au niveau :
▪ Concurrentiel : gagner en capital confiance vis-à-vis de ses clients,
partenaires, sous-traitants et collaborateurs.
▪ Organisationnel : optimiser la gouvernance des traitements et des
données, mettre en place de bonnes pratiques, impliquer tous les
collaborateurs.
▪ Technique : rationnaliser les ressources informatiques de traitement,
de stockage, sécuriser le système d’information.
RGPD : Comprendre et se mettre en conformité21

22. aYaline
Sommaire (rappel)
▪ Qu’est-ce que le RGPD ?
▪ Les grands principes
▪ Démarche de conformité
▪ Des outils pour se lancer
▪ Se faire accompagner
RGPD : Comprendre et se mettre en conformité22

23. aYaline
Les grands principes
▪ Consentement
▪ Transparence
▪ Droits des personnes
▪ Responsabilité
RGPD : Comprendre et se mettre en conformité23

24. aYaline
Consentement
Le RGPD renforce considérablement la notion de consentement.
▪ Toute personne physique doit rester libre dans ses choix.
▪ Le consentement doit être demandé de façon éclairée.
▪ Il doit être accordé par un acte positif clair qui ne souffre d’aucune
ambiguïté.
▪ Il concerne un ou plusieurs traitements à finalité spécifique.
▪ Il doit pouvoir être retiré aussi simplement qu’il a été donné.
▪ Le responsable du traitement doit être en mesure de prouver le recueil
du consentement dans le cas d’un contrôle de la CNIL.
RGPD : Comprendre et se mettre en conformité24

25. aYaline
Transparence
Le principe-clé de transparence de la finalité des traitements est
étroitement lié à celui de consentement dans la mesure où il le rend
possible de manière explicite et éclairé.
▪ Le RGPD vient renforcer la règle de transparence par l’ajout de
nouvelles mentions obligatoires adaptées précisément au contexte et à
la finalité de la collecte de données personnelles.
▪ Les responsables de traitements doivent informer clairement et
univoquement les personnes physiques sur la ou les finalités du
traitement de leurs données personnelles et sur leurs droits.
▪ Ces informations doivent être communiquées de façon intelligible et
concise, accessibles à tous.
RGPD : Comprendre et se mettre en conformité25

26. aYaline
Droits des personnes
L’un des buts de la réforme européenne est d’octroyer davantage de
contrôle et de visibilité aux résidents européens grâce à un ensemble de
droits dont certains sont nouveaux :
RGPD : Comprendre et se mettre en conformité26
▪ Droit à l’information.
▪ Droit d’accès.
▪ Droit de rectification.
▪ Droit d’effacement ou « droit à
l’oubli ».
▪ Droit à la limitation du traitement.
▪ Obligation de notification du
responsable.
▪ Droit à la portabilité des données.
▪ Droit d’opposition.
▪ Droit de ne pas être soumis à une
décision individuelle automatisée.
▪ Droit à la communication d’une
violation de données à caractère
personnel.

27. aYaline
Responsabilité
En passant d’un système déclaratif (cf. déclaration à la CNIL pratiquée
jusqu’à maintenant) à un système d’auto-contrôle, le RGPD confère aux
organismes privés et publics une totale responsabilité.
RGPD : Comprendre et se mettre en conformité27
▪ Délégué à la protection des données
(Data Protection Officer : DPO).
▪ Organisation et de pratiques
garantissant la protection de données
personnelles.
▪ Dispositif contractuel renforcé.
▪ Encadrement de ses sous-traitants et
partenaires.
▪ Pratique des concepts de Privacy by
design et Privacy by default.
▪ Tenue d’un registre des traitements
de données personnel.
▪ Notification des violations de sécurité
(data breach) dans les 72h.
▪ Pouvoir démontrer le respect des
règles relatives à la protection des
données.

