SlideShare une entreprise Scribd logo

RGPD - 2 ans plus tard - Où en est votre mise en conformité ?

B
Boris Clément

Comment accélerer la mise en conformité des données de son entreprise ? Nous vous présentons les 6 étapes clés de la mise en conformité RGPD. En bonus, on vous présente un outil tout en un : Un espace RGPD pour vos utilisateurs pour une gestion automatique de leurs données personnelles. Essayez le portail RGPD https://initiative-crm.com/produit/crm-rgpd-gestion-donnees-personnelles

Business
1  sur  54
Télécharger pour lire hors ligne
« Accélérez votre mise en conformité RGPD »
Editeur et intégrateur de logiciels CRMQui sommes-nous ?
Le RGPD, c’est quoi ?
Le RGPD, c’est quoi ? page 04 Règlement Général Protection Données Mai 25 2018
Que sont les données personnelles ? page 05 Des données que l’on pourrait considérer comme anonymes peuvent constituer des données personnelles si elles permettent d’identifier indirectement ou par regroupement d’information une personne précise. La CNIL
Qu’est-ce que le RGPD ? page 06 S’adapter aux nouvelles technologies Le RGPD a été créé afin de répondre aux nouveaux enjeux de la digitalisation de la société. Droit fondamental Le RGPD vise à protéger les libertés et droits fondamentaux des personnes physiques et en particulier leur droit à la protection de leurs données. Selon cette réglementation, tout citoyen européen doit pouvoir accéder aux informations personnelles le concernant, détenues par une entreprise. . 3ème version de la loi Informatique et Libertés Cette nouvelle réglementation renforce la protection des données personnelles des citoyens en réadaptant pour le 3ème fois la loi Informatique et Libertés de 1978.
Les grands principes du RGPD page 07 01 Licéité, loyauté et transparence On dit ce que l'on fait, on fait ce que l'on dit et on s'assure d'avoir le droit (fondement légal ou consentement). 04 Exactitude des données Les données sont exactes et à jour. 02 Limitation de la finalité La donnée collectée est utilisée seulement pour la finalité annoncée et aucune autre sans consentement supplémentaire. 05 Limitation de la conservation Les données ne sont conservées que le temps nécessaire au traitement. 03 Minimisation des données On ne recueille et n’utilise que ce qui est strictement nécessaire. 06 Intégrité et confidentialité Les données doivent être correctement protégées afin de prévenir tout traitement illicite.
Périmètre d’application page 08 Tous les contacts Toutes les entreprises ou institutions sont concernées (privées ou publiques). Uniformise les pratiques des pays européens. Citoyen européen Le RGPD ne couvre pas le traitement des données de personnes morales. Personne physique
Les sanctions et risques page 09 De 2% du chiffre d’affaires ou 10M € d’amende À 4% du chiffre d’affaires ou 20M € d’amende Des sanctions administratives Jusqu’à 5 ans de prison 300K € d’amende Des sanctions pénales
Les clés pour réussir votre mise en conformité.
La face cachée du RGPD page 011 Technique Campagne marketing DPO Preuve Registre des traitements
Les étapes de mise en conformité page 012 Définir la politique de protection des données personnelles. Analyser le ou les registres de traitements. Lister les traitements de données personnelles. Agir en fonction des solutions identifiées en PIA. Prévoir des process de gestion de crise. Surveiller et s’améliorer au fil du temps. 01 02 03 04 05 06
Les étapes de mise en conformité page 013 Définir la politique de protection des données personnelles. Analyser le ou les registres de traitements. Lister les traitements de données personnelles. Agir en fonction des solutions identifiées en PIA. Prévoir des process de gestion de crise. Surveiller et s’améliorer au fil du temps. 01 02 03 04 05 06
Définir et publier la politique de protection des données page 014 0 06 politique d’entreprise (n.) Ensemble des orientations choisies par une entreprise pour conduire ses affaires. Le but : Donner une ligne de conduite aux collaborateurs et orienter les décisions de l’entreprise ! 01
Choisir un DPO page 015 0 06 01 DPO Data Protection Officer – Délégué à la protection des données personnelles Il a des compétences techniques et/ou juridiques. Il ne doit pas avoir de conflit d’intérêts (ex: il n’est pas le dirigeant de la société). Il est indépendant. Il peut être interne ou externe à l’entreprise.
Choisir un DPO page 016 0 06 01 contrôle la bonne application du RGPD. Informe, conseil, sensibilise sur le respect des IPI (et du RGPD). Est consulté pour toutes questions relatives au traitement des IPI et contrôle le respect du RGPD. Point de contact pour l'autorité de contrôle (CNIL) et la Direction.
Choisir un DPO page 017 0 06 01 Le DPO est obligatoire si : + de 250 salariés Traitement de données sensibles Traitement régulier/massif de données personnelles
Sensibiliser et former les équipes en interne page 018 0 06 01 Pour mener à bien une politique de protection des données personnelles, il est nécessaire de : Définition de la politique dans le but de décrire officiellement les intentions et l’orientation générale que souhaite donner l’entreprise pour la conformité, l’identité du DPO… Sensibilisation et formation pour faire adopter les bons réflexes à avoir, informer des nouvelles procédures et grands principes du RGPD. Rédaction de la charte et lui donner une force contraignante. Diffusion de la charte annexion au règlement intérieur, note de service, signature des salaries… 1 2 Affichez la charte de manière visible dans les locaux de votre entreprise, cela fera bonne impressionlors d'un contrôle.
Les étapes de mise en conformité page 019 Définir la politique de protection des données personnelles. Analyser le ou les registres de traitements. Lister les traitements de données personnelles. Agir en fonction des solutions identifiées en PIA. Prévoir des process de gestion de crise. Surveiller et s’améliorer au fil du temps. 01 02 03 04 05 06
Définir et répertorier les traitements des données personnelles page 020 0 06 02 traitement de données (n.) Toute opération, ou ensemble d’opérations, portant sur des données, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction...). Identifier si les traitements impliquent des IPI (Information Personnelles d’Identification). les traitements pour votre compte, des traitements des sous-traitants. Séparer
Remplir le registre page 021 0 06 02 Il s’agit ici de remplir le registre en renseignant dans un premier temps, pour chaque traitement identifié traitant des IPI, les éléments suivants : • Quoi ? (catégories des données personnelles – ATTENTION mentionner si elles sont sensibles !) • Pourquoi ? (finalités pour lesquelles elles-ont été recueillies) • Qui ? (qui manipule les données – employés et sous-traitants) • Où ? (lieux de conservation, transferts -avérés ou potentiels) • Jusqu’à quand ? (durée de conservation) • Comment ? (mesures de sécurité, contrôle d'accès, risques pour les personnes concernées) Modèle d’un registre de traitements proposé par la CNIL disponible sur la clé.
Aperçu d’un registre des traitements page 022 0 06 Description de la nature des données Finalités du traitement Destinataires et utilisateurs de données Lieu du traitement Stockage/transfert Durée de conservation Mesures de sécurité du traitement Données nominatives et de contact Captation de contacts pour envoi de communications ciblées (mails, appels téléphoniques) - Conseillers commerciaux de la plateforme téléphonique interne - Service marketing - Logiciels internes de gestion de contacts (en Saas) - Données hébergées sur des serveurs à Paris par le groupe Iliad 3 ans après le dernier contact avec la personne - Accès sécurisé au logiciel - Sécurité du serveur assurée par un prestataire spécialisé 02 (Pourquoi)(Quoi) (Qui) (Où) (Jusqu’à quand) (Comment) La CNIL propose un registre de traitement disponible au téléchargement https://www.cnil.fr/fr/RGDP-le-registre-des-activites-de-traitement
Les étapes de mise en conformité page 023 Définir la politique de protection des données personnelles. Analyser le ou les registres de traitements. Lister les traitements de données personnelles. Agir en fonction des solutions identifiées en PIA. Prévoir des process de gestion de crise. Surveiller et s’améliorer au fil du temps. 01 02 03 04 05 06
Analyser votre registre des traitements page 024 0 06 03 Le registre des traitements doit être considéré comme un outil du principe de responsabilité du fait que le Responsable du traitement doit être en mesure de démontrer sa conformité. 01 02 03 Se poser les bonnes questions. Trier par risques et utilisation. Analyser les risques.
Se poser les bonnes questions page 025 0 06 03 1/ Avons-nous besoin de toutes ces données ? 2/ Avons-nous le droit d'utiliser ces données et pouvons-nous le prouver ? 3/ Ce traitement présente t-il des risques importants pour la personne en cas de violation des données (données sensibles ou concernant des enfants par exemple) ? 4/ La sécurité de ces données est-elle suffisante (accès limités, mesures techniques) ?
