SlideShare une entreprise Scribd logo
1  sur  10
Journée Nationale des Industriels
21 décembre 2017
Réglementation européenne pour la protection des
données personnelles (RGPD)
Florence Eon
Réglementation européenne pour la protection
des données personnelles (RGPD)
2
Dispositions majeures du RGPD
3| Journée nationale des industriels - 21 déc. 2017
Régime général de la protection des données personnelles
4
Nouvelles responsabilités responsable de traitement / sous-traitant
Directive 95/46 et LIL
Formalités préalables
A réaliser auprès de la CNIL (avant mise en œuvre du
traitement)
Désignation facultative d’un CIL
Responsable de traitement
A identifier / lié par contrat au sous-traitant
5 principes
• finalité du traitement
• pertinence et proportionnalité des données
• durée de conservation limitée des données
• sécurité et confidentialité des données
• respect des droits des personnes
GDPR
Accountability
mesures de protection des données appropriées pour
démontrer leur conformité à tout moment
Privacy by design/ Privacy by default
Garantir que les traitements de données ne portent pas
atteinte à la vie privée dès la conception
Privacy Impact Assessment
Obligation, pour les RT avec l’aide du ST d'effectuer une
analyse d'impact relative à la protection des données
préalablement aux traitements présentant des risques.
Data Protection Officer
Rendu obligatoire dans certains cas
| Journée nationale des industriels - 21 déc. 2017
Détermination du RT et du sous-traitant
5
Vous êtes un sous-traitant si vous traitez des données personnelles pour le compte,
sur instruction et sous l’autorité d’un responsable de traitement.
Le responsable de traitement est celui « qui détermine les finalités et les moyens
d’un traitement ».
| Journée nationale des industriels - 21 déc. 2017
Analyse au cas par cas
• niveau d’instruction donné par le client au prestataire
• degré de contrôle de l’exécution de la prestation
• valeur ajoutée fournie par le prestataire
• degré de transparence sur le recours à un prestataire
Exemples
Les prestataires de services informatiques (hébergement, maintenance,...), les intégrateurs de logiciels, les sociétés
de sécurité informatique, les entreprises de service du numérique (ex sociétés de services et d'ingénierie en
informatique (SSII)) qui ont accès aux données personnelles.
Mise en œuvre en pratique des nouvelles obligations du sous-traitant
6
• Etablir un contrat avec votre client
précisant les obligations de chaque partie
(article 28 RGPD)
• Demander l’autorisation écrite de votre
client si, en tant que sous-traitant, vous
faites vous-même appel à un sous-traitant.
• Recenser par écrit les instructions de votre
client concernant les traitements de ses
données afin de prouver que vous
agissez « sur instruction documentée
du responsable de traitement ».
• La prise en compte des principes de
protection des données dès la conception
et de protection des données par défaut
(ex. : minimisation des données, matrice
d’habilitation)
• Mettre à la disposition de votre client
toutes les informations nécessaires pour
démontrer le respect de vos obligations et
pour permettre la réalisation d’audits (sur la
base, par exemple, du référentiel de la
CNIL pour la délivrance de labels en
matière de procédure d'audit)
• Tenir un registre qui recense vos clients et
décrit les traitements que vous effectuez
pour leur compte
| Journée nationale des industriels - 21 déc. 2017
Règlement européen et étude d’impact sur la vie privée
7| Journée nationale des industriels - 21 déc. 2017
Traitement susceptible d'engendrer un risque élevé pour les droits et
libertés des personnes physiques :
- profilage ;
- traitement à grande échelle de données sensibles (notam. santé) ;
- surveillance systématique à grande échelle d'une zone accessible
au public;
- autres, à déterminer par la CNIL.
A réaliser avant la mise en œuvre du traitement + à faire évoluer
régulièrement
Quand faut-il
réaliser une
étude d’impact ?
Il s’agit d’une analyse de risques, incluant :
- description du traitement ;
- évaluation des risques pour les personnes ;
- mesures juridiques et de sécurité pour y faire face.
Que doit
contenir une
étude d’impact ?
Règlement UE et secteur de la santé : des principes inchangés
8| Journée nationale des industriels - 21 déc. 2017
Dérogations
- consentement explicite
- exécution des obligations / exercice des droits en
droit du travail et droit de la protection et sécurité
sociale si loi UE, loi EM ou convention collective
- sauvegarde des intérêts vitaux
- association / org. à but non but lucratif,
- données rendues publiques par la personne
concernée
- constatation, défense ou exercice d’un droit en
justice
- médecine préventive / du travail
- motifs importants d’intérêt public.
- traitements pour motifs d'intérêt public dans le
domaine de la santé publique
- traitements aux fins de recherche scientifique,
historique ou à des fins statistiques, ou
d'archivage dans l'intérêt public.
Marge de manœuvre des EM pour ajouter ou
conserver des obligations supplémentaires.
Données de santé = catégories particulières de données.
Les traitements de ces catégories particulières de DCP sont interdits.
Principes
Règlement UE et secteur de la santé :
Référentiels et guides sectoriels
9
Documents de référence et documents d’accompagnement concernant la protection des données de santé :
- Corpus documentaire de la PGSSI-S
- Guides de la CNIL
- Guides sur la sécurité
- Guide du sous-traitant Edition septembre 2017
- Guides de l’ANSSI
- Référentiel d’agrément HDS (et référentiels de certification)
- Référentiel de bonnes pratiques pour les applications et les objets connectés en santé (HAS)
Certains référentiels sectoriels ont force contraignante.
- Certains référentiels PGSSI-S ont vocation à être rendus opposables : gouvernance, authentification,
traçabilité Art. L1110-4-1 du code de la santé publique
- Obligation de recourir à un hébergeur agréé ( => certifié) Art. L1111-8 du code de la santé publique
- Le référentiel sécurité SNDS s'applique au SNDS central ainsi qu'à tous les systèmes mettant à disposition
des données du SNDS. Arrêté du 22 mars 2017
| Journée nationale des industriels - 21 déc. 2017
20171221-5 jni-rgpd

