Matinale d’information sur
la protection des données
Les présentations
Mardi 25 avril 2017
Les intervenants
Kim Smouter, Head of Public Affairs and
Professionals Standards – ESOMAR
Maitre Martine Ricouart Maillet,...
Animation de la table ronde
Maurice NDIAYE - Professeur Data marketing
à Sciences Po, Partner chez SYNOMIA et
Co-Président...
Kim Leonard Smouter
Chef des Affaires Publiques et
Standards Professionnels
📩 kim@esomar.org
📩 public.affairs@esomar.org
S...
Vers un marché numérique unique
•  La Commission Juncker a fait du digital sa première priorité
•  Ce chantier est vu comm...
Des enjeux économiques majeurs
•  41% des entreprises européennes ne sont pas digitalisées
•  Un enjeu d’environ 400,000 v...
Des enjeux légaux majeurs
•  Les obligations légales divergentes coûtaient 2,3 milliards à
l’économie de l’UE
•  Les oblig...
Des enjeux sociétaux majeurs
•  63% des citoyens trouvent les entreprises numériques peu fiables
(Eurobaromètre, UE)
•  90...
Une évolution, pas une révolution
•  Le cadre légal est en construction depuis les années 70 avec des
étapes-clés :
–  Con...
Revenons donc aux principes
•  Collectez seulement ce dont vous avez réellement besoin
•  Vos bases de données doivent êtr...
Les innovations les plus importantes
•  Les amendes peuvent vite grimper
–  € 20 millions pour les petites structures
–  4...
Et à ne pas oublier donc que :
•  Vous et vos partenaires partagez les responsabilités
•  Vous êtes responsable de votre a...
Qu’est-ce qui change pour les entreprises ?
•  Vous êtes redevable de votre analyse de risque et la
proportionnalité de vo...
Le choix de la base légale de collecte
•  Le consentement est un parmi une série de base légales de
collecte. Elle n’est p...
Quelles sont donc les bases légales?
•  Consentement
•  Dans le cadre d’un contrat
•  Pour des tâches nécessaires aux inté...
(Re)mettre le citoyen au centre de l’activité
•  Vos bases de données doivent permettre au citoyen de faire
appliquer ses ...
Hors-UE comment ca se passe?
•  Les transferts hors-UE restent un sujet sensible
–  Clauses contractuelles standardisées (...
Conclusions
1.  Soyez «humains » dans vos pratiques de collecte et utilisation
des données
2.  Investissez dans les ressou...
Présentation Martine Ricouart-Maillet
10/09/10	Le	premier	réseau	des	Professionnels	du	Marke9ng	 19	
L'Association françai...
LA	PROTECTION	DES	DONNÉES	À	CARACTÈRE	PERSONNEL		
Une préoccupation
importante des
citoyens européens …
Source : Symantec
...
Les	dernières	sanc:ons	de	la	CNIL,	enseignements	à	:rer	
Encadrer	contractuellement	la	rela:on	avec	les	ST,	le	cas	échéant...
PRINCIPES	FONDAMENTAUX	DU	TRAITEMENT	DES	DONNEES	
• INFORMATION	SALARIÉS,	CLIENTS,	ADMINISTRÉS	 		
LICEITE,	LOYAUTE	ET	TRA...
Rela:ons	donneur	d’ordre/	sous-traitant:	
Conséquences,	contraintes	ou	opportunité?		
Face	à	un	
sous-traitant	
Vérifier	le...
Accountability : repenser l’organisation de
la conformité
Cela suppose d’appliquer la règle des 3 P
Pilote(s):	Equipe	
con...
La notion d’accountability : quels objectifs ?
L’accountability désigne l’obligation pour les entreprises de :
Etre	capabl...
Notification des failles de sécurité
Qui	no:fier	?		
Autorité	de	contrôle	dans	les	72	heures	sauf	si	
la	viola:on	n’est	pas...
METHODOLOGIE BRM
	Mise	en	place	des	process	et	de	la	documenta:on		
Plan	d’ac:ons	détaillé	
Res:tu:on	
Rapport	d’audit	
Au...
Plan	d’accompagnement	RGPD		
juin-17 juil-17 août-17 sept-17 oct-17 sept-17 déc-17 janv-18 févr-18 mars-18 avr-18 mai-18
A...
PROGRAMME	2017	DE	LA	CNIL	
Poursuite	de	la	stratégie	de	contrôle	complexes,	combinant	contrôles	sur	place,	sur	
pièces,	su...
Les	gains	de	la	conformité	
•  		
Synergie	et	collabora:on	entre	les	équipes	
Ethique	et	Image	de	marque	
Ges:on	et	valori...
Le	premier	réseau	des	Professionnels	du	Marke9ng	 31	
Merci !
Prochain SlideShare
Chargement dans…5
×

