2. • Programme régional Les Digiteurs www.lesdigiteurs.fr ;
• Soutien de la région et du programme européen le FEDER ;
• Accompagner les TPE et PME dans la Transformation Numérique ;
• Réaliser un « Diagnostic de Stratégie Digitale » ;
• Maturité Digitale et recommandations ;
• Accompagnement : site web, réseaux sociaux… ;
• Le Mois du Numérique 2018 ;
Diagnostic, conseil et accompagnement
3.
4.
5.
6.
7.
8.
9.
10.
11. Plus récemment le 7 juin 2018 :
Optical-center.fr 250.000€ d’amendes
28. AVANTAGES POUR MON ENTREPRISE
Les entreprises doivent prendre toutes les mesures
nécessaires à la fois pour être en conformité avec ce
nouveau règlement, mais aussi pour assurer la
sécurité des données de leurs employés et de leurs clients.
Il impacte quotidiennement le fonctionnement de votre entreprise.
IL faut concevoir le règlement comme une méthodologie
pour la transition digitale de votre entreprise.
Le règlement doit être conçu comme
un investissement stratégique à long terme.
La donnée est le patrimoine
de l’entreprise.
RGPD c’est VALORISERVOTRE ENTREPRISE
EN TERME D’IMAGE et DE REPUTATION
RGPD c’est SE DONNER UNE CHANCE AU LABEL
Le label formation - Le label coffre-fort numérique - Le label
procédures d’audit informatique et libertés - Le label gouvernance
OU A LA CERTIFICATION
RGPD c’est ETRE ELIGIBLE
AUX APPELS D’OFFRES
RGPD c’est OPTIMISER SA PROTECTION DE
DONNEES
RGPD c’est VALORISER L’ENTREPRISE AUPRES
DES EMPLOYES/CLIENTS/SOUS-TRAITANTS/
PARTENAIRES/FOURNISSEURS
RGPD c’est MINIMISER L’AMENDE EN
CAS DE FUITES ou DE PERTES
29. OGI vous accompagne dans
votre mise en conformité technique
OGI s’appuie sur des partenaires européens
depuis plus de 23 ans
Une équipe de 12
Collaborateurs
dont 7 administrateurs
réseaux formés
à la cyber-sécurité
Votre interlocuteur : Odette AMANN
Odette.amann@ogi77.fr
30. Les 7 étapes juridiques indispensables pour être conforme
au RGPD
Le RGPD simplement
Présentation de Henri de la Motte Rouge
31. Henri de la Motte Rouge
Avocat au Barreau de Paris
Délégué à la Protection des données personnelles
Associé fondateur Touati – La Motte Rouge Avocats
Associé fondateur Deep Block SAS, opérateur de Blockchain
Le cabinet est classé parmi les meilleurs cabinets
d’avocats français pour sa « pratique réputée »
dans quatre catégories
1) Nouvelles Technologies – Internet
2) Nouvelles Technologies – IT & Logiciels
3) Propriété Intellectuelle – Marques, dessins et
modèles
4) Protection des données personnelles
32. Le Plan
Introduction – Le RGPD c’est quoi ?
Partie 1 – Les 7 étapes incontournables pour
être conforme RGPD au 25 mai 2018.
Partie 2 - Réponses à toutes vos questions sur
le RGPD
33. Introduction – C’est quoi le
RGPD ?
RGPD = Règlement UE (unification droit UE +
applicabilité directe en droit interne)
99 articles - https://www.cnil.fr/fr/textes-officiels-
europeens-protection-donnees
La protection des personnes physiques à l'égard du
traitement des données à caractère personnel est
un droit fondamental (mais pas absolu)
34. Introduction – C’est quoi le
RGPD ? Champ d’application
Temporel
Applicabilité le 25 mai 2018 !!!
Le cadre juridique français évolue -> Loi informatique et liberté
Matériel
Le règlement s'applique aux (i) traitements de (ii) données à caractère
personnel
Géographique
> critère de l’établissement : activité sur le territoire UE
> critère des personnes concernées : traitement concernant des
personnes sur le territoire UE (même si entreprise hors UE)
35. Les sanctions pénales
Autorité administrative (CNIL) dispose d’un pouvoir de sanction fort
Amendes administratives pouvant s'élever jusqu'à 20 000 000 EUR
OU
2 à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent
montant le plus élevé retenu
Pour mémoire :
Ancien montant 150 000€ Loi Informatique et libertés (1978) augmenté à 3 millions par la Loi
pour une République numérique (2006)
Les peines d’emprisonnement de la loi 1978 demeurent applicables
36. Les risques juridiques
majeurs
Le contentieux judiciaire RGPD va exploser !
