SlideShare une entreprise Scribd logo

WEBINAR : APPRENEZ A MAITRISER LES QUESTIONNAIRES RGPD POUR GAGNER DES MARCHES (24/6 à 11h00)

J
Jean-Marc PROVENT

Vos prospects ont pris l'habitude de vous adresser des questionnaires RGPD de plus en plus complets et engageant votre responsabilité. Comment bien les remplir sans mentir et en profiter pour vous mettre en conformité ? Le cabinet Citizen Shield vous propose de vous donner quelques clés et d'aborder ce sujet à partir de questionnaires réels qui ont fait l'objet d'un traitement par nos experts et qui ont été favorablement validés par les prospects de nos clients. Nous aborderons également les principes d'industrialisation de vos réponses à ces questionnaires par la création notamment, d'une base de connaissance exploitable par l'équipe commerciale, d'un "Data Processing Agreement", d'une Politique de Sécurité des Systèmes d'Information et d'un Plan d'Assurance Sécurité adaptés à votre organisation. Nous vous conseillerons enfin sur le rôle déterminant de votre DPO externe dans l'établissement de la relation de confiance avec votre prospect.

Business
1  sur  14
Nos DPO sont certifiés CNIL, AFNOR, IAPP ou CNAM DPO certifiés 01 Organisation, Experts Data, Développement d’applications (web, mobile, …) Experts IT et Gestion de Projet 02 Sécurité, cybermalveillance Sécurité SI 03 Conseil et qualification juridique, Avocats 04 Une équipe RGPD pluridisciplinaire
IAE Paris – Administration des Entreprises Maîtrise en Droit des Affaires – Paris 2 Titulaire du Certified Information Privacy Professional/Europe - CIPP/E délivré par International Association of Privacy Professionnals - iAPP Philippe Gabillault Compétences / Direction de projet / Gouvernance de la sécurité / Data privacy & digital compliance / Formation Juridique / DPO Externe / Corporate Development Expertises / Pilotage de projets complexes internationaux / Digital compliance (RGPD, PCI-DSS, …) / Start-ups & Innovation Publications et prises de parole Expériences principales Co-Fondateur – Citizen Shield Cabinet de Conseil Expert RGPD : créé par des professionnels du droit et des technologies de l’information, pour faire connaître et développer de manière très opérationnelle les pratiques de conformité dans les Organisations. Président & Fondateur – Toltec Cabinet de Conseil en Stratégie et Corporate Development : accompagne les entreprises dans la négociation de partenariats complexes, accords commerciaux, prises et cessions de participations Directeur Juridique Commercial & DPO Groupe et France – Carrefour Une expérience de 26 ans (1992 à 2018) à la Direction Juridique d’un des principaux distributeurs européens En charge de 2016 à 2018 de la mise en conformité RGPD des six pays de l’Union Européenne dans lequel le Groupe Carrefour opère. A la tête d’une équipe de plus de 10 juristes, en charge des affaires juridiques relatives aux systèmes d’information, banque, assurances, achats, propriété intellectuelle et partenariats internationaux / Le Monde du Droit– « Les données sont une ressource pour l’entreprise » https://www.lemondedudroit.fr/decryptages/61300-donnees- ressource-entreprise.html / MtoMmag- Télétravail saison 2 : chiffrement et protection des données personnelles, les clés de réussite !... Seald , Sécurité : et si on parlait chiffrement et RGPD ! (mtom-mag.com) / Village de la Justice– «RGPD : UN AN AVANT, UN AN APRÈS, ET AU DELÀ. ».. https://www.village-justice.com/articles/videos-rgpd- avant-apres-dela-par-philippe-gabillaut,31437.html Expert Juridique & Privacy / DPO Passionnépar la protection des données à caractère personnel, je combine pragmatisme, expertise et rigueur pour mener les projets de transformation ou de mise en conformité
Jean-Marc Provent Maîtrise Informatique - Université Pierre & Marie Curie Lean Management (Black Belt) Blue Ocean (Expert) Expertises / Conformité RGPD / Architecture web / mobile Compétences / Delivery Management / Direction R&D (embarqué, temps réel) Expert IT & Process DATA / RSSI Expériences principales Co-Fondateur – Citizen Shield Cabinet de Conseil Expert RGPD : créé par des professionnels du droit et des technologies de l’information, pour faire connaître et développer de manière très opérationnelle les pratiques de conformité dans les Organisations. Business Owner – Top Rgpd Cabinet Expert RGPD Business Owner – Digixit Cabinet conseil en transformation digitale Digital Services and Customer Success Director– Axway Transitioned and develop Systar Analytics expertise (delivery methodologies, skills) in Axway / Cadrage et pilotage de projets/programmes pluridisciplinaires (IT, Telecom, IA) / Transformation (IT, change management, digital, business model, organisation, optimisation process) Médiateur technologique, j’aide les entreprises à utiliser et interconnecter les technologies tout en garantissant éthique et protection des données à caractère personnel R&D / Professional Services Director – Systar Operational Intelligence expertise team Management / Sécurité SI / IA, Blockchain, IOT
Le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Article 24 - Responsabilité du responsable du traitement Lorsqu'un traitement doit être effectué pour le compte d'un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées Article 28 - Sous-traitant Le sous-traitant et toute personne agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne peut pas traiter ces données, excepté sur instruction du responsable du traitement Article 29 - Traitement effectué sous l'autorité du responsable du traitement ou du sous-traitant Relation Responsable de traitement / sous-traitant un organisme qui souhaite confier tout ou partie d’un traitement à un prestataire devra sélectionner ce prestataire en fonction des garanties qu’il présente quant à sa conformité >>
Principalement les grands comptes ou ETI. Qui sont les émetteurs ? • Accélération du digital • Data considérée de plus en comme un actif essentiel de l’entreprise • Développement des rançongiciels et les cyber-attaques qui impose une prudence toute particulière dans les domaines de cybersécurité et la protection des données Pourquoi cela revêt désormais une telle importance? • De nombreuses PME/ETI ont perdu des marchés ces douze derniers mois parce qu’elles avaient sous-estimées la portée de leurs réponses aux questionnaires RGPD qui accompagnaient les appels d’offre • Ces questionnaires se révèlent complexes, exigeants et engageants et les PME/ETI ont du mal à faire face Quelles conséquences en 2021 ? Questionnaire sous-traitant Le contexte