Trier les traitements page 026 0 06 03 Cette étape consiste à : • Qualifier les risques (élevé, moyen, faible) • Déterminer la probabilité de survenance du risque • Déterminer le « niveau de menace » pour chaque traitement selon une matrice « Risque - Probabilité » Si vous avez répondu OUI à la question « Ce traitement présente t-il des risques importants pour la personne en cas de violation des données (données sensibles ou concernant des enfants par exemple) ? », le risque est forcément élevé.
Analyser les risques page 027 0 06 03 PIA = Privacy Impact Assessment Une PIA a pour but d’identifier : • La nature des risques • Les solutions pour y remédier Il est obligatoire de réaliser une analyse d'impact relative à la protection des données (PIA) pour tous les traitements à risque « élevé » ou traitant des IPI sensibles. + le niveau d’impact est élevé + l’analyse doit être complète et approfondie Il est recommandé de réaliser cette analyse sur tous les traitements ayant un niveau de menace au moins « moyen ».
Aperçu d’une PIA page 028 0 06 Situation Risque pour les personnes Risque pour la conformité Impact potentiel Solution possible Résultat attendu La Société X sauvegarde toutes les nuits la liste des cotisations versées à l'adhésion d'un célèbre syndicat sur un serveur distant, non sécurisé. Si le serveur est piraté ou les données interceptées, leurs données personnelles peuvent être dévoilées, ainsi que leur appartenance syndicale, ce qui peut être préjudiciable professionnellement. Elles pourraient faire l'objet d'un usage malveillant. Défaut de sécurité quant à la protection de données sensibles, perte du contrôle des données par l'organisme. Cela peut nuire à la réputation de la société X, engendrer des pertes de clients par manque de confiance. Echec de la conformité RGPD, amende importante. Mettre en place des mesures techniques afin de pseudonymiser les données sauvegardées et chiffrer les transferts vers le serveur distant (SSL, SFTP, etc.) ainsi que le serveur. Risque réduit voire supprimé. Données inutilisables en l'état même en cas de vol. 03 La CNIL propose un autre outil complet à télécharger https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil
Les étapes de mise en conformité page 029 Définir la politique de protection des données personnelles. Analyser le ou les registres de traitements. Lister les traitements de données personnelles. Agir en fonction des solutions identifiées en PIA. Prévoir des process de gestion de crise. Surveiller et s’améliorer au fil du temps. 01 02 03 04 05 06
Appliquer les solutions identifiées en PIA page 030 0 06 04 Je détiens des données qui me sont inutiles. Solution Minimiser les données (en supprimant les doublons par exemple)
Appliquer les solutions identifiées en PIA page 031 0 06 04 Je n'ai pas le consentement des personnes pour le traitement de leurs données. Solutions 1/ Je les informe que je détiens leurs données personnelles. 2/ Je recueille leurs consentements. 3/ En cas de refus, arrêt du traitement.
Appliquer les solutions identifiées en PIA page 032 0 06 04 Mes contrats de sous-traitance ne sont pas à jour. Solution 1/ Rédiger des avenants aux contrats 2/ Modifier les CGV
Appliquer les solutions identifiées en PIA page 033 0 06 04 Je suis sous-traitant et mon client (responsable du traitement) me demande d'effectuer un traitement non conforme. Solution J'ai l'obligation de l'informer par écrit que le traitement constitue une violation des données.
Appliquer les solutions identifiées en PIA page 034 0 06 04 Je ne suis pas en mesure de prouver la légalité du traitement. Solution 1/ Je mets en place une autorisation contractuelle. 2/ Je recueille les consentements. 3/ J’en conserve la preuve.
Appliquer les solutions identifiées en PIA page 035 0 06 04 Les mesures de sécurité des traitements des données ne sont pas suffisantes. Solution Mettre en place les mesures techniques et organisationnelles proportionnelles aux risques : - Sécurisation des données par anonymisation, chiffrage et pseudonymisation - Restriction des accès - Politique de gestion des mots de passe
Appliquer les solutions identifiées en PIA page 036 0 06 04 Je détiens des données incomplètes ou erronées. Solution Donner la possibilité à mes contacts de rectifier leurs données personnelles.
01Donner et/ou retirer ses consentements. 03Portabilité des données personnelles. 02 Droit d’accès et rectification des données personnelles. 04 Des moyens à mettre à disposition de vos contacts page 03704 Droit à l’oubli (anonymisation des données personnelles). Donner la possibilité à ses contacts de :
Des mentions obligatoires page 038 0 04 Origine du contact et données personnelles collectées Coordonnées du DPO Destinataires des IPI Droit de réclamation à la CNIL Finalité du traitement Droit des contacts Durée de conservation Coordonnées du responsable du traitement
Les étapes de mise en conformité page 039 Définir la politique de protection des données personnelles. Analyser le ou les registres de traitements. Lister les traitements de données personnelles. Agir en fonction des solutions identifiées en PIA. Prévoir des process de gestion de crise. Surveiller et s’améliorer au fil du temps. 01 02 03 04 05 06
Réagir rapidement en cas de violation des données page 040 0 05 Mettre en place des outils de surveillance pour détecter les opérations malveillantes ou non autorisées. dans les meilleurs délais. Notifications aux personnes concernées 01 02 0304 Avoir des procédures adaptées et automatisées afin de répondre efficacement à une violation de données (coupure des accès, changement des mots de passe, notifications aux responsables du traitement). dans les 72H. Notification à la CNIL En tant que sous-traitant, vous devez également notifier le responsable du traitement en cas de violation des données dans les meilleurs délais.
Se tenir prêt en cas de contrôle page 041 0 05 Des documents obligatoires - Registre des traitements - Registre PIA - Registre de la violation de données personnelles - Contrats des clients et des sous-traitants (ou de sous-traitance) Des documents recommandés - Registre des consentements et des bases légales - Procédures internes - Notes de service
Les étapes de mise en conformité page 042 Définir la politique de protection des données personnelles. Analyser le ou les registres de traitements. Lister les traitements de données personnelles. Agir en fonction des solutions identifiées en PIA. Prévoir des process de gestion de crise. Surveiller et s’améliorer au fil du temps. 01 02 03 04 05 06
Surveiller et améliorer ses process page 043 0 06 - Surveiller les outils de surveillance des infrastructures, les mises à jour de sécurité - Surveiller l'application des procédures par les différents acteurs du traitement (collaborateurs, sous-traitants) - Surveiller l'évolution des législations Amélioration continue des process
Nos solutions RGPD.
RGPD, un atout pour les citoyens européens page 045
InconvénientsAvantages Une bonne image pour l’entreprise (respect du consommateur, transparence …) Un engagement plus fort de la part de vos contacts La mise en conformité RGPD a l’air très complexe Cela coûte cher
Plusieurs mesures à mettre en place pour être conforme page 047 00 Mesures techniques Mesures juridiques Mesures organisationnelles
Mettre en place des moyens techniques page 048 0 Customer Relationship Management
Un CRM, qu’est-ce que c’est ? page 049 0Le CRM aussi appelé GRC (Gestion de la relation client) regroupe l’ensemble des dispositifs ou opérations de marketing, de support ou de suivi commercial ayant pour but d’optimiser la qualité de la relation client, de fidéliser et de maximiser le chiffre d’affaires ou la marge de l’entreprise.
Un CRM, à quoi ça sert ? page 050 0 Booster son business Mieux connaître ses contacts Centraliser l’information
Un CRM adapté pour faciliter sa mise en conformité page 051 0 Gestion des droits d’accès Historique des connexions et des modifications des utilisateurs du CRM Sécurisation des données (chiffrage) Envoi de notifications obligatoires automatique (workflow) Minimisation des données par suppression ou dédoublonnage Gestion des consentements Gestion des preuves (de consentement) Facilitation de l’accès aux données personnelles par le contact Rectification des données personnelles par le contact Export des données personnelles par le contact en automatique (portabilité) Droit à l’oubli automatique CRM
Aperçu de l'application page 052
Les avantages du portail RGPD page 053 Gestion automatique Interface personnalisable Accessible via Initiative CRM Prêt à l’emploi Solution offerte à nos clients PORTAIL RGPD
Contactez-nous page 054 Adresse 11 avenue Charles de Gaulle 84600 VALREAS Venez nous rencontrer ! Téléphone 04 90 41 94 14 Sur le web initiative-crm.com/rgpd linkedin/initiative-crm facebook/initiative-crm twitter/InitiativeCRM