Matinale d'Information sur le nouveau règlement européen sur la protection des données

1 103 vues

Publié le

Matinale d'information du 25 avril 2017

Publié dans : Marketing
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
1 103
Sur SlideShare
0
Issues des intégrations
0
Intégrations
861
Actions
Partages
0
Téléchargements
0
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Matinale d'Information sur le nouveau règlement européen sur la protection des données

  1. 1. Matinale d’information sur la protection des données Les présentations Mardi 25 avril 2017
  2. 2. Les intervenants Kim Smouter, Head of Public Affairs and Professionals Standards – ESOMAR Maitre Martine Ricouart Maillet, Vice-Présidente de l’AFCDP – Association Française des Correspondants Informatique et Libertés Stéphane Amarsy, Co-Fondateur de Inbox Xavier Lemarteleur, Responsable juridique TIC de La Poste
  3. 3. Animation de la table ronde Maurice NDIAYE - Professeur Data marketing à Sciences Po, Partner chez SYNOMIA et Co-Président du Club Adetem Marketing PME 3
  4. 4. Kim Leonard Smouter Chef des Affaires Publiques et Standards Professionnels 📩 kim@esomar.org 📩 public.affairs@esomar.org Sur Linked In | @esoGOV sur Twitter Présentation Kim Smouter
  5. 5. Vers un marché numérique unique •  La Commission Juncker a fait du digital sa première priorité •  Ce chantier est vu comme un enjeu majeur pour la survie de l’UE •  Il y a une multitude d’initiatives en cours : –  Abolition des barrières de diffusion de contenu digital –  Renforcement des protections des personnes –  Renforcement des programmes de subventions –  Réforme d’une sélection de lois pour l’ère digitale
  6. 6. Des enjeux économiques majeurs •  41% des entreprises européennes ne sont pas digitalisées •  Un enjeu d’environ 400,000 voir 1,5m d’emplois pour l’UE •  3,2 mille milliards pour les économies du G20 •  Un taux de croissance de l’économie Big Data de 40% en seulement 5 ans
  7. 7. Des enjeux légaux majeurs •  Les obligations légales divergentes coûtaient 2,3 milliards à l’économie de l’UE •  Les obligations de notification coûtaient environ 130 millions aux entreprises UE •  Les pouvoirs des CNILs n’avaient plus de réel pouvoir dissuasif face aux GAFA •  Les entreprises hors-UE étaient mieux loties par rapport aux obligations légales •  Remise à niveau des pouvoirs des citoyens
  8. 8. Des enjeux sociétaux majeurs •  63% des citoyens trouvent les entreprises numériques peu fiables (Eurobaromètre, UE) •  90% des Européens veulent la même protection où qu’ils se trouvent dans l’UE (Eurobaromètre, UE) •  93% des individus trouvent important de pouvoir exercer un contrôle sur sa propre confidentialité (Pew, EU) •  25% des individus ont pris des actions concrètes pour exercer un contrôle en faveur de leur confidentialité (Pew, EU)
  9. 9. Une évolution, pas une révolution •  Le cadre légal est en construction depuis les années 70 avec des étapes-clés : –  Convention européenne des droits humains –  Convention 108 du Conseil de l’Europe –  Les principes de confidentialité de l’OCDE –  Charte des droits fondamentaux de l’UE –  La directive 1995 sur les données personnelles •  Le règlement européen ne fait que clarifier et renforcer certains éléments en vue du marché numérique
  10. 10. Revenons donc aux principes •  Collectez seulement ce dont vous avez réellement besoin •  Vos bases de données doivent être à jour et exactes •  Limitez les objectifs de la collecte de données •  Les bases de données ne peuvent être utilisées pour d’autre fins •  Les données doivent être protégées contre la perte, l'accès non- autorisé, les abus… •  Ceux qui collectent les données doivent être transparents sur leurs pratiques •  Les personnes cibles de la collecte ont un droit à l’information, avec accès et contrôle •  Le responsable du traitement doit faire respecter ces principes
  11. 11. Les innovations les plus importantes •  Les amendes peuvent vite grimper –  € 20 millions pour les petites structures –  4% du chiffre d’affaires mondial pour les plus grandes •  Une dimension extraterritoriale –  Applicable aux opérateurs hors UE •  Un renforcement appréciable des droits des personnes –  Le droit à l’oubli –  Le droit à la portabilité –  L’objection à tout moment pour certaines activités •  Un renforcement appréciable des conditions –  Notification | consentement et contrôle | finalité