28. aYaline
Sommaire (rappel)
▪ Qu’est-ce que le RGPD ?
▪ Les grands principes
▪ Démarche de conformité
▪ Des outils pour se lancer
▪ Se faire accompagner
RGPD : Comprendre et se mettre en conformité28

29. aYaline
Démarche de conformité
▪ Pourquoi une démarche ?
▪ Désigner un pilote
▪ Cartographier les traitements
▪ Prioriser la mise en conformité
▪ Gérer les risques
▪ Organiser les procédures internes
▪ Documenter la conformité
▪ Vers la certification
RGPD : Comprendre et se mettre en conformité29

30. aYaline
Pourquoi une démarche ?
A l’instar d’une démarche qualité, la mise en conformité au RGPD et son
maintien dans le temps nécessitent une approche structurante à l’échelle
de tout l’organisme, en prise avec son écosystème (partenaires, sous-
traitants).
Travail de longue haleine, la mise en œuvre d’une telle démarche est
indispensable pour être en mesure de rendre des comptes (cf. concept
d’Accountability), c’est-à-dire pouvoir démontrer à tout moment que les
traitements des données personnelles sont conformes au RGPD.
La CNIL, autorité de contrôle du RGPD pour la France, préconise une
démarche en 6 étapes que nous recommandons de suivre.
RGPD : Comprendre et se mettre en conformité30

31. aYaline
Désigner un pilote (étape n°1)
La première étape sur le chemin de la mise en conformité est de désigner
un délégué à la protection des données (ou DPO pour Data Protection
Officer). Ses principales missions sont :
▪ Piloter la gouvernance des données personnelles de l’organisme.
▪ Sensibiliser, informer et vérifier en interne le respect du RGPD.
▪ Être force de conseil et de proposition en matière de traitement des
données personnelles.
▪ Collaborer avec les partenaires et sous-traitants.
▪ Coopérer avec l’autorité de contrôle (la CNIL en France).
RGPD : Comprendre et se mettre en conformité31
Source : CNIL

32. aYaline
Cartographier les traitements (étape n°2)
Une fois le pilote (DPO) désigné, l’étape suivante consiste à repérer et cataloguer de
façon précise tous les traitements de données personnelles effectués par les différents
services de l’organisme.
RGPD : Comprendre et se mettre en conformité32
▪ Traitements de données personnelles.
▪ Catégories de données personnelles.
▪ Finalité principale des traitements.
▪ Flux de données (origine,
destination).
▪ Acteurs en jeu (services internes,
sous-traitants…).
▪ Qui ?
▪ Quoi ?
▪ Pourquoi ?
▪ Où ?
▪ Jusqu’à quand ?
▪ Comment ?
INVENTAIRE EXHAUSTIF
QUESTIONS À SE POSER
Registre des traitements
Source : CNIL

33. aYaline
Prioriser la mise en conformité (étape n°3)
Un plan d’actions est à établir en fonction des priorités de mise en conformité des
traitements cartographiés dans le registre. La priorisation des traitements s’effectuera
au regard des risques qu’ils font peser sur la vie privée des personnes.
RGPD : Comprendre et se mettre en conformité33
▪ Collecte et traitement des seules
données personnelles nécessaires.
▪ Identification de la base juridique sur
laquelle s’appuie le traitement.
▪ Révision des mentions d’information
obligatoires.
▪ Revue du contrat des sous-traitants
(clause de sécurité, confidentialité,
protection des données
personnelles).
▪ Modalités d’exercice des droits des
personnes.
▪ Vérification des mesures de sécurité.
POINTS DE VIGILANCE
Source : CNIL

34. aYaline
Gérer les risques (étape n°4)
Une étude d’impact sur la vie privée (EIVP) ou privacy impact assessment (PIA) doit être
menée pour les traitements de données personnelles susceptibles d’engendrer des
risques élevés pour les droits et libertés des personnes.
RGPD : Comprendre et se mettre en conformité34
1. Évaluation ou notation.
2. Décision automatisée avec effet juridique ou effet similaire
significatif.
3. Surveillance systématique.
4. Données sensibles ou données à caractère hautement
personnel.
5. Données personnelles traitées à grande échelle.
6. Croisement d’ensembles de données.
7. Données concernant des personnes vulnérables.
8. Usage innovant ou application de nouvelles solutions
technologiques ou organisationnelles.
9. Exclusion du bénéfice d’un droit, d’un service ou contrat.
▪ Description du traitement étudié et
de ses finalités.
▪ Évaluation de la nécessité et de la
proportionnalité des opérations de
traitement au regard des finalités.
▪ Évaluation des risques pour les droits
et libertés des personnes concernées.
ÉTUDE D’IMPACT9 CRITÈRES D’ANALYSE
2 critères
Source : CNIL