• Présence d'un Responsable Sécurité • Présence d’un DPO • Certifications sécurité de la société - Périmètre et organisme certificateur • Présence d'une Politique Sécurité, disponible pour consultation • Présence d'un processus de gestion des risques • Présence d'un processus de gestion des identités et des accès • Présence d'un processus de gestion des incidents de sécurité • Sensibilisation et formation à la sécurité des personnels de la Société • Charte et engagement personnel pour les employés de la Société détenteurs de comptes à privilèges et/ou droits d'accès élevés Questionnaire principal Questionnaire sous-traitant Exemples de contenu Présence d'un Responsable Sécurité (préciser l'adresse de contact) Certifications sécurité de la société - Périmètre et organisme certificateur Présence d'une Politique Sécurité, disponible pour consultation (URL, fichier attaché) Présence d'un processus de gestion des risques Présence d'un processus de gestion des identités et des accès Présence d'un processus de gestion des incidents de sécurité Sensibilisation et formation à la sécurité des personnels de la Société Charte et engagement personnel pour les employés de la Société détenteurs de comptes à privilèges et/ou droits d'accès élevés
• Analyse de risques • Cadrage de la relation contractuelle • Sécurité liée aux Ressources Humaines • Confidentialité • Gestion des identités et des accès • Traçabilité • Protection des données • Sécurité de l'infrastructure • Hébergement • Incidents de sécurité • Continuité et niveau de service • Sécurité des développements • Propriété intellectuelle • Audit • Réversibilité Politique de sécurité des tiers Questionnaire sous-traitant Exemples de contenu Présence d'un Responsable Sécurité (préciser l'adresse de contact) Certifications sécurité de la société - Périmètre et organisme certificateur Présence d'une Politique Sécurité, disponible pour consultation (URL, fichier attaché) Présence d'un processus de gestion des risques Présence d'un processus de gestion des identités et des accès Présence d'un processus de gestion des incidents de sécurité Sensibilisation et formation à la sécurité des personnels de la Société Charte et engagement personnel pour les employés de la Société détenteurs de comptes à privilèges et/ou droits d'accès élevés
• Présence d'un DPO (Data Privacy Officer) • responsable de traitement ou sous-traitant • exercice des droits • PIA, Registre des Traitements • Catégorie, localisation des données personnelles traitées (actives, sauvegardes, archives) • Durées de conservation et cycle de vie des données • Possibilité de chiffrer / masquer les données, pseudonymiser, anonymiser les données • Liste des sous-traitants éventuels et traitements qu'ils réalisent • Existence d'un processus de gestion des violations de données et d'un processus de gestion de crise Traitement des données personnelles Questionnaire sous-traitant Exemples de contenu Présence d'un Responsable Sécurité (préciser l'adresse de contact) Certifications sécurité de la société - Périmètre et organisme certificateur Présence d'une Politique Sécurité, disponible pour consultation (URL, fichier attaché) Présence d'un processus de gestion des risques Présence d'un processus de gestion des identités et des accès Présence d'un processus de gestion des incidents de sécurité Sensibilisation et formation à la sécurité des personnels de la Société Charte et engagement personnel pour les employés de la Société détenteurs de comptes à privilèges et/ou droits d'accès élevés
A minima, Les Registres des Traitements (Sous-traitant et Responsable de Traitement) et le PIA (Privacy Impact Assessment ou AIPD – Analyse d’Impact relative à la Protection des Données) Disposer des documents de la conformité Veiller à ce qu’un premier contrôle visuel du site du sous-traitant rassure le Responsable de Traitement. A minima, s’assurer que les Conditions générales d’utilisation, la Politique de confidentialité, la Gestion des cookies et les Mentions légales sont bien présentes en bas du site web et proprement rédigées Soigner le site web du sous-traitant, sa vitrine Questionnaire sous-traitant Comment s’y préparer Depuis quelques mois, les parcours de référencement se sont durcis. Les questionnaires “Data Protection” peuvent désormais s’accompagner d’un grand oral de contrôle des déclarations du Prestataire préalablement à la signature du Contrat, afin de s’assurer que le Prestataire a répondu en pleine conscience et connaissance. Ne pas répondre « oui » systématiquement
• Un Data Processing Agreement (DPA) est un document juridiquement contraignant à conclure entre le responsable du traitement et le sous-traitant par écrit ou sous forme électronique. Elle réglemente l'étendue et la finalité du traitement, ainsi que la relation entre le responsable du traitement et le sous-traitant. Le contrat est important pour que les deux parties comprennent leurs responsabilités et obligations. • Le DPA peut dans certains cas suffire au Responsable de Traitement et donc se révéler un outil précieux pour éviter de se faire déborder par la complexité des questionnaires • Le DPA permet de mettre en avant les dispositions prises par le sous-traitant pour sécuriser les données personnelles et ainsi rassurer le Responsable de Traitement Être en mesure de proposer un Data Processing Agreement Questionnaire sous-traitant Comment s’y préparer • Les DPO des grands comptes sont souvent très aguerris. Il est essentiel de faire intervenir un DPO expérimenté, susceptible de défendre le dossier du sous-traitant • Bien maîtriser les éléments de base du RGPD : la description fonctionnelle du cycle de vie des données, les finalités du traitement, la formalisation des fondements rendant licite le traitement, la durée de conservation des données, la vérification que les données collectées sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées Se préparer à un éventuel oral de contrôle
Le Trust Center permet de regrouper dans un espace d’information unique (généralement une page web) les ressources et bonnes pratiques pour aider le Responsable de Traitement à sécuriser les systèmes, garantir la confidentialité de chacun, s’assurer de la disponibilité et démontrer la conformité Il permet de centraliser dans un endroit unique les documents de référence de la conformité. Tout écrit faisant référence à ces documents fournit un lien sur la page du « Trust Center ». Construction du « Trust Center » Questionnaire sous-traitant Principes d’industrialisation • Les documents principaux apparaissant sur le site (Conditions générales d’utilisation, la Politique de confidentialité, la Gestion des cookies et les Mentions légales, Data Processing Agreement, …) sont mis à disposition dans le « Trust Center » • Au fur et à mesure des rencontres avec des prospects, le sous-traitant apprend à affiner son offre. Une FAQ est mise régulièrement à jour alimentée par les questions récurrentes apparaissant dans les questionnaires et les réponses jugées satisfaisantes par le Responsale de Traitement. Arrivée à maturité, cette FAQ est mise directement à disposition des équipes commerciales qui acquièrent ainsi une autonomie dans ce domaine. Alimentation du « Trust Center »
https://whistleb.com/fr/trust-centre/
Questionnaire sous-traitant Le rôle determinant du DPO et du RSSI Le DPO et le RSSI sont là encore les meilleurs alliés du Prestataire pour trouver le niveau de détail approprié pour garantir un niveau de sécurité adéquat, compte tenu de la nature, de la portée, du contexte et de la finalité du traitement. Le DPO et le RSSI permettent ainsi au Prestataire de remporter des marchés, mais surtout de protéger durablement ce qui est désormais l’un de ses principaux actifs, à savoir ses données.

