SlideShare une entreprise Scribd logo

Etes-vous Gdpr compliant?

fourniermartine
fourniermartine

A moins d'un mois de l'entrée en vigueur de ce nouveau règlement européen de protection des données personnelles, il est grand temps pour les entreprises de se mettre en conformité. Ce diaporama revient sur les principales dispositions du RGPD et les éléments à mettre en place du côté des entreprises, notamment dans le cadre des campagnes marketing.

Marketing
1  sur  80
Télécharger pour lire hors ligne
Etes-vous GDPR Compliant? Martine FOURNIER @MartineFournie8 avril 2018 1
• I – Objectifs et champ du RGPD • II – Les droits renforcés des personnes • III – Les nouvelles obligations des entreprises • IV – Comment se mettre en conformité • Conclusion : le RGPD une opportunité? avril 2018 2
I - Objectifs et champ du RGPD avril 2018 3
Données personnelles et traitement de données… Quezako?avril 2018 4
avril 2018 5 Qu’est-ce qu’une donnée personnelle?
Quelles données sont considérées comme personnelles? avril 2018 6  Un produit acheté par un client  Une date de naissance  Un numéro de contrat salarié  Un stock produits  Un numéro de carte bancaire  Un numéro de référence client  Le CA de l’entreprise
Quelles données sont considérées comme personnelles? avril 2018 7 ■ Un produit acheté par un client ■ Une date de naissance ■ Un numéro de contrat salarié  Un stock produits ■ Un numéro de carte bancaire ■ Un numéro de référence client  Le CA de l’entreprise
Définition des données à caractère personnelavril 2018 8 Exemples : - Numéro de téléphone - Un identifiant - Des données de localisation - Une adresse IP - Les données des objets connectés… Certaines données sont considérées comme sensibles (santé, vie sexuelle, origine raciale, opinions politiques, religieuses ou syndicales) et doivent être recueillies avec le consentement exprès de la personne. Toute information qui permet d’identifier directement ou indirectement une personne physique.
avril 2018 9 Qu’est-ce qu’un traitement de données?
Quelles actions sont considérées comme des traitements de données? avril 2018 10  Une collecte de données via un concours marketing  La revente de données à des distributeurs  Un sondage du personnel sur la future fête de fin d’année  Le calcul de la paie du personnel  L’hébergement des données clients sur un serveur  Une note papier sur les clients à rappeler dans la journée
Quelles actions sont considérées comme des traitements de données? avril 2018 11 ■ Une collecte de données via un concours marketing ■ La revente de données à des distributeurs ■ Un sondage du personnel sur la future fête de fin d’année ■ Le calcul de la paie du personnel ■ L’hébergement des données clients sur un serveur  Une note papier sur les clients à rappeler dans la journée
Définition du traitement de données à caractère personnelavril 2018 12 Exemples : - Collecte - Enregistrement - Organisation - Conservation - Adaptation - Modification Mais aussi : - Extraction - Consultation - Utilisation - Diffusion - Destruction Toute opération effectuée manuellement ou informatiquement appliquée à des données personnelles.
avril 2018 13 RGPD : Règlement Général sur la Protection des Données GDPR : General Data Protection Regulation
Pourquoi le RGPD? avril 2018 14
Pourquoi le RGPD? avril 2018 15
Un règlement européen avril 2018 16 C’est un texte lourd (99 articles) et sans doute fondateur. Constitutionnel? « Pour moi, le RGPD est un texte historique. C’est un texte qui, demain, se comparera peut-être au code civil et aux droits sociaux » Gilles Babinet, Digital Champion, avril 2018 Les Etats membres sont contraints de l’appliquer directement sans transposition dans leur loi.
avril 2018 17 Les objectifs du RGPD • 1. Redonner au client la maîtrise de ses données – En l’informant des données que l’on collecte sur lui et de ce qu’on en fait – En lui permettant de disposer pleinement de ses données ( accès, rectification, suppression, portabilité…) • 2. Responsabiliser les entreprises dans la gestion de leurs données clients • 3. Faire peser ces même règles sur les entreprises hors UE – En terme de données personnelles (ex GAFA) qui proposent des produits ou services visant des résidents de l’Union Européenne ou bien ayant trait au suivi de leur comportement au sein de l’Union – En faire un avantage concurrentiel pour les entreprises qui s’y sont conformé.
Qui est concerné par le RGPD? avril 2018 18 Le RGPD s’applique à toute entreprise Entreprise publique Entreprise privée Sous-traitants En cas de non respect, les sanctions peuvent aller jusqu’à 4% du CA mondial.
II – Les droits renforcés des personnes avril 2018 19
avril 2018 20 Comment le RGPD renforce le droit des personnes?
Droit des personnes avril 2018 21 DROIT A L’INFORMATION Droit d’accès et de rectification Droit d’opposition Droit à l’effacement Droit à la limitation du traitement Portabilité des données Droit au retrait du consentement Droit d’opposition au profilage Renforcement de la protection des mineurs AjoutsduGDPRActuellement +
 L’identité du responsable du traitement  Les finalités du traitement  Les destinataires des données Le droit à l’information avril 2018 22  Accès / Rectification / Suppression des données concernant la personne Avec le GDPR Actuellement  La base juridique du traitement  Le droit de la personne concernée de retirer à tout moment son consentement  La durée de conservation des données ou les critères utilisés pour déterminer cette durée  Les coordonnées du DPO…  Transfert des données Hors UE: garantie prises, moyens d’y accéder  Droit à la portabilité  Droit d’introduire une réclamation auprès d’une autorité Avant même le début du traitement, les informations doivent être fournies sous une forme claire et compréhensive.
Quels sont les droits ou obligations ajoutés par le RGPD? avril 2018 23  L’obligation pour les entreprises de rendre accessibles à leurs clients, les coordonnées du DPO (Data Protection Officer)  Le droit à la portabilité pour les consommateurs  Le droit pour le client de retirer à tout moment son consentement  L’obligation pour les entreprises de rendre disponible la durée de conservation des données le concernant  Le droit d’accès pour le client aux données le concernant.
Quels sont les droits ou obligations ajoutés par le RGPD? avril 2018 24 ■ L’obligation pour les entreprises de rendre accessibles à leurs clients, les coordonnées du DPO (Data Protection Officer) Oui : cela fait partie des nouvelles obligations ■ Le droit à la portabilité pour les consommateurs Oui : cela fait partie des nouvelles obligations ■ Le droit pour le client de retirer à tout moment son consentement Oui : cela fait partie des nouvelles obligations ■ L’obligation pour les entreprises de rendre disponible la durée de conservation des données le concernant Oui : cela fait partie des nouvelles obligations  Le droit d’accès pour le client aux données le concernant. Non : ce droit existait auparavant.
Droit d’accès et de rectification avril 2018 25 Le DROIT D’ACCES permet à la personne qui le souhaite : - d’avoir confirmation que des données personnelles la concernant sont traitées ou non, - D’obtenir copie de ces données - D’obtenir les information concernant ses droits Le DROIT DE RECTIFICATION permet à la personne qui le souhaite : - De faire rectifier ses données personnelles lorsque ces dernières sont inexactes.
Quelles sont les affirmations justes? avril 2018 26  Un mari peut obtenir la rectification des données personnelles de son épouse, s’il en fait la demande.  L’exercice du droit d’accès entraîne obligatoirement des frais pour celui qui en fait la demande.  Le client, qui découvre, après accès à ses données personnelles, qu’une erreur dans sa date de naissance existe, peut demander sa rectification.
Quelles sont les affirmations justes? avril 2018 27  Un mari peut obtenir la rectification des données personnelles de son épouse, s’il en fait la demande. Non, les données de son épouse ne lui sont pas accessibles.  L’exercice du droit d’accès entraîne obligatoirement des frais pour celui qui en fait la demande. Non, cela peut être gratuit ou légèrement payant (montant raisonnable).  Le client, qui découvre, après accès à ses données personnelles, qu’une erreur dans sa date de naissance existe, peut demander sa rectification. Oui, cela fait partie du droit de rectification.
Droit à l’effacement avril 2018 28  Les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées  Le consentement a été retiré  La personne s’est opposée au traitement  Les données ont fait l’objet d’un traitement illicite  En vertu d’une obligation légale  Quand les données ont été collectées lorsque la personne était mineure. MOTIFS DE DROIT A L’EFFACEMENT LES EXCEPTIONS A CE DROIT  La liberté d’expression et d’information  Une obligation légale  L’intérêt public  L’archivage dans l’intérêt public, la recherche scientifique ou historique, …  La constatation, l’exercice et la défense des droits en justice
