3. Qui est concerné ?
Tout organisme quels que soient sa taille, son pays d’implantation et son
activité, peut être concerné.
Il s’applique à toute organisation :
• publique et privée Traitant des données
personnelles
• établie sur le territoire de l’Union européenne
• ou que son activité cible directement des
résidents européens.
les sous-traitants qui traitent des données personnelles pour le compte
d’autres organismes sont également concernés. (ex. hébergeur de données)
4. Données personnelles : de quoi parle-t-on?
Directement
nominatives
• Nom
• Prénom…
Indirectement
nominatives
• Photo
• Tel, adresse, CB,
numéro SS…
Rattachées à
des données
nominatives
• Achats
• Centres d’intérêt…
5. Les 4 actions principales :
pour commencer la mise en conformité
6. • Créer un registre listant vos traitements de données pour avoir une vision d’ensemble.
• Identifiez les activités principales de votre entreprise qui nécessitent la collecte et le
traitement de données (exemples : recrutement, gestion de la paye, formation, gestion
des badges et des accès, statistiques de ventes, gestion des clients prospects, etc.).
• Dans votre registre, créez une fiche pour chaque activité recensée, en précisant :
– l’objectif poursuivi
– les catégories de données utilisées
– qui a accès aux données
– la durée de conservation de ces données
Appuyez-vous sur le modèle de registre proposé
par la CNIL sur son site internet.
1-Création d’un Registre
7. Pour chaque fiche de registre créée, vérifiez :
• que les données que vous traitez sont nécessaires à vos activités
• que vous ne traitez aucune donnée dite « sensible » ou, si c’est le cas,
que vous avez bien le droit de les traiter
• que seules les personnes habilitées ont accès aux données dont elles
ont besoin ;
• que vous ne conservez pas vos données au-delà de ce qui est
nécessaire.
2-Faire le tri dans vos données
8. Informez les personnes
• À chaque fois que vous collectez des données personnelles, le
support utilisé (formulaire, questionnaire, etc.) doit comporter
des mentions d’information.
• Vérifiez que l’information comporte notamment les éléments
suivants
• pourquoi vous collectez les données
• ce qui vous autorise à traiter ces données
• qui a accès aux données
• combien de temps vous les conservez
• les modalités selon lesquelles les personnes concernées
peuvent exercer leurs droits
Des exemples de mentions sont disponibles
sur le site internet de la CNIL.
3-Respectez les droits des personnes
9. • Permettez aux personnes d’exercer facilement leurs droits (donner les
moyens)
Les personnes dont vous traitez les données (clients, collaborateurs, prestataires,
etc.) ont des droits sur leurs données, qui sont d’ailleurs renforcés par le RGPD :
3-Respectez les droits des personnes
• Mettez en place un processus interne pour traiter les
demandes dans des délais courts (1 mois au maximum)
11. Agence Nationale de la Sécurité des Systèmes d’information
Règlements SSI
Visas de sécurité
Conseils et assistance (OIV,
OSE)
Agence nationale de sécurité Agence nationale de défense
ANSSI : missions
**OIV: Opérateur d’Importance Vitale ; OSE : Opérateur de Services Essentiels
Surveiller l’environnement
Détecter les attaques
Répondre aux incidents
12. Contexte
> RGPD : règlement général de la protection des données à
caractère personnel
▪ Adoption le 27 avril 2016
▪ Entrée en vigueur le 25 mai 2018
> Droit des personnes physiques concernées et fixe les règles et
pratiques applicables aux finalités et à la pertinence des données,
à leur durée de conservation et à leur sécurité (article 32)
> Des obligations relatives à la sécurité des données uniquement
sous le contrôle de la CNIL – Pas de responsabilité de l’ANSSI
12
13. RGPD et sécurité des données
> Importance d’apprécier et traiter les risques susceptibles de
conduire à la destruction ou à la perte des données
> Mise en œuvre de « mesures techniques ou
organisationnelles appropriées » pouvant notamment inclure:
▪ le chiffrement des données
▪ des « moyens permettant de garantir la confidentialité, l’intégrité, la
disponibilité et la résilience »
13
14. RGPD - Positionnement de l’ANSSI
> Encouragement des entreprises de toutes tailles, administrations
et collectivités à renforcer la sécurité des données
▪ Effet démultiplicateur en matière de renforcement de la sécurité
numérique
▪ Mise à profit des entreprises, des administrations et des collectivités :
▫ expertise
▫ méthodes
▫ outils
▪ Faciliter une convergence des solutions relatives à la protection des
données et à la sécurité numérique, au profit des utilisateurs finaux
> Lancement d’un « kit de la sécurité des données à caractère
personnel »
14
15. Kit de sécurité RGPD
Votre boîte à outils : guides, vidéos, formation
CONTENU
1. COMPRENDRE LE RISQUE CYBER
2. SE PROTEGER
3. SENSIBILISER LES COLLABORATEURS
4. CHOISIR DES SOLUTIONS ET DES EXPERTS DE CONFIANCE
5. QUE FAIRE EN CAS D’INCIDENTS
15
17. Moïse Moyal
Agence Nationale de la Sécurité des Systèmes d’Information
Division Coordination Territoriale
paca@ssi.gouv.fr
Marjorie BILLAUD
CCI Nice Côte d’Azur
Conseillère en Intelligence économique
Marjorie.billaud@cote-azur.cci.fr
MERCI DE VOTRE ATTENTION