SlideShare une entreprise Scribd logo

ISDay 2018 - Atelier RGPD

Inforsud Diffusion
Inforsud Diffusion

ISDay 2018 - Atelier RGPD

Droit
1  sur  21
Télécharger pour lire hors ligne
RGPD Objectif Conformité Philippe Wallaert Avocat associé, Morvilliers Sentenac & Associés Toulouse|Bordeaux
RGPD Objectif Conformité 25 mai 2018 … Il n’est pas trop tard
RGPD Objectif Conformité • Le Règlement Général sur la Protection des Données (« RGPD ») est applicable depuis le 25 mai 2018. Depuis cette date, les entreprises doivent être conformes à cette nouvelle réglementation. • Quels sont les impacts opérationnels au sein de votre entreprise ? Comment mettre en place concrètement un plan de mise en conformité ?
RGPD Objectif Conformité Les principaux changements issus de la réforme Les impacts concrets dans la gestion des fichiers de l’entreprise Un Etat des lieux
RGPD Objectif Conformité 1. Les principaux changements issus de la réforme Un cadre juridique unifié • champ d’application territorial (critère du ciblage) De nouvelles définitions • donnée personnelle, consentement, … Un renforcement des droits des personnes • consentement (mais aussi d’autres bases juridiques : intérêt légitime, contrat, disposition légale), information, nouveaux droits (portabilité, retrait, …) Une responsabilité accrue des acteurs • « accountability », sous-traitants, « privacy by design », « privacy by default », sécurité et confidentialité, information, notification des violations, études d’impact (PIA), … Le cadre des transferts hors UE • garanties appropriées, décision d’adéquation, règles d’entreprises contraignantes (BCR), clauses contractuelles types, Privacy Shield Des sanctions renforcées • administratives (avertissement, mise en demeure, injonction, …), pécuniaires (selon la catégorie de l’infraction, de 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, de 2% jusqu’à 4% du chiffre d'affaires annuel mondial)
RGPD Objectif Conformité 2. Les impacts concrets dans la gestion des fichiers de l’entreprise • Toutes les organisations sont concernées (entreprises, collectivités, associations, …) • Tous les fichiers sont concernés (RH, marketing, comptabilité, clients, …) • Les contrats clients/fournisseurs doivent être modifiés • Les processus internes doivent être adaptés (sécurité, …) • Les personnels doivent être sensibilisés (information, formation)
RGPD Objectif Conformité Les bonnes pratiques : les points clés pour bien se préparer Désigner un interlocuteur Cartographier les traitements existants Mettre en place un plan de mise en conformité Organiser les processus internes, sensibiliser et formes les équipes Documenter la conformité, créer un registre
RGPD Objectif Conformité 1. Désigner un interlocuteur Un DPO • La désignation d’un DPO est obligatoire dans les entreprises dont l’activité de base les amène à réaliser un suivi régulier et systématique des personnes à grande échelle, ou à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions Un responsable • La désignation d’une « task force » est fortement recommandée dans toutes les organisations
RGPD Objectif Conformité 2. Cartographier les traitements existants QUI ? • Inscrivez le nom et les coordonnées du responsable du traitement (et de son représentant légal) et, le cas échéant, du délégué à la protection des données • Identifiez les responsables des services opérationnels traitant les données au sein de votre organisme • Etablissez la liste des sous-traitants QUOI ? • Identifiez les catégories de données traitées • Identifiez les données susceptibles de soulever des risques en raison de leur sensibilité particulière (par exemple, les données relatives à la santé ou les infractions) POURQUOI • Indiquez la ou les finalités pour lesquelles vous collectez ou traitez ces données (exemple : gestion de la relation commerciale, gestion RH…) OÙ ? • Déterminez le lieu où les données sont hébergées • Indiquez quels pays les données sont éventuellement transférées JUSQU’À QUAND ? • Indiquez, pour chaque catégorie de données, combien de temps vous les conservez COMMENT ? • Quelles mesures de sécurité sont mises en œuvre pour minimiser les risques d’accès non autorisés aux données et donc d’impact sur la vie privée des personnes concernées
RGPD Objectif Conformité 2. Cartographier les traitements existants • Il s’agit d’expliciter les règles à appliquer, qui différent selon le degré de criticité des données • Les traitements présentant des risques élevés pour les droits et libertés font l’objet d’une étude d'impact (« Privacy Impact Assessment » ou PIA) • Quelles sont les mesures organisationnelles (personnes habilitées) et sécuritaires (anonymisation, chiffrement, …) à mettre en place ? • Dépendant de la finalité du traitement, la durée de la conservation des données doit être également établie • Les données seront-elles ensuite archivées ou supprimées ?