Droit à la portabilité des données avril 2018 29 Le DROIT A LA PORTABILITE DES DONNEES offre aux personnes la possibilité de récupérer les données qu’elles-mêmes ont fournies à l’entreprise (pour changer d’opérateur télécom par exemple). La demande est valable lorsque le traitement est fondé :  Sur le recueil du consentement de la personne concernée  Sur l’exécution du contrat entre la personne concernée et le Responsable de Traitement  Sur un traitement informatique ( car la portabilité ne joue que sur les données ayant fait l’objet d’un traitement informatisé) Technique  Lorsque c’est techniquement possible, la portabilité doit pouvoir se faire d’un Responsable de traitement à un autre  La portabilité doit se faire dans un format : Structuré, Couramment utilisé , Lisible par une machine Validité
Droit d’opposition avril 2018 30 Le DROIT D’OPPOSITION permet à la personne qui le souhaite : - De s’opposer à tout moment à un traitement de ses données personnelles Le RESPONSABLE DES TRAITEMENTS doit alors cesser le traitement dans les meilleurs délais. Quelques exceptions : - Si le responsable des traitements peut prouver qu’il s’agit d’un motif impérieux (lutte contre la fraude, les impayés…) - -dans le cas de la recherche scientifique, d’obligations légales…
Conclusion : les nouveaux droits des consommateurs avril 2018 31
Conclusion : les nouveaux droits des consommateurs avril 2018 32
III – Les nouvelles obligations des entreprises avril 2018 33
Les 6 règles d’or avril 2018 34 • La collecte des informations des clients doit être:  Loyale: ils doivent en être informés  Transparente: elle ne peut être faite à leur insu  Légale: reposer sur un des fondements prévus par le GDPR • exemple: intérêt légitime, obligation légale, exécution du contrat, consentement… 1 Loyauté, transparence et légalité du traitement.
Les 6 règles d’or avril 2018 35 • « Vous êtes le DRH d’une entreprise, répondez à cette affirmation: » • « Vous avez le droit de communiquer le fichier de paie du personnel à des marketeurs pour utilisation à des fins de prospection directe » (OUI/NON) • Non, • car cela est contraire au principe du GDPR: • • Limitation des finalités du traitement. • C’est-à-dire qu’il est interdit de détourner l’objectif initial du traitement: dans ce cas, un fichier de paie ne doit servir qu’à la paie du personnel 2 2
Les 6 règles d’or avril 2018 36 • « Vous êtes le Responsable Commande/Livraison d’un concessionnaire automobile, répondez à cette affirmation: » • « Vous avez le droit de collecter la date de naissance de votre client » (OUI/NON) • Non, • car cela est contraire au principe du GDPR: • • C’est-à-dire qu’il est interdit de collecter des données qui ne sont pas nécessaires au regard des objectifs du traitement 3 3 Minimisation des données
Les 6 règles d’or avril 2018 37 • « Vous êtes le responsable facturation d’une PME. • Votre n’avez pas actualisé votre base de données des débiteurs depuis un mois, bien que certains clients aient réglé leurs factures entretemps. • Etes-vous en règle ? » (OUI/NON) • Non, • car cela est contraire au principe du GDPR, vous n’êtes pas en règle: • C’est-à-dire qu’il est obligatoire que les données traitées soient exactes et tenues à jour. 4 4 Principe d’exactitude
Les 6 règles d’or avril 2018 38 • « Vous travaillez au backoffice d’un opérateur téléphonique. • Vous pouvez conserver les factures détaillées de vos clients indéfiniment (OUI/NON) • Non, • car cela est contraire au principe du GDPR: •  Dans notre exemple, cette limitation légale est de 1 an (pour répondre à une éventuelle contestation du client)  Dans les autres cas, la durée peut être différente, mais en aucun vous ne pouvez les conserver de manière illimitée 5 5 Principe de limitation de la conservation des données
Les 6 règles d’or avril 2018 39 • « Vous êtes responsable du SI. Vous avez autorisé des mots de passe de 3 chiffres pour l’accès à la base de données clients de vos vendeurs. • Cette mesure de sécurité est-elle suffisante ? » (OUI/NON) • Non, • car cela est contraire au principe du GDPR: • Les entreprises doivent tout en mettre en œuvre pour garantir un niveau de sécurité approprié et adapté au risque . 6 Principe d’intégrité et de confidentialité des données 6
L’obligation de sécurisation des données avril 2018 40
L’obligation de sécurisation des données avril 2018 41
Les 6 règles d’or avril 2018 42 • Loyauté, transparence et légalité du traitement. • Limitation des finalités du traitement • Minimisation des données • Principe d’exactitude • Principe de limitation de la conservation des données • Principe d’intégrité et de confidentialité des données 1 2 3 4 5 6
IV – Comment se mettre en conformité? avril 2018 43
avril 2018 44 Le consentement
Le consentement est renforcé par le RGPD. Il doit être : avril 2018 45 Libre Eclairé Spécifique La personne concernée doit être en mesure d’accepter ou de refuser de donner son consentement Toutes les informations relatives au traitement et aux droits de la personne concernée doivent lui être communiquées directement et pas noyées dans les CGU par exemple La personne concernée doit connaître l’étendue et les conséquences du traitement dont ses données feront l’objet Doit découler d’une déclaration ou d’un acte positif et clair de la personne concernée (case à cocher, etc..). Et non d’un acte passif ( case pré-cochée, CGU…) Sans ambiguité
Dans le cadre d’une application mobile, j’ai besoin de traiter les données personnelles des utilisateurs pour les géolocaliser avril 2018 46  Je peux considérer que l’acceptation des CGU de mes applications par les utilisateurs vaut consentement à traiter leurs données personnelles? (oui/non)  Lorsque j’ai obtenu le consentement de mes utilisateurs pour traiter leurs données de géolocalisation, je peux ultérieurement à d’autres éditeurs d’applications? (oui/non)  Je peux garder dans mon système d’information une trace du consentement des utilisateurs? (oui/non)
Dans le cadre d’une application mobile, j’ai besoin de traiter les données personnelles des utilisateurs pour les géolocaliser avril 2018 47  Je peux considérer que l’acceptation des CGU de mes applications par les utilisateurs vaut consentement à traiter leurs données personnelles? (oui/non) NON: Le consentement doit être éclairé : informations apportées directement à la personne et accord de celle-ci, se manifestant par une déclaration ou un acte positif et clair de la personne concernée (tel qu’une case à cocher).  Lorsque j’ai obtenu le consentement de mes utilisateurs pour traiter leurs données de géolocalisation, je peux ultérieurement à d’autres éditeurs d’applications? (oui/non) NON: : Le responsable du traitement n’a pas le droit d’utiliser les données ultérieurement, à des fins incompatibles avec celle pour laquelle le consentement des utilisateurs a été obtenu préalablement. Dans le cas présent, j’ai demandé le consentement des utilisateurs pour traiter leurs données de géolocalisation et non pour les revendre à d’autres éditeurs.  Je peux garder dans mon système d’information une trace du consentement des utilisateurs? (oui/non) OUI: Le GDPR en fait même une obligation. Je dois pouvoir démontrer à tout moment que j’ai obtenu le consentement des utilisateurs afin de traiter leurs données personnelles. Pour ce faire, j’ai besoin de garder des traces d’obtention de ce consentement.
avril 2018 48 Le Responsable de traitement
Le Responsable de traitement et son sous- traitantavril 2018 49 Le Responsable de Traitement Est défini par le GDPR comme celui qui détermine les moyens et les finalités du traitement. Par exemple, IBM est responsable du traitement des données de sa propre clientèle Le Sous-traitant Est défini comme la personne qui traite des données à caractère personnel pour le compte d’un responsable de traitement. Par exemple, IBM est sous- traitant quand il héberge des données de santé pour le compte d’un hôpital
Le Responsable de traitement et son sous- traitantavril 2018 50
Le Responsable de traitement et son sous- traitantavril 2018 51 Le RGPD oblige le Responsable des traitements à effectuer une analyse d’impact sur la vie privée. Cette analyse d’impact sur la vie privée est OBLIGATOIRE Lorsqu’un traitement est susceptible d’engendrer un RISQUE ELEVE POUR LES DROITS ET LES LIBERTES des personnes. Par exemple, le traitement à grande échelle de données qualifiées de sensibles par le GDPR.
Analyse d’impact? avril 2018 52 • Un établissement bancaire désire mettre en place un traitement fondé sur le profilage automatique de ses clients en vue de leur délivrer des crédits. Doit-il faire au préalable une analyse d’impact sur la vie privée ? (OUI/NON)
Analyse d’impact? avril 2018 53 • Un établissement bancaire désire mettre en place un traitement fondé sur le profilage automatique de ses clients en vue de leur délivrer des crédits. Doit-il faire au préalable une analyse d’impact sur la vie privée ? (OUI/NON) OUI: Car ce traitement présente un risque élevé . En effet il est fondé sur le profilage automatique produisant des effets juridiques (obtention ou refus du crédit)
Le Responsable de traitement et son sous- traitantavril 2018 54 Le RGPD oblige le Responsable des traitements à une protection des données dès la conception (PRIVACY BY DESIGN) ainsi qu’une protection des données par défaut (PRIVACY BY DEFAULT). Cette OBLIGATION doit être respectée dès la conception du traitement. Les mesures mise en œuvre doivent garantir que, par défaut, seules les DONNEES NECESSAIRES à chaque finalité spécifique du traitement sont traitées. « Mesure qui consiste à prévoir la protection des données dès la conception d’un traitement ». Prévoir dès la conception une purge des données régulièrement Privacy by Design Privacy by Default « Mesure qui permet de garantir que par défaut seules les données nécessaires sont traitées »  Une application nécessitant la géolocalisation ne doit pas rendre active celle-ci tant que l’utilisateur n’a pas donné son consentement.
