1. LES POINTS CLES DU GDPR
General Data Protection Regulation
Ce document est la propriété de Larinella. Toute reproduction est soumise autorisation préalable de Larinella et au respect des dispositions du Code de la Propriété intellectuelle.
2. Donnée à caractère personnel
Identité, photo, adresse mail, tel, infos sur
des caractéristiques (culturelles, sociales
etc.), adresse IP, identifiants, données de
localisation…
Traitement de données
Toute opération automatisée ou non,
systèmes R.H., CRM, Big Data, Cloud,
profilage, opérations de marketing,
biométrie, smart city, BIM, envoi ou
réception de bases de données, Tierce
maintenance applicative, … …
Responsable de traitement (RT)
Personne physique ou morale qui définit
la finalité et les moyens du traitement des
données. Toutes les entreprises sont des
RT.
Sous-traitant (ST)
Personne physique ou morale qui traite
des données directement ou
indirectement pour le compte d’un
responsable de traitement : prestataire
SAAS, Data Management Plateform,
hébergeur,...
Définitions 2
3. La protection des données
Une directive 95/46 CE de 1995 et une transposition de chaque état
membre de l’UE dans un droit national.
En France, la loi dite « informatique et libertés » modifiée en 2005
définit les principes à respecter :
La licéité du traitement, la loyauté, la limitation des finalités,
La proportionnalité entre les données traitées et la finalité du traitement
La qualité des données,
La conservation limitée des données,
Les droits des personnes concernées,
La sécurité des données.
La réglementation repose sur la logique de formalités (déclaration,
autorisation), à déposer auprès de l’autorité de contrôle CNIL,
préalablement à tout traitement.
3
4. La demande des entreprises
Harmoniser les législations européennes
Unifier la régulation des entreprises européennes qui traitent des
données
Favoriser l’innovation au sein d’un marché unique du numérique
parce que :
De nombreuses entreprises innovantes basent leur business plan sur
l’exploitation de la donnée personnelle
De nouveaux outils toujours plus consommateurs de données
Garantir un niveau élevé de protection des citoyens aujourd’hui
sensibilisés
4
5. Le règlement général sur la
protection des données
Il est rendu applicable à compter du 25 mai 2018.
Il impose un ensemble unique de règles directement applicables
dans tous les Etats membres de l’Union Européenne.
5
6. Un champ d’application mondialisé
Le GDPR s’applique à toute entreprise qui offre des biens ou des
services à des personnes situées dans l’Union européenne :
• Que l’entreprise soit Responsable de traitement ou Sous-traitant
• Que l’entreprise soit établie ou non en UE
• Que le traitement ait lieu ou non en UE
6
7. La nouvelle logique
Un organisme est responsable de ses données et doit être en
mesure de démontrer qu’il se conforme à ses obligations.
Il conviendra de :
•Déployer un processus de mise en conformité
•Détenir la preuve que les mesures appropriées ont été prises
•S’inscrire dans une démarche de contrôle et d’amélioration continue
En contrepartie, suppression de la majorité des formalités CNIL.
7
8. Quelques concepts introduits par le
GDPRLa Privacy by Design : les principes et les exigences du GDPR seront intégrées
dans la conception des logiciels et des pratiques
La notification de la violation de la sécurité des données : auprès de la
CNIL et des personnes concernées sous 72h
La transparence et le consentement : les usagers devront recevoir une
information intelligible et accessible relative à l’intérêt légitime du traitement de leurs
données afin d’exprimer leur consentement
Le droit à l’oubli : droit à l’effacement des données traitées
Le droit à la portabilité des données : droit de transférer ses données vers un
autre opérateur
L’extension des données sensibles
Le Data Protection Officer ou Délégué à la protection des données,
interne ou externe (CIL V2) : conseillera – contrôlera l’entreprise sur le respect de
ses obligations et sera le point de contact de la CNIL et des personnes concernées.
Obligatoire dans le secteur public.
8
9. Les relations contractuelles
Le contrat de sous-traitance est obligatoire
• Il comprend les responsabilités propres au sous-traitant et ses obligations
• Un cahier des charges permettra de sélectionner le sous-traitant
Le sous-traitant engage dorénavant sa responsabilité
• Il doit respecter lui aussi toutes les obligations du GDPR
Attention !
9
10. • Une organisation GDPR avec un programme, un pilote, de
l’acculturation pour accompagner les changements
• Des chantiers de mise en conformité GDPR à déployer
• Une documentation à constituer (accountability)
Les axes de travail GDPR
10
11. Timeline du programme GDPR
Adoption du
programme GDPR
Formation des
acteurs clés du
programme
Désignation du
Pilote programme
GDPR ou du Data
Protection Officer
Cartographie des traitements par
Système d’information
Réalisation du Registre des
traitements de l’organisme
Etude d’impact des traitements les
plus sensibles
Analyse de la conformité des
traitements (principes GDPR, flux
hors UE, consentement, contrats de
sous-traitance, mentions légales, …
Politiques protection des
données et sécurité
Plans : d’ actions correctives
et préventives, de contrôle
interne et externe (des sous-
traitants)
Procédures et dispositifs
techniques associés
Sensibilisation
GDPR des
collaborateurs
Gestion électronique
documentaire GDPR
Organisation Conformité GDPR Accountability
Préparer Piloter Progresser
11
12. Les moyens de valoriser sa compliance
Une « certification GDPR » à venir (AFNOR)
Un code de conduite : adhésion de partenaires d’une profession,
d’un cluster ou d’un groupe d’entreprises
Des labels
12
13. Les risques pour les contrevenants
Ne pouvoir répondre à un cahier des charges, à un marché public
ou signer des CGA
Rencontrer un litige contractuel
Risquer une amende administrative : dans le cas d’une entreprise,
jusqu’à 4% du chiffre d’affaires annuel mondial
13