Recommandé

La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATAISACA Chapitre de Québec
 
Ifc gdpr cmd sept 2019
Ifc gdpr cmd sept 2019Ifc gdpr cmd sept 2019
Ifc gdpr cmd sept 2019Prof. Jacques Folon (Ph.D)
 
Protéger ses données avec de la DLP
Protéger ses données avec de la DLPProtéger ses données avec de la DLP
Protéger ses données avec de la DLPMarc Rousselet
 
Ifc gdpr 4 jour (jour 1)
Ifc gdpr 4 jour (jour 1)Ifc gdpr 4 jour (jour 1)
Ifc gdpr 4 jour (jour 1)Prof. Jacques Folon (Ph.D)
 
RGPD : impacts et guide pratique pour les sous-traitants
RGPD : impacts et guide pratique pour les sous-traitants RGPD : impacts et guide pratique pour les sous-traitants
RGPD : impacts et guide pratique pour les sous-traitants Kiwi Backup
 
Atelier louv expo-david-blampain-v01
Atelier louv expo-david-blampain-v01Atelier louv expo-david-blampain-v01
Atelier louv expo-david-blampain-v01David Blampain
 
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?Lexing - Belgium
 
Ageris privacy 2016
Ageris privacy 2016Ageris privacy 2016
Ageris privacy 2016Thierry RAMARD
 

Recommandé

La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATAISACA Chapitre de Québec
 
Ifc gdpr cmd sept 2019
Ifc gdpr cmd sept 2019Ifc gdpr cmd sept 2019
Ifc gdpr cmd sept 2019Prof. Jacques Folon (Ph.D)
 
Protéger ses données avec de la DLP
Protéger ses données avec de la DLPProtéger ses données avec de la DLP
Protéger ses données avec de la DLPMarc Rousselet
 