Privacy by design – Privacy by default avril 2018 55  Une entreprise souhaite procéder au traitement des données de ses clients. Doit-elle prévoir la purge de ces données dès la conception du traitement, préalablement à sa mise en œuvre? (oui/non)
Privacy by design – Privacy by default avril 2018 56  Une entreprise souhaite procéder au traitement des données de ses clients. Doit-elle prévoir la purge de ces données dès la conception du traitement, préalablement à sa mise en œuvre? (oui/non) OUI: cette fonctionnalité doit être prévue préalablement car la conservation des données doit être limitée dans le temps. C’est une mesure de Privacy by Design.
notifier Défaut de sécurité et de confidentialité avril 2018 57 Le GDPR rend OBLIGATOIRE la notification de toute VIOLATION DE DONNEES PERSONNELLES quelques soient le secteur d’activité. Obligations du Responsable de Traitement Obligations du Sous-traitant notifier A l’autorité de protection des données (CNIL) dans les meilleurs délais et si possible dans les 72 H sauf si la violation n’est pas susceptible d’engendrer un risque. A chaque personne concernée dans les meilleurs délais en cas de risque élevé sauf en cas de mesures de protection comme le chiffrement des données. Toute violation au Responsable de Traitement dans les meilleurs délais.
Défaut de sécurité et de confidentialité avril 2018 58
Défaut de sécurité ou de confidentialité avril 2018 59  Une société de vente par internet découvre qu’une partie de ses données clients a été dérobée. Ces données concernent les numéros de carte bancaire de ses clients, leurs noms, leur adresses. Bien que les données ne soient pas chiffrées, cette société peut attendre 1 mois avant de prévenir la CNIL (VRAI/FAUX)
Défaut de sécurité ou de confidentialité avril 2018 60  Une société de vente par internet découvre qu’une partie de ses données clients a été dérobée. Ces données concernent les numéros de carte bancaire de ses clients, leurs noms, leur adresses. Bien que les données ne soient pas chiffrées, cette société peut attendre 1 mois avant de prévenir la CNIL (VRAI/FAUX) • FAUX: Cette violation de données est susceptible d’entraîner un risque pour ses clients. Le responsable de traitement de la société doit en informer la CNIL dans les meilleurs délais et si possible dans les 72H. Elle doit en informer également les clients concernés dans les meilleurs délais car il s’agit d’un risque élevé pour ces derniers.
Défaut de sécurité et de confidentialité avril 2018 61
Registre interne des activités de traitement avril 2018 62 Cette OBLIGATION s’applique aux Responsables de Traitements et à leurs sous-traitants. Le GDPR impose un certains nombre d’informations à mentionner dans ces registres. Par exemple: type de données traitées, destinataires de ces données, mesures de sécurité prises, les transferts de données, les finalités du traitement
Registre des traitements avril 2018 63  AMAZON fournit des services d’hébergement de données clients à des entreprises partenaires. N’étant que le sous-traitant des entreprises dont elle héberge les données clients sans être en relation directe avec lesdits clients, AMAZON n’est pas obligée de tenir un registre des activités au titre du GDPR.(vrai/faux)
Registre des traitements avril 2018 64  Orange fournit des services d’hébergement de données clients à des entreprises partenaires. N’étant que le sous-traitant des entreprises dont elle héberge les données clients sans être en relation directe avec lesdits clients, Orange n’est pas tenu de tenir un registre des activités au titre du GDPR.(vrai/faux) FAUX: Le GDPR ne dispense pas les sous- traitants de la tenue du registre des activités de traitement.
avril 2018 65 Le DPO : Data Protection Officer
La nomination d’un DPO est devenue obligatoire pour la majorité des entreprisesavril 2018 66 La nomination d’un DPO est OBLIGATOIRE pour les organisations publiques et dans la plupart des cas pour les entreprises privées. Le DPO est le chef d’orchestre de la protection des données personnelles dans l’entreprise. Le DPO veille au respect du GDPR dans son entreprise Il conseille le Responsable de Traitement et le sous-traitant Le DPO est le point de contact avec l’autorité de contrôle (CNIL)
DPO avril 2018 67  Un médecin spécialiste gère son cabinet privé dans une petite commune. Il a informatisé la gestion administrative des RDV de ses patients. Il est impératif que le médecin désigne un DPO car il traite des données personnelles. (oui/non).
DPO avril 2018 68  Un médecin spécialiste gère son cabinet privé dans une petite commune. Il a informatisé la gestion administrative des RDV de ses patients. Il est impératif que le médecin désigne un DPO car il traite des données personnelles. (oui/non). FAUX: Le GDPR n’oblige à désigner un DPO, que les responsables de traitement du secteur privé qui traitent des données personnelles à grande échelle ou font de la surveillance régulière et systématique, ce qui n’est pas le cas de notre médecin pour gérer ses RDV. Il n’est pas tenu de désigner un DPO.
Les recommandations de la CNIL pour la mise en place du projetavril 2018 69 Désigner un pilote : le DPO Cartographier vos traitements de données personnelles Prioriser les actions à mener : en fonction des risques Gérer les risques : faire une première analyse d’impact sur la protection des données Organiser les processus internes en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement Documenter la conformité et actualiser la documentation
Conclusion : TIPS FOR MARKETING CAMPAINS avril 2018 70
L’indispensable « politique de confidentialité »avril 2018 71 Il faudra nécessairement créer une Charte de confidentialité. Soit une pour chaque campagne marketing, soit une globale reprenant tous les traitements et opérations mis en œuvre. Cette charte doit être clairement visible au moment du recueil des données. Politique de confidentialité Charte de confidentialité Charte de vie privée… Autant de noms possibles pour un document OBLIGATOIRE Cette charte devra indiquer clairement : l’identité du Responsable de Traitement, les coordonnées du Délégué à la Protection des données, la finalité des traitements, les personnes pouvant y accéder, le type de données collectées, leur durée de conservation, l’existence du droit de demander l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, la procédure pour exercer son droit d’accès, de rectification et d’effacement.
La récolte des consentements durant une campagneavril 2018 72 Le consentement des individus concernant leurs données doit être positif, clair et explicite. Le procédé de collecte doit faire l’objet d’une expression séparée des autres conditions de participation à la campagne ou au concours. Un silence, une case pré-cochée ou l’inactivité de l’individu ne valent pas consentement! Le formulaire de collecte de la campagne comprendra : - Une mention d’information claire - Plusieurs cases à valider obligatoirement : - Le consentement à la collecte et à l’utilisation des données (autant de cases à cocher que de finalités : e-mailing, newsletters, sms, offres commerciales…) - L’acceptation du règlement du jeu ou de l’opération - L’acceptation de la Politique de confidentialité
Formulaire RGPD friendly avril 2018 73
Conserver la preuve du consentement avril 2018 74 L’entreprise doit être capable d’apporter la preuve du consentement.
Le RGPD, une opportunité pour les entreprises?avril 2018 75 L’un des objectifs du GDPR est de rétablir un cadre de confiance entre les entreprises et leurs clients. Cette confiance permettra aux entreprises qui sont conformes d’exploiter plus facilement les données de leurs clients sans crainte de se voir sanctionner. De plus, les clients seront plus enclins à solliciter les entreprises qui ont une réputation respectueuse des données personnelles De son entreprise en les allouant aux bons endroits et au juste niveau. Par exemple, introduire la privacy by design permet de ne pas se rendre compte trop tard que le traitement pour lequel on a investi n’est pas conforme et que les ressources utilisées ne pourront pas être rentabilisées. Par exemple : Etant donné que les responsables de traitement auront avec le GDPR l’obligation de ne choisir qu’un sous-traitant présentant des garanties suffisantes de conformité au GDPR, les marchés seront plus ouverts aux fournisseurs conformes qu’à ceux qui ne le sont pas. ACCROITRE LA CONFIANCE OPTIMISER LES RESSOURCES AVANTAGE CONCURRENTIEL
Vers un marketing plus qualitatif avec le RGPD?avril 2018 76
Sources avril 2018 77
Sources avril 2018 78
Pour aller plus loin… avril 2018 79 Et pour devenir un expert du RGPD, n’hésitez pas à consulter:  Le site de la CNIL  Les nombreux livres blancs, articles ou infographies que vous retrouverez en ligne  Ou encore les tutoriels vidéos, là encore, très nombreux! Et si le RGPD n’est pas votre tasse de thé, faites-vous accompagnés pour être en conformité. Là encore, de nombreux professionnels vous proposeront leurs prestations. C’est un vrai Business!
Retrouvez l’essentiel du marketing digital sur www.bananepourpre.fravril 2018 80