Contenu connexe

Tendances

2013-11-21 ASIP Santé JNI "Programme Hôpital Numérique Homologation des logic...
2013-11-21 ASIP Santé JNI "Programme Hôpital Numérique Homologation des logic...2013-11-21 ASIP Santé JNI "Programme Hôpital Numérique Homologation des logic...
2013-11-21 ASIP Santé JNI "Programme Hôpital Numérique Homologation des logic...ASIP Santé
 
20171123 9 label esanté maisons et centres de santé_séminaire interopérabilité
20171123 9 label esanté maisons et centres de santé_séminaire interopérabilité20171123 9 label esanté maisons et centres de santé_séminaire interopérabilité
20171123 9 label esanté maisons et centres de santé_séminaire interopérabilitéASIP Santé
 
2013-11-21 ASIP Santé JNI "DMP"
2013-11-21 ASIP Santé JNI "DMP"2013-11-21 ASIP Santé JNI "DMP"
2013-11-21 ASIP Santé JNI "DMP"ASIP Santé
 
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...ASIP Santé
 
Actualité juridique de la e-santé
Actualité juridique de la e-santé Actualité juridique de la e-santé
Actualité juridique de la e-santé ASIP Santé
 
20171123 10 point sur l'interopérabilité du dmp_séminaire interopérabilité
20171123 10 point sur l'interopérabilité du dmp_séminaire interopérabilité20171123 10 point sur l'interopérabilité du dmp_séminaire interopérabilité
20171123 10 point sur l'interopérabilité du dmp_séminaire interopérabilitéASIP Santé
 
20181024 reunion information_marche_deploiement
20181024 reunion information_marche_deploiement20181024 reunion information_marche_deploiement
20181024 reunion information_marche_deploiementASIP Santé
 
2013-11-21 ASIP Santé JNI "Programme Santé Connectée DataSet de Bonnes Pratiq...
2013-11-21 ASIP Santé JNI "Programme Santé Connectée DataSet de Bonnes Pratiq...2013-11-21 ASIP Santé JNI "Programme Santé Connectée DataSet de Bonnes Pratiq...
2013-11-21 ASIP Santé JNI "Programme Santé Connectée DataSet de Bonnes Pratiq...ASIP Santé
 
HIT 2017 - ASIP Santé - Atelier N°9 Lancer une application e-santé les bon...
HIT 2017 - ASIP Santé - Atelier N°9   Lancer une application e-santé  les bon...HIT 2017 - ASIP Santé - Atelier N°9   Lancer une application e-santé  les bon...
HIT 2017 - ASIP Santé - Atelier N°9 Lancer une application e-santé les bon...ASIP Santé
 
L'offre de l'ASIP Santé au service des industriels
L'offre de l'ASIP Santé au service des industrielsL'offre de l'ASIP Santé au service des industriels
L'offre de l'ASIP Santé au service des industrielsASIP Santé
 
Point d'information sur les prochains marchés de l'ASIP Santé
Point d'information sur les prochains marchés de l'ASIP SantéPoint d'information sur les prochains marchés de l'ASIP Santé
Point d'information sur les prochains marchés de l'ASIP SantéASIP Santé
 
2013-11-21 ASIP Santé JNI "Point d’avancement sur MSSanté"
2013-11-21 ASIP Santé JNI "Point d’avancement sur MSSanté"2013-11-21 ASIP Santé JNI "Point d’avancement sur MSSanté"
2013-11-21 ASIP Santé JNI "Point d’avancement sur MSSanté"ASIP Santé
 
2013-11-21 ASIP Santé JNI "CPS et dispositifs équivalents"
2013-11-21 ASIP Santé JNI "CPS et dispositifs équivalents"2013-11-21 ASIP Santé JNI "CPS et dispositifs équivalents"
2013-11-21 ASIP Santé JNI "CPS et dispositifs équivalents"ASIP Santé
 
2016 12-14 colloque ssi-politique générale de sécurité du système d'informati...
2016 12-14 colloque ssi-politique générale de sécurité du système d'informati...2016 12-14 colloque ssi-politique générale de sécurité du système d'informati...
2016 12-14 colloque ssi-politique générale de sécurité du système d'informati...ASIP Santé
 