RGPD Objectif Conformité 3. Mettre en place un plan de mise en conformité • Assurez-vous que seules les données strictement nécessaires à la poursuite de vos objectifs sont collectées et traitées • Identifiez la base juridique sur laquelle se fonde votre traitement (par exemple : consentement de la personne, intérêt légitime, contrat, obligation légale) • Révisez vos mentions d’information afin qu’elles soient conformes aux exigences du règlement (articles 12, 13 et 14 du RGPD) • Vérifiez que vos sous-traitants connaissent leurs nouvelles obligations et leurs responsabilités, assurez-vous de l’existence de clauses contractuelles rappelant les obligations du sous-traitant en matière de sécurité, de confidentialité et de protection des données personnelles traitées • Prévoyez les modalités d'exercice des droits des personnes concernées (droit d'accès, de rectification, droit à la portabilité, retrait du consentement...) • Vérifiez les mesures de sécurité mises en place
RGPD Objectif Conformité 3. Mettre en place un plan de mise en conformité VOUS TRAITEZ CERTAINS TYPES DE DONNÉES • des données qui révèlent l’origine prétendument raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, • des données concernant la santé ou l’orientation sexuelle, • des données génétiques ou biométriques, • des données d’infraction ou de condamnation pénale, • des données concernant des mineurs. VOTRE TRAITEMENT A POUR OBJET OU POUR EFFET • la surveillance systématique à grande échelle d'une zone accessible au public ; • l'évaluation systématique et approfondie d'aspects personnels, y compris le profilage, sur la base de laquelle vous prenez des décisions produisant des effets juridiques à l'égard d'une personne physique ou l'affectant de manière significative. VOUS TRANSFÉREZ DES DONNÉES HORS DE L'UNION EUROPÉENNE • vérifiez que le pays vers lequel vous transférez les données est reconnu comme adéquat par la Commission européenne ; • dans le cas contraire, encadrez vos transferts. Si vos traitements répondent à ces caractéristiques, des mesures particulières peuvent s’appliquer (exemple : étude d'impact sur la protection des données (PIA), information renforcée, recueil du consentement, autorisation préalable, clauses contractuelles, …).
RGPD Objectif Conformité 4. Organiser les processus internes, sensibiliser et formes les équipes • Prendre en compte de la protection des données personnelles dès la conception d’une application ou d’un traitement (minimisation de la collecte de données au regard de la finalité, cookies, durée de conservation, mentions d’information, recueil du consentement, sécurité et confidentialité des données s’assurer du rôle et de la responsabilité des acteurs impliqués dans la mise en œuvre de traitements de données) • Sensibiliser et d'organiser la remontée d’information en construisant notamment un plan de formation et de communication auprès de vos collaborateurs • Traiter les réclamations et les demandes des personnes concernées quant à l’exercice de leurs droits (droits d’accès, de rectification, d’opposition, droit à la portabilité, retrait du consentement) en définissant les acteurs et les modalités (l'exercice des droits doit pouvoir se faire par voie électronique, si les données ont été collectées par ce moyen) • Anticiper les violations de données en prévoyant, dans certains cas, la notification à l’autorité de protection des données dans les 72 heures et aux personnes concernées dans les meilleurs délais
RGPD Objectif Conformité 4. Organiser les processus internes, sensibiliser et formes les équipes . Dresser l’ensemble des processus internes qui vont garantir l’intégrité et la protection des données tout au long de la vie d’un traitement • Comment prendre en compte cette protection dès la conception d’un traitement ? • Comment seront traitées les demandes des personnes faisant valoir l’exercice de leurs droits ? • En cas de violation, quelle est la chaîne de responsabilité ? Mettre en place la gouvernance spécifique visant à garantir l’intégrité de la donnée tout au long de la vie, de la collecte à sa suppression. • Comment assurer le plus haut niveau de protection dès la conception d’un nouveau traitement (privacy by design) ? • Comment seront traitées les demandes des personnes fichées faisant valoir l’exercice de leurs droits ? • Quelle est la chaîne de responsabilités en cas de fuite de données sachant qu’en principe la Cnil doit être alertée sous 72 heures ?
RGPD Objectif Conformité 5. Documenter la conformité, créer un registre LA DOCUMENTATION SUR VOS TRAITEMENTS DE DONNÉES PERSONNELLES • Le registre des traitements (pour les responsables de traitements) ou des catégories d’activités de traitements (pour les sous-traitants) • Les analyses d’impact sur la protection des données (PIA) pour les traitements susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes • L'encadrement des transferts de données hors de l'Union européenne (notamment, les clauses contractuelles types, les BCR et certifications) L'INFORMATION DES PERSONNES • Les mentions d’information • ​Les modèles de recueil du consentement des personnes concernées, • Les procédures mises en place pour l'exercice des droits LES CONTRATS QUI DÉFINISSENT LES RÔLES ET LES RESPONSABILITÉS DES ACTEURS • Les contrats avec les sous-traitants • Les procédures internes en cas de violations de données • Les preuves que les personnes concernées ont donné leur consentement lorsque le traitement de leurs données repose sur cette base.