Ifc gdpr 4 jour (jour 1)
Ifc gdpr 4 jour (jour 1)Ifc gdpr 4 jour (jour 1)
Ifc gdpr 4 jour (jour 1)Prof. Jacques Folon (Ph.D)
 
RGPD : impacts et guide pratique pour les sous-traitants
RGPD : impacts et guide pratique pour les sous-traitants RGPD : impacts et guide pratique pour les sous-traitants
RGPD : impacts et guide pratique pour les sous-traitants Kiwi Backup
 
Atelier louv expo-david-blampain-v01
Atelier louv expo-david-blampain-v01Atelier louv expo-david-blampain-v01
Atelier louv expo-david-blampain-v01David Blampain
 
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?Lexing - Belgium
 
Ageris privacy 2016
Ageris privacy 2016Ageris privacy 2016
Ageris privacy 2016Thierry RAMARD
 
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018David Blampain
 
Alphorm.com Formation Comprendre le RGPD
Alphorm.com Formation Comprendre le RGPDAlphorm.com Formation Comprendre le RGPD
Alphorm.com Formation Comprendre le RGPDAlphorm
 
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?Lexing - Belgium
 
L'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécuritéL'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécuritéAntoine Vigneron
 
Marketing et gdpr
Marketing et gdprMarketing et gdpr
Marketing et gdprProf. Jacques Folon (Ph.D)
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015ISACA Chapitre de Québec
 
Gestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsGestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsClaranet
 
Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...Claranet
 
Politique de sécurité des systèmes d'information hospitaliers
Politique de sécurité des systèmes d'information hospitaliersPolitique de sécurité des systèmes d'information hospitaliers
Politique de sécurité des systèmes d'information hospitaliersSara SI-MOUSSI
 
RH ET RGPD
RH ET RGPDRH ET RGPD
RH ET RGPDProf. Jacques Folon (Ph.D)
 
Classifier vos données pour envisager sereinement le Cloud et le BYOD !
Classifier vos données pour envisager sereinement le Cloud et le BYOD !Classifier vos données pour envisager sereinement le Cloud et le BYOD !
Classifier vos données pour envisager sereinement le Cloud et le BYOD !Microsoft Ideas
 
Dossier GDPR
Dossier GDPRDossier GDPR
Dossier GDPRProf. Jacques Folon (Ph.D)
 
RSI face aux autres départements (ISO 27002)
RSI face aux autres départements (ISO 27002)RSI face aux autres départements (ISO 27002)
RSI face aux autres départements (ISO 27002)Prof. Jacques Folon (Ph.D)
 
Implémentation pratique du gdpr
Implémentation pratique du gdprImplémentation pratique du gdpr
Implémentation pratique du gdprProf. Jacques Folon (Ph.D)
 
RGPD et stratégie digitale
RGPD et stratégie digitaleRGPD et stratégie digitale
RGPD et stratégie digitaleProf. Jacques Folon (Ph.D)
 
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiquesSécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiquesElodie Heitz
 
Cyber Sécurite et E-réputation
Cyber Sécurite et E-réputationCyber Sécurite et E-réputation
Cyber Sécurite et E-réputationAgoralink
 
Contrat de sous-traitance - GDPR
Contrat de sous-traitance - GDPRContrat de sous-traitance - GDPR
Contrat de sous-traitance - GDPRTechnofutur TIC
 
RGPD ! Etes vous en conformité ?
RGPD ! Etes vous en conformité ?RGPD ! Etes vous en conformité ?
RGPD ! Etes vous en conformité ?OlivierDEKETER
 
Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?
Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?
Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?Sollan France
 
FIDDAYS - Comment mettre en place le RGPD au sein de sa societe ?
FIDDAYS - Comment mettre en place le RGPD au sein de sa societe ?FIDDAYS - Comment mettre en place le RGPD au sein de sa societe ?
FIDDAYS - Comment mettre en place le RGPD au sein de sa societe ?FIDAQUITAINE
 

Contenu connexe

Tendances

Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018David Blampain
 
Alphorm.com Formation Comprendre le RGPD
Alphorm.com Formation Comprendre le RGPDAlphorm.com Formation Comprendre le RGPD
Alphorm.com Formation Comprendre le RGPDAlphorm
 
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?Lexing - Belgium
 
L'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécuritéL'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécuritéAntoine Vigneron
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015ISACA Chapitre de Québec
 
Gestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsGestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsClaranet
 
Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...Claranet
 
Politique de sécurité des systèmes d'information hospitaliers
Politique de sécurité des systèmes d'information hospitaliersPolitique de sécurité des systèmes d'information hospitaliers
Politique de sécurité des systèmes d'information hospitaliersSara SI-MOUSSI
 
Classifier vos données pour envisager sereinement le Cloud et le BYOD !
Classifier vos données pour envisager sereinement le Cloud et le BYOD !Classifier vos données pour envisager sereinement le Cloud et le BYOD !
Classifier vos données pour envisager sereinement le Cloud et le BYOD !Microsoft Ideas
 
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiquesSécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiquesElodie Heitz
 