Recommandé

Sécurité, GDPR : vos données ont de la valeur
Sécurité, GDPR : vos données ont de la valeur Sécurité, GDPR : vos données ont de la valeur
Sécurité, GDPR : vos données ont de la valeur Geeks Anonymes
 
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)AT Internet
 
Découvrir le RGPD de façon pragmatique
Découvrir le RGPD de façon pragmatiqueDécouvrir le RGPD de façon pragmatique
Découvrir le RGPD de façon pragmatiqueNicolas Wipfli
 
Comment atteindre la conformité au RGPD
Comment atteindre la conformité au RGPDComment atteindre la conformité au RGPD
Comment atteindre la conformité au RGPDForums financiers de Wallonie
 
Rgpd cdg 13 2018.compressed
Rgpd cdg 13 2018.compressedRgpd cdg 13 2018.compressed
Rgpd cdg 13 2018.compressedDominique Gayraud
 
Protection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentielProtection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentielPierre MASSOT
 
RGPD & Data Privacy : la CNIL au Digital Analytics Forum 2018
RGPD & Data Privacy : la CNIL au Digital Analytics Forum 2018RGPD & Data Privacy : la CNIL au Digital Analytics Forum 2018
RGPD & Data Privacy : la CNIL au Digital Analytics Forum 2018AT Internet
 
Rgpd
RgpdRgpd
RgpdOmbeline Chevallier
 

Recommandé

Sécurité, GDPR : vos données ont de la valeur
Sécurité, GDPR : vos données ont de la valeur Sécurité, GDPR : vos données ont de la valeur
Sécurité, GDPR : vos données ont de la valeur Geeks Anonymes
 
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)AT Internet
 
Découvrir le RGPD de façon pragmatique
Découvrir le RGPD de façon pragmatiqueDécouvrir le RGPD de façon pragmatique
Découvrir le RGPD de façon pragmatiqueNicolas Wipfli
 
Comment atteindre la conformité au RGPD
Comment atteindre la conformité au RGPDComment atteindre la conformité au RGPD
Comment atteindre la conformité au RGPDForums financiers de Wallonie
 
Rgpd cdg 13 2018.compressed
Rgpd cdg 13 2018.compressedRgpd cdg 13 2018.compressed
Rgpd cdg 13 2018.compressedDominique Gayraud
 
Protection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentielProtection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentielPierre MASSOT
 
RGPD & Data Privacy : la CNIL au Digital Analytics Forum 2018
RGPD & Data Privacy : la CNIL au Digital Analytics Forum 2018RGPD & Data Privacy : la CNIL au Digital Analytics Forum 2018
RGPD & Data Privacy : la CNIL au Digital Analytics Forum 2018AT Internet
 
Rgpd
RgpdRgpd
RgpdOmbeline Chevallier
 
earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...Lexing - Belgium
 
Données de santé & RGPD (Règlement Général sur la Protection des Données Per...
Données de santé & RGPD (Règlement Général sur la Protection des Données Per...Données de santé & RGPD (Règlement Général sur la Protection des Données Per...
Données de santé & RGPD (Règlement Général sur la Protection des Données Per...CEEDFormation
 
GDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico LégauxGDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico LégauxYves Gattegno
 
Comment SendinBlue s'est adapté au RGPD
Comment SendinBlue s'est adapté au RGPDComment SendinBlue s'est adapté au RGPD
Comment SendinBlue s'est adapté au RGPDAdrien Simon
 
RGPD / GDPR & Webmarketing : Quel impact pour votre entreprise ?
RGPD / GDPR & Webmarketing : Quel impact pour votre entreprise ?RGPD / GDPR & Webmarketing : Quel impact pour votre entreprise ?
RGPD / GDPR & Webmarketing : Quel impact pour votre entreprise ?Vanessa CRITON
 
RGPD
RGPDRGPD
RGPDBenoît Chantre
 
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...NP6
 
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !Niji
 
RGPD / GDPR : Principes, Démarche, Outils
RGPD / GDPR : Principes, Démarche, OutilsRGPD / GDPR : Principes, Démarche, Outils
RGPD / GDPR : Principes, Démarche, OutilsaYaline
 
Rgpd pharmacie 2018
Rgpd pharmacie 2018Rgpd pharmacie 2018
Rgpd pharmacie 2018Bruno Guillard
 
Le GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaLe GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaJean-Michel Tyszka
 
Comprendre le RGPD
Comprendre le RGPDComprendre le RGPD
Comprendre le RGPDNuageo
 
Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018Pierre Ammeloot
 
Rgpd presentation
Rgpd presentationRgpd presentation
Rgpd presentationgnizon
 
RGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésRGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésHatime Araki
 
Enjeux du RGPD pour les PME
Enjeux du RGPD pour les PMEEnjeux du RGPD pour les PME
Enjeux du RGPD pour les PMEFred Gerdil
 
Les impacts du RGPD sur les parcours utilisateurs
Les impacts du RGPD sur les parcours utilisateursLes impacts du RGPD sur les parcours utilisateurs
Les impacts du RGPD sur les parcours utilisateursNiji
 
Free Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentauxFree Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentauxMichael DI ROCCO
 
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018cedric delberghe
 
C'est quoi le RGPD ?
C'est quoi le RGPD ?C'est quoi le RGPD ?
C'est quoi le RGPD ?_unknowns
 
Obligations RGPD : Comment-agir ?
Obligations RGPD : Comment-agir ?Obligations RGPD : Comment-agir ?
Obligations RGPD : Comment-agir ?Laïaché LAMRANI ★
 
Slides GDPR
Slides GDPRSlides GDPR
Slides GDPRLa Libre Network
 

Contenu connexe

Tendances

earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...Lexing - Belgium
 
Données de santé & RGPD (Règlement Général sur la Protection des Données Per...
Données de santé & RGPD (Règlement Général sur la Protection des Données Per...Données de santé & RGPD (Règlement Général sur la Protection des Données Per...
Données de santé & RGPD (Règlement Général sur la Protection des Données Per...CEEDFormation
 
GDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico LégauxGDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico LégauxYves Gattegno
 
Comment SendinBlue s'est adapté au RGPD
Comment SendinBlue s'est adapté au RGPDComment SendinBlue s'est adapté au RGPD
Comment SendinBlue s'est adapté au RGPDAdrien Simon
 
RGPD / GDPR & Webmarketing : Quel impact pour votre entreprise ?
RGPD / GDPR & Webmarketing : Quel impact pour votre entreprise ?RGPD / GDPR & Webmarketing : Quel impact pour votre entreprise ?
RGPD / GDPR & Webmarketing : Quel impact pour votre entreprise ?Vanessa CRITON
 
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...NP6
 
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !Niji
 
RGPD / GDPR : Principes, Démarche, Outils
RGPD / GDPR : Principes, Démarche, OutilsRGPD / GDPR : Principes, Démarche, Outils
RGPD / GDPR : Principes, Démarche, OutilsaYaline
 
Le GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaLe GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaJean-Michel Tyszka
 
Comprendre le RGPD
Comprendre le RGPDComprendre le RGPD
Comprendre le RGPDNuageo
 
Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018Pierre Ammeloot
 
Rgpd presentation
Rgpd presentationRgpd presentation
Rgpd presentationgnizon
 
RGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésRGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésHatime Araki
 
Enjeux du RGPD pour les PME
Enjeux du RGPD pour les PMEEnjeux du RGPD pour les PME
Enjeux du RGPD pour les PMEFred Gerdil
 
Les impacts du RGPD sur les parcours utilisateurs
Les impacts du RGPD sur les parcours utilisateursLes impacts du RGPD sur les parcours utilisateurs
Les impacts du RGPD sur les parcours utilisateursNiji
 
Free Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentauxFree Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentauxMichael DI ROCCO
 
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018cedric delberghe
 
C'est quoi le RGPD ?
C'est quoi le RGPD ?C'est quoi le RGPD ?
C'est quoi le RGPD ?_unknowns
 

Tendances (20)

earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...
 
Données de santé & RGPD (Règlement Général sur la Protection des Données Per...
Données de santé & RGPD (Règlement Général sur la Protection des Données Per...Données de santé & RGPD (Règlement Général sur la Protection des Données Per...
Données de santé & RGPD (Règlement Général sur la Protection des Données Per...
 
GDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico LégauxGDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico Légaux
 
Comment SendinBlue s'est adapté au RGPD
Comment SendinBlue s'est adapté au RGPDComment SendinBlue s'est adapté au RGPD
Comment SendinBlue s'est adapté au RGPD
 
RGPD / GDPR & Webmarketing : Quel impact pour votre entreprise ?
RGPD / GDPR & Webmarketing : Quel impact pour votre entreprise ?RGPD / GDPR & Webmarketing : Quel impact pour votre entreprise ?
RGPD / GDPR & Webmarketing : Quel impact pour votre entreprise ?
 