RGPD Objectif Conformité • Liens officiels http://www.cnil.fr/fr https://www.autoriteprotectiondonnees.be/ https://rgpd.medef.com/ • Liens juridiques http://france.taylorwessing.com/en/gdpr-assessment-tool http://www.gdpr-expert.eu/#textesofficiels Liens utiles
RGPD Objectif Conformité Les fondamentaux de la gestion d'un projet de mise en conformité au RGPD • Les concepts clés du projet de mise en conformité au RGPD • Rédiger un cahier des charges et contractualiser les objectifs • Découper le projet en taches cohérentes • Identifier les contenus et mes ressources nécessaires des tâches à exécuter • Construire l'organigramme des tâches • Définir les procédures de prise de décision • Susciter et entretenir l'implication de l'équipe • Organiser les revues entre phases • Établir un budget et un calendrier prévisionnels • Placer le projet dans la politique générale de l'entreprise • Constituer la documentation du projet • Suivi des indicateurs et des tableaux de bord • Assurer la qualité des prestations Etape n°1 : établir une cartographie réglementaire • Phase 1 : Réunion de cadrage : l'équipe projet • Phase 2 : Recensement des traitements et cartographie juridique • Phase 3 : Analyse de conformité, la Compliance Data : référentiel légal, analyse des risques, rapports, radar juridique • Phase 4 : plan de communication des résultats au métier (outils : modèle de support de restitution) Etape n°2 : Etablir un chemin de route GDPR • Plan d'actions • Priorisation des actions • Calendrier prévisionnel • Métiers impliqués • Outil : tableau Excel structuré Etape n°3 : Réaliser les actions de mise en conformité : Méthode RACI (Réalisation – Accountable – Consultation - Information) • Commencer par les non-conformités majeures • Adopter une approche par les processus • Impliquer le business par la mise en oeuvre de groupes de travail • Adopter une approche s'appuyant sur des Core models à déployer localement • Échanger ou statuer sur les demandes ou les contraintes spécifiques • Construire une démarche ouverte afin d'impliquer positivement les métiers Etape n°4 : Implémenter les actions et assurer leur suivi • Plan d'implémentation • Réseau de correspondants international • Localisation des documents • Vérification de leur mise en oeuvre (outil : grille d'audit de contrôle)
RGPD Objectif Conformité Fiche de registre ref-000 Description du traitement Nom / sigle N° / REFref-000 Date de création Mise à jour Acteurs Nom Adresse CP Ville Pays Tel Responsable du traitement Délégué à la protection des données Représentant Responsable(s) conjoint(s) Finalité(s) du traitement effectué Finalité principale Sous-finalité 1 Sous-finalité 2 Sous-finalité 3 Sous-finalité 4 Sous-finalité 5 Mesures de sécurité Mesures de sécurité techniques Mesures de sécurité organisationnelles Catégories de données personnelles concernées Description Délai d'effacement Etat civil, identité, données d'identification, images… Vie personnelle (habitudes de vie, situation familiale, etc.) Informations d'ordre économique et financier (revenus, situation financière, situation fiscale,etc.) Données de connexion (adress IP, logs, etc.) Données de localisation (déplacements, données GPS, GSM, etc.) Données sensiblesDescription Délai d'effacement Données révèlant l'origine racialeou ethnique Données révèlant les opinions politiques Données révèlant les convictions religieuses ou philosophiques Données révèlant l'appartenance syndicale Données génétiques Données biométriques aux fins d'identifier une personne physique de manière unique Données concernant la santé Données concernant la vie sexuelle ou l'orientation sexuelle Données relatives à des condamnations pénales ou infractions Numéro d'identification national unique (NIR pour la France) Catégories de personnes concernéesDescription Catégorie de personnes 1 Catégorie de personnes 2 DestinatairesDescription Type de destinataire Destinataire 1 Destinataire 2 Destinataire 3 Destinataire 4 Tranferts hors UEDestinataire Pays Type de Garanties Lien vers le doc Organismedestinataire 1 Organismedestinataire 2 Organismedestinataire 3 Organismedestinataire 4 Identification du traitement Acteurs Finalité du traitement Transferts hors UE ? Données sensibles ? Nom / sigle N° / REF Date de création Dernière mise à jour Responsable du traitement Finalité principale Oui /non Oui/non
RGPD Objectif Conformité
RGPD Objectif Conformité Liens utiles
RGPD Objectif Conformité Philippe Wallaert | wallaert@msgw.com Morvilliers Sentenac & Associés Toulouse 18, rue Lafayette | Bordeaux 61, cours Pasteur Tel. +33 (0)5 62 27 50 50 http://www.ms-associes.com