35. aYaline
Organiser les procédures internes (étape n°5)
Gérer au quotidien les événements liés à la protection des données personnelles (data
breach, demande de rectification, changement de prestataire, etc.) nécessite des
procédures internes rigoureuses. Il s’agit principalement de :
▪ Prendre en compte la protection des données personnelles dès la conception d’un
traitement (concepts de Privacy by design et de Privacy by default).
▪ Sensibiliser et organiser la circulation de l’information au sein des services de
l’organisme.
▪ Traiter les réclamations et les demandes des personnes concernées quand à l’exercice
de leurs droits.
▪ Notifier les violations de données à l’autorité de contrôle et aux personnes
concernées.
RGPD : Comprendre et se mettre en conformité35
Source : CNIL

36. aYaline
Documenter la conformité (étape n°6)
Le nouveau concept d’Accountability (« rendre des comptes », c’est-à-
dire prouver sa conformité au RGPD) oblige à constituer une
documentation complète qui sera opposable à un contrôle de la CNIL.
RGPD : Comprendre et se mettre en conformité36
▪ Registre des traitements.
▪ Analyses d’impact sur la
protection des données
(PIA).
▪ Encadrement des transferts
de données hors de l'Union
européenne.
TRAITEMENT DE DONNÉES INFORMATION DES PERSONNES CONTRATS
▪ Mentions obligatoires
d’information des personnes.
▪ Modèles de recueil du
consentement des personnes
concernées.
▪ Procédures mises en place
pour l'exercice des droits.
▪ Contrats avec les sous-
traitants.
▪ Procédures internes en cas
de violations de données.
▪ Preuves que les personnes
concernées par un
traitement ont donné leur
consentement.
Source : CNIL

37. aYaline
Vers la certification
Le RGPD est l’enjeu de conformité de l’année 2018. Une démarche de
certification par un organisme agréé est sans aucun doute une bonne
solution structurante pour se mettre en conformité au RGPD.
RGPD : Comprendre et se mettre en conformité37
CERTIFICATIONS SPÉCIFIQUES
▪ AFNOR : AFAQ Protection des
données personnelles.
▪ BUREAU VERITAS :
Certification de personnes
pour les DPO (délégué à la
protection des données).
L’article 42 du
RGPD prévoit
explicitement
la certification
par tierce
partie.
ET AUSSI…
▪ ISO/IEC 27001 : management de la
sécurité de l’information.
▪ ANSSI : certification Critères
Communs (CC) et/ou certification de
Sécurité de Premier Niveau (CSPN).
▪ CNIL : label Gouvernance RGPD.

38. aYaline
Sommaire (rappel)
▪ Qu’est-ce que le RGPD ?
▪ Les grands principes
▪ Démarche de conformité
▪ Des outils pour se lancer
▪ Se faire accompagner
RGPD : Comprendre et se mettre en conformité38

39. aYaline
Des outils pour se lancer
▪ Pourquoi des outils ?
▪ Sensibilisation
▪ Auto-diagnostic
▪ Registre des traitements
▪ Plateforme PIA
▪ Espace documentaire
RGPD : Comprendre et se mettre en conformité39