  12. 12. Et à ne pas oublier donc que : •  Vous et vos partenaires partagez les responsabilités •  Vous êtes responsable de votre analyse de risque et des gestes de mitigations qui en découle –  Maintenir des registres de ces analyses est crucial! •  Vous êtes encore plus responsable de vos notifications •  Une forte recommandation d’adoption de principes de « Privacy by Design »
  13. 13. Qu’est-ce qui change pour les entreprises ? •  Vous êtes redevable de votre analyse de risque et la proportionnalité de votre mise en application •  Vous devez donc plus que jamais connaître les flux de données transitant dans l'entreprise •  Cela concerne plus que jamais toute l'entreprise –  Privacy by Design –  Mesures organisationnelles •  Plus d’obligations de notification, et une seule CNIL référente : celle du pays où se trouve votre établissement principal
  14. 14. Le choix de la base légale de collecte •  Le consentement est un parmi une série de base légales de collecte. Elle n’est pas mieux que les autres. •  Il faut désormais maintenir un registre des bases légales pour toute collecte de données pour démontrer sa conformité. •  Pour ceux dont la collecte de données est une raison principale d’établissement, le « data protection officer » est obligatoire •  L'entreprise ne peut pas facturer les personnes pour des requêtes concernant leurs droits.
  15. 15. Quelles sont donc les bases légales? •  Consentement •  Dans le cadre d’un contrat •  Pour des tâches nécessaires aux intérêts de l’individu •  Pour des tâches nécessaires à l’intérêt commun •  Nécessaire pour des fins répondant de l’intérêt légitime du contrôleur –  Et seulement si cela n’enfreint ni les intérêts ni les droits fondamentaux de l’individu •  Les données collectées pour une fin précise sont compatibles pour être réutilisées à des fins de recherche
  16. 16. (Re)mettre le citoyen au centre de l’activité •  Vos bases de données doivent permettre au citoyen de faire appliquer ses droits : –  Restriction d’accès, –  Droit d’objection, –  Notification au préalable, –  Droit à la rétractation, –  Droit à la portabilité de ses données •  Le citoyen peut toujours refuser le profilage pour les fins de marketing ainsi que la segmentation pour les fins d’ études •  L'âge de consentement est fixé à 16 ans (modifiable par les états membres pour leur pays)
  17. 17. Hors-UE comment ca se passe? •  Les transferts hors-UE restent un sujet sensible –  Clauses contractuelles standardisées (Standard Clauses) –  BCR (Binding Corporate Rules) –  Adequacy Decisions •  Le Bouclier UE/EU démontre la complexité possible •  Le nouveau règlement permet d’autres outils pour faciliter les transferts : –  Codes de conduite –  Certifications
  18. 18. Conclusions 1.  Soyez «humains » dans vos pratiques de collecte et utilisation des données 2.  Investissez dans les ressources permettant de contrôler les flux 3.  Connaissez bien vos flux entrants et sortants pour bien gérer les données… 4.  Exprimez-vous simplement dans vos communications auprès du citoyen 5.  Pensez aux risques de responsabilité partagée dans le cadre des partenariats
  19. 19. Présentation Martine Ricouart-Maillet 10/09/10 Le premier réseau des Professionnels du Marke9ng 19 L'Association française des correspondants à la protection des données à caractère personnel (AFCDP) est une association loi de 1901, créée en 2004, dans le contexte de la modification de la Loi informatique et libertés qui a officialisé un nouveau métier, celui de « Correspondant à la protection des données à caractère personnel » (ou CIL, pour Correspondant informatique et libertés).
  20. 20. LA PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL Une préoccupation importante des citoyens européens … Source : Symantec « State of Privacy Report 2015 »