RGPD
RGPDRGPD
RGPD
 
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
 
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
 
RGPD / GDPR : Principes, Démarche, Outils
RGPD / GDPR : Principes, Démarche, OutilsRGPD / GDPR : Principes, Démarche, Outils
RGPD / GDPR : Principes, Démarche, Outils
 
Rgpd pharmacie 2018
Rgpd pharmacie 2018Rgpd pharmacie 2018
Rgpd pharmacie 2018
 
Le GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaLe GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - Diaporama
 
Comprendre le RGPD
Comprendre le RGPDComprendre le RGPD
Comprendre le RGPD
 
Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018
 
Rgpd presentation
Rgpd presentationRgpd presentation
Rgpd presentation
 
RGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésRGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunités
 
Enjeux du RGPD pour les PME
Enjeux du RGPD pour les PMEEnjeux du RGPD pour les PME
Enjeux du RGPD pour les PME
 
Les impacts du RGPD sur les parcours utilisateurs
Les impacts du RGPD sur les parcours utilisateursLes impacts du RGPD sur les parcours utilisateurs
Les impacts du RGPD sur les parcours utilisateurs
 
Free Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentauxFree Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentaux
 
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
 
C'est quoi le RGPD ?
C'est quoi le RGPD ?C'est quoi le RGPD ?
C'est quoi le RGPD ?
 

Similaire à Etes-vous Gdpr compliant?

Présentation de Stéphanie Foulgoc
Présentation de Stéphanie FoulgocPrésentation de Stéphanie Foulgoc
Présentation de Stéphanie FoulgocAssociationAF
 
SILDE NOUVELLE LOI PROTECTION DONNEES PERSONNELLES
SILDE NOUVELLE LOI PROTECTION DONNEES PERSONNELLESSILDE NOUVELLE LOI PROTECTION DONNEES PERSONNELLES
SILDE NOUVELLE LOI PROTECTION DONNEES PERSONNELLESRiad ARADJI
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekPascal ALIX
 
GDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUEGDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUEUmanis
 
GDPR / RGPD - Livre Blanc - Aion Solutions
GDPR / RGPD - Livre Blanc - Aion SolutionsGDPR / RGPD - Livre Blanc - Aion Solutions
GDPR / RGPD - Livre Blanc - Aion SolutionsAïon Solutions
 
BAROMÈTRE RGPD
BAROMÈTRE RGPDBAROMÈTRE RGPD
BAROMÈTRE RGPDConverteo
 
TwinPeek RGPD Meetup 201903
TwinPeek RGPD Meetup 201903TwinPeek RGPD Meetup 201903
TwinPeek RGPD Meetup 201903Herve Blanc
 
earlegal #5 - Comment protéger l’investissement de mon entreprise dans un pro...
earlegal #5 - Comment protéger l’investissement de mon entreprise dans un pro...earlegal #5 - Comment protéger l’investissement de mon entreprise dans un pro...
earlegal #5 - Comment protéger l’investissement de mon entreprise dans un pro...Lexing - Belgium
 
La protection des données personnelles
La protection des données personnellesLa protection des données personnelles
La protection des données personnellesbreton80
 
Rgpd sensibilisation fc vf
Rgpd sensibilisation fc vfRgpd sensibilisation fc vf
Rgpd sensibilisation fc vfMostafaAITMEHDI
 
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...Medialibs
 
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...African Cyber Security Summit
 
droit.ppt
droit.pptdroit.ppt
droit.pptYnesZid
 
Grand Format "Data to Consumer" - Présentation Bird & Bird
Grand Format "Data to Consumer" - Présentation Bird & BirdGrand Format "Data to Consumer" - Présentation Bird & Bird
Grand Format "Data to Consumer" - Présentation Bird & BirdPetit Web
 
02 mdn2018 - table ronde rgpd - odette amann - henri de la motte rouge
02 mdn2018 - table ronde rgpd - odette amann - henri de la motte rouge02 mdn2018 - table ronde rgpd - odette amann - henri de la motte rouge
02 mdn2018 - table ronde rgpd - odette amann - henri de la motte rougeCyril Marsaud
 

Similaire à Etes-vous Gdpr compliant? (20)

Obligations RGPD : Comment-agir ?
Obligations RGPD : Comment-agir ?Obligations RGPD : Comment-agir ?
Obligations RGPD : Comment-agir ?
 
Slides GDPR
Slides GDPRSlides GDPR
Slides GDPR
 
Présentation de Stéphanie Foulgoc
Présentation de Stéphanie FoulgocPrésentation de Stéphanie Foulgoc
Présentation de Stéphanie Foulgoc
 
Workshop CNIL
Workshop CNILWorkshop CNIL
Workshop CNIL
 
SILDE NOUVELLE LOI PROTECTION DONNEES PERSONNELLES
SILDE NOUVELLE LOI PROTECTION DONNEES PERSONNELLESSILDE NOUVELLE LOI PROTECTION DONNEES PERSONNELLES
SILDE NOUVELLE LOI PROTECTION DONNEES PERSONNELLES
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis Nystek
 
GDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUEGDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUE
 
GDPR / RGPD - Livre Blanc - Aion Solutions
GDPR / RGPD - Livre Blanc - Aion SolutionsGDPR / RGPD - Livre Blanc - Aion Solutions
GDPR / RGPD - Livre Blanc - Aion Solutions
 
BAROMÈTRE RGPD
BAROMÈTRE RGPDBAROMÈTRE RGPD
BAROMÈTRE RGPD
 
TwinPeek RGPD Meetup 201903
TwinPeek RGPD Meetup 201903TwinPeek RGPD Meetup 201903
TwinPeek RGPD Meetup 201903
 
RGPD
RGPDRGPD
RGPD
 
earlegal #5 - Comment protéger l’investissement de mon entreprise dans un pro...
earlegal #5 - Comment protéger l’investissement de mon entreprise dans un pro...earlegal #5 - Comment protéger l’investissement de mon entreprise dans un pro...
earlegal #5 - Comment protéger l’investissement de mon entreprise dans un pro...
 
La protection des données personnelles
La protection des données personnellesLa protection des données personnelles
La protection des données personnelles
 
Rgpd sensibilisation fc vf
Rgpd sensibilisation fc vfRgpd sensibilisation fc vf
Rgpd sensibilisation fc vf
 
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
 
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
 
droit.ppt
droit.pptdroit.ppt
droit.ppt
 
Grand Format "Data to Consumer" - Présentation Bird & Bird
Grand Format "Data to Consumer" - Présentation Bird & BirdGrand Format "Data to Consumer" - Présentation Bird & Bird
Grand Format "Data to Consumer" - Présentation Bird & Bird
 
02 mdn2018 - table ronde rgpd - odette amann - henri de la motte rouge
02 mdn2018 - table ronde rgpd - odette amann - henri de la motte rouge02 mdn2018 - table ronde rgpd - odette amann - henri de la motte rouge
02 mdn2018 - table ronde rgpd - odette amann - henri de la motte rouge
 
Le RGPD
Le RGPD Le RGPD
Le RGPD
 

Plus de fourniermartine

Experience client augmentee2
Experience client augmentee2Experience client augmentee2
Experience client augmentee2fourniermartine
 
Outils de veille et curation de contenu
Outils de veille et curation de contenuOutils de veille et curation de contenu
Outils de veille et curation de contenufourniermartine
 
Communication digitale cnam mars 2018
Communication digitale cnam mars 2018Communication digitale cnam mars 2018
Communication digitale cnam mars 2018fourniermartine
 
Communication digitale iut 2018
Communication digitale iut 2018Communication digitale iut 2018
Communication digitale iut 2018fourniermartine
 
La relation client à l'heure du digital
La relation client à l'heure du digitalLa relation client à l'heure du digital
La relation client à l'heure du digitalfourniermartine
 
CM marketing digital IUT 5 février 2018 E-commerce #iutmkgdigital
CM marketing digital IUT 5 février 2018 E-commerce #iutmkgdigitalCM marketing digital IUT 5 février 2018 E-commerce #iutmkgdigital
CM marketing digital IUT 5 février 2018 E-commerce #iutmkgdigitalfourniermartine
 
CM marketing digital IUT 10 janvier 2018 #iutmkgdigital
CM marketing digital IUT 10 janvier 2018 #iutmkgdigitalCM marketing digital IUT 10 janvier 2018 #iutmkgdigital
CM marketing digital IUT 10 janvier 2018 #iutmkgdigitalfourniermartine
 

Plus de fourniermartine (7)

Experience client augmentee2
Experience client augmentee2Experience client augmentee2
Experience client augmentee2
 
Outils de veille et curation de contenu
Outils de veille et curation de contenuOutils de veille et curation de contenu
Outils de veille et curation de contenu
 
Communication digitale cnam mars 2018
Communication digitale cnam mars 2018Communication digitale cnam mars 2018
Communication digitale cnam mars 2018
 
Communication digitale iut 2018
Communication digitale iut 2018Communication digitale iut 2018
Communication digitale iut 2018
 
La relation client à l'heure du digital
La relation client à l'heure du digitalLa relation client à l'heure du digital
La relation client à l'heure du digital
 
CM marketing digital IUT 5 février 2018 E-commerce #iutmkgdigital
CM marketing digital IUT 5 février 2018 E-commerce #iutmkgdigitalCM marketing digital IUT 5 février 2018 E-commerce #iutmkgdigital
CM marketing digital IUT 5 février 2018 E-commerce #iutmkgdigital
 
CM marketing digital IUT 10 janvier 2018 #iutmkgdigital
CM marketing digital IUT 10 janvier 2018 #iutmkgdigitalCM marketing digital IUT 10 janvier 2018 #iutmkgdigital
CM marketing digital IUT 10 janvier 2018 #iutmkgdigital
 

Etes-vous Gdpr compliant?