HIT 2017 - ASIP Santé - Atelier N°4 Identification et authentification en éta...
HIT 2017 - ASIP Santé - Atelier N°4 Identification et authentification en éta...HIT 2017 - ASIP Santé - Atelier N°4 Identification et authentification en éta...
HIT 2017 - ASIP Santé - Atelier N°4 Identification et authentification en éta...ASIP Santé
 
2015-05-21 Atelier N°13 SSA 2015 "MSSanté : développer les usages de la messa...
2015-05-21 Atelier N°13 SSA 2015 "MSSanté : développer les usages de la messa...2015-05-21 Atelier N°13 SSA 2015 "MSSanté : développer les usages de la messa...
2015-05-21 Atelier N°13 SSA 2015 "MSSanté : développer les usages de la messa...ASIP Santé
 
2013-05-28 ASIP Santé HIT "Esanté et évolution du socle technique "
2013-05-28 ASIP Santé HIT  "Esanté et évolution du socle technique "2013-05-28 ASIP Santé HIT  "Esanté et évolution du socle technique "
2013-05-28 ASIP Santé HIT "Esanté et évolution du socle technique "ASIP Santé
 
2014-05-21 Atelier N°16 SSA 2015 "Présentation du Cadre d’interopérabilité d...
2014-05-21 Atelier N°16 SSA 2015  "Présentation du Cadre d’interopérabilité d...2014-05-21 Atelier N°16 SSA 2015  "Présentation du Cadre d’interopérabilité d...
2014-05-21 Atelier N°16 SSA 2015 "Présentation du Cadre d’interopérabilité d...ASIP Santé
 
2013-05-28 ASIP Santé HIT "Actualité juridique de la e-santé"
2013-05-28 ASIP Santé HIT  "Actualité juridique de la e-santé"2013-05-28 ASIP Santé HIT  "Actualité juridique de la e-santé"
2013-05-28 ASIP Santé HIT "Actualité juridique de la e-santé"ASIP Santé
 
HIT 2017 - ASIP Santé - Atelier N°7 Certification Hébergement des données de...
HIT 2017 - ASIP Santé - Atelier N°7  Certification Hébergement des données de...HIT 2017 - ASIP Santé - Atelier N°7  Certification Hébergement des données de...
HIT 2017 - ASIP Santé - Atelier N°7 Certification Hébergement des données de...ASIP Santé
 

Tendances (20)

2013-11-21 ASIP Santé JNI "Programme Hôpital Numérique Homologation des logic...
2013-11-21 ASIP Santé JNI "Programme Hôpital Numérique Homologation des logic...2013-11-21 ASIP Santé JNI "Programme Hôpital Numérique Homologation des logic...
2013-11-21 ASIP Santé JNI "Programme Hôpital Numérique Homologation des logic...
 
20171123 9 label esanté maisons et centres de santé_séminaire interopérabilité
20171123 9 label esanté maisons et centres de santé_séminaire interopérabilité20171123 9 label esanté maisons et centres de santé_séminaire interopérabilité
20171123 9 label esanté maisons et centres de santé_séminaire interopérabilité
 
2013-11-21 ASIP Santé JNI "DMP"
2013-11-21 ASIP Santé JNI "DMP"2013-11-21 ASIP Santé JNI "DMP"
2013-11-21 ASIP Santé JNI "DMP"
 
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
 
Actualité juridique de la e-santé
Actualité juridique de la e-santé Actualité juridique de la e-santé
Actualité juridique de la e-santé
 
20171123 10 point sur l'interopérabilité du dmp_séminaire interopérabilité
20171123 10 point sur l'interopérabilité du dmp_séminaire interopérabilité20171123 10 point sur l'interopérabilité du dmp_séminaire interopérabilité
20171123 10 point sur l'interopérabilité du dmp_séminaire interopérabilité
 
20181024 reunion information_marche_deploiement
20181024 reunion information_marche_deploiement20181024 reunion information_marche_deploiement
20181024 reunion information_marche_deploiement
 
2013-11-21 ASIP Santé JNI "Programme Santé Connectée DataSet de Bonnes Pratiq...
2013-11-21 ASIP Santé JNI "Programme Santé Connectée DataSet de Bonnes Pratiq...2013-11-21 ASIP Santé JNI "Programme Santé Connectée DataSet de Bonnes Pratiq...
2013-11-21 ASIP Santé JNI "Programme Santé Connectée DataSet de Bonnes Pratiq...
 
HIT 2017 - ASIP Santé - Atelier N°9 Lancer une application e-santé les bon...
HIT 2017 - ASIP Santé - Atelier N°9   Lancer une application e-santé  les bon...HIT 2017 - ASIP Santé - Atelier N°9   Lancer une application e-santé  les bon...
HIT 2017 - ASIP Santé - Atelier N°9 Lancer une application e-santé les bon...
 