Recommandé

Rgpd simplifié - Présentation CGA du 22/05/2018
Rgpd simplifié - Présentation CGA du 22/05/2018Rgpd simplifié - Présentation CGA du 22/05/2018
Rgpd simplifié - Présentation CGA du 22/05/2018cedric delberghe
 
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018cedric delberghe
 
Enjeux du RGPD pour les PME
Enjeux du RGPD pour les PMEEnjeux du RGPD pour les PME
Enjeux du RGPD pour les PMEFred Gerdil
 
FIDDAYS - Comment mettre en place le RGPD au sein de sa societe ?
FIDDAYS - Comment mettre en place le RGPD au sein de sa societe ?FIDDAYS - Comment mettre en place le RGPD au sein de sa societe ?
FIDDAYS - Comment mettre en place le RGPD au sein de sa societe ?FIDAQUITAINE
 
Rgpd cdg 13 2018.compressed
Rgpd cdg 13 2018.compressedRgpd cdg 13 2018.compressed
Rgpd cdg 13 2018.compressedDominique Gayraud
 
RGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésRGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésHatime Araki
 
RGPD / GDPR : Principes, Démarche, Outils
RGPD / GDPR : Principes, Démarche, OutilsRGPD / GDPR : Principes, Démarche, Outils
RGPD / GDPR : Principes, Démarche, OutilsaYaline
 
GDPR
GDPRGDPR
GDPREmilie Scalla
 

Recommandé

Rgpd simplifié - Présentation CGA du 22/05/2018
Rgpd simplifié - Présentation CGA du 22/05/2018Rgpd simplifié - Présentation CGA du 22/05/2018
Rgpd simplifié - Présentation CGA du 22/05/2018cedric delberghe
 
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018cedric delberghe
 
Enjeux du RGPD pour les PME
Enjeux du RGPD pour les PMEEnjeux du RGPD pour les PME
Enjeux du RGPD pour les PMEFred Gerdil
 
FIDDAYS - Comment mettre en place le RGPD au sein de sa societe ?
FIDDAYS - Comment mettre en place le RGPD au sein de sa societe ?FIDDAYS - Comment mettre en place le RGPD au sein de sa societe ?
FIDDAYS - Comment mettre en place le RGPD au sein de sa societe ?FIDAQUITAINE
 
