Dans ce webinar Mailjet & AFNOR Certification, nous vous présentons :
- Les enjeux essentiels du RGPD
- L’article 42 du RGPD dédié à la certification
- La certification AFAQ Protection des données personnelles pour vous aider à démontrer votre maîtrise du RGPD
Voir la vidéo ici : https://fr.mailjet.com/blog/news/webinar-rgpd-certification/
Die 5 wichtigsten Erfolgsfaktoren im E-Mail Marketing
Webinar : Comment la certification peut-elle vous permettre de démontrer votre maîtrise du RGPD ?
1. Comment la certification
peut-elle vous permettre de
démontrer votre maîtrise
du RGPD ?
Darine Fayed,
Directrice Juridique et DPO chez Mailjet
Sandra Di Giovanni
Responsable du Pôle Numérique & RSE chez
AFNOR Certification
mailjet_fr
Webinar Mailjet & AFNOR Certification
2. 02
03
L’article 42 du RGPD dédié à la certification
La certification AFAQ Protection des
Données Personnelles
01 Les enjeux essentiels du RGPD
4. Article 16 & 17
Droit à l’oubli
Droit à la rectification
Article 20
Droit à la portabilité
des données
Article 42
Certification
Article 30
Registre du traitement
des données
Article 32
Sécurité du
traitement
Article 33 & 34
Notification d’une
violation des données
Article 35
Evaluation de la
protection des données
Article 25
Protection des données by
design et par défaut
Les articles incontournables du RGPD
5. La sécurité du traitement
• Pseudonymisation et chiffrement des données
• Confidentialité, intégrité, disponibilité et résilience des systèmes de traitement
• Procédure d'évaluation des mesures techniques et organisationnelles
• Renforcement de la protection périmétrique
• Monitoring sécurité et communication (plans de crises…)
Article 32 : « Les entreprises doivent mettre en œuvre les mesures techniques et
organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque »
EXEMPLES DE MESURES :
7. La certification
L’article 42 du RGPD est dédié à la certification
Les autorités de contrôle encouragent la mise en place de mécanismes
de certification en matière de protection des données ainsi que de
labels et de marques en la matière, aux fins de démontrer que les
opérations de traitement effectuées par les responsables du traitement
et les sous-traitants respectent le règlement.
9. Pourquoi la certification ?
ARTICLE 5 DU RGPD : LA LOGIQUE DE RESPONSABILISATION
• « Le responsable de traitement est responsable du respect [des principes relatifs au traitement des données à
caractère personnel] ET est en mesure de le démontrer (responsabilité) »
• L’article 42 du RGPD prévoit la certification comme moyen pour le démontrer
LA CERTIFICATION, UN OUTIL DE PRÉVENTION
• En l’absence de formalité préalable auprès de la CNIL, la certification deviendra la preuve d’un contrôle par un tiers
de confiance
• Compte-tenu des enjeux (sanction financière et risque d’image), l’échange de données personnelles entre
organismes requiert un contrôle supérieur à des engagements contractuels clairement définis
LA CERTIFICATION, UN OUTIL DE MAÎTRISE DES RISQUES
• La certification agrée : une source de circonstances atténuantes en cas d’incident
• Une capacité à détecter rapidement les failles de sécurité et à atténuer les dommages subis, une sensibilisation
interne aux bonnes pratiques, une amélioration continue des pratiques, etc.
10. AFNOR Certification
AFAQ PROTECTION DES DONNÉES PERSONNELLES
• Développé en partenariat avec le cabinet d’avocat Artemont
• Phase d’audit auprès d’entreprises pilotes
• Lancement dès que le cadre d’intervention sous accréditation permettra aux organismes de certification
d’intervenir avec l’agrément prévu à l’article 43 du RGPD
UN RÉFÉRENTIEL DÉDIÉ AU RGPD
• Des exigences organisationnelles et techniques au plus près des exigences du règlement européen
• Une publication lorsque les CNIL européennes auront fixé les règles permettant la reconnaissance d’une
certification européenne selon l’article 43
• Un référentiel qui sera applicable à l’international, délivré par les entités du Groupe AFNOR
UN CERTIFICAT VALABLE POUR UNE DURÉE DE 3 ANS
• Sous condition d’un maintien lors de l’audit annuel de surveillance
11. Le référentiel de certification
POURQUOI LE RÉFÉRENTIEL DE CERTIFICATION N’EST-IL PAS DIRECTEMENT LE RGPD ?