Cyber Sécurite et E-réputation
Cyber Sécurite et E-réputationCyber Sécurite et E-réputation
Cyber Sécurite et E-réputationAgoralink
 
Contrat de sous-traitance - GDPR
Contrat de sous-traitance - GDPRContrat de sous-traitance - GDPR
Contrat de sous-traitance - GDPRTechnofutur TIC
 
RGPD ! Etes vous en conformité ?
RGPD ! Etes vous en conformité ?RGPD ! Etes vous en conformité ?
RGPD ! Etes vous en conformité ?OlivierDEKETER
 

Tendances (20)

Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
 
Alphorm.com Formation Comprendre le RGPD
Alphorm.com Formation Comprendre le RGPDAlphorm.com Formation Comprendre le RGPD
Alphorm.com Formation Comprendre le RGPD
 
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
 
L'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécuritéL'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécurité
 
Marketing et gdpr
Marketing et gdprMarketing et gdpr
Marketing et gdpr
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
 
Gestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsGestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligations
 
Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...
 
Politique de sécurité des systèmes d'information hospitaliers
Politique de sécurité des systèmes d'information hospitaliersPolitique de sécurité des systèmes d'information hospitaliers
Politique de sécurité des systèmes d'information hospitaliers
 
RH ET RGPD
RH ET RGPDRH ET RGPD
RH ET RGPD
 
Classifier vos données pour envisager sereinement le Cloud et le BYOD !
Classifier vos données pour envisager sereinement le Cloud et le BYOD !Classifier vos données pour envisager sereinement le Cloud et le BYOD !
Classifier vos données pour envisager sereinement le Cloud et le BYOD !
 
Dossier GDPR
Dossier GDPRDossier GDPR
Dossier GDPR
 
RSI face aux autres départements (ISO 27002)
RSI face aux autres départements (ISO 27002)RSI face aux autres départements (ISO 27002)
RSI face aux autres départements (ISO 27002)
 
Implémentation pratique du gdpr
Implémentation pratique du gdprImplémentation pratique du gdpr
Implémentation pratique du gdpr
 
RGPD et stratégie digitale
RGPD et stratégie digitaleRGPD et stratégie digitale
RGPD et stratégie digitale
 
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiquesSécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
 
Cyber Sécurite et E-réputation
Cyber Sécurite et E-réputationCyber Sécurite et E-réputation
Cyber Sécurite et E-réputation
 
Contrat de sous-traitance - GDPR
Contrat de sous-traitance - GDPRContrat de sous-traitance - GDPR
Contrat de sous-traitance - GDPR
 
RGPD ! Etes vous en conformité ?
RGPD ! Etes vous en conformité ?RGPD ! Etes vous en conformité ?
RGPD ! Etes vous en conformité ?
 

Similaire à WEBINAR : APPRENEZ A MAITRISER LES QUESTIONNAIRES RGPD POUR GAGNER DES MARCHES (24/6 à 11h00)

Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?
Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?
Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?Sollan France
 
FIDDAYS - Comment mettre en place le RGPD au sein de sa societe ?
FIDDAYS - Comment mettre en place le RGPD au sein de sa societe ?FIDDAYS - Comment mettre en place le RGPD au sein de sa societe ?
FIDDAYS - Comment mettre en place le RGPD au sein de sa societe ?FIDAQUITAINE
 
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper Guillaume Valcin
 
Workshop CNIL - RGPD & Objets connectés
Workshop CNIL - RGPD & Objets connectésWorkshop CNIL - RGPD & Objets connectés
Workshop CNIL - RGPD & Objets connectésStéphanie Roger
 
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?Boris Clément
 
Track technologique gérer les risques et la conformité
Track technologique gérer les risques et la conformitéTrack technologique gérer les risques et la conformité
Track technologique gérer les risques et la conformitéVeritas Technologies LLC
 
Directive GPDR/RGPD du 28/11/2017
Directive GPDR/RGPD du 28/11/2017Directive GPDR/RGPD du 28/11/2017
Directive GPDR/RGPD du 28/11/2017Zyxel France
 
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...Lexing - Belgium
 
ESTEM5A PART 1 POLITIQUE DE securite informatique.ppt
ESTEM5A PART 1 POLITIQUE DE securite informatique.pptESTEM5A PART 1 POLITIQUE DE securite informatique.ppt
ESTEM5A PART 1 POLITIQUE DE securite informatique.pptNourAkka1
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesTerface
 
Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...
Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...
Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...Mailjet
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
Ecommerce (6) - j.Folon - Vie privée sur Internet
Ecommerce (6) - j.Folon - Vie privée sur InternetEcommerce (6) - j.Folon - Vie privée sur Internet
Ecommerce (6) - j.Folon - Vie privée sur InternetUniversité de Metz
 
"Take the L.E.A.D." l'offre globale de Sedona
"Take the L.E.A.D." l'offre globale de Sedona"Take the L.E.A.D." l'offre globale de Sedona
"Take the L.E.A.D." l'offre globale de SedonaAgence West
 
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper 2
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper 2Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper 2
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper 2Guillaume Valcin
 

Similaire à WEBINAR : APPRENEZ A MAITRISER LES QUESTIONNAIRES RGPD POUR GAGNER DES MARCHES (24/6 à 11h00) (20)

Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?
Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?
Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?
 