  21. 21. Les dernières sanc:ons de la CNIL, enseignements à :rer Encadrer contractuellement la rela:on avec les ST, le cas échéant au moyen de CCT si ces derniers sont établis dans un pays non-adéquat En cas de Chaine de sous-traitance, imposer des clauses de sécurité et de confiden:alité des données aux prestataires principaux et prestataires secondaires Prévoir dans les contrats avec les prestataires une clause définissant ses obliga:ons en ma:ère de protec:on des données et précisant que ce dernier ne peut agir que sur instruc:on du RT
  22. 22. PRINCIPES FONDAMENTAUX DU TRAITEMENT DES DONNEES • INFORMATION SALARIÉS, CLIENTS, ADMINISTRÉS LICEITE, LOYAUTE ET TRANSPARENCE • DETERMINEES, EXPLICITES, LEGITIMES LIMITATION DES FINALITÉS • PAS DE MESURES QUI NE TROUVENT UNE JUSTIFICATION LÉGITIME MINIMISATION DES DONNEES •  MISE À JOUR EXACTITUDE • DUREE DE CONSERVATION GEREE LIMITATION DE LA CONSERVATION • LOGIQUE, PHYSIQUE, ORGANISATIONNELLE, CONTRACTUELLE (L’IMPOSER AUX SOUS-TRAITANTS) SECURITÉ ET CONFIDENTIALITÉ RESPONSABILITE (ACCOUNTABILITY)
  23. 23. Rela:ons donneur d’ordre/ sous-traitant: Conséquences, contraintes ou opportunité? Face à un sous-traitant Vérifier les garan:es concrètes offertes par le ST en ma9ère de protec9on des données Encadrer les rela9ons avec le ST par le biais d’un contrat écrit comportant les exigences écrites Vérifier qu’il respecte les nouvelles obliga9ons mises à sa charge En tant que sous-traitant Respecter les nouvelles obliga9ons à la charge du ST: no:fica:on des viola:ons, registre, DPO Recruter uniquement des ST qui offrent des garan:es concrètes quand à la protec9on des données Devoir d’alerte A savoir: La violation de ces obligations pourra faire l’objet d’une amende administrative pouvant s’élever jusqu’à 2% du CA
  24. 24. Accountability : repenser l’organisation de la conformité Cela suppose d’appliquer la règle des 3 P Pilote(s): Equipe conformité ou DPO Process documentés Poli:que de protec:on des données
  25. 25. La notion d’accountability : quels objectifs ? L’accountability désigne l’obligation pour les entreprises de : Etre capable de démontrer le respect des règles rela:ves à la protec:on des données Etablir une poli:que de protec:on des données Me[re en œuvre des mécanismes et procédures internes perme[ant la mise en conformité Se responsabiliser (plus de déclara:on à faire) Documenter ses process
  26. 26. Notification des failles de sécurité Qui no:fier ? Autorité de contrôle dans les 72 heures sauf si la viola:on n’est pas suscep:ble d’engendrer un risque pour les personnes physiques Les individus touchés, dans les meilleurs délais si la viola:on présente un « risque élevé » pour eux ou sur ordre de l’autorité de contrôle
  27. 27. METHODOLOGIE BRM Mise en place des process et de la documenta:on Plan d’ac:ons détaillé Res:tu:on Rapport d’audit Audit technique Analyse d’impact (le cas échéant) Entre:ens Revue des ou:ls de communica:on Inventaire des traitements- Lis:ng documenta:on Revue des documents Sensibilisa:ons/forma:ons Prédiagnos:c
  28. 28. Plan d’accompagnement RGPD juin-17 juil-17 août-17 sept-17 oct-17 sept-17 déc-17 janv-18 févr-18 mars-18 avr-18 mai-18 Audits/prédiagnostics                 DPO/F         Plan d'action         Mise en œuvre des précaunisations BRM Contrôle de mise en œuvre des préconisations de BRM     Mise en conformité critères Label CNIL Gouvernance             Rédaction, dépôt dossier Label Gouvernance   Accompagnement mise en œuvre RGPD
  29. 29. PROGRAMME 2017 DE LA CNIL Poursuite de la stratégie de contrôle complexes, combinant contrôles sur place, sur pièces, sur convoca:on ou en ligne (Data Broker) Mise en applica:on des procédures de coopéra:on entre autorités de contrôle prévues par le RGPD Confiden:alité des données de santé traitées par les sociétés d'assurance Fichiers de renseignement Télévisions connectées (« Smart TV »)
  30. 30. Les gains de la conformité •  Synergie et collabora:on entre les équipes Ethique et Image de marque Ges:on et valorisa:on op:misée du patrimoine Améliora:on de la sécurité informa:que globale •  Réduc:on des risques juridiques, média:ques et financiers Différencia:on et concurrence
  31. 31. Le premier réseau des Professionnels du Marke9ng 31 Merci !

×