Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.

GDPR et RH

377 vues

Publié le

Le GDPR un projet RH
cours donné à l'ULG

Publié dans : Formation
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

GDPR et RH

  1. 1. Prof. J .Folon Ph.D. En quoi le GDPR est un projet stratégique RH
  2. 2. 2 A. CONTEXTE B. QUELQUES DEFINITIONS C. LES 12 GRANDS PRINCIPES D. LES CONSEQUENCES DU GDPR E. METHODOLOGIE F. Q & A
  3. 3. A : CONTEXTE 3
  4. 4. En deux mots… 4 •  Le GDPR est un règlement européen concernant la protection des données personnelles •  Il s'impose aux entreprises et au secteur public
  5. 5. 5 MAY 2018
  6. 6. B : QUELQUES DEFINITIONS… 6
  7. 7. UNE DONNÉE PERSONNELLE ? 7   toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»);   est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle
  8. 8. TRAITEMENT DE DONNEES 8 . toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utili­ sation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rappro­chement ou l'interconnexion, la limitation, l'effacement ou la destruction;
  9. 9. RESPONSABLE DE TRAITEMENT 9 . la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre;
  10. 10. SOUS-TRAITANT 10 . la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement;
  11. 11. VIOLATION DE DONNEES 11 une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données; CONSÉQUENCES: NOTIFICATION PUBLIQUE !!
  12. 12. C : Les 12 grands principes du GDPR 12 1.  Responsabilité - « accountability » 2.  Droit du citoyen et du collaborateur (RH) 3.  Privacy by design 4.  Sécurité des données 5.  NoIficaIon des vols/pertes de données 6.  SancIons importantes 7.  GesIon des accès aux données (IAM) 8.  Licéité des traitements (réglementaIon ou consentement) 9.  Registre des traitements 10. Analyse de risques et PIA 11. FormaIon 12. Data privacy officer
  13. 13. 1/ ACCOUNTABILITY 13
  14. 14. 2/ DROIT DE LA PERSONNE 14  TRANSPARENCE  INFORMATIONS LORS DE LA COLLECTE  DROIT D'ACCES  DROIT DE RECTIFICATION  DROIT A L'EFFACEMENT  DROIT A LA LIMITATION DU TRAITEMENT  PORTABILITE  DROIT D'OPPOSITION AU PROFILAGE
  15. 15. 3/ PRIVACY BY DESIGN 15
  16. 16. 4/SECURITE DE L'INFORMATION 16
  17. 17. 5/ NOTIFICATION DES VOLS/PERTES 17
  18. 18. 6/ SANCTIONS 18
  19. 19. 7/ IAM (GESTION DES ACCÈS) 19
  20. 20. 8/ LICEITE 20
  21. 21. 9/ REGISTRE DES TRAITEMENTS 21
  22. 22. 10/ ANALYSE DE RISQUES /PIA 22
  23. 23. 11/ FORMATIONS 23
  24. 24. 12/ DATA PRIVACY OFFICER 24
  25. 25. D : LES CONSEQUENCES DU GDPR 25
  26. 26. MODIFICATION DE L'ORGANISATION 26
  27. 27. Degré de maturité de la plupart des organisations aujourd’hui 27 3/10 •  Prise de conscience et de connaissance du GDPR •  Plan de Mise en Conformité au GDPR? •  Désignation d’un DPO? •  Sécurité de l’Information conforme aux normes ISO 2700X? •  Formation du Personnel? •  Registre des Traitements des données personnelles? •  Analyse de Risques? •  Privacy Impact Assessments? •  Conformité aux règles d’Archivage Digital? •  Restriction des accès aux données personnelles? •  Procédures de Réponse aux data subjects? •  Procédure de Communication en matière de Data Breach? •  Adaptation des Contrats des sous-traitants? •  Adaptation des Contrats clients? •  Démontrer la conformité? •  …
  28. 28. Deux approches possibles 28 •  Irréaliste d’être conforme à 100% •  Incertain (que va-t-on découvrir?) Viser la Mise en Conformité Totale Se concentrer sur le respect des Principes Clé •  Sensibiliser •  Convaincre •  Faire percoler dans toute l'organisation •  Mitiger les risques principaux ✓  Approche pragmatique ✓  Rythme soutenable
  29. 29. E : METHODOLOGIE 29
  30. 30. Méthodologie Mise en Conformité (ET AUSSI POUR LES CLIENTS DU CIRB) 30 METHODOLOGIE 1.  Evaluation Préalable 2.  Identification des Domaines à Risque 3.  Inventaire des Applications et Services 4.  Registre des Traitements 5.  Plan d’Action de Mise en Œuvre 6.  Mise en Conformité Administrative et Organisationnelle 7.  Résolution des Non-conformités 8.  Installation des Processus Continus 9.  Programme de Formation Permanente Préparation Implémentation Pérennisation
  31. 31. Plan d’implémentation type 31 Jun Jul Aoû Sep Oct Nov Dec Jan Fév Mar Avr May Jun Gestion de Projet Démarrage Projet Gestion du Changement Sensibilisation du Personnel Formation GDPR pour les Personnes Critiques Mise en Conformité Préparation Evaluation Préalable Identification des Domaines à Risque Inventaire des Applications et Services Implémentation Registre des Traitements Plan d’Action de Mise en Œuvre Mise en Conformité Administrative et Organisationnelle Résolution des Non-conformités Pérennisation Installation des Processus Continus Programme de Formation Permanente Data Privacy Officer Mise en place du DPO et gestion par le DPO
  32. 32. 32

×