Recommandé

Rgpd
RgpdRgpd
RgpdOhWeb Sas
 
Obligations RGPD : Comment-agir ?
Obligations RGPD : Comment-agir ?Obligations RGPD : Comment-agir ?
Obligations RGPD : Comment-agir ?Laïaché LAMRANI ★
 
Competitic gestion des données personnelles et obligations - numerique en e...
Competitic gestion des données personnelles et obligations - numerique en e...Competitic gestion des données personnelles et obligations - numerique en e...
Competitic gestion des données personnelles et obligations - numerique en e...COMPETITIC
 
Comment se mettre en conformité avec le GDPR ?
Comment se mettre en conformité avec le GDPR ?Comment se mettre en conformité avec le GDPR ?
Comment se mettre en conformité avec le GDPR ?Pramana
 
Comment ACCESS GROUP se prépare à la réglementation GDPR/RGPD ?
Comment ACCESS GROUP se prépare à la réglementation GDPR/RGPD ?Comment ACCESS GROUP se prépare à la réglementation GDPR/RGPD ?
Comment ACCESS GROUP se prépare à la réglementation GDPR/RGPD ?ACCESS Group
 
Rgpd presentation
Rgpd presentationRgpd presentation
Rgpd presentationgnizon
 
ISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPDISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPDAgathe Rouviere 🚀
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesTerface
 

Recommandé

Rgpd
RgpdRgpd
RgpdOhWeb Sas
 
Obligations RGPD : Comment-agir ?
Obligations RGPD : Comment-agir ?Obligations RGPD : Comment-agir ?
Obligations RGPD : Comment-agir ?Laïaché LAMRANI ★
 
Competitic gestion des données personnelles et obligations - numerique en e...
Competitic gestion des données personnelles et obligations - numerique en e...Competitic gestion des données personnelles et obligations - numerique en e...
Competitic gestion des données personnelles et obligations - numerique en e...COMPETITIC
 
Comment se mettre en conformité avec le GDPR ?
Comment se mettre en conformité avec le GDPR ?Comment se mettre en conformité avec le GDPR ?
Comment se mettre en conformité avec le GDPR ?Pramana
 
Comment ACCESS GROUP se prépare à la réglementation GDPR/RGPD ?
Comment ACCESS GROUP se prépare à la réglementation GDPR/RGPD ?Comment ACCESS GROUP se prépare à la réglementation GDPR/RGPD ?
Comment ACCESS GROUP se prépare à la réglementation GDPR/RGPD ?ACCESS Group
 