Rgpd cdg 13 2018.compressed
Rgpd cdg 13 2018.compressedRgpd cdg 13 2018.compressed
Rgpd cdg 13 2018.compressedDominique Gayraud
 
RGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésRGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésHatime Araki
 
RGPD / GDPR : Principes, Démarche, Outils
RGPD / GDPR : Principes, Démarche, OutilsRGPD / GDPR : Principes, Démarche, Outils
RGPD / GDPR : Principes, Démarche, OutilsaYaline
 
GDPR
GDPRGDPR
GDPREmilie Scalla
 
Vos campagnes marketing RGPD-friendly en 12 points clés
Vos campagnes marketing RGPD-friendly en 12 points clésVos campagnes marketing RGPD-friendly en 12 points clés
Vos campagnes marketing RGPD-friendly en 12 points clésHelloWork
 
Comment SendinBlue s'est adapté au RGPD
Comment SendinBlue s'est adapté au RGPDComment SendinBlue s'est adapté au RGPD
Comment SendinBlue s'est adapté au RGPDAdrien Simon
 
Le GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaLe GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaJean-Michel Tyszka
 
RGPD & Data Privacy : la CNIL au Digital Analytics Forum 2018
RGPD & Data Privacy : la CNIL au Digital Analytics Forum 2018RGPD & Data Privacy : la CNIL au Digital Analytics Forum 2018
RGPD & Data Privacy : la CNIL au Digital Analytics Forum 2018AT Internet
 
[Infographie] Le RGPD - en bref
[Infographie] Le RGPD - en bref[Infographie] Le RGPD - en bref
[Infographie] Le RGPD - en brefThinkmarket
 
Protection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentielProtection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentielPierre MASSOT
 
Le GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - DocumentLe GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - DocumentJean-Michel Tyszka
 
Comprendre le RGPD
Comprendre le RGPDComprendre le RGPD
Comprendre le RGPDNuageo
 
Webinar | Le RGPD en pratique et bien outillé
Webinar | Le RGPD en pratique et bien outilléWebinar | Le RGPD en pratique et bien outillé
Webinar | Le RGPD en pratique et bien outilléEverteam
 
Données personnelles et SI - GDPR
Données personnelles et SI - GDPRDonnées personnelles et SI - GDPR
Données personnelles et SI - GDPRAntoine Vigneron
 
RGPD : Quels impacts pour vos actions marketing ?
RGPD : Quels impacts pour vos actions marketing ?RGPD : Quels impacts pour vos actions marketing ?
RGPD : Quels impacts pour vos actions marketing ?EmailStrategie
 
MWCP18 Masterclass RGPD avec Office 365
MWCP18 Masterclass RGPD avec Office 365MWCP18 Masterclass RGPD avec Office 365
MWCP18 Masterclass RGPD avec Office 365Sébastien Paulet
 
Les impacts du nouveau règlement européen GDPR
Les impacts du nouveau règlement européen GDPRLes impacts du nouveau règlement européen GDPR
Les impacts du nouveau règlement européen GDPRArismore
 
Rgpd presentation
Rgpd presentationRgpd presentation
Rgpd presentationgnizon
 
Rgpd
RgpdRgpd
RgpdOmbeline Chevallier
 
GDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico LégauxGDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico LégauxYves Gattegno
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekPascal ALIX
 
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPDFiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPDpolenumerique33
 
earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...Lexing - Belgium
 
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018David Blampain
 
Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?
Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?
Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?Sollan France
 
RGPD AVEC OMS INFORMATIQUE
RGPD AVEC OMS INFORMATIQUERGPD AVEC OMS INFORMATIQUE
RGPD AVEC OMS INFORMATIQUEDavidWalter44
 

Contenu connexe

Tendances

Vos campagnes marketing RGPD-friendly en 12 points clés
Vos campagnes marketing RGPD-friendly en 12 points clésVos campagnes marketing RGPD-friendly en 12 points clés
Vos campagnes marketing RGPD-friendly en 12 points clésHelloWork
 
Comment SendinBlue s'est adapté au RGPD
Comment SendinBlue s'est adapté au RGPDComment SendinBlue s'est adapté au RGPD
Comment SendinBlue s'est adapté au RGPDAdrien Simon
 
Le GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaLe GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaJean-Michel Tyszka
 
RGPD & Data Privacy : la CNIL au Digital Analytics Forum 2018
RGPD & Data Privacy : la CNIL au Digital Analytics Forum 2018RGPD & Data Privacy : la CNIL au Digital Analytics Forum 2018
RGPD & Data Privacy : la CNIL au Digital Analytics Forum 2018AT Internet
 
[Infographie] Le RGPD - en bref
[Infographie] Le RGPD - en bref[Infographie] Le RGPD - en bref
[Infographie] Le RGPD - en brefThinkmarket
 
Protection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentielProtection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentielPierre MASSOT
 
Le GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - DocumentLe GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - DocumentJean-Michel Tyszka
 
Comprendre le RGPD
Comprendre le RGPDComprendre le RGPD
Comprendre le RGPDNuageo
 
Webinar | Le RGPD en pratique et bien outillé
Webinar | Le RGPD en pratique et bien outilléWebinar | Le RGPD en pratique et bien outillé
Webinar | Le RGPD en pratique et bien outilléEverteam
 
Données personnelles et SI - GDPR
Données personnelles et SI - GDPRDonnées personnelles et SI - GDPR
Données personnelles et SI - GDPRAntoine Vigneron
 
RGPD : Quels impacts pour vos actions marketing ?
RGPD : Quels impacts pour vos actions marketing ?RGPD : Quels impacts pour vos actions marketing ?
RGPD : Quels impacts pour vos actions marketing ?EmailStrategie
 
MWCP18 Masterclass RGPD avec Office 365
MWCP18 Masterclass RGPD avec Office 365MWCP18 Masterclass RGPD avec Office 365
MWCP18 Masterclass RGPD avec Office 365Sébastien Paulet
 
Les impacts du nouveau règlement européen GDPR
Les impacts du nouveau règlement européen GDPRLes impacts du nouveau règlement européen GDPR
Les impacts du nouveau règlement européen GDPRArismore
 
Rgpd presentation
Rgpd presentationRgpd presentation
Rgpd presentationgnizon
 
GDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico LégauxGDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico LégauxYves Gattegno
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekPascal ALIX
 
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPDFiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPDpolenumerique33
 
earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...Lexing - Belgium
 

Tendances (19)