40. aYaline
Pourquoi des outils ?
Avant de choisir peut-être une solution logicielle du marché dédiée au RGPD, souvent
onéreuse, il est important d’effectuer un tour d’horizon de l’utilisation des données
personnelles au sein de son organisme par des ateliers de sensibilisation et
d’information, puis de structurer la démarche à l’aide d’outils simples.
RGPD : Comprendre et se mettre en conformité40
Sensibilisation
RGPD à 360°
Études de cas
Applications à son
contexte
Sensibilisation
Information
RGPD à 360°
Études de cas
Applications à son
contexte
Auto-
diagnostic
Niveau de maturité
au RGPD
Effort à fournir
Identifier les
priorités
Sensibilisation
Information
RGPD à 360°
Études de cas
Applications à son
contexte
Registre des
traitements
Inventaire et
qualification des
traitements
Sous-traitants
Plan d’actions
Plateforme PIA
Étude d’impact
Analyse des risques
Demande d’avis
à la CNIL
Espace
documentaire
Modèles de mention
Notifications et
demandes
Contrats

41. aYaline
Sensibilisation
Afin de sensibiliser efficacement tous les collaborateurs de l’organisme, il
est indispensable de disposer d’informations précises collectées auprès des
acteurs de référence et synthétisées pour une présentation intelligible,
adaptée au contexte de chacun.
▪ Support de sensibilisation des dirigeants et de l’ensemble des
collaborateurs.
▪ Support de formation contenant un volet pour chaque thématique
principale (organisation, juridique, technique).
▪ Études de cas pour comprendre concrètement les répercussions du
RGPD.
▪ Présentation d’applications pratiques du RGPD dans son domaine.
RGPD : Comprendre et se mettre en conformité41

42. aYaline
Auto-diagnostic
Les modules d’auto-diagnostic, se présentant sous forme de
questionnaires avec calcul de score, ont pour objectif d’évaluer le
niveau de maturité de son organisme par rapport à la conformité au RGPD
sur les plans juridique, organisationnel et technique. Ils sont très utiles
également pour mesurer l’effort à fournir pour se mettre en
conformité.
▪ Auto-diagnostic juridique (désignation d’un DPO, respect des droits des
personnes, collecte et conservation des données, PIA, etc.).
▪ Auto-diagnostic organisationnel (gouvernance, procédures, etc.).
▪ Auto-diagnostic technique (habilitations, gestion des incidents, etc.).
RGPD : Comprendre et se mettre en conformité42

43. aYaline
Registre des traitements
Le registre des traitements est un élément central dans la
documentation de la conformité au RGPD. Il est indispensable pour
prouver sa conformité en cas de contrôle. Il est constitué de plusieurs
modules complémentaires :
▪ Cartographie « carte mentale » (recensement rapide des traitements).
▪ Liste des traitements (qualification synthétique de l’ensemble des
traitements).
▪ Base des traitements décrits en détail (fiches de registre sur le modèle
recommandé par la CNIL).
▪ Liste des catégories de traitement (en cas de sous-traitance).
▪ Base des preuves de consentement.
RGPD : Comprendre et se mettre en conformité43

44. aYaline
Plateforme PIA
L’analyse d’impact est une obligation dans certains cas de traitement (à
grande échelle, données sensibles, croisement de données…). Disposer
d’un outil pour procéder de façon méthodique à l'analyse d'impact sur
la protection des données (PIA) apporte des bénéfices considérables.
▪ Logiciel libre (sous licence GPL v3, conçu par la CNIL)
d’accompagnement à la conduite d'une analyse d'impact, didactique
avec des références aux articles du RGPD très utiles pour comprendre
le contexte légal de la démarche.
▪ Partage des rapports d’analyse au sein de son organisme et avec ses
partenaires (extranet mis en place par aYaline).
▪ Rapports d’analyse exportables pour stockage dans l’espace de
documentation.
RGPD : Comprendre et se mettre en conformité44

45. aYaline
Espace documentaire
La mise en conformité au RGPD et son maintien reposent sur un ensemble de procédures
et de documents de référence, accessibles au sein de l’organisme en fonction des
habilitations.
▪ Analyses d’impact sur la protection des données (PIA).
▪ Encadrement des transferts de données hors de l'Union européenne.
▪ Mentions obligatoires d’information des personnes.
▪ Modèles de recueil du consentement des personnes concernées.
▪ Procédures mises en place pour l'exercice des droits.
▪ Contrats avec les sous-traitants.
▪ Procédures internes en cas de violations de données.
▪ Preuves que les personnes concernées par un traitement ont donné leur
consentement.
RGPD : Comprendre et se mettre en conformité45