• Pour définir des points de contrôle de manière pratique
• Pour introduire des exigences visant à assurer la pérennité de la conformité
• Pour structurer l’approche sous une forme auditable (approche PDCA)
• Pour prendre en compte les réglementations associées
Article L34-5 du code des postes et des communications électroniques (prospection directe)
UN EXEMPLE : LA DÉTERMINATION DES FINALITÉS
• Article 5 : « Les données à caractère personnel doivent être collectées pour des finalités déterminées […] »
• Niveau 1: l’auditeur consulte le registre de traitement puis, au moment de vérifier les moyens de collecte, s’assure de
la compatibilité avec les finalités enregistrées
• Niveau 2 : l’auditeur s’assure que la procédure de mise en œuvre d’une nouvelle collecte, ou d’extension de données
collectées, prévoit que la compatibilité avec les finalités soit vérifiée
Une trace de cette vérification est consultée par l’auditeur
12. L’approche d’audit
UN AUDIT DE L’EFFECTIVITÉ DE L’ORGANISATION
• Mise en œuvre des procédures de conformité par les fonctions supports et par les « métiers »
• Disponibilité de preuves de conformité
UN AUDIT SUR SITE POUR DES ENTRETIENS AVEC LES ÉQUIPES « MÉTIERS »
• Exemple : apprécier l’exhaustivité du registre des traitements
• Exemple : tester le respect des finalités des traitements
UN AUDIT PAR ÉCHANTILLONNAGE
• Une sélection aléatoire parmi un grand volume pour collecter des preuves (réponse aux demandes d’exercice des
droits, contrats B2B, moyens de collecte)
• Une sélection guidée par la sensibilité des traitements, les premières constatations de l’auditeur et son expérience
13. Les livrables de l’audit
UN RAPPORT AVEC LE CLASSEMENT DES CONSTATS
Les non-conformités nécessitant une action corrective
• Pour les écarts « majeurs » : conditions à lever sous 3 mois pour obtenir la certification
Les points sensibles
• Les preuves de la conformité aux exigences du référentiel ont été obtenues
• Mais l’organisme doit modifier ses pratiques pour écarter un risque latent de non-conformité
Les pistes de progrès
• Le bonnes pratiques initiées ou constatées qui mériteraient d’être étendues à l’ensemble des traitements
Les points forts
• Des pratiques qui dépassent le niveau usuel constaté en réponse aux exigences du référentiel et démontrent une
excellente organisation pour répondre aux enjeux du RGPD
UN CERTIFICAT AFAQ EST DÉLIVRÉ LE CAS ÉCHÉANT
14. Prêt pour la certification ?
CHOISIR UN PÉRIMÈTRE DE CERTIFICATION
• Le champ des activités : activité de prospection commerciale, la relation client, la fonction RH de l’organisme, etc.
• Les sites concernés par la certification en cohérence avec le champ des activités
DISPOSER D’UNE ORGANISATION EN FONCTIONNEMENT
• Depuis au moins 3 à 6 mois
LE STATUT DE RESPONSABLE DE TRAITEMENT OU/ET DE SOUS-TRAITANT
• L’activité de sous-traitance peut être l’unique objet de la certification, y compris lorsque l’organisme est responsable de
traitement pour d’autres activités
IDENTIFICATION DES CONDITIONS SPÉCIFIQUES
• Qui requièrent un auditeur aux compétences adaptées
LES AUTRES CERTIFICATIONS
• ISO/IEC 27001, permet de répondre aux exigences de sécurité de l’information
• ISO/IEC 9001, l’audit combiné peut être demandé dès lors que la conformité au RGPD a été intégrée aux processus
15. Formation interne
Mise en place des mesures
techniques &
organisationnelles
Plan et procédure en cas de
violation des données
Registre de traitement des
données
Audit du cadre de la
protection des données
Garantie de la portabilité
des données
Analyse interne & stratégie
Evaluation de l’impact sur la
protection des données
Garantie du haut niveau de
sécurité des données
Garantie que seules les
données nécessaires sont
collectées
Nomination d’un DPO
Réévaluation du processus
de consentement et de
retrait
Février - Mai 2017 Juin 2017 Juillet 2017Juillet 2017
Octobre 2017
Octobre - Novembre 2017 Octobre - Novembre 2017 Novembre 2017 Décembre 2017
Juillet - Septembre 2017Juillet - Novembre 2017Octobre 2017
Roadmap Mailjet de la mise en conformité au RGPD