Vos campagnes marketing RGPD-friendly en 12 points clés
Vos campagnes marketing RGPD-friendly en 12 points clésVos campagnes marketing RGPD-friendly en 12 points clés
Vos campagnes marketing RGPD-friendly en 12 points clés
 
Comment SendinBlue s'est adapté au RGPD
Comment SendinBlue s'est adapté au RGPDComment SendinBlue s'est adapté au RGPD
Comment SendinBlue s'est adapté au RGPD
 
Le GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaLe GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - Diaporama
 
RGPD & Data Privacy : la CNIL au Digital Analytics Forum 2018
RGPD & Data Privacy : la CNIL au Digital Analytics Forum 2018RGPD & Data Privacy : la CNIL au Digital Analytics Forum 2018
RGPD & Data Privacy : la CNIL au Digital Analytics Forum 2018
 
[Infographie] Le RGPD - en bref
[Infographie] Le RGPD - en bref[Infographie] Le RGPD - en bref
[Infographie] Le RGPD - en bref
 
Protection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentielProtection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentiel
 
Le GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - DocumentLe GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - Document
 
Comprendre le RGPD
Comprendre le RGPDComprendre le RGPD
Comprendre le RGPD
 
Webinar | Le RGPD en pratique et bien outillé
Webinar | Le RGPD en pratique et bien outilléWebinar | Le RGPD en pratique et bien outillé
Webinar | Le RGPD en pratique et bien outillé
 
Données personnelles et SI - GDPR
Données personnelles et SI - GDPRDonnées personnelles et SI - GDPR
Données personnelles et SI - GDPR
 
RGPD : Quels impacts pour vos actions marketing ?
RGPD : Quels impacts pour vos actions marketing ?RGPD : Quels impacts pour vos actions marketing ?
RGPD : Quels impacts pour vos actions marketing ?
 
MWCP18 Masterclass RGPD avec Office 365
MWCP18 Masterclass RGPD avec Office 365MWCP18 Masterclass RGPD avec Office 365
MWCP18 Masterclass RGPD avec Office 365
 
Les impacts du nouveau règlement européen GDPR
Les impacts du nouveau règlement européen GDPRLes impacts du nouveau règlement européen GDPR
Les impacts du nouveau règlement européen GDPR
 
Rgpd presentation
Rgpd presentationRgpd presentation
Rgpd presentation
 
Rgpd
RgpdRgpd
Rgpd
 
GDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico LégauxGDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico Légaux
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis Nystek
 
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPDFiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
 
earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...
 

Similaire à RGPD - 2 ans plus tard - Où en est votre mise en conformité ?

Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018David Blampain
 
Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?
Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?
Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?Sollan France
 
RGPD AVEC OMS INFORMATIQUE
RGPD AVEC OMS INFORMATIQUERGPD AVEC OMS INFORMATIQUE
RGPD AVEC OMS INFORMATIQUEDavidWalter44
 
Programme universite des DPO - AFCDP 24 janvier 2018
Programme universite des DPO - AFCDP 24 janvier 2018Programme universite des DPO - AFCDP 24 janvier 2018
Programme universite des DPO - AFCDP 24 janvier 2018Market iT
 
BAROMÈTRE RGPD
BAROMÈTRE RGPDBAROMÈTRE RGPD
BAROMÈTRE RGPDConverteo
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesTerface
 
GDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUEGDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUEUmanis
 
Guide pratique de sensibilisation au RGPD par Bpifrance Le Lab et la CNIL
Guide pratique de sensibilisation au RGPD par Bpifrance Le Lab et la CNILGuide pratique de sensibilisation au RGPD par Bpifrance Le Lab et la CNIL
Guide pratique de sensibilisation au RGPD par Bpifrance Le Lab et la CNILBpifrance
 
Guide pratique de sensibilisation au RGPD pour les TPE&PME
Guide pratique de sensibilisation au RGPD pour les TPE&PMEGuide pratique de sensibilisation au RGPD pour les TPE&PME
Guide pratique de sensibilisation au RGPD pour les TPE&PMEpolenumerique33
 
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...Medialibs
 
bpi-cnil-rgpd_guide-tpe-pme.pdf
bpi-cnil-rgpd_guide-tpe-pme.pdfbpi-cnil-rgpd_guide-tpe-pme.pdf
bpi-cnil-rgpd_guide-tpe-pme.pdfWafa Hammami
 
Guide RGPD - IAB France
Guide RGPD - IAB FranceGuide RGPD - IAB France
Guide RGPD - IAB FranceRomain Fonnier
 
"Take the L.E.A.D." l'offre globale de Sedona
"Take the L.E.A.D." l'offre globale de Sedona"Take the L.E.A.D." l'offre globale de Sedona
"Take the L.E.A.D." l'offre globale de SedonaAgence West
 
Comment ACCESS GROUP se prépare à la réglementation GDPR/RGPD ?
Comment ACCESS GROUP se prépare à la réglementation GDPR/RGPD ?Comment ACCESS GROUP se prépare à la réglementation GDPR/RGPD ?
Comment ACCESS GROUP se prépare à la réglementation GDPR/RGPD ?ACCESS Group
 
Club Excellence Opérationnelle : RGPD pour les TPE/PME
Club Excellence Opérationnelle : RGPD pour les TPE/PMEClub Excellence Opérationnelle : RGPD pour les TPE/PME
Club Excellence Opérationnelle : RGPD pour les TPE/PMELoïc Charpentier
 
Work'n Coffee : Protection des données personnelles by ND & Antaes
Work'n Coffee : Protection des données personnelles by ND & AntaesWork'n Coffee : Protection des données personnelles by ND & Antaes
Work'n Coffee : Protection des données personnelles by ND & AntaesNet Design
 

Similaire à RGPD - 2 ans plus tard - Où en est votre mise en conformité ? (20)

Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
 
Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?
Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?
Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?
 
