Règlement Général sur la Protection des Données (RGPD)
Comment Claranet participe à votre conformité ?
Eric Morali, DPO ad...
Instaurer un « cadre de confiance » !
Un peu de contexte …
% des Européens qui craignent que
leurs données personnelles ne...
S’y préparer : un avantage concurrentiel !
Etude Dell (09/2016) – Auprès de 821 professionnels de la « Privacy »
- Entrepr...
1) Etude et veille règlementaire, bonnes pratiques
2) Prise en compte des nouvelles exigences
3) Nomination d’un DPO
1 - D...
Veille
• Suivi et étude des évolutions règlementaires
• Associations professionnelles (AFCDP, IAPP)
Capitalisation sur les...
Mise en œuvre des principes d’accountability
• Documentation, procédures
• Mise en place d’outils de gestion (registre, ac...
(Considérant 76) Il convient de déterminer la probabilité et la gravité du risque pour les droits et libertés de
la person...
Outils de reporting permettant de suivre les actions de mise en conformité, conformité des
traitements, demandes droits de...
Obligation ou non de nommer un DPO, commencez dès aujourd'hui à identifier, sensibiliser, former vos
interlocuteurs privil...
1) Prise en compte de notre rôle de sous-traitant
• Nouvelles responsabilités de sous-traitant
• Développement d’un kit so...
Au-delà des obligations de sécurisation des données :
• Sous-traitant agit sur instructions documentée du Responsable de T...
Réflexion en cours sur l’intérêt d’une offre de conseil
• Audit, Privacy-by-design, PIA, Plan de mise en conformité/organi...
MERCI !
Prochain SlideShare
Chargement dans…5
×

Gestion des données personnelles : Comment Claranet participe à votre conformité ?

242 vues

Publié le

Comment votre hébergeur participe-t-il à votre mise en conformité ?
Réponse par Eric Morali, DPO adjoint, Security & Compliance chez Claranet. (Présentation effectuée lors de notre Happy Hour du 8 novembre 2016 sur la gestion des données personnelles)

Publié dans : Données & analyses
0 commentaire
2 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
242
Sur SlideShare
0
Issues des intégrations
0
Intégrations
108
Actions
Partages
0
Téléchargements
0
Commentaires
0
J’aime
2
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Gestion des données personnelles : Comment Claranet participe à votre conformité ?

  1. 1. Règlement Général sur la Protection des Données (RGPD) Comment Claranet participe à votre conformité ? Eric Morali, DPO adjoint, Security & Compliance Claranet 08 Novembre 2016
  2. 2. Instaurer un « cadre de confiance » ! Un peu de contexte … % des Européens qui craignent que leurs données personnelles ne soient pas en sécurité dans les mains des…
  3. 3. S’y préparer : un avantage concurrentiel ! Etude Dell (09/2016) – Auprès de 821 professionnels de la « Privacy » - Entreprises ayant toutes une base de 10% de clients européens - 50% d’entre-elles ayant 50% ou plus de clients en Europe • Plus de 80% répondent qu’il ne connaissent que peu de détails, voire aucun détails du RGPD • Près de 70% de ces professionnels ne sont pas préparés, ou ne savent pas si leur entreprise est préparée Ø Seulement 3% ont déjà un plan en place pour Mai 2018 Les entreprises sont-elles prêtes ?
  4. 4. 1) Etude et veille règlementaire, bonnes pratiques 2) Prise en compte des nouvelles exigences 3) Nomination d’un DPO 1 - Démarche Claranet
  5. 5. Veille • Suivi et étude des évolutions règlementaires • Associations professionnelles (AFCDP, IAPP) Capitalisation sur les bonnes pratiques Claranet • Exigences Hébergeur Agrée de Données de Santé • ITIL, ISO 27018 • 5 ans de SMSI certifié et de processus d’amélioration continue 1.1 - Veille et bonnes pratiques
  6. 6. Mise en œuvre des principes d’accountability • Documentation, procédures • Mise en place d’outils de gestion (registre, actions de mise en conformité, droits de personnes) • Outils de Reporting (suivi interne, audit, contrôle) Un « Registre » des traitements déjà adapté au Règlement • Approche par le risque (risque sur la vie privée des personnes) => Etude d’impact (PIA) • Revue de la sous-traitance (contrat, « privacy policy », transfert hors UE…) • Respect du droit des personnes, Mesures de sécurité, etc… Privacy-by-Design • Prise en compte dès la conception du traitement (et tout au long de son cycle de vie) des principes de protection des données • Implication de l’équipe conformité en amont de la mise en œuvre de projets 1.2 - Prise en compte des nouvelles exigences
  7. 7. (Considérant 76) Il convient de déterminer la probabilité et la gravité du risque pour les droits et libertés de la personne concernée en fonction de la nature, de la portée, du contexte et des finalités du traitement… 1.2 – Exemple d’approche par le risque (sur la vie privée) Approche par le risque (sur la vie privée) appliquée au registre des traitements Le risque devrait faire l'objet d'une évaluation objective permettant de déterminer si les opérations de traitement des données comportent un risque ou un risque élevé
  8. 8. Outils de reporting permettant de suivre les actions de mise en conformité, conformité des traitements, demandes droits des personnes, … • Suivi en interne • Audit et Contrôles 1.2 – Exemple d’outils de Reporting
  9. 9. Obligation ou non de nommer un DPO, commencez dès aujourd'hui à identifier, sensibiliser, former vos interlocuteurs privilégiés en interne sur les sujets de la protection des données à caractère personnel Une équipe Conformité Une expertise • Informatique et Liberté / RGPD • HADS Le choix de nommer dès juillet 2016 un DPO ! • Anticipation sur le Règlement • Sensibilisation interne aux nouvelles exigences bientôt applicables 1.3 – Nomination d’un DPO
  10. 10. 1) Prise en compte de notre rôle de sous-traitant • Nouvelles responsabilités de sous-traitant • Développement d’un kit sous-traitant : ce que nous appliquons à nos prestataires, l’appliquer pour vous ! 2) Equipe d’experts pour vous accompagner 2. Accompagnement de nos clients (RGPD - Art. 28 - 1) « Lorsqu’un traitement doit être effectué pour le compte d’un responsable de traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponse aux exigences du présent règlement et garantisse la protection des droits de la personne concernée »
  11. 11. Au-delà des obligations de sécurisation des données : • Sous-traitant agit sur instructions documentée du Responsable de Traitement • Aide le Responsable de Traitement (notification failles, audit, droits des personnes) • Met en place les mesures techniques et organisationnelles nécessaires (par ex. clauses confidentialités des employés) • Réversibilité en fin de contrat, registre du sous-traitant, … ü A l’écoute des lignes directrices à venir des autorités européennes sur l’interprétation de certains de ces points … 2.1 - Notre responsabilité de sous-traitant
  12. 12. Réflexion en cours sur l’intérêt d’une offre de conseil • Audit, Privacy-by-design, PIA, Plan de mise en conformité/organisation, … ü N’hésitez pas à nous faire connaitre votre intérêt pour ce genre de nouveaux services 2.1 - Une équipe d’experts pour vous accompagner
  13. 13. MERCI !

×