(fondement de rupture de contrats, responsabilités non limitées …)
> Droit à réparation et responsabilité des personnes ayant subi un
dommage matériel ou moral du fait d’une violation du RGPD (art. 82)
> Responsable du Traitement (RT) condamné a le droit de se retourner
contre Sous-Traitant (ST) (appel en garantie)
> Recours Administratifs (saisie de la CNIL) + Recours Judiciaires
> Actions de groupe ouvertes (art. 80)
37. Cas pratique –
Violation d’une base mails
Scénario « breach de données » consommateurs :
1- Faille de sécurité dans vos ordinateurs (ou dans le système de votre Sous
traitant) permet de voler des données clients de vos clients (mails nom prénom
adresse …)
2- Les données permettent à des pirates de propager
un virus endommageant des systèmes / ordinateurs
Conséquences :
> Vous êtes condamnés à indemniser l’ensemble des clients >
(éventuellement) vous retournez en garantie contre le sous-traitant
> Vous et le Sous-traitant sont condamnés par la CNIL
> Préjudice de plusieurs millions d’euros
> Amende de la CNIL
> Réputation du RT durablement affectée
38. Ca veut dire quoi en pratique la
« Conformité RGPD « ?
Principe : Engagement responsable des acteurs
(Principe d’accountability)
Ce n’est pas si compliqué
1/ Analyser (cartographier les traitements)
2/ Mettre en place des mesures techniques et
organisationnelles
3/ Collecter les données de manière licite
4/ Documenter [créer un Dossier RGPD]
39. Partie 1 – Les 7 étapes de
conformité incontournables pour
réduire ces risques majeurs
1/ Identifier vos traitements et analyser les risques
2/ Etablir le Registre de traitements
3/ Faire des collectes licites pour l’avenir
4/ Remettre en conformité vos bases antérieures
5/ Vérifier la conformité RGPD des sous-traitants et
prendre des décisions qui s’imposent
6 /Rédiger votre politique de confidentialité à intégrer
sur votre site / formulaires
7/ Documenter la sécurité et la le process en cas de
violation de données
40. C’est quoi un traitement ?
Toutes les opérations que vous mettez en œuvre pour collecter, enregistrer et utiliser des données
personnelles.
En règle général, une entreprise est amenée à gérer 3 traitements minimum :
- Clients / Prospects
- Salariés
- Fournisseurs
Comment analyser les risques ?
Les questions à se poser !
QUI ? QUOI ? POURQUOI ? OU ? JUSQU'À QUAND ? COMMENT ?
1/ Identifier vos traitements
et analyser les risques
41. C’est quoi le Registre de traitements ?
C’est un outil de conformité qui pourra vous être demandé en cas de
contrôle.
Il remplace les déclarations CNIL
Les rubriques du registre de traitement :
- N° de traitement
- Finalité
- Droit accès et rectification
- Personnes concernées
- Donnés traitées
- Destinataires
2/ Etablir le Registre des
traitements
- Durée de conservation
- Lieu de traitement
- Date de Mise en œuvre
- Transfert Hors UE
- Date d’inscription au registre
- Date de dernières modifications
42. 3/ Faire des collectes licites
(Conforme RGPD)
La question à se poser : quelle est la base de la liceité du traitement / des
données que je collecte ?
1/ Le consentement ?
Le consentement pour la collecte de données (exemple adresse mail) devra être donné
de façon libre, spécifique, éclairée et univoque
Prévoir une case à cocher renvoyant à un message clair
Le client a la possibilité de demander la rectification / suppression de ses informations
simplement
2/ Le contrat ?
Nécessaire à l’exécution du contrat ou à l’exécution des mesures contractuelles
3/) Finalité légitime ?
Catégorie fourre tout ex: prospection commerciale)
43. 3/ Faire des collectes licites
(Conforme RGPD)
A retenir !
Prévoir une finalité explicite et faire référence à la Politique de confidentialité
Exemple :
- Case à cocher différentes pour pouvoir transmettre les données à des partenaires
A ne pas faire !
Ne pas mettre de mentions et se contenter des cases précochées par défaut
Mettre toutes les finalités et les traitement dans la même case à cocher
EXEMPLE
FORMULAIRE DE VENTE
En validant mon inscription, j’accepte que les informations recueillies sur ce formulaire soient enregistrées
afin de rendre le service/livrer le produit et traitées conformément à notre Politique de confidentialité.