L'offre de l'ASIP Santé au service des industriels
L'offre de l'ASIP Santé au service des industrielsL'offre de l'ASIP Santé au service des industriels
L'offre de l'ASIP Santé au service des industriels
 
Point d'information sur les prochains marchés de l'ASIP Santé
Point d'information sur les prochains marchés de l'ASIP SantéPoint d'information sur les prochains marchés de l'ASIP Santé
Point d'information sur les prochains marchés de l'ASIP Santé
 
2013-11-21 ASIP Santé JNI "Point d’avancement sur MSSanté"
2013-11-21 ASIP Santé JNI "Point d’avancement sur MSSanté"2013-11-21 ASIP Santé JNI "Point d’avancement sur MSSanté"
2013-11-21 ASIP Santé JNI "Point d’avancement sur MSSanté"
 
2013-11-21 ASIP Santé JNI "CPS et dispositifs équivalents"
2013-11-21 ASIP Santé JNI "CPS et dispositifs équivalents"2013-11-21 ASIP Santé JNI "CPS et dispositifs équivalents"
2013-11-21 ASIP Santé JNI "CPS et dispositifs équivalents"
 
2016 12-14 colloque ssi-politique générale de sécurité du système d'informati...
2016 12-14 colloque ssi-politique générale de sécurité du système d'informati...2016 12-14 colloque ssi-politique générale de sécurité du système d'informati...
2016 12-14 colloque ssi-politique générale de sécurité du système d'informati...
 
HIT 2017 - ASIP Santé - Atelier N°4 Identification et authentification en éta...
HIT 2017 - ASIP Santé - Atelier N°4 Identification et authentification en éta...HIT 2017 - ASIP Santé - Atelier N°4 Identification et authentification en éta...
HIT 2017 - ASIP Santé - Atelier N°4 Identification et authentification en éta...
 
2015-05-21 Atelier N°13 SSA 2015 "MSSanté : développer les usages de la messa...
2015-05-21 Atelier N°13 SSA 2015 "MSSanté : développer les usages de la messa...2015-05-21 Atelier N°13 SSA 2015 "MSSanté : développer les usages de la messa...
2015-05-21 Atelier N°13 SSA 2015 "MSSanté : développer les usages de la messa...
 
2013-05-28 ASIP Santé HIT "Esanté et évolution du socle technique "
2013-05-28 ASIP Santé HIT  "Esanté et évolution du socle technique "2013-05-28 ASIP Santé HIT  "Esanté et évolution du socle technique "
2013-05-28 ASIP Santé HIT "Esanté et évolution du socle technique "
 
2014-05-21 Atelier N°16 SSA 2015 "Présentation du Cadre d’interopérabilité d...
2014-05-21 Atelier N°16 SSA 2015  "Présentation du Cadre d’interopérabilité d...2014-05-21 Atelier N°16 SSA 2015  "Présentation du Cadre d’interopérabilité d...
2014-05-21 Atelier N°16 SSA 2015 "Présentation du Cadre d’interopérabilité d...
 
2013-05-28 ASIP Santé HIT "Actualité juridique de la e-santé"
2013-05-28 ASIP Santé HIT  "Actualité juridique de la e-santé"2013-05-28 ASIP Santé HIT  "Actualité juridique de la e-santé"
2013-05-28 ASIP Santé HIT "Actualité juridique de la e-santé"
 
HIT 2017 - ASIP Santé - Atelier N°7 Certification Hébergement des données de...
HIT 2017 - ASIP Santé - Atelier N°7  Certification Hébergement des données de...HIT 2017 - ASIP Santé - Atelier N°7  Certification Hébergement des données de...
HIT 2017 - ASIP Santé - Atelier N°7 Certification Hébergement des données de...
 

Similaire à 20171221-5 jni-rgpd

Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Philippe Mignen
 
Atelier 8 - RGPD - Conférence Thierry Preel 2019
Atelier 8 - RGPD - Conférence Thierry Preel 2019Atelier 8 - RGPD - Conférence Thierry Preel 2019
Atelier 8 - RGPD - Conférence Thierry Preel 2019Tarn Tourisme
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekPascal ALIX
 
Workshop CNIL - "Privacy Impact Assessment" : comment réaliser une analyse de...
Workshop CNIL - "Privacy Impact Assessment" : comment réaliser une analyse de...Workshop CNIL - "Privacy Impact Assessment" : comment réaliser une analyse de...
Workshop CNIL - "Privacy Impact Assessment" : comment réaliser une analyse de...Stéphanie Roger
 
Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...Claranet
 
SÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPDSÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPDTelecomValley
 
RGPD : impacts et guide pratique pour les sous-traitants
RGPD : impacts et guide pratique pour les sous-traitants RGPD : impacts et guide pratique pour les sous-traitants
RGPD : impacts et guide pratique pour les sous-traitants Kiwi Backup
 
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper 2
Guillaume VALCIN  - Livre Blanc RGPD - GDPR White Paper 2Guillaume VALCIN  - Livre Blanc RGPD - GDPR White Paper 2
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper 2Guillaume Valcin
 
RGPD en pratique : notions clefs et bons réflexes
RGPD en pratique : notions clefs et bons réflexesRGPD en pratique : notions clefs et bons réflexes
RGPD en pratique : notions clefs et bons réflexesCap'Com
 
Règlement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UERèglement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UEPECB
 
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
Guillaume VALCIN  - Livre Blanc RGPD - GDPR White Paper Guillaume VALCIN  - Livre Blanc RGPD - GDPR White Paper
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper Guillaume Valcin
 
RGPD : Les grands principes pour la santé et le médico-social
RGPD : Les grands principes pour la santé et le médico-socialRGPD : Les grands principes pour la santé et le médico-social
RGPD : Les grands principes pour la santé et le médico-socialPierreDesmarais6
 
AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18
AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18
AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18Cap'Com
 
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...African Cyber Security Summit
 
Gestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsGestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsClaranet
 

Similaire à 20171221-5 jni-rgpd (20)

Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !
 