FIDDAYS - Comment mettre en place le RGPD au sein de sa societe ?
FIDDAYS - Comment mettre en place le RGPD au sein de sa societe ?FIDDAYS - Comment mettre en place le RGPD au sein de sa societe ?
FIDDAYS - Comment mettre en place le RGPD au sein de sa societe ?
 
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
 
Workshop CNIL - RGPD & Objets connectés
Workshop CNIL - RGPD & Objets connectésWorkshop CNIL - RGPD & Objets connectés
Workshop CNIL - RGPD & Objets connectés
 
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
 
Track technologique gérer les risques et la conformité
Track technologique gérer les risques et la conformitéTrack technologique gérer les risques et la conformité
Track technologique gérer les risques et la conformité
 
Directive GPDR/RGPD du 28/11/2017
Directive GPDR/RGPD du 28/11/2017Directive GPDR/RGPD du 28/11/2017
Directive GPDR/RGPD du 28/11/2017
 
Droit Et Deontologie Partie 1 Isfsc Sept 2009
Droit Et Deontologie Partie 1 Isfsc Sept 2009Droit Et Deontologie Partie 1 Isfsc Sept 2009
Droit Et Deontologie Partie 1 Isfsc Sept 2009
 
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
 
ISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPDISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPD
 
ISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPDISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPD
 
ESTEM5A PART 1 POLITIQUE DE securite informatique.ppt
ESTEM5A PART 1 POLITIQUE DE securite informatique.pptESTEM5A PART 1 POLITIQUE DE securite informatique.ppt
ESTEM5A PART 1 POLITIQUE DE securite informatique.ppt
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des Données
 
Atelier RGPD ANDRH 27.03.18
Atelier RGPD ANDRH 27.03.18Atelier RGPD ANDRH 27.03.18
Atelier RGPD ANDRH 27.03.18
 
Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...
Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...
Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
 
Ecommerce (6) - j.Folon - Vie privée sur Internet
Ecommerce (6) - j.Folon - Vie privée sur InternetEcommerce (6) - j.Folon - Vie privée sur Internet
Ecommerce (6) - j.Folon - Vie privée sur Internet
 
Gdpr acerta
Gdpr acertaGdpr acerta
Gdpr acerta
 
"Take the L.E.A.D." l'offre globale de Sedona
"Take the L.E.A.D." l'offre globale de Sedona"Take the L.E.A.D." l'offre globale de Sedona
"Take the L.E.A.D." l'offre globale de Sedona
 
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper 2
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper 2Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper 2
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper 2
 

WEBINAR : APPRENEZ A MAITRISER LES QUESTIONNAIRES RGPD POUR GAGNER DES MARCHES (24/6 à 11h00)