46. aYaline
Sommaire (rappel)
▪ Qu’est-ce que le RGPD ?
▪ Les grands principes
▪ Démarche de conformité
▪ Des outils pour se lancer
▪ Se faire accompagner
RGPD : Comprendre et se mettre en conformité46

47. aYaline
Se faire accompagner
▪ Qui sommes-nous ?
▪ Une approche méthodique et outillée
▪ Nous vous accompagnons
▪ Notre offre de services
▪ Nous contacter
RGPD : Comprendre et se mettre en conformité47

48. aYaline
Qui sommes-nous ?
aYaline est une agence digitale spécialisée depuis 1995 dans les solutions open source
pour développer des dispositifs Web & mobiles d'envergure.
RGPD : Comprendre et se mettre en conformité48

49. aYaline
Une approche méthodique et outillée
Se conformer aux grands principes du RGPD
requiert une approche méthodique et outillée,
sous la responsabilité d’un délégué à la protection
des données personnelles (DPO), impliquant tous les
départements ou services de l’entreprise, de la
collectivité ou de l’administration.
L’investissement nécessaire pour cette mise en
conformité est porteur de progrès parce qu'il répond
à une exigence croissante des personnes, internautes
en particulier, d’utiliser leurs données à bon escient
et de manière transparente et d’en assurer la
protection.
RGPD : Comprendre et se mettre en conformité49

50. aYaline
Nous vous accompagnons
Comme tout professionnel, privé ou
public, nous - AYALINE - entreprenons
notre projet de mise en conformité avec
le RGDP afin d’être prêts le 25 mai
2018, date d’application du règlement
européen.
Ce faisant, nous souhaitons vous faire
bénéficier de notre retour d’expérience
assortie d’une offre de services dans le
but de vous accompagner de façon
pragmatique et progressive dans la
prise en compte du RGPD.
RGPD : Comprendre et se mettre en conformité50

51. aYaline
Notre offre de services
RGPD : Comprendre et se mettre en conformité51
SENSIBILISATION ET FORMATION
Comprendre les principes moteurs du RGPD et leurs
implications au quotidien, cartographier les
traitements de données personnelles, établir les
priorités de mise en conformité, analyser les impacts
et prendre en main la plateforme PIA.
MÉTHODES & OUTILS
Interpréter les articles du RGPD, connaître et mettre
en pratique les recommandations de la CNIL (autorité
de contrôle), dérouler les étapes de préparation,
choisir les outils appropriés à son contexte.
PLATEFORME D’ANALYSE D’IMPACT
Disposer d’une plateforme pour procéder à l'analyse
d'impact sur la protection des données (PIA) qui est
un volet majeur du RGPD, partager les rapports au
sein de son organisme et avec ses partenaires
(extranet).
DÉVELOPPEMENTS ADAPTATIFS
Identifier les zones à risques de vos applications web
vis-à-vis des exigences du RGPD, étudier les impacts
fonctionnels et/ou techniques, développer les
adaptations, assurer leur maintenance.
ASSISTANCE ET CONSEIL
Vous accompagner tout au long de votre projet de
mise en conformité avec le RGPD, répondre au
quotidien à vos questions, être force de proposition,
vous mettre en relation avec des interlocuteurs
spécialisés (juristes...) si nécessaire.

52. aYaline
Nous contacter
Vous souhaitez en savoir plus sur notre offre de services RGPD ?
Vous avez un besoin d’accompagnement sur-mesure ?
N’hésitez pas à nous en parler.
RGPD : Comprendre et se mettre en conformité52
Personne à contacter :
Mathis Guille
Consultant
mguille@ayaline.com
Mob. : 06 10 07 42 35
Ou via le formulaire de contact : https://goo.gl/JCvtjE
AYALINE
4, allée des Frères Montgolfier
86360 Chasseneuil-du-Poitou
[Poitiers-Futuroscope]
www.ayaline.com
contact@ayaline.com
Tél. : 05 49 41 46 00