Comment atteindre la conformité au RGPD
Comment atteindre la conformité au RGPDComment atteindre la conformité au RGPD
Comment atteindre la conformité au RGPD
 
Atelier 8 - RGPD - Conférence Thierry Preel 2019
Atelier 8 - RGPD - Conférence Thierry Preel 2019Atelier 8 - RGPD - Conférence Thierry Preel 2019
Atelier 8 - RGPD - Conférence Thierry Preel 2019
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis Nystek
 
Workshop CNIL - "Privacy Impact Assessment" : comment réaliser une analyse de...
Workshop CNIL - "Privacy Impact Assessment" : comment réaliser une analyse de...Workshop CNIL - "Privacy Impact Assessment" : comment réaliser une analyse de...
Workshop CNIL - "Privacy Impact Assessment" : comment réaliser une analyse de...
 
Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...
 
Privacy by Design
Privacy by DesignPrivacy by Design
Privacy by Design
 
SÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPDSÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPD
 
ISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPDISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPD
 
ISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPDISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPD
 
RGPD : impacts et guide pratique pour les sous-traitants
RGPD : impacts et guide pratique pour les sous-traitants RGPD : impacts et guide pratique pour les sous-traitants
RGPD : impacts et guide pratique pour les sous-traitants
 
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper 2
Guillaume VALCIN  - Livre Blanc RGPD - GDPR White Paper 2Guillaume VALCIN  - Livre Blanc RGPD - GDPR White Paper 2
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper 2
 
RGPD en pratique : notions clefs et bons réflexes
RGPD en pratique : notions clefs et bons réflexesRGPD en pratique : notions clefs et bons réflexes
RGPD en pratique : notions clefs et bons réflexes
 
Gdpr presentation
Gdpr   presentationGdpr   presentation
Gdpr presentation
 
Règlement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UERèglement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UE
 
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
Guillaume VALCIN  - Livre Blanc RGPD - GDPR White Paper Guillaume VALCIN  - Livre Blanc RGPD - GDPR White Paper
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
 
RGPD : Les grands principes pour la santé et le médico-social
RGPD : Les grands principes pour la santé et le médico-socialRGPD : Les grands principes pour la santé et le médico-social
RGPD : Les grands principes pour la santé et le médico-social
 
AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18
AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18
AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18
 
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
 
Gestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsGestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligations
 

Plus de ASIP Santé

Feuille de route " Accélérer le virage numérique "
Feuille de route " Accélérer le virage numérique " Feuille de route " Accélérer le virage numérique "
Feuille de route " Accélérer le virage numérique " ASIP Santé
 
Présentation " Accélérer le virage numérique "
Présentation " Accélérer le virage numérique "Présentation " Accélérer le virage numérique "
Présentation " Accélérer le virage numérique "ASIP Santé
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationColloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationASIP Santé
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationColloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationASIP Santé
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationColloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationASIP Santé
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information ASIP Santé
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information ASIP Santé
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information ASIP Santé
 
Connectathon - IHE Europe
Connectathon - IHE EuropeConnectathon - IHE Europe
Connectathon - IHE EuropeASIP Santé
 
Identification des acteurs de santé : évolutions des services d'annuaire
Identification des acteurs de santé : évolutions des services d'annuaireIdentification des acteurs de santé : évolutions des services d'annuaire
Identification des acteurs de santé : évolutions des services d'annuaireASIP Santé
 
Utilisation du NIR en tant qu'Identifiant National de Santé (INS)
Utilisation du NIR en tant qu'Identifiant National de Santé (INS)Utilisation du NIR en tant qu'Identifiant National de Santé (INS)
Utilisation du NIR en tant qu'Identifiant National de Santé (INS)ASIP Santé
 
20171221-4 jni-nir-ins
20171221-4 jni-nir-ins20171221-4 jni-nir-ins
20171221-4 jni-nir-insASIP Santé
 
20171129-9 colloque ssi-tr-ameliorer la resilience du systeme d'information
20171129-9 colloque ssi-tr-ameliorer la resilience du systeme d'information20171129-9 colloque ssi-tr-ameliorer la resilience du systeme d'information
20171129-9 colloque ssi-tr-ameliorer la resilience du systeme d'informationASIP Santé
 