  • 1.
  • 2. Nos DPO sont certifiés CNIL, AFNOR, IAPP ou CNAM DPO certifiés 01 Organisation, Experts Data, Développement d’applications (web, mobile, …) Experts IT et Gestion de Projet 02 Sécurité, cybermalveillance Sécurité SI 03 Conseil et qualification juridique, Avocats 04 Une équipe RGPD pluridisciplinaire
  • 3. IAE Paris – Administration des Entreprises Maîtrise en Droit des Affaires – Paris 2 Titulaire du Certified Information Privacy Professional/Europe - CIPP/E délivré par International Association of Privacy Professionnals - iAPP Philippe Gabillault Compétences / Direction de projet / Gouvernance de la sécurité / Data privacy & digital compliance / Formation Juridique / DPO Externe / Corporate Development Expertises / Pilotage de projets complexes internationaux / Digital compliance (RGPD, PCI-DSS, …) / Start-ups & Innovation Publications et prises de parole Expériences principales Co-Fondateur – Citizen Shield Cabinet de Conseil Expert RGPD : créé par des professionnels du droit et des technologies de l’information, pour faire connaître et développer de manière très opérationnelle les pratiques de conformité dans les Organisations. Président & Fondateur – Toltec Cabinet de Conseil en Stratégie et Corporate Development : accompagne les entreprises dans la négociation de partenariats complexes, accords commerciaux, prises et cessions de participations Directeur Juridique Commercial & DPO Groupe et France – Carrefour Une expérience de 26 ans (1992 à 2018) à la Direction Juridique d’un des principaux distributeurs européens En charge de 2016 à 2018 de la mise en conformité RGPD des six pays de l’Union Européenne dans lequel le Groupe Carrefour opère. A la tête d’une équipe de plus de 10 juristes, en charge des affaires juridiques relatives aux systèmes d’information, banque, assurances, achats, propriété intellectuelle et partenariats internationaux / Le Monde du Droit– « Les données sont une ressource pour l’entreprise » https://www.lemondedudroit.fr/decryptages/61300-donnees- ressource-entreprise.html / MtoMmag- Télétravail saison 2 : chiffrement et protection des données personnelles, les clés de réussite !... Seald , Sécurité : et si on parlait chiffrement et RGPD ! (mtom-mag.com) / Village de la Justice– «RGPD : UN AN AVANT, UN AN APRÈS, ET AU DELÀ. ».. https://www.village-justice.com/articles/videos-rgpd- avant-apres-dela-par-philippe-gabillaut,31437.html Expert Juridique & Privacy / DPO Passionnépar la protection des données à caractère personnel, je combine pragmatisme, expertise et rigueur pour mener les projets de transformation ou de mise en conformité
  • 4. Jean-Marc Provent Maîtrise Informatique - Université Pierre & Marie Curie Lean Management (Black Belt) Blue Ocean (Expert) Expertises / Conformité RGPD / Architecture web / mobile Compétences / Delivery Management / Direction R&D (embarqué, temps réel) Expert IT & Process DATA / RSSI Expériences principales Co-Fondateur – Citizen Shield Cabinet de Conseil Expert RGPD : créé par des professionnels du droit et des technologies de l’information, pour faire connaître et développer de manière très opérationnelle les pratiques de conformité dans les Organisations. Business Owner – Top Rgpd Cabinet Expert RGPD Business Owner – Digixit Cabinet conseil en transformation digitale Digital Services and Customer Success Director– Axway Transitioned and develop Systar Analytics expertise (delivery methodologies, skills) in Axway / Cadrage et pilotage de projets/programmes pluridisciplinaires (IT, Telecom, IA) / Transformation (IT, change management, digital, business model, organisation, optimisation process) Médiateur technologique, j’aide les entreprises à utiliser et interconnecter les technologies tout en garantissant éthique et protection des données à caractère personnel R&D / Professional Services Director – Systar Operational Intelligence expertise team Management / Sécurité SI / IA, Blockchain, IOT
  • 5. Le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Article 24 - Responsabilité du responsable du traitement Lorsqu'un traitement doit être effectué pour le compte d'un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées Article 28 - Sous-traitant Le sous-traitant et toute personne agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne peut pas traiter ces données, excepté sur instruction du responsable du traitement Article 29 - Traitement effectué sous l'autorité du responsable du traitement ou du sous-traitant Relation Responsable de traitement / sous-traitant un organisme qui souhaite confier tout ou partie d’un traitement à un prestataire devra sélectionner ce prestataire en fonction des garanties qu’il présente quant à sa conformité >>
  • 6. Principalement les grands comptes ou ETI. Qui sont les émetteurs ? • Accélération du digital • Data considérée de plus en comme un actif essentiel de l’entreprise • Développement des rançongiciels et les cyber-attaques qui impose une prudence toute particulière dans les domaines de cybersécurité et la protection des données Pourquoi cela revêt désormais une telle importance? • De nombreuses PME/ETI ont perdu des marchés ces douze derniers mois parce qu’elles avaient sous-estimées la portée de leurs réponses aux questionnaires RGPD qui accompagnaient les appels d’offre • Ces questionnaires se révèlent complexes, exigeants et engageants et les PME/ETI ont du mal à faire face Quelles conséquences en 2021 ? Questionnaire sous-traitant Le contexte
  • 7. • Présence d'un Responsable Sécurité • Présence d’un DPO • Certifications sécurité de la société - Périmètre et organisme certificateur • Présence d'une Politique Sécurité, disponible pour consultation • Présence d'un processus de gestion des risques • Présence d'un processus de gestion des identités et des accès • Présence d'un processus de gestion des incidents de sécurité • Sensibilisation et formation à la sécurité des personnels de la Société • Charte et engagement personnel pour les employés de la Société détenteurs de comptes à privilèges et/ou droits d'accès élevés Questionnaire principal Questionnaire sous-traitant Exemples de contenu Présence d'un Responsable Sécurité (préciser l'adresse de contact) Certifications sécurité de la société - Périmètre et organisme certificateur Présence d'une Politique Sécurité, disponible pour consultation (URL, fichier attaché) Présence d'un processus de gestion des risques Présence d'un processus de gestion des identités et des accès Présence d'un processus de gestion des incidents de sécurité Sensibilisation et formation à la sécurité des personnels de la Société Charte et engagement personnel pour les employés de la Société détenteurs de comptes à privilèges et/ou droits d'accès élevés