  • 2. • I – Objectifs et champ du RGPD • II – Les droits renforcés des personnes • III – Les nouvelles obligations des entreprises • IV – Comment se mettre en conformité • Conclusion : le RGPD une opportunité? avril 2018 2
  • 3. I - Objectifs et champ du RGPD avril 2018 3
  • 4. Données personnelles et traitement de données… Quezako?avril 2018 4
  • 5. avril 2018 5 Qu’est-ce qu’une donnée personnelle?
  • 6. Quelles données sont considérées comme personnelles? avril 2018 6  Un produit acheté par un client  Une date de naissance  Un numéro de contrat salarié  Un stock produits  Un numéro de carte bancaire  Un numéro de référence client  Le CA de l’entreprise
  • 7. Quelles données sont considérées comme personnelles? avril 2018 7 ■ Un produit acheté par un client ■ Une date de naissance ■ Un numéro de contrat salarié  Un stock produits ■ Un numéro de carte bancaire ■ Un numéro de référence client  Le CA de l’entreprise
  • 8. Définition des données à caractère personnelavril 2018 8 Exemples : - Numéro de téléphone - Un identifiant - Des données de localisation - Une adresse IP - Les données des objets connectés… Certaines données sont considérées comme sensibles (santé, vie sexuelle, origine raciale, opinions politiques, religieuses ou syndicales) et doivent être recueillies avec le consentement exprès de la personne. Toute information qui permet d’identifier directement ou indirectement une personne physique.
  • 9. avril 2018 9 Qu’est-ce qu’un traitement de données?
  • 10. Quelles actions sont considérées comme des traitements de données? avril 2018 10  Une collecte de données via un concours marketing  La revente de données à des distributeurs  Un sondage du personnel sur la future fête de fin d’année  Le calcul de la paie du personnel  L’hébergement des données clients sur un serveur  Une note papier sur les clients à rappeler dans la journée
  • 11. Quelles actions sont considérées comme des traitements de données? avril 2018 11 ■ Une collecte de données via un concours marketing ■ La revente de données à des distributeurs ■ Un sondage du personnel sur la future fête de fin d’année ■ Le calcul de la paie du personnel ■ L’hébergement des données clients sur un serveur  Une note papier sur les clients à rappeler dans la journée
  • 12. Définition du traitement de données à caractère personnelavril 2018 12 Exemples : - Collecte - Enregistrement - Organisation - Conservation - Adaptation - Modification Mais aussi : - Extraction - Consultation - Utilisation - Diffusion - Destruction Toute opération effectuée manuellement ou informatiquement appliquée à des données personnelles.
  • 13. avril 2018 13 RGPD : Règlement Général sur la Protection des Données GDPR : General Data Protection Regulation
  • 16. Un règlement européen avril 2018 16 C’est un texte lourd (99 articles) et sans doute fondateur. Constitutionnel? « Pour moi, le RGPD est un texte historique. C’est un texte qui, demain, se comparera peut-être au code civil et aux droits sociaux » Gilles Babinet, Digital Champion, avril 2018 Les Etats membres sont contraints de l’appliquer directement sans transposition dans leur loi.
  • 17. avril 2018 17 Les objectifs du RGPD • 1. Redonner au client la maîtrise de ses données – En l’informant des données que l’on collecte sur lui et de ce qu’on en fait – En lui permettant de disposer pleinement de ses données ( accès, rectification, suppression, portabilité…) • 2. Responsabiliser les entreprises dans la gestion de leurs données clients • 3. Faire peser ces même règles sur les entreprises hors UE – En terme de données personnelles (ex GAFA) qui proposent des produits ou services visant des résidents de l’Union Européenne ou bien ayant trait au suivi de leur comportement au sein de l’Union – En faire un avantage concurrentiel pour les entreprises qui s’y sont conformé.
  • 18. Qui est concerné par le RGPD? avril 2018 18 Le RGPD s’applique à toute entreprise Entreprise publique Entreprise privée Sous-traitants En cas de non respect, les sanctions peuvent aller jusqu’à 4% du CA mondial.
  • 19. II – Les droits renforcés des personnes avril 2018 19
  • 20. avril 2018 20 Comment le RGPD renforce le droit des personnes?
  • 21. Droit des personnes avril 2018 21 DROIT A L’INFORMATION Droit d’accès et de rectification Droit d’opposition Droit à l’effacement Droit à la limitation du traitement Portabilité des données Droit au retrait du consentement Droit d’opposition au profilage Renforcement de la protection des mineurs AjoutsduGDPRActuellement +
  • 22.  L’identité du responsable du traitement  Les finalités du traitement  Les destinataires des données Le droit à l’information avril 2018 22  Accès / Rectification / Suppression des données concernant la personne Avec le GDPR Actuellement  La base juridique du traitement  Le droit de la personne concernée de retirer à tout moment son consentement  La durée de conservation des données ou les critères utilisés pour déterminer cette durée  Les coordonnées du DPO…  Transfert des données Hors UE: garantie prises, moyens d’y accéder  Droit à la portabilité  Droit d’introduire une réclamation auprès d’une autorité Avant même le début du traitement, les informations doivent être fournies sous une forme claire et compréhensive.
  • 23. Quels sont les droits ou obligations ajoutés par le RGPD? avril 2018 23  L’obligation pour les entreprises de rendre accessibles à leurs clients, les coordonnées du DPO (Data Protection Officer)  Le droit à la portabilité pour les consommateurs  Le droit pour le client de retirer à tout moment son consentement  L’obligation pour les entreprises de rendre disponible la durée de conservation des données le concernant  Le droit d’accès pour le client aux données le concernant.
  • 24. Quels sont les droits ou obligations ajoutés par le RGPD? avril 2018 24 ■ L’obligation pour les entreprises de rendre accessibles à leurs clients, les coordonnées du DPO (Data Protection Officer) Oui : cela fait partie des nouvelles obligations ■ Le droit à la portabilité pour les consommateurs Oui : cela fait partie des nouvelles obligations ■ Le droit pour le client de retirer à tout moment son consentement Oui : cela fait partie des nouvelles obligations ■ L’obligation pour les entreprises de rendre disponible la durée de conservation des données le concernant Oui : cela fait partie des nouvelles obligations  Le droit d’accès pour le client aux données le concernant. Non : ce droit existait auparavant.
  • 25. Droit d’accès et de rectification avril 2018 25 Le DROIT D’ACCES permet à la personne qui le souhaite : - d’avoir confirmation que des données personnelles la concernant sont traitées ou non, - D’obtenir copie de ces données - D’obtenir les information concernant ses droits Le DROIT DE RECTIFICATION permet à la personne qui le souhaite : - De faire rectifier ses données personnelles lorsque ces dernières sont inexactes.
  • 26. Quelles sont les affirmations justes? avril 2018 26  Un mari peut obtenir la rectification des données personnelles de son épouse, s’il en fait la demande.  L’exercice du droit d’accès entraîne obligatoirement des frais pour celui qui en fait la demande.  Le client, qui découvre, après accès à ses données personnelles, qu’une erreur dans sa date de naissance existe, peut demander sa rectification.
  • 27. Quelles sont les affirmations justes? avril 2018 27  Un mari peut obtenir la rectification des données personnelles de son épouse, s’il en fait la demande. Non, les données de son épouse ne lui sont pas accessibles.  L’exercice du droit d’accès entraîne obligatoirement des frais pour celui qui en fait la demande. Non, cela peut être gratuit ou légèrement payant (montant raisonnable).  Le client, qui découvre, après accès à ses données personnelles, qu’une erreur dans sa date de naissance existe, peut demander sa rectification. Oui, cela fait partie du droit de rectification.
  • 28. Droit à l’effacement avril 2018 28  Les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées  Le consentement a été retiré  La personne s’est opposée au traitement  Les données ont fait l’objet d’un traitement illicite  En vertu d’une obligation légale  Quand les données ont été collectées lorsque la personne était mineure. MOTIFS DE DROIT A L’EFFACEMENT LES EXCEPTIONS A CE DROIT  La liberté d’expression et d’information  Une obligation légale  L’intérêt public  L’archivage dans l’intérêt public, la recherche scientifique ou historique, …  La constatation, l’exercice et la défense des droits en justice
  • 29. Droit à la portabilité des données avril 2018 29 Le DROIT A LA PORTABILITE DES DONNEES offre aux personnes la possibilité de récupérer les données qu’elles-mêmes ont fournies à l’entreprise (pour changer d’opérateur télécom par exemple). La demande est valable lorsque le traitement est fondé :  Sur le recueil du consentement de la personne concernée  Sur l’exécution du contrat entre la personne concernée et le Responsable de Traitement  Sur un traitement informatique ( car la portabilité ne joue que sur les données ayant fait l’objet d’un traitement informatisé) Technique  Lorsque c’est techniquement possible, la portabilité doit pouvoir se faire d’un Responsable de traitement à un autre  La portabilité doit se faire dans un format : Structuré, Couramment utilisé , Lisible par une machine Validité