20171129-8 colloque ssi-tr-impact d'un cryptovirus
20171129-8 colloque ssi-tr-impact d'un cryptovirus20171129-8 colloque ssi-tr-impact d'un cryptovirus
20171129-8 colloque ssi-tr-impact d'un cryptovirusASIP Santé
 
20171129-7 colloque ssi-tr-prevention et consequences d'une perte de donnees
20171129-7 colloque ssi-tr-prevention et consequences d'une perte de donnees20171129-7 colloque ssi-tr-prevention et consequences d'une perte de donnees
20171129-7 colloque ssi-tr-prevention et consequences d'une perte de donneesASIP Santé
 
20171129-6 colloque ssi-tr-defiguration du portail de la maison felippa
20171129-6 colloque ssi-tr-defiguration du portail de la maison felippa20171129-6 colloque ssi-tr-defiguration du portail de la maison felippa
20171129-6 colloque ssi-tr-defiguration du portail de la maison felippaASIP Santé
 
20171129-3 colloque ssi-actions mises en place chez lna sante
20171129-3 colloque ssi-actions mises en place chez lna sante20171129-3 colloque ssi-actions mises en place chez lna sante
20171129-3 colloque ssi-actions mises en place chez lna santeASIP Santé
 
20171229-2 colloque ssi-sensibilisation à l'utilisation du dpi
20171229-2 colloque ssi-sensibilisation à l'utilisation du dpi20171229-2 colloque ssi-sensibilisation à l'utilisation du dpi
20171229-2 colloque ssi-sensibilisation à l'utilisation du dpiASIP Santé
 
20171123 12 état des lieux-enjeux contraintes et plan d'actions-v2_séminaire ...
20171123 12 état des lieux-enjeux contraintes et plan d'actions-v2_séminaire ...20171123 12 état des lieux-enjeux contraintes et plan d'actions-v2_séminaire ...
20171123 12 état des lieux-enjeux contraintes et plan d'actions-v2_séminaire ...ASIP Santé
 

Plus de ASIP Santé (19)

Feuille de route " Accélérer le virage numérique "
Feuille de route " Accélérer le virage numérique " Feuille de route " Accélérer le virage numérique "
Feuille de route " Accélérer le virage numérique "
 
Présentation " Accélérer le virage numérique "
Présentation " Accélérer le virage numérique "Présentation " Accélérer le virage numérique "
Présentation " Accélérer le virage numérique "
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationColloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationColloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationColloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information
 
Connectathon - IHE Europe
Connectathon - IHE EuropeConnectathon - IHE Europe
Connectathon - IHE Europe
 
Identification des acteurs de santé : évolutions des services d'annuaire
Identification des acteurs de santé : évolutions des services d'annuaireIdentification des acteurs de santé : évolutions des services d'annuaire
Identification des acteurs de santé : évolutions des services d'annuaire
 
Utilisation du NIR en tant qu'Identifiant National de Santé (INS)
Utilisation du NIR en tant qu'Identifiant National de Santé (INS)Utilisation du NIR en tant qu'Identifiant National de Santé (INS)
Utilisation du NIR en tant qu'Identifiant National de Santé (INS)
 
20171221-4 jni-nir-ins
20171221-4 jni-nir-ins20171221-4 jni-nir-ins
20171221-4 jni-nir-ins
 
20171129-9 colloque ssi-tr-ameliorer la resilience du systeme d'information
20171129-9 colloque ssi-tr-ameliorer la resilience du systeme d'information20171129-9 colloque ssi-tr-ameliorer la resilience du systeme d'information
20171129-9 colloque ssi-tr-ameliorer la resilience du systeme d'information
 
20171129-8 colloque ssi-tr-impact d'un cryptovirus
20171129-8 colloque ssi-tr-impact d'un cryptovirus20171129-8 colloque ssi-tr-impact d'un cryptovirus
20171129-8 colloque ssi-tr-impact d'un cryptovirus
 
20171129-7 colloque ssi-tr-prevention et consequences d'une perte de donnees
20171129-7 colloque ssi-tr-prevention et consequences d'une perte de donnees20171129-7 colloque ssi-tr-prevention et consequences d'une perte de donnees
20171129-7 colloque ssi-tr-prevention et consequences d'une perte de donnees
 
20171129-6 colloque ssi-tr-defiguration du portail de la maison felippa
20171129-6 colloque ssi-tr-defiguration du portail de la maison felippa20171129-6 colloque ssi-tr-defiguration du portail de la maison felippa
20171129-6 colloque ssi-tr-defiguration du portail de la maison felippa
 
20171129-3 colloque ssi-actions mises en place chez lna sante
20171129-3 colloque ssi-actions mises en place chez lna sante20171129-3 colloque ssi-actions mises en place chez lna sante
20171129-3 colloque ssi-actions mises en place chez lna sante
 
20171229-2 colloque ssi-sensibilisation à l'utilisation du dpi
20171229-2 colloque ssi-sensibilisation à l'utilisation du dpi20171229-2 colloque ssi-sensibilisation à l'utilisation du dpi
20171229-2 colloque ssi-sensibilisation à l'utilisation du dpi
 
20171123 12 état des lieux-enjeux contraintes et plan d'actions-v2_séminaire ...
20171123 12 état des lieux-enjeux contraintes et plan d'actions-v2_séminaire ...20171123 12 état des lieux-enjeux contraintes et plan d'actions-v2_séminaire ...
20171123 12 état des lieux-enjeux contraintes et plan d'actions-v2_séminaire ...
 