Rgpd presentation
Rgpd presentationRgpd presentation
Rgpd presentationgnizon
 
ISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPDISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPDAgathe Rouviere 🚀
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesTerface
 
Présentation Informatique et libertés au CNRS
Présentation Informatique et libertés au CNRSPrésentation Informatique et libertés au CNRS
Présentation Informatique et libertés au CNRSMarc Guichard
 
Webinar : Reprenez le contrôle de votre capital informationnel avec Everteam
Webinar : Reprenez le contrôle de votre capital informationnel avec EverteamWebinar : Reprenez le contrôle de votre capital informationnel avec Everteam
Webinar : Reprenez le contrôle de votre capital informationnel avec EverteamEverteam
 
RGPD
RGPDRGPD
RGPDChris Gaillard
 
Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...Claranet
 
Protection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentielProtection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentielPierre MASSOT
 
GDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico LégauxGDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico LégauxYves Gattegno
 
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018cedric delberghe
 
RGPD: comment la virtualisation des données vous garantit conformité, gouvern...
RGPD: comment la virtualisation des données vous garantit conformité, gouvern...RGPD: comment la virtualisation des données vous garantit conformité, gouvern...
RGPD: comment la virtualisation des données vous garantit conformité, gouvern...Denodo
 
Comment atteindre la conformité au RGPD
Comment atteindre la conformité au RGPDComment atteindre la conformité au RGPD
Comment atteindre la conformité au RGPDForums financiers de Wallonie
 
Atelier 8 - RGPD - Conférence Thierry Preel 2019
Atelier 8 - RGPD - Conférence Thierry Preel 2019Atelier 8 - RGPD - Conférence Thierry Preel 2019
Atelier 8 - RGPD - Conférence Thierry Preel 2019Tarn Tourisme
 
earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...Lexing - Belgium
 
Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen Thiebaut Devergranne
 
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?Boris Clément
 
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Johan-André Jeanville
 
Rgpd simplifié - Présentation CGA du 22/05/2018
Rgpd simplifié - Présentation CGA du 22/05/2018Rgpd simplifié - Présentation CGA du 22/05/2018
Rgpd simplifié - Présentation CGA du 22/05/2018cedric delberghe
 
RGPD / GDPR : Principes, Démarche, Outils
RGPD / GDPR : Principes, Démarche, OutilsRGPD / GDPR : Principes, Démarche, Outils
RGPD / GDPR : Principes, Démarche, OutilsaYaline
 
Enjeux du RGPD pour les PME
Enjeux du RGPD pour les PMEEnjeux du RGPD pour les PME
Enjeux du RGPD pour les PMEFred Gerdil
 
Opendata: quels contrôles des données publiques par les collectivités?
Opendata: quels contrôles des données publiques par les collectivités?Opendata: quels contrôles des données publiques par les collectivités?
Opendata: quels contrôles des données publiques par les collectivités?PierreDesmarais6
 
Protection des données personnelles
Protection des données personnelles Protection des données personnelles
Protection des données personnelles Prof. Jacques Folon (Ph.D)
 
Rgpd cdg 13 2018.compressed
Rgpd cdg 13 2018.compressedRgpd cdg 13 2018.compressed
Rgpd cdg 13 2018.compressedDominique Gayraud
 
SÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPDSÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPDTelecomValley
 
Adetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketingAdetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketingLuc-Marie AUGAGNEUR
 

Contenu connexe

Tendances

Présentation Informatique et libertés au CNRS
Présentation Informatique et libertés au CNRSPrésentation Informatique et libertés au CNRS
Présentation Informatique et libertés au CNRSMarc Guichard
 
Webinar : Reprenez le contrôle de votre capital informationnel avec Everteam
Webinar : Reprenez le contrôle de votre capital informationnel avec EverteamWebinar : Reprenez le contrôle de votre capital informationnel avec Everteam
Webinar : Reprenez le contrôle de votre capital informationnel avec EverteamEverteam
 
Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...Claranet
 
Protection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentielProtection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentielPierre MASSOT
 
GDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico LégauxGDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico LégauxYves Gattegno
 