  • 30. Droit d’opposition avril 2018 30 Le DROIT D’OPPOSITION permet à la personne qui le souhaite : - De s’opposer à tout moment à un traitement de ses données personnelles Le RESPONSABLE DES TRAITEMENTS doit alors cesser le traitement dans les meilleurs délais. Quelques exceptions : - Si le responsable des traitements peut prouver qu’il s’agit d’un motif impérieux (lutte contre la fraude, les impayés…) - -dans le cas de la recherche scientifique, d’obligations légales…
  • 31. Conclusion : les nouveaux droits des consommateurs avril 2018 31
  • 32. Conclusion : les nouveaux droits des consommateurs avril 2018 32
  • 33. III – Les nouvelles obligations des entreprises avril 2018 33
  • 34. Les 6 règles d’or avril 2018 34 • La collecte des informations des clients doit être:  Loyale: ils doivent en être informés  Transparente: elle ne peut être faite à leur insu  Légale: reposer sur un des fondements prévus par le GDPR • exemple: intérêt légitime, obligation légale, exécution du contrat, consentement… 1 Loyauté, transparence et légalité du traitement.
  • 35. Les 6 règles d’or avril 2018 35 • « Vous êtes le DRH d’une entreprise, répondez à cette affirmation: » • « Vous avez le droit de communiquer le fichier de paie du personnel à des marketeurs pour utilisation à des fins de prospection directe » (OUI/NON) • Non, • car cela est contraire au principe du GDPR: • • Limitation des finalités du traitement. • C’est-à-dire qu’il est interdit de détourner l’objectif initial du traitement: dans ce cas, un fichier de paie ne doit servir qu’à la paie du personnel 2 2
  • 36. Les 6 règles d’or avril 2018 36 • « Vous êtes le Responsable Commande/Livraison d’un concessionnaire automobile, répondez à cette affirmation: » • « Vous avez le droit de collecter la date de naissance de votre client » (OUI/NON) • Non, • car cela est contraire au principe du GDPR: • • C’est-à-dire qu’il est interdit de collecter des données qui ne sont pas nécessaires au regard des objectifs du traitement 3 3 Minimisation des données
  • 37. Les 6 règles d’or avril 2018 37 • « Vous êtes le responsable facturation d’une PME. • Votre n’avez pas actualisé votre base de données des débiteurs depuis un mois, bien que certains clients aient réglé leurs factures entretemps. • Etes-vous en règle ? » (OUI/NON) • Non, • car cela est contraire au principe du GDPR, vous n’êtes pas en règle: • C’est-à-dire qu’il est obligatoire que les données traitées soient exactes et tenues à jour. 4 4 Principe d’exactitude
  • 38. Les 6 règles d’or avril 2018 38 • « Vous travaillez au backoffice d’un opérateur téléphonique. • Vous pouvez conserver les factures détaillées de vos clients indéfiniment (OUI/NON) • Non, • car cela est contraire au principe du GDPR: •  Dans notre exemple, cette limitation légale est de 1 an (pour répondre à une éventuelle contestation du client)  Dans les autres cas, la durée peut être différente, mais en aucun vous ne pouvez les conserver de manière illimitée 5 5 Principe de limitation de la conservation des données
  • 39. Les 6 règles d’or avril 2018 39 • « Vous êtes responsable du SI. Vous avez autorisé des mots de passe de 3 chiffres pour l’accès à la base de données clients de vos vendeurs. • Cette mesure de sécurité est-elle suffisante ? » (OUI/NON) • Non, • car cela est contraire au principe du GDPR: • Les entreprises doivent tout en mettre en œuvre pour garantir un niveau de sécurité approprié et adapté au risque . 6 Principe d’intégrité et de confidentialité des données 6
  • 40. L’obligation de sécurisation des données avril 2018 40
  • 41. L’obligation de sécurisation des données avril 2018 41
  • 42. Les 6 règles d’or avril 2018 42 • Loyauté, transparence et légalité du traitement. • Limitation des finalités du traitement • Minimisation des données • Principe d’exactitude • Principe de limitation de la conservation des données • Principe d’intégrité et de confidentialité des données 1 2 3 4 5 6
  • 43. IV – Comment se mettre en conformité? avril 2018 43
  • 44. avril 2018 44 Le consentement
  • 45. Le consentement est renforcé par le RGPD. Il doit être : avril 2018 45 Libre Eclairé Spécifique La personne concernée doit être en mesure d’accepter ou de refuser de donner son consentement Toutes les informations relatives au traitement et aux droits de la personne concernée doivent lui être communiquées directement et pas noyées dans les CGU par exemple La personne concernée doit connaître l’étendue et les conséquences du traitement dont ses données feront l’objet Doit découler d’une déclaration ou d’un acte positif et clair de la personne concernée (case à cocher, etc..). Et non d’un acte passif ( case pré-cochée, CGU…) Sans ambiguité
  • 46. Dans le cadre d’une application mobile, j’ai besoin de traiter les données personnelles des utilisateurs pour les géolocaliser avril 2018 46  Je peux considérer que l’acceptation des CGU de mes applications par les utilisateurs vaut consentement à traiter leurs données personnelles? (oui/non)  Lorsque j’ai obtenu le consentement de mes utilisateurs pour traiter leurs données de géolocalisation, je peux ultérieurement à d’autres éditeurs d’applications? (oui/non)  Je peux garder dans mon système d’information une trace du consentement des utilisateurs? (oui/non)
  • 47. Dans le cadre d’une application mobile, j’ai besoin de traiter les données personnelles des utilisateurs pour les géolocaliser avril 2018 47  Je peux considérer que l’acceptation des CGU de mes applications par les utilisateurs vaut consentement à traiter leurs données personnelles? (oui/non) NON: Le consentement doit être éclairé : informations apportées directement à la personne et accord de celle-ci, se manifestant par une déclaration ou un acte positif et clair de la personne concernée (tel qu’une case à cocher).  Lorsque j’ai obtenu le consentement de mes utilisateurs pour traiter leurs données de géolocalisation, je peux ultérieurement à d’autres éditeurs d’applications? (oui/non) NON: : Le responsable du traitement n’a pas le droit d’utiliser les données ultérieurement, à des fins incompatibles avec celle pour laquelle le consentement des utilisateurs a été obtenu préalablement. Dans le cas présent, j’ai demandé le consentement des utilisateurs pour traiter leurs données de géolocalisation et non pour les revendre à d’autres éditeurs.  Je peux garder dans mon système d’information une trace du consentement des utilisateurs? (oui/non) OUI: Le GDPR en fait même une obligation. Je dois pouvoir démontrer à tout moment que j’ai obtenu le consentement des utilisateurs afin de traiter leurs données personnelles. Pour ce faire, j’ai besoin de garder des traces d’obtention de ce consentement.
  • 48. avril 2018 48 Le Responsable de traitement
  • 49. Le Responsable de traitement et son sous- traitantavril 2018 49 Le Responsable de Traitement Est défini par le GDPR comme celui qui détermine les moyens et les finalités du traitement. Par exemple, IBM est responsable du traitement des données de sa propre clientèle Le Sous-traitant Est défini comme la personne qui traite des données à caractère personnel pour le compte d’un responsable de traitement. Par exemple, IBM est sous- traitant quand il héberge des données de santé pour le compte d’un hôpital
  • 50. Le Responsable de traitement et son sous- traitantavril 2018 50
  • 51. Le Responsable de traitement et son sous- traitantavril 2018 51 Le RGPD oblige le Responsable des traitements à effectuer une analyse d’impact sur la vie privée. Cette analyse d’impact sur la vie privée est OBLIGATOIRE Lorsqu’un traitement est susceptible d’engendrer un RISQUE ELEVE POUR LES DROITS ET LES LIBERTES des personnes. Par exemple, le traitement à grande échelle de données qualifiées de sensibles par le GDPR.
  • 52. Analyse d’impact? avril 2018 52 • Un établissement bancaire désire mettre en place un traitement fondé sur le profilage automatique de ses clients en vue de leur délivrer des crédits. Doit-il faire au préalable une analyse d’impact sur la vie privée ? (OUI/NON)
  • 53. Analyse d’impact? avril 2018 53 • Un établissement bancaire désire mettre en place un traitement fondé sur le profilage automatique de ses clients en vue de leur délivrer des crédits. Doit-il faire au préalable une analyse d’impact sur la vie privée ? (OUI/NON) OUI: Car ce traitement présente un risque élevé . En effet il est fondé sur le profilage automatique produisant des effets juridiques (obtention ou refus du crédit)
  • 54. Le Responsable de traitement et son sous- traitantavril 2018 54 Le RGPD oblige le Responsable des traitements à une protection des données dès la conception (PRIVACY BY DESIGN) ainsi qu’une protection des données par défaut (PRIVACY BY DEFAULT). Cette OBLIGATION doit être respectée dès la conception du traitement. Les mesures mise en œuvre doivent garantir que, par défaut, seules les DONNEES NECESSAIRES à chaque finalité spécifique du traitement sont traitées. « Mesure qui consiste à prévoir la protection des données dès la conception d’un traitement ». Prévoir dès la conception une purge des données régulièrement Privacy by Design Privacy by Default « Mesure qui permet de garantir que par défaut seules les données nécessaires sont traitées »  Une application nécessitant la géolocalisation ne doit pas rendre active celle-ci tant que l’utilisateur n’a pas donné son consentement.