Dernier

Module 10 Causerie educative en planification familiale.pptx
Module 10 Causerie educative en planification familiale.pptxModule 10 Causerie educative en planification familiale.pptx
Module 10 Causerie educative en planification familiale.pptxOuedraogoSoumaila3
 
Résultats de la seconde vague du baromètre de la santé connectée 2024
Résultats de la seconde vague du baromètre de la santé connectée 2024Résultats de la seconde vague du baromètre de la santé connectée 2024
Résultats de la seconde vague du baromètre de la santé connectée 2024benj_2
 
CHANGEMENT DE PANSEMENT et quelques types .pptx
CHANGEMENT DE PANSEMENT et quelques types .pptxCHANGEMENT DE PANSEMENT et quelques types .pptx
CHANGEMENT DE PANSEMENT et quelques types .pptxKawTar253413
 
《购买维多利亚大学学历本科学位证书》
《购买维多利亚大学学历本科学位证书》《购买维多利亚大学学历本科学位证书》
《购买维多利亚大学学历本科学位证书》rnrncn29
 
Dr MEHRI TURKI IMEN - Traitement du double menton : Une nouvelle technique tu...
Dr MEHRI TURKI IMEN - Traitement du double menton : Une nouvelle technique tu...Dr MEHRI TURKI IMEN - Traitement du double menton : Une nouvelle technique tu...
Dr MEHRI TURKI IMEN - Traitement du double menton : Une nouvelle technique tu...Aymen Masri
 
Anatomie ou ostéologie de l'appareil musculo-squelettique (tronc) .pdf
Anatomie ou ostéologie de l'appareil musculo-squelettique (tronc) .pdfAnatomie ou ostéologie de l'appareil musculo-squelettique (tronc) .pdf
Anatomie ou ostéologie de l'appareil musculo-squelettique (tronc) .pdfssuser4a70ad1
 
Syndrome de Di George : symptomes diagnostic et traitement
Syndrome de Di George : symptomes diagnostic et traitementSyndrome de Di George : symptomes diagnostic et traitement
Syndrome de Di George : symptomes diagnostic et traitementKhadija Moussayer
 

Dernier (7)

Module 10 Causerie educative en planification familiale.pptx
Module 10 Causerie educative en planification familiale.pptxModule 10 Causerie educative en planification familiale.pptx
Module 10 Causerie educative en planification familiale.pptx
 
Résultats de la seconde vague du baromètre de la santé connectée 2024
Résultats de la seconde vague du baromètre de la santé connectée 2024Résultats de la seconde vague du baromètre de la santé connectée 2024
Résultats de la seconde vague du baromètre de la santé connectée 2024
 
CHANGEMENT DE PANSEMENT et quelques types .pptx
CHANGEMENT DE PANSEMENT et quelques types .pptxCHANGEMENT DE PANSEMENT et quelques types .pptx
CHANGEMENT DE PANSEMENT et quelques types .pptx
 
《购买维多利亚大学学历本科学位证书》
《购买维多利亚大学学历本科学位证书》《购买维多利亚大学学历本科学位证书》
《购买维多利亚大学学历本科学位证书》
 
Dr MEHRI TURKI IMEN - Traitement du double menton : Une nouvelle technique tu...
Dr MEHRI TURKI IMEN - Traitement du double menton : Une nouvelle technique tu...Dr MEHRI TURKI IMEN - Traitement du double menton : Une nouvelle technique tu...
Dr MEHRI TURKI IMEN - Traitement du double menton : Une nouvelle technique tu...
 
Anatomie ou ostéologie de l'appareil musculo-squelettique (tronc) .pdf
Anatomie ou ostéologie de l'appareil musculo-squelettique (tronc) .pdfAnatomie ou ostéologie de l'appareil musculo-squelettique (tronc) .pdf
Anatomie ou ostéologie de l'appareil musculo-squelettique (tronc) .pdf
 
Syndrome de Di George : symptomes diagnostic et traitement
Syndrome de Di George : symptomes diagnostic et traitementSyndrome de Di George : symptomes diagnostic et traitement
Syndrome de Di George : symptomes diagnostic et traitement
 