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018cedric delberghe
 
RGPD: comment la virtualisation des données vous garantit conformité, gouvern...
RGPD: comment la virtualisation des données vous garantit conformité, gouvern...RGPD: comment la virtualisation des données vous garantit conformité, gouvern...
RGPD: comment la virtualisation des données vous garantit conformité, gouvern...Denodo
 
Atelier 8 - RGPD - Conférence Thierry Preel 2019
Atelier 8 - RGPD - Conférence Thierry Preel 2019Atelier 8 - RGPD - Conférence Thierry Preel 2019
Atelier 8 - RGPD - Conférence Thierry Preel 2019Tarn Tourisme
 
earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...Lexing - Belgium
 
Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen Thiebaut Devergranne
 
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?Boris Clément
 
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Johan-André Jeanville
 
Rgpd simplifié - Présentation CGA du 22/05/2018
Rgpd simplifié - Présentation CGA du 22/05/2018Rgpd simplifié - Présentation CGA du 22/05/2018
Rgpd simplifié - Présentation CGA du 22/05/2018cedric delberghe
 
RGPD / GDPR : Principes, Démarche, Outils
RGPD / GDPR : Principes, Démarche, OutilsRGPD / GDPR : Principes, Démarche, Outils
RGPD / GDPR : Principes, Démarche, OutilsaYaline
 
Enjeux du RGPD pour les PME
Enjeux du RGPD pour les PMEEnjeux du RGPD pour les PME
Enjeux du RGPD pour les PMEFred Gerdil
 
Opendata: quels contrôles des données publiques par les collectivités?
Opendata: quels contrôles des données publiques par les collectivités?Opendata: quels contrôles des données publiques par les collectivités?
Opendata: quels contrôles des données publiques par les collectivités?PierreDesmarais6
 

Tendances (20)

Présentation Informatique et libertés au CNRS
Présentation Informatique et libertés au CNRSPrésentation Informatique et libertés au CNRS
Présentation Informatique et libertés au CNRS
 
Webinar : Reprenez le contrôle de votre capital informationnel avec Everteam
Webinar : Reprenez le contrôle de votre capital informationnel avec EverteamWebinar : Reprenez le contrôle de votre capital informationnel avec Everteam
Webinar : Reprenez le contrôle de votre capital informationnel avec Everteam
 
RGPD
RGPDRGPD
RGPD
 
Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...
 
Protection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentielProtection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentiel
 
GDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico LégauxGDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico Légaux
 
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
 
RGPD: comment la virtualisation des données vous garantit conformité, gouvern...
RGPD: comment la virtualisation des données vous garantit conformité, gouvern...RGPD: comment la virtualisation des données vous garantit conformité, gouvern...
RGPD: comment la virtualisation des données vous garantit conformité, gouvern...
 
Comment atteindre la conformité au RGPD
Comment atteindre la conformité au RGPDComment atteindre la conformité au RGPD
Comment atteindre la conformité au RGPD
 
Atelier 8 - RGPD - Conférence Thierry Preel 2019
Atelier 8 - RGPD - Conférence Thierry Preel 2019Atelier 8 - RGPD - Conférence Thierry Preel 2019
Atelier 8 - RGPD - Conférence Thierry Preel 2019
 
earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...
 
Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen
 
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
 
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
 
Rgpd simplifié - Présentation CGA du 22/05/2018
Rgpd simplifié - Présentation CGA du 22/05/2018Rgpd simplifié - Présentation CGA du 22/05/2018
Rgpd simplifié - Présentation CGA du 22/05/2018
 
RGPD / GDPR : Principes, Démarche, Outils
RGPD / GDPR : Principes, Démarche, OutilsRGPD / GDPR : Principes, Démarche, Outils
RGPD / GDPR : Principes, Démarche, Outils
 
Enjeux du RGPD pour les PME
Enjeux du RGPD pour les PMEEnjeux du RGPD pour les PME
Enjeux du RGPD pour les PME
 
Opendata: quels contrôles des données publiques par les collectivités?
Opendata: quels contrôles des données publiques par les collectivités?Opendata: quels contrôles des données publiques par les collectivités?
Opendata: quels contrôles des données publiques par les collectivités?
 