RGPD AVEC OMS INFORMATIQUE
RGPD AVEC OMS INFORMATIQUERGPD AVEC OMS INFORMATIQUE
RGPD AVEC OMS INFORMATIQUE
 
Programme universite des DPO - AFCDP 24 janvier 2018
Programme universite des DPO - AFCDP 24 janvier 2018Programme universite des DPO - AFCDP 24 janvier 2018
Programme universite des DPO - AFCDP 24 janvier 2018
 
BAROMÈTRE RGPD
BAROMÈTRE RGPDBAROMÈTRE RGPD
BAROMÈTRE RGPD
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des Données
 
GDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUEGDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUE
 
Guide pratique de sensibilisation au RGPD par Bpifrance Le Lab et la CNIL
Guide pratique de sensibilisation au RGPD par Bpifrance Le Lab et la CNILGuide pratique de sensibilisation au RGPD par Bpifrance Le Lab et la CNIL
Guide pratique de sensibilisation au RGPD par Bpifrance Le Lab et la CNIL
 
Guide pratique de sensibilisation au RGPD pour les TPE&PME
Guide pratique de sensibilisation au RGPD pour les TPE&PMEGuide pratique de sensibilisation au RGPD pour les TPE&PME
Guide pratique de sensibilisation au RGPD pour les TPE&PME
 
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
 
bpi-cnil-rgpd_guide-tpe-pme.pdf
bpi-cnil-rgpd_guide-tpe-pme.pdfbpi-cnil-rgpd_guide-tpe-pme.pdf
bpi-cnil-rgpd_guide-tpe-pme.pdf
 
Ageris privacy 2016
Ageris privacy 2016Ageris privacy 2016
Ageris privacy 2016
 
Guide RGPD - IAB France
Guide RGPD - IAB FranceGuide RGPD - IAB France
Guide RGPD - IAB France
 
"Take the L.E.A.D." l'offre globale de Sedona
"Take the L.E.A.D." l'offre globale de Sedona"Take the L.E.A.D." l'offre globale de Sedona
"Take the L.E.A.D." l'offre globale de Sedona
 
Comment ACCESS GROUP se prépare à la réglementation GDPR/RGPD ?
Comment ACCESS GROUP se prépare à la réglementation GDPR/RGPD ?Comment ACCESS GROUP se prépare à la réglementation GDPR/RGPD ?
Comment ACCESS GROUP se prépare à la réglementation GDPR/RGPD ?
 
Club Excellence Opérationnelle : RGPD pour les TPE/PME
Club Excellence Opérationnelle : RGPD pour les TPE/PMEClub Excellence Opérationnelle : RGPD pour les TPE/PME
Club Excellence Opérationnelle : RGPD pour les TPE/PME
 
Work'n Coffee : Protection des données personnelles by ND & Antaes
Work'n Coffee : Protection des données personnelles by ND & AntaesWork'n Coffee : Protection des données personnelles by ND & Antaes
Work'n Coffee : Protection des données personnelles by ND & Antaes
 
ISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPDISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPD
 
ISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPDISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPD
 
RGPD
RGPDRGPD
RGPD
 

RGPD - 2 ans plus tard - Où en est votre mise en conformité ?