  • 55. Privacy by design – Privacy by default avril 2018 55  Une entreprise souhaite procéder au traitement des données de ses clients. Doit-elle prévoir la purge de ces données dès la conception du traitement, préalablement à sa mise en œuvre? (oui/non)
  • 56. Privacy by design – Privacy by default avril 2018 56  Une entreprise souhaite procéder au traitement des données de ses clients. Doit-elle prévoir la purge de ces données dès la conception du traitement, préalablement à sa mise en œuvre? (oui/non) OUI: cette fonctionnalité doit être prévue préalablement car la conservation des données doit être limitée dans le temps. C’est une mesure de Privacy by Design.
  • 57. notifier Défaut de sécurité et de confidentialité avril 2018 57 Le GDPR rend OBLIGATOIRE la notification de toute VIOLATION DE DONNEES PERSONNELLES quelques soient le secteur d’activité. Obligations du Responsable de Traitement Obligations du Sous-traitant notifier A l’autorité de protection des données (CNIL) dans les meilleurs délais et si possible dans les 72 H sauf si la violation n’est pas susceptible d’engendrer un risque. A chaque personne concernée dans les meilleurs délais en cas de risque élevé sauf en cas de mesures de protection comme le chiffrement des données. Toute violation au Responsable de Traitement dans les meilleurs délais.
  • 58. Défaut de sécurité et de confidentialité avril 2018 58
  • 59. Défaut de sécurité ou de confidentialité avril 2018 59  Une société de vente par internet découvre qu’une partie de ses données clients a été dérobée. Ces données concernent les numéros de carte bancaire de ses clients, leurs noms, leur adresses. Bien que les données ne soient pas chiffrées, cette société peut attendre 1 mois avant de prévenir la CNIL (VRAI/FAUX)
  • 60. Défaut de sécurité ou de confidentialité avril 2018 60  Une société de vente par internet découvre qu’une partie de ses données clients a été dérobée. Ces données concernent les numéros de carte bancaire de ses clients, leurs noms, leur adresses. Bien que les données ne soient pas chiffrées, cette société peut attendre 1 mois avant de prévenir la CNIL (VRAI/FAUX) • FAUX: Cette violation de données est susceptible d’entraîner un risque pour ses clients. Le responsable de traitement de la société doit en informer la CNIL dans les meilleurs délais et si possible dans les 72H. Elle doit en informer également les clients concernés dans les meilleurs délais car il s’agit d’un risque élevé pour ces derniers.
  • 61. Défaut de sécurité et de confidentialité avril 2018 61
  • 62. Registre interne des activités de traitement avril 2018 62 Cette OBLIGATION s’applique aux Responsables de Traitements et à leurs sous-traitants. Le GDPR impose un certains nombre d’informations à mentionner dans ces registres. Par exemple: type de données traitées, destinataires de ces données, mesures de sécurité prises, les transferts de données, les finalités du traitement
  • 63. Registre des traitements avril 2018 63  AMAZON fournit des services d’hébergement de données clients à des entreprises partenaires. N’étant que le sous-traitant des entreprises dont elle héberge les données clients sans être en relation directe avec lesdits clients, AMAZON n’est pas obligée de tenir un registre des activités au titre du GDPR.(vrai/faux)
  • 64. Registre des traitements avril 2018 64  Orange fournit des services d’hébergement de données clients à des entreprises partenaires. N’étant que le sous-traitant des entreprises dont elle héberge les données clients sans être en relation directe avec lesdits clients, Orange n’est pas tenu de tenir un registre des activités au titre du GDPR.(vrai/faux) FAUX: Le GDPR ne dispense pas les sous- traitants de la tenue du registre des activités de traitement.
  • 65. avril 2018 65 Le DPO : Data Protection Officer
  • 66. La nomination d’un DPO est devenue obligatoire pour la majorité des entreprisesavril 2018 66 La nomination d’un DPO est OBLIGATOIRE pour les organisations publiques et dans la plupart des cas pour les entreprises privées. Le DPO est le chef d’orchestre de la protection des données personnelles dans l’entreprise. Le DPO veille au respect du GDPR dans son entreprise Il conseille le Responsable de Traitement et le sous-traitant Le DPO est le point de contact avec l’autorité de contrôle (CNIL)
  • 67. DPO avril 2018 67  Un médecin spécialiste gère son cabinet privé dans une petite commune. Il a informatisé la gestion administrative des RDV de ses patients. Il est impératif que le médecin désigne un DPO car il traite des données personnelles. (oui/non).
  • 68. DPO avril 2018 68  Un médecin spécialiste gère son cabinet privé dans une petite commune. Il a informatisé la gestion administrative des RDV de ses patients. Il est impératif que le médecin désigne un DPO car il traite des données personnelles. (oui/non). FAUX: Le GDPR n’oblige à désigner un DPO, que les responsables de traitement du secteur privé qui traitent des données personnelles à grande échelle ou font de la surveillance régulière et systématique, ce qui n’est pas le cas de notre médecin pour gérer ses RDV. Il n’est pas tenu de désigner un DPO.
  • 69. Les recommandations de la CNIL pour la mise en place du projetavril 2018 69 Désigner un pilote : le DPO Cartographier vos traitements de données personnelles Prioriser les actions à mener : en fonction des risques Gérer les risques : faire une première analyse d’impact sur la protection des données Organiser les processus internes en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement Documenter la conformité et actualiser la documentation
  • 70. Conclusion : TIPS FOR MARKETING CAMPAINS avril 2018 70
  • 71. L’indispensable « politique de confidentialité »avril 2018 71 Il faudra nécessairement créer une Charte de confidentialité. Soit une pour chaque campagne marketing, soit une globale reprenant tous les traitements et opérations mis en œuvre. Cette charte doit être clairement visible au moment du recueil des données. Politique de confidentialité Charte de confidentialité Charte de vie privée… Autant de noms possibles pour un document OBLIGATOIRE Cette charte devra indiquer clairement : l’identité du Responsable de Traitement, les coordonnées du Délégué à la Protection des données, la finalité des traitements, les personnes pouvant y accéder, le type de données collectées, leur durée de conservation, l’existence du droit de demander l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, la procédure pour exercer son droit d’accès, de rectification et d’effacement.
  • 72. La récolte des consentements durant une campagneavril 2018 72 Le consentement des individus concernant leurs données doit être positif, clair et explicite. Le procédé de collecte doit faire l’objet d’une expression séparée des autres conditions de participation à la campagne ou au concours. Un silence, une case pré-cochée ou l’inactivité de l’individu ne valent pas consentement! Le formulaire de collecte de la campagne comprendra : - Une mention d’information claire - Plusieurs cases à valider obligatoirement : - Le consentement à la collecte et à l’utilisation des données (autant de cases à cocher que de finalités : e-mailing, newsletters, sms, offres commerciales…) - L’acceptation du règlement du jeu ou de l’opération - L’acceptation de la Politique de confidentialité
  • 74. Conserver la preuve du consentement avril 2018 74 L’entreprise doit être capable d’apporter la preuve du consentement.
  • 75. Le RGPD, une opportunité pour les entreprises?avril 2018 75 L’un des objectifs du GDPR est de rétablir un cadre de confiance entre les entreprises et leurs clients. Cette confiance permettra aux entreprises qui sont conformes d’exploiter plus facilement les données de leurs clients sans crainte de se voir sanctionner. De plus, les clients seront plus enclins à solliciter les entreprises qui ont une réputation respectueuse des données personnelles De son entreprise en les allouant aux bons endroits et au juste niveau. Par exemple, introduire la privacy by design permet de ne pas se rendre compte trop tard que le traitement pour lequel on a investi n’est pas conforme et que les ressources utilisées ne pourront pas être rentabilisées. Par exemple : Etant donné que les responsables de traitement auront avec le GDPR l’obligation de ne choisir qu’un sous-traitant présentant des garanties suffisantes de conformité au GDPR, les marchés seront plus ouverts aux fournisseurs conformes qu’à ceux qui ne le sont pas. ACCROITRE LA CONFIANCE OPTIMISER LES RESSOURCES AVANTAGE CONCURRENTIEL
  • 76. Vers un marketing plus qualitatif avec le RGPD?avril 2018 76
  • 79. Pour aller plus loin… avril 2018 79 Et pour devenir un expert du RGPD, n’hésitez pas à consulter:  Le site de la CNIL  Les nombreux livres blancs, articles ou infographies que vous retrouverez en ligne  Ou encore les tutoriels vidéos, là encore, très nombreux! Et si le RGPD n’est pas votre tasse de thé, faites-vous accompagnés pour être en conformité. Là encore, de nombreux professionnels vous proposeront leurs prestations. C’est un vrai Business!
  • 80. Retrouvez l’essentiel du marketing digital sur www.bananepourpre.fravril 2018 80