20171221-5 jni-rgpd

  • 1. Journée Nationale des Industriels 21 décembre 2017 Réglementation européenne pour la protection des données personnelles (RGPD)
  • 2. Florence Eon Réglementation européenne pour la protection des données personnelles (RGPD) 2
  • 3. Dispositions majeures du RGPD 3| Journée nationale des industriels - 21 déc. 2017
  • 4. Régime général de la protection des données personnelles 4 Nouvelles responsabilités responsable de traitement / sous-traitant Directive 95/46 et LIL Formalités préalables A réaliser auprès de la CNIL (avant mise en œuvre du traitement) Désignation facultative d’un CIL Responsable de traitement A identifier / lié par contrat au sous-traitant 5 principes • finalité du traitement • pertinence et proportionnalité des données • durée de conservation limitée des données • sécurité et confidentialité des données • respect des droits des personnes GDPR Accountability mesures de protection des données appropriées pour démontrer leur conformité à tout moment Privacy by design/ Privacy by default Garantir que les traitements de données ne portent pas atteinte à la vie privée dès la conception Privacy Impact Assessment Obligation, pour les RT avec l’aide du ST d'effectuer une analyse d'impact relative à la protection des données préalablement aux traitements présentant des risques. Data Protection Officer Rendu obligatoire dans certains cas | Journée nationale des industriels - 21 déc. 2017
  • 5. Détermination du RT et du sous-traitant 5 Vous êtes un sous-traitant si vous traitez des données personnelles pour le compte, sur instruction et sous l’autorité d’un responsable de traitement. Le responsable de traitement est celui « qui détermine les finalités et les moyens d’un traitement ». | Journée nationale des industriels - 21 déc. 2017 Analyse au cas par cas • niveau d’instruction donné par le client au prestataire • degré de contrôle de l’exécution de la prestation • valeur ajoutée fournie par le prestataire • degré de transparence sur le recours à un prestataire Exemples Les prestataires de services informatiques (hébergement, maintenance,...), les intégrateurs de logiciels, les sociétés de sécurité informatique, les entreprises de service du numérique (ex sociétés de services et d'ingénierie en informatique (SSII)) qui ont accès aux données personnelles.
  • 6. Mise en œuvre en pratique des nouvelles obligations du sous-traitant 6 • Etablir un contrat avec votre client précisant les obligations de chaque partie (article 28 RGPD) • Demander l’autorisation écrite de votre client si, en tant que sous-traitant, vous faites vous-même appel à un sous-traitant. • Recenser par écrit les instructions de votre client concernant les traitements de ses données afin de prouver que vous agissez « sur instruction documentée du responsable de traitement ». • La prise en compte des principes de protection des données dès la conception et de protection des données par défaut (ex. : minimisation des données, matrice d’habilitation) • Mettre à la disposition de votre client toutes les informations nécessaires pour démontrer le respect de vos obligations et pour permettre la réalisation d’audits (sur la base, par exemple, du référentiel de la CNIL pour la délivrance de labels en matière de procédure d'audit) • Tenir un registre qui recense vos clients et décrit les traitements que vous effectuez pour leur compte | Journée nationale des industriels - 21 déc. 2017
  • 7. Règlement européen et étude d’impact sur la vie privée 7| Journée nationale des industriels - 21 déc. 2017 Traitement susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques : - profilage ; - traitement à grande échelle de données sensibles (notam. santé) ; - surveillance systématique à grande échelle d'une zone accessible au public; - autres, à déterminer par la CNIL. A réaliser avant la mise en œuvre du traitement + à faire évoluer régulièrement Quand faut-il réaliser une étude d’impact ? Il s’agit d’une analyse de risques, incluant : - description du traitement ; - évaluation des risques pour les personnes ; - mesures juridiques et de sécurité pour y faire face. Que doit contenir une étude d’impact ?
  • 8. Règlement UE et secteur de la santé : des principes inchangés 8| Journée nationale des industriels - 21 déc. 2017 Dérogations - consentement explicite - exécution des obligations / exercice des droits en droit du travail et droit de la protection et sécurité sociale si loi UE, loi EM ou convention collective - sauvegarde des intérêts vitaux - association / org. à but non but lucratif, - données rendues publiques par la personne concernée - constatation, défense ou exercice d’un droit en justice - médecine préventive / du travail - motifs importants d’intérêt public. - traitements pour motifs d'intérêt public dans le domaine de la santé publique - traitements aux fins de recherche scientifique, historique ou à des fins statistiques, ou d'archivage dans l'intérêt public. Marge de manœuvre des EM pour ajouter ou conserver des obligations supplémentaires. Données de santé = catégories particulières de données. Les traitements de ces catégories particulières de DCP sont interdits. Principes
  • 9. Règlement UE et secteur de la santé : Référentiels et guides sectoriels 9 Documents de référence et documents d’accompagnement concernant la protection des données de santé : - Corpus documentaire de la PGSSI-S - Guides de la CNIL - Guides sur la sécurité - Guide du sous-traitant Edition septembre 2017 - Guides de l’ANSSI - Référentiel d’agrément HDS (et référentiels de certification) - Référentiel de bonnes pratiques pour les applications et les objets connectés en santé (HAS) Certains référentiels sectoriels ont force contraignante. - Certains référentiels PGSSI-S ont vocation à être rendus opposables : gouvernance, authentification, traçabilité Art. L1110-4-1 du code de la santé publique - Obligation de recourir à un hébergeur agréé ( => certifié) Art. L1111-8 du code de la santé publique - Le référentiel sécurité SNDS s'applique au SNDS central ainsi qu'à tous les systèmes mettant à disposition des données du SNDS. Arrêté du 22 mars 2017 | Journée nationale des industriels - 21 déc. 2017