  • 1. « Accélérez votre mise en conformité RGPD »
  • 2. Editeur et intégrateur de logiciels CRMQui sommes-nous ?
  • 4. Le RGPD, c’est quoi ? page 04 Règlement Général Protection Données Mai 25 2018
  • 5. Que sont les données personnelles ? page 05 Des données que l’on pourrait considérer comme anonymes peuvent constituer des données personnelles si elles permettent d’identifier indirectement ou par regroupement d’information une personne précise. La CNIL
  • 6. Qu’est-ce que le RGPD ? page 06 S’adapter aux nouvelles technologies Le RGPD a été créé afin de répondre aux nouveaux enjeux de la digitalisation de la société. Droit fondamental Le RGPD vise à protéger les libertés et droits fondamentaux des personnes physiques et en particulier leur droit à la protection de leurs données. Selon cette réglementation, tout citoyen européen doit pouvoir accéder aux informations personnelles le concernant, détenues par une entreprise. . 3ème version de la loi Informatique et Libertés Cette nouvelle réglementation renforce la protection des données personnelles des citoyens en réadaptant pour le 3ème fois la loi Informatique et Libertés de 1978.
  • 7. Les grands principes du RGPD page 07 01 Licéité, loyauté et transparence On dit ce que l'on fait, on fait ce que l'on dit et on s'assure d'avoir le droit (fondement légal ou consentement). 04 Exactitude des données Les données sont exactes et à jour. 02 Limitation de la finalité La donnée collectée est utilisée seulement pour la finalité annoncée et aucune autre sans consentement supplémentaire. 05 Limitation de la conservation Les données ne sont conservées que le temps nécessaire au traitement. 03 Minimisation des données On ne recueille et n’utilise que ce qui est strictement nécessaire. 06 Intégrité et confidentialité Les données doivent être correctement protégées afin de prévenir tout traitement illicite.
  • 8. Périmètre d’application page 08 Tous les contacts Toutes les entreprises ou institutions sont concernées (privées ou publiques). Uniformise les pratiques des pays européens. Citoyen européen Le RGPD ne couvre pas le traitement des données de personnes morales. Personne physique
  • 9. Les sanctions et risques page 09 De 2% du chiffre d’affaires ou 10M € d’amende À 4% du chiffre d’affaires ou 20M € d’amende Des sanctions administratives Jusqu’à 5 ans de prison 300K € d’amende Des sanctions pénales
  • 10. Les clés pour réussir votre mise en conformité.
  • 11. La face cachée du RGPD page 011 Technique Campagne marketing DPO Preuve Registre des traitements
  • 12. Les étapes de mise en conformité page 012 Définir la politique de protection des données personnelles. Analyser le ou les registres de traitements. Lister les traitements de données personnelles. Agir en fonction des solutions identifiées en PIA. Prévoir des process de gestion de crise. Surveiller et s’améliorer au fil du temps. 01 02 03 04 05 06
  • 13. Les étapes de mise en conformité page 013 Définir la politique de protection des données personnelles. Analyser le ou les registres de traitements. Lister les traitements de données personnelles. Agir en fonction des solutions identifiées en PIA. Prévoir des process de gestion de crise. Surveiller et s’améliorer au fil du temps. 01 02 03 04 05 06
  • 14. Définir et publier la politique de protection des données page 014 0 06 politique d’entreprise (n.) Ensemble des orientations choisies par une entreprise pour conduire ses affaires. Le but : Donner une ligne de conduite aux collaborateurs et orienter les décisions de l’entreprise ! 01
  • 15. Choisir un DPO page 015 0 06 01 DPO Data Protection Officer – Délégué à la protection des données personnelles Il a des compétences techniques et/ou juridiques. Il ne doit pas avoir de conflit d’intérêts (ex: il n’est pas le dirigeant de la société). Il est indépendant. Il peut être interne ou externe à l’entreprise.
  • 16. Choisir un DPO page 016 0 06 01 contrôle la bonne application du RGPD. Informe, conseil, sensibilise sur le respect des IPI (et du RGPD). Est consulté pour toutes questions relatives au traitement des IPI et contrôle le respect du RGPD. Point de contact pour l'autorité de contrôle (CNIL) et la Direction.
  • 17. Choisir un DPO page 017 0 06 01 Le DPO est obligatoire si : + de 250 salariés Traitement de données sensibles Traitement régulier/massif de données personnelles
  • 18. Sensibiliser et former les équipes en interne page 018 0 06 01 Pour mener à bien une politique de protection des données personnelles, il est nécessaire de : Définition de la politique dans le but de décrire officiellement les intentions et l’orientation générale que souhaite donner l’entreprise pour la conformité, l’identité du DPO… Sensibilisation et formation pour faire adopter les bons réflexes à avoir, informer des nouvelles procédures et grands principes du RGPD. Rédaction de la charte et lui donner une force contraignante. Diffusion de la charte annexion au règlement intérieur, note de service, signature des salaries… 1 2 Affichez la charte de manière visible dans les locaux de votre entreprise, cela fera bonne impressionlors d'un contrôle.
  • 19. Les étapes de mise en conformité page 019 Définir la politique de protection des données personnelles. Analyser le ou les registres de traitements. Lister les traitements de données personnelles. Agir en fonction des solutions identifiées en PIA. Prévoir des process de gestion de crise. Surveiller et s’améliorer au fil du temps. 01 02 03 04 05 06
  • 20. Définir et répertorier les traitements des données personnelles page 020 0 06 02 traitement de données (n.) Toute opération, ou ensemble d’opérations, portant sur des données, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction...). Identifier si les traitements impliquent des IPI (Information Personnelles d’Identification). les traitements pour votre compte, des traitements des sous-traitants. Séparer
  • 21. Remplir le registre page 021 0 06 02 Il s’agit ici de remplir le registre en renseignant dans un premier temps, pour chaque traitement identifié traitant des IPI, les éléments suivants : • Quoi ? (catégories des données personnelles – ATTENTION mentionner si elles sont sensibles !) • Pourquoi ? (finalités pour lesquelles elles-ont été recueillies) • Qui ? (qui manipule les données – employés et sous-traitants) • Où ? (lieux de conservation, transferts -avérés ou potentiels) • Jusqu’à quand ? (durée de conservation) • Comment ? (mesures de sécurité, contrôle d'accès, risques pour les personnes concernées) Modèle d’un registre de traitements proposé par la CNIL disponible sur la clé.
  • 22. Aperçu d’un registre des traitements page 022 0 06 Description de la nature des données Finalités du traitement Destinataires et utilisateurs de données Lieu du traitement Stockage/transfert Durée de conservation Mesures de sécurité du traitement Données nominatives et de contact Captation de contacts pour envoi de communications ciblées (mails, appels téléphoniques) - Conseillers commerciaux de la plateforme téléphonique interne - Service marketing - Logiciels internes de gestion de contacts (en Saas) - Données hébergées sur des serveurs à Paris par le groupe Iliad 3 ans après le dernier contact avec la personne - Accès sécurisé au logiciel - Sécurité du serveur assurée par un prestataire spécialisé 02 (Pourquoi)(Quoi) (Qui) (Où) (Jusqu’à quand) (Comment) La CNIL propose un registre de traitement disponible au téléchargement https://www.cnil.fr/fr/RGDP-le-registre-des-activites-de-traitement
  • 23. Les étapes de mise en conformité page 023 Définir la politique de protection des données personnelles. Analyser le ou les registres de traitements. Lister les traitements de données personnelles. Agir en fonction des solutions identifiées en PIA. Prévoir des process de gestion de crise. Surveiller et s’améliorer au fil du temps. 01 02 03 04 05 06
  • 24. Analyser votre registre des traitements page 024 0 06 03 Le registre des traitements doit être considéré comme un outil du principe de responsabilité du fait que le Responsable du traitement doit être en mesure de démontrer sa conformité. 01 02 03 Se poser les bonnes questions. Trier par risques et utilisation. Analyser les risques.
  • 25. Se poser les bonnes questions page 025 0 06 03 1/ Avons-nous besoin de toutes ces données ? 2/ Avons-nous le droit d'utiliser ces données et pouvons-nous le prouver ? 3/ Ce traitement présente t-il des risques importants pour la personne en cas de violation des données (données sensibles ou concernant des enfants par exemple) ? 4/ La sécurité de ces données est-elle suffisante (accès limités, mesures techniques) ?
