Matinale d’information sur
la protection des données
Les points à retenir
Mardi 25 avril 2017
Les intervenants
Kim Smouter, Head of Public Affairs and
Professionals Standards – ESOMAR
Maitre Martine Ricouart Maillet,...
Animation de la table ronde
Maurice NDIAYE - Professeur Data marketing
à Sciences Po, Partner chez SYNOMIA et
Co-Président...
Le nouveau règlement européen s’appliquera en
mai 2018
•  Beaucoup plus de pouvoir de l’autorité de contrôle
•  Les amende...
Quelques conseils
•  Pensez à l’importance des flux (Marketing, RH, DG, accueil…) :
Investissez dans les ressources permet...
Pour mémoire
•  Obligation de notifier dans les 72h une faille de sécurité (en cas de
soupçon de faille ou de faille avéré...
CIL (Correspondant Informatique et Libertés) /
DPO (Data Privacy Officer)
•  Le CIL est obligatoire pour ceux dont la coll...
Contrôles de la CNIL
•  Lors de contrôles, la CNIL a accès
–  Au SI de l’entreprises et peut demander des extraits de base...
Choisir son partenaire/sous-traitant data
•  Un bon partenaire data :
- respecte le nouveau règlement européen
- a un regi...
Le	premier	réseau	des	Professionnels	du	Marke5ng	 10	
Merci !
Prochain SlideShare
Chargement dans…5
×

Matinale d'Information sur le nouveau règlement européen sur la protection des données

2 187 vues

Publié le

Matinale d'information du 25 avril 2017

Publié dans : Marketing

Matinale d'Information sur le nouveau règlement européen sur la protection des données

  1. 1. Matinale d’information sur la protection des données Les points à retenir Mardi 25 avril 2017
  2. 2. Les intervenants Kim Smouter, Head of Public Affairs and Professionals Standards – ESOMAR Maitre Martine Ricouart Maillet, Vice-Présidente de l’AFCDP – Association Française des Correspondants Informatique et Libertés Stéphane Amarsy, Co-Fondateur de Inbox Xavier Lemarteleur, Responsable juridique TIC de La Poste
  3. 3. Animation de la table ronde Maurice NDIAYE - Professeur Data marketing à Sciences Po, Partner chez SYNOMIA et Co-Président du Club Adetem Marketing PME 3
  4. 4. Le nouveau règlement européen s’appliquera en mai 2018 •  Beaucoup plus de pouvoir de l’autorité de contrôle •  Les amendes peuvent vite grimper : - 20 millions d’euros pour les petites structures - 4% du chiffre d’affaires mondial pour les plus grandes Dimension extraterritoriale : applicable aux opérateurs hors UE •  Renforcement des droits des personnes : - Le droit à l’oubli - Le droit à la portabilité - L’objection à tout moment pour certaines activités Le citoyen peut toujours refuser le profilage à des fins Marketing •  Renforcement des conditions : consentement et contrôle / finalité
  5. 5. Quelques conseils •  Pensez à l’importance des flux (Marketing, RH, DG, accueil…) : Investissez dans les ressources permettant de contrôler les flux •  Connaissez bien vos flux entrants et sortants pour bien gérer les données…Vous êtes responsable de votre analyse de risque et des gestes de mitigations qui en découlent. Maintenir des registres de ces analyses est crucial ! •  Soyez « humains » dans vos pratiques de collecte et utilisation des données •  Exprimez-vous simplement dans vos communications auprès du citoyen Adoptez les principes de « Privacy by Design » : la protection de la vie privée dès la conception. •  Pensez aux risques de responsabilité partagée dans le cadre des partenariats (ex : sous-traitants)
  6. 6. Pour mémoire •  Obligation de notifier dans les 72h une faille de sécurité (en cas de soupçon de faille ou de faille avérée) : –  à l’autorité de contrôle (sauf si la violation n’est pas susceptible d’engendrer un risque pour les personnes physiques) –  aux individus touchés, dans les meilleurs délais si la violation présente « un risque élevé » pour eux ou sur ordre de l’autorité de contrôle •  Le Marketing Automation ne devrait pas être interdit. Il doit y avoir une finalité à la collecte et uniquement les données nécessaires peuvent être collectes et gardées. •  Concernant les cookies, les négociations sont encore en cours : elles devraient se terminer en décembre 2017. •  Une garantie d’éthique peut permettre de se différencier de ses concurrents vis-à-vis de ses salariés, prospects et clients. Il y a par exemple des labels CNIL qui peuvent être mis en avant.
  7. 7. CIL (Correspondant Informatique et Libertés) / DPO (Data Privacy Officer) •  Le CIL est obligatoire pour ceux dont la collecte de données est une raison principale d’établissement. Il peut être externe à l’entreprise s’il y a moins de 50 salariés. Pour les entreprises de plus de 50 salariés, un CIL en interne est conseillé. •  Le CIL sera choisi pour son bon relationnel, ses connaissances juridiques et techniques. Le DG et le DSI ne peuvent pas être CIL. Il peut être à temps partiel ou à temps plein. Le CIL ne reçoit pas d’ordre direct de la direction mais il est en contact direct avec la direction. Plusieurs entreprises peuvent partager le même CIL. •  Le CIL n’est pas responsable pénalement mais il doit alerter le responsable des traitements par exemple s’il y a une faille. C’est le responsable de traitement qui est responsable d’un point de vue pénal, civil et administratif. •  Plus d’informations sur : https://www.cnil.fr/fr/le-cil-et-le-futur-delegue-la-protection-des-donnees
  8. 8. Contrôles de la CNIL •  Lors de contrôles, la CNIL a accès –  Au SI de l’entreprises et peut demander des extraits de bases de données (par exemple avec les données les + anciennes pour vérifier la durée de conservation des données). La CNIL vérifiera par exemple les critères de segmentation des bases de données –  A tous les documents nécessaires : contrats, plaquettes commerciales, mentions légales… •  A la fin du contrôle, Il est important de bien relire le PV et d’y apporter des commentaires si nécessaires. Le PV peut indiquer que l’entreprise doit envoyer à la CNIL des pièces complémentaires. •  Plus d’informations sur https://www.cnil.fr/fr/comment-se-passe-un-controle-de-la-cnil
  9. 9. Choisir son partenaire/sous-traitant data •  Un bon partenaire data : - respecte le nouveau règlement européen - a un registre des flux entrants et sortants - prouve l’utilisation des données - a des certifications comme la norme ISO 27031 •  Dans le contrat, il sera indiqué le processus sécurisé (ex : un échange via serveur sécurisé) qui sera utilisé pour échanger les informations. Il faut indiquer que les informations partagées en dehors de ce processus ne seront pas traitées. •  Il faudra aussi revoir les contrats existants.
  10. 10. Le premier réseau des Professionnels du Marke5ng 10 Merci !

×