[ ] En cochant la case ci-contre vous acceptez de recevoir par mail les propositions commerciales de nos
partenaires
A tout moment, vous pouvez exercer votre droit d'accès, de rectification, d’effacement, d’opposition, de
limitation, aux données vous concernant en nous contactant par le biais du présent formulaire.
44. 4/ Gérer vos collectes antérieures
Remettre en conformité vos bases
1/ Bases collectées avec mention d’information.
Envoyer un mail à vos bases pour informer de la mise à jour de la Politique de confidentialité
2/ Pour les bases pour lesquelles vous n’avez eu aucune mention d’information et aucun consentement en
BtoC, vous êtes sur une collecte illégale
Vous pouvez tenter de redemander un consentement.
En tout état de cause, dans tous les mails indiquer un lien de désinscription.
Profiter de ce mail de demande un bon moyen de communiquer sur vos produits et services et de vous
crédibiliser auprès de vos clients et prospects.
45. 4/ Gérer vos collectes (sur le plan
technique)
D’un point de vue Technique :
1/ Gérer dans les fichiers la segmentation de la clientèle suivant les
cases cochées
2/ Gérer l’archivage des consentements afin de rapporter la preuve du
consentement en cas de litige ou de contrôle de la CNIL
L’importance de travailler avec les meilleures technologies du marché
46. 5/Vérifier la conformité des
Sous-traitants et prendre des
décisions
1/ Identifier les Sous-traitants de données (webmail, Hébergeur,
LearnyBox, logiciel métier …)
2/ Analyser s’ils ont une politique de confidentialité. Si oui, à mettre dans
votre « Dossier RGPD »
3/ Adresser un courrier type en FRA / ENG. Archiver ces courriers dans
votre « Dossier RGPD »
4/ Proposer au Sous-Traitant un contrat (Convention de données
correspondant aux standards RGPD)
5/ Si le Sous-Traitant, refuse Changer !
47. 6/Rédiger votre politique de
confidentialité
C’est quoi une Politique de confidentialité ?
La Politique de confidentialité des données a vocation à exposer de manière claire et transparente
l’étendue et les raisons de la collecte de données par votre société mais aussi les différents droits
dont disposent les utilisateurs du site (accès, rectification, portabilité, etc.).
Comment faire une politique de confidentialité ?
1/ Reprendre votre registre des traitements exposant les différentes données collectées et les
finalités,
2/ Indiquer les durée de conservation
3/ Indiquer les droits des utilisateurs
Droit d’accès aux données à caractère personnel fournies ;
Droit de demander la rectification ou l’effacement de celles-ci ;
Droit de demander une limitation du traitement relatif à sa personne ;
Droit de s’opposer au traitement et de retirer son consentement à tout moment ;
Droit à la portabilité des données ;
Droit d’introduire une réclamation auprès d’une autorité de contrôle (CNIL).
4/ Indiquer si vous communiquez des données à des tiers
48. 7/Documenter la sécurité de
vos systèmes informatiques
Quelles mesures de sécurité physiques et logiques?
1/ Mesure sur les données personnelles
2/ Mesures générales sur la sécurité
3/ Mesure organisationnelle
Exemple :
- Sécurité physique
- Qui a accès aux données ?
- Quel est la politique des droits d’accès
- Quel antivirus?
- Politique des Mots de passe
- Archivage
Mettre en place une procédure de violation de données
Tout documenter -> Faire une politique de Sécurité dans votre « Dossier RGPD ».
50. Vos 7 documents RGPD indispensables pour être en règle
1 - Le Registre de Traitement type entrepreneur du web conforme CNIL/RGPD
2 - La Politique de confidentialité
3 - Les courriers types à adresser à vos Clients/Prospects avant le 25 mai 2018 pour pouvoir
continuer à utiliser vos bases mails/listes en toute légalité4 - Les courriers types à adresser
à vos Sous-Traitants de données pour vérifier leur conformité RGPD (Modèle en français/
Modèle en anglais)
5 - Les Clauses types à faire signer à vos Sous-Traitants de données
6 - Le modèle de Politique de sécurité informatique
7 - Les différentes mentions obligatoires (cases à cocher) en fonction
de la typologie de collectes/captures
Pack Essentiel Juridique RGPD :
51. Offre RGPD :
o CIL / DPO externalisé auprès de la CNIL
o Accompagnement à la conformité
o Contentieux judiciaires et administratifs
Henri de la Motte Rouge, Avocat fondateur du cabinet
L’équipe RGPD - CIL / DPO
TOUATI - LA MOTTE
ROUGE AARPI
77 boulevard Malesherbes
75008 Paris
www.tlmr-avocats.com
lamotterouge-avocats.com
01 78 76 62 62