  • 26. Trier les traitements page 026 0 06 03 Cette étape consiste à : • Qualifier les risques (élevé, moyen, faible) • Déterminer la probabilité de survenance du risque • Déterminer le « niveau de menace » pour chaque traitement selon une matrice « Risque - Probabilité » Si vous avez répondu OUI à la question « Ce traitement présente t-il des risques importants pour la personne en cas de violation des données (données sensibles ou concernant des enfants par exemple) ? », le risque est forcément élevé.
  • 27. Analyser les risques page 027 0 06 03 PIA = Privacy Impact Assessment Une PIA a pour but d’identifier : • La nature des risques • Les solutions pour y remédier Il est obligatoire de réaliser une analyse d'impact relative à la protection des données (PIA) pour tous les traitements à risque « élevé » ou traitant des IPI sensibles. + le niveau d’impact est élevé + l’analyse doit être complète et approfondie Il est recommandé de réaliser cette analyse sur tous les traitements ayant un niveau de menace au moins « moyen ».
  • 28. Aperçu d’une PIA page 028 0 06 Situation Risque pour les personnes Risque pour la conformité Impact potentiel Solution possible Résultat attendu La Société X sauvegarde toutes les nuits la liste des cotisations versées à l'adhésion d'un célèbre syndicat sur un serveur distant, non sécurisé. Si le serveur est piraté ou les données interceptées, leurs données personnelles peuvent être dévoilées, ainsi que leur appartenance syndicale, ce qui peut être préjudiciable professionnellement. Elles pourraient faire l'objet d'un usage malveillant. Défaut de sécurité quant à la protection de données sensibles, perte du contrôle des données par l'organisme. Cela peut nuire à la réputation de la société X, engendrer des pertes de clients par manque de confiance. Echec de la conformité RGPD, amende importante. Mettre en place des mesures techniques afin de pseudonymiser les données sauvegardées et chiffrer les transferts vers le serveur distant (SSL, SFTP, etc.) ainsi que le serveur. Risque réduit voire supprimé. Données inutilisables en l'état même en cas de vol. 03 La CNIL propose un autre outil complet à télécharger https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil
  • 29. Les étapes de mise en conformité page 029 Définir la politique de protection des données personnelles. Analyser le ou les registres de traitements. Lister les traitements de données personnelles. Agir en fonction des solutions identifiées en PIA. Prévoir des process de gestion de crise. Surveiller et s’améliorer au fil du temps. 01 02 03 04 05 06
  • 30. Appliquer les solutions identifiées en PIA page 030 0 06 04 Je détiens des données qui me sont inutiles. Solution Minimiser les données (en supprimant les doublons par exemple)
  • 31. Appliquer les solutions identifiées en PIA page 031 0 06 04 Je n'ai pas le consentement des personnes pour le traitement de leurs données. Solutions 1/ Je les informe que je détiens leurs données personnelles. 2/ Je recueille leurs consentements. 3/ En cas de refus, arrêt du traitement.
  • 32. Appliquer les solutions identifiées en PIA page 032 0 06 04 Mes contrats de sous-traitance ne sont pas à jour. Solution 1/ Rédiger des avenants aux contrats 2/ Modifier les CGV
  • 33. Appliquer les solutions identifiées en PIA page 033 0 06 04 Je suis sous-traitant et mon client (responsable du traitement) me demande d'effectuer un traitement non conforme. Solution J'ai l'obligation de l'informer par écrit que le traitement constitue une violation des données.
  • 34. Appliquer les solutions identifiées en PIA page 034 0 06 04 Je ne suis pas en mesure de prouver la légalité du traitement. Solution 1/ Je mets en place une autorisation contractuelle. 2/ Je recueille les consentements. 3/ J’en conserve la preuve.
  • 35. Appliquer les solutions identifiées en PIA page 035 0 06 04 Les mesures de sécurité des traitements des données ne sont pas suffisantes. Solution Mettre en place les mesures techniques et organisationnelles proportionnelles aux risques : - Sécurisation des données par anonymisation, chiffrage et pseudonymisation - Restriction des accès - Politique de gestion des mots de passe
  • 36. Appliquer les solutions identifiées en PIA page 036 0 06 04 Je détiens des données incomplètes ou erronées. Solution Donner la possibilité à mes contacts de rectifier leurs données personnelles.
  • 37. 01Donner et/ou retirer ses consentements. 03Portabilité des données personnelles. 02 Droit d’accès et rectification des données personnelles. 04 Des moyens à mettre à disposition de vos contacts page 03704 Droit à l’oubli (anonymisation des données personnelles). Donner la possibilité à ses contacts de :
  • 38. Des mentions obligatoires page 038 0 04 Origine du contact et données personnelles collectées Coordonnées du DPO Destinataires des IPI Droit de réclamation à la CNIL Finalité du traitement Droit des contacts Durée de conservation Coordonnées du responsable du traitement
  • 39. Les étapes de mise en conformité page 039 Définir la politique de protection des données personnelles. Analyser le ou les registres de traitements. Lister les traitements de données personnelles. Agir en fonction des solutions identifiées en PIA. Prévoir des process de gestion de crise. Surveiller et s’améliorer au fil du temps. 01 02 03 04 05 06
  • 40. Réagir rapidement en cas de violation des données page 040 0 05 Mettre en place des outils de surveillance pour détecter les opérations malveillantes ou non autorisées. dans les meilleurs délais. Notifications aux personnes concernées 01 02 0304 Avoir des procédures adaptées et automatisées afin de répondre efficacement à une violation de données (coupure des accès, changement des mots de passe, notifications aux responsables du traitement). dans les 72H. Notification à la CNIL En tant que sous-traitant, vous devez également notifier le responsable du traitement en cas de violation des données dans les meilleurs délais.
  • 41. Se tenir prêt en cas de contrôle page 041 0 05 Des documents obligatoires - Registre des traitements - Registre PIA - Registre de la violation de données personnelles - Contrats des clients et des sous-traitants (ou de sous-traitance) Des documents recommandés - Registre des consentements et des bases légales - Procédures internes - Notes de service
  • 42. Les étapes de mise en conformité page 042 Définir la politique de protection des données personnelles. Analyser le ou les registres de traitements. Lister les traitements de données personnelles. Agir en fonction des solutions identifiées en PIA. Prévoir des process de gestion de crise. Surveiller et s’améliorer au fil du temps. 01 02 03 04 05 06
  • 43. Surveiller et améliorer ses process page 043 0 06 - Surveiller les outils de surveillance des infrastructures, les mises à jour de sécurité - Surveiller l'application des procédures par les différents acteurs du traitement (collaborateurs, sous-traitants) - Surveiller l'évolution des législations Amélioration continue des process
  • 45. RGPD, un atout pour les citoyens européens page 045
  • 46. InconvénientsAvantages Une bonne image pour l’entreprise (respect du consommateur, transparence …) Un engagement plus fort de la part de vos contacts La mise en conformité RGPD a l’air très complexe Cela coûte cher
  • 47. Plusieurs mesures à mettre en place pour être conforme page 047 00 Mesures techniques Mesures juridiques Mesures organisationnelles
  • 48. Mettre en place des moyens techniques page 048 0 Customer Relationship Management
  • 49. Un CRM, qu’est-ce que c’est ? page 049 0Le CRM aussi appelé GRC (Gestion de la relation client) regroupe l’ensemble des dispositifs ou opérations de marketing, de support ou de suivi commercial ayant pour but d’optimiser la qualité de la relation client, de fidéliser et de maximiser le chiffre d’affaires ou la marge de l’entreprise.
  • 50. Un CRM, à quoi ça sert ? page 050 0 Booster son business Mieux connaître ses contacts Centraliser l’information
  • 51. Un CRM adapté pour faciliter sa mise en conformité page 051 0 Gestion des droits d’accès Historique des connexions et des modifications des utilisateurs du CRM Sécurisation des données (chiffrage) Envoi de notifications obligatoires automatique (workflow) Minimisation des données par suppression ou dédoublonnage Gestion des consentements Gestion des preuves (de consentement) Facilitation de l’accès aux données personnelles par le contact Rectification des données personnelles par le contact Export des données personnelles par le contact en automatique (portabilité) Droit à l’oubli automatique CRM
  • 53. Les avantages du portail RGPD page 053 Gestion automatique Interface personnalisable Accessible via Initiative CRM Prêt à l’emploi Solution offerte à nos clients PORTAIL RGPD
  • 54. Contactez-nous page 054 Adresse 11 avenue Charles de Gaulle 84600 VALREAS Venez nous rencontrer ! Téléphone 04 90 41 94 14 Sur le web initiative-crm.com/rgpd linkedin/initiative-crm facebook/initiative-crm twitter/InitiativeCRM