  • 8. • Analyse de risques • Cadrage de la relation contractuelle • Sécurité liée aux Ressources Humaines • Confidentialité • Gestion des identités et des accès • Traçabilité • Protection des données • Sécurité de l'infrastructure • Hébergement • Incidents de sécurité • Continuité et niveau de service • Sécurité des développements • Propriété intellectuelle • Audit • Réversibilité Politique de sécurité des tiers Questionnaire sous-traitant Exemples de contenu Présence d'un Responsable Sécurité (préciser l'adresse de contact) Certifications sécurité de la société - Périmètre et organisme certificateur Présence d'une Politique Sécurité, disponible pour consultation (URL, fichier attaché) Présence d'un processus de gestion des risques Présence d'un processus de gestion des identités et des accès Présence d'un processus de gestion des incidents de sécurité Sensibilisation et formation à la sécurité des personnels de la Société Charte et engagement personnel pour les employés de la Société détenteurs de comptes à privilèges et/ou droits d'accès élevés
  • 9. • Présence d'un DPO (Data Privacy Officer) • responsable de traitement ou sous-traitant • exercice des droits • PIA, Registre des Traitements • Catégorie, localisation des données personnelles traitées (actives, sauvegardes, archives) • Durées de conservation et cycle de vie des données • Possibilité de chiffrer / masquer les données, pseudonymiser, anonymiser les données • Liste des sous-traitants éventuels et traitements qu'ils réalisent • Existence d'un processus de gestion des violations de données et d'un processus de gestion de crise Traitement des données personnelles Questionnaire sous-traitant Exemples de contenu Présence d'un Responsable Sécurité (préciser l'adresse de contact) Certifications sécurité de la société - Périmètre et organisme certificateur Présence d'une Politique Sécurité, disponible pour consultation (URL, fichier attaché) Présence d'un processus de gestion des risques Présence d'un processus de gestion des identités et des accès Présence d'un processus de gestion des incidents de sécurité Sensibilisation et formation à la sécurité des personnels de la Société Charte et engagement personnel pour les employés de la Société détenteurs de comptes à privilèges et/ou droits d'accès élevés
  • 10. A minima, Les Registres des Traitements (Sous-traitant et Responsable de Traitement) et le PIA (Privacy Impact Assessment ou AIPD – Analyse d’Impact relative à la Protection des Données) Disposer des documents de la conformité Veiller à ce qu’un premier contrôle visuel du site du sous-traitant rassure le Responsable de Traitement. A minima, s’assurer que les Conditions générales d’utilisation, la Politique de confidentialité, la Gestion des cookies et les Mentions légales sont bien présentes en bas du site web et proprement rédigées Soigner le site web du sous-traitant, sa vitrine Questionnaire sous-traitant Comment s’y préparer Depuis quelques mois, les parcours de référencement se sont durcis. Les questionnaires “Data Protection” peuvent désormais s’accompagner d’un grand oral de contrôle des déclarations du Prestataire préalablement à la signature du Contrat, afin de s’assurer que le Prestataire a répondu en pleine conscience et connaissance. Ne pas répondre « oui » systématiquement
  • 11. • Un Data Processing Agreement (DPA) est un document juridiquement contraignant à conclure entre le responsable du traitement et le sous-traitant par écrit ou sous forme électronique. Elle réglemente l'étendue et la finalité du traitement, ainsi que la relation entre le responsable du traitement et le sous-traitant. Le contrat est important pour que les deux parties comprennent leurs responsabilités et obligations. • Le DPA peut dans certains cas suffire au Responsable de Traitement et donc se révéler un outil précieux pour éviter de se faire déborder par la complexité des questionnaires • Le DPA permet de mettre en avant les dispositions prises par le sous-traitant pour sécuriser les données personnelles et ainsi rassurer le Responsable de Traitement Être en mesure de proposer un Data Processing Agreement Questionnaire sous-traitant Comment s’y préparer • Les DPO des grands comptes sont souvent très aguerris. Il est essentiel de faire intervenir un DPO expérimenté, susceptible de défendre le dossier du sous-traitant • Bien maîtriser les éléments de base du RGPD : la description fonctionnelle du cycle de vie des données, les finalités du traitement, la formalisation des fondements rendant licite le traitement, la durée de conservation des données, la vérification que les données collectées sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées Se préparer à un éventuel oral de contrôle
  • 12. Le Trust Center permet de regrouper dans un espace d’information unique (généralement une page web) les ressources et bonnes pratiques pour aider le Responsable de Traitement à sécuriser les systèmes, garantir la confidentialité de chacun, s’assurer de la disponibilité et démontrer la conformité Il permet de centraliser dans un endroit unique les documents de référence de la conformité. Tout écrit faisant référence à ces documents fournit un lien sur la page du « Trust Center ». Construction du « Trust Center » Questionnaire sous-traitant Principes d’industrialisation • Les documents principaux apparaissant sur le site (Conditions générales d’utilisation, la Politique de confidentialité, la Gestion des cookies et les Mentions légales, Data Processing Agreement, …) sont mis à disposition dans le « Trust Center » • Au fur et à mesure des rencontres avec des prospects, le sous-traitant apprend à affiner son offre. Une FAQ est mise régulièrement à jour alimentée par les questions récurrentes apparaissant dans les questionnaires et les réponses jugées satisfaisantes par le Responsale de Traitement. Arrivée à maturité, cette FAQ est mise directement à disposition des équipes commerciales qui acquièrent ainsi une autonomie dans ce domaine. Alimentation du « Trust Center »
  • 14. Questionnaire sous-traitant Le rôle determinant du DPO et du RSSI Le DPO et le RSSI sont là encore les meilleurs alliés du Prestataire pour trouver le niveau de détail approprié pour garantir un niveau de sécurité adéquat, compte tenu de la nature, de la portée, du contexte et de la finalité du traitement. Le DPO et le RSSI permettent ainsi au Prestataire de remporter des marchés, mais surtout de protéger durablement ce qui est désormais l’un de ses principaux actifs, à savoir ses données.