Protection des données personnelles
Protection des données personnelles Protection des données personnelles
Protection des données personnelles
 
Rgpd cdg 13 2018.compressed
Rgpd cdg 13 2018.compressedRgpd cdg 13 2018.compressed
Rgpd cdg 13 2018.compressed
 

Similaire à ISDay 2018 - Atelier RGPD

SÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPDSÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPDTelecomValley
 
Adetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketingAdetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketingLuc-Marie AUGAGNEUR
 
presentation_rgpd_062018.pptx
presentation_rgpd_062018.pptxpresentation_rgpd_062018.pptx
presentation_rgpd_062018.pptxSidiAbdallah1
 
"Take the L.E.A.D." l'offre globale de Sedona
"Take the L.E.A.D." l'offre globale de Sedona"Take the L.E.A.D." l'offre globale de Sedona
"Take the L.E.A.D." l'offre globale de SedonaAgence West
 
Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...
Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...
Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...Mailjet
 
BAROMÈTRE RGPD
BAROMÈTRE RGPDBAROMÈTRE RGPD
BAROMÈTRE RGPDConverteo
 
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018David Blampain
 
Parishanghai presentation rgpd
Parishanghai presentation rgpdParishanghai presentation rgpd
Parishanghai presentation rgpdPARISHANGHAI
 
Club Excellence Opérationnelle : RGPD pour les TPE/PME
Club Excellence Opérationnelle : RGPD pour les TPE/PMEClub Excellence Opérationnelle : RGPD pour les TPE/PME
Club Excellence Opérationnelle : RGPD pour les TPE/PMELoïc Charpentier
 
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper Guillaume Valcin
 
Données personnelles et SI - GDPR
Données personnelles et SI - GDPRDonnées personnelles et SI - GDPR
Données personnelles et SI - GDPRAntoine Vigneron
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATAISACA Chapitre de Québec
 
Règlement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UERèglement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UEPECB
 
GDPR, tous concernés ! Le Règlement Général de la Protection des Donnée en un...
GDPR, tous concernés ! Le Règlement Général de la Protection des Donnée en un...GDPR, tous concernés ! Le Règlement Général de la Protection des Donnée en un...
GDPR, tous concernés ! Le Règlement Général de la Protection des Donnée en un...EnjoyDigitAll by BNP Paribas
 
protection des données
protection des donnéesprotection des données
protection des donnéesSabriElBeya
 
Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018Pierre Ammeloot
 

Similaire à ISDay 2018 - Atelier RGPD (20)

SÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPDSÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPD
 
Adetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketingAdetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketing
 
Rgpd
RgpdRgpd
Rgpd
 
presentation_rgpd_062018.pptx
presentation_rgpd_062018.pptxpresentation_rgpd_062018.pptx
presentation_rgpd_062018.pptx
 
"Take the L.E.A.D." l'offre globale de Sedona
"Take the L.E.A.D." l'offre globale de Sedona"Take the L.E.A.D." l'offre globale de Sedona
"Take the L.E.A.D." l'offre globale de Sedona
 
Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...
Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...
Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...
 
BAROMÈTRE RGPD
BAROMÈTRE RGPDBAROMÈTRE RGPD
BAROMÈTRE RGPD
 
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
 
Parishanghai presentation rgpd
Parishanghai presentation rgpdParishanghai presentation rgpd
Parishanghai presentation rgpd
 
Club Excellence Opérationnelle : RGPD pour les TPE/PME
Club Excellence Opérationnelle : RGPD pour les TPE/PMEClub Excellence Opérationnelle : RGPD pour les TPE/PME
Club Excellence Opérationnelle : RGPD pour les TPE/PME
 
Droit Et Deontologie Partie 1 Isfsc Sept 2009
Droit Et Deontologie Partie 1 Isfsc Sept 2009Droit Et Deontologie Partie 1 Isfsc Sept 2009
Droit Et Deontologie Partie 1 Isfsc Sept 2009
 
Workshop CNIL
Workshop CNILWorkshop CNIL
Workshop CNIL
 
Atelier RGPD ANDRH 27.03.18
Atelier RGPD ANDRH 27.03.18Atelier RGPD ANDRH 27.03.18
Atelier RGPD ANDRH 27.03.18
 
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
 
Données personnelles et SI - GDPR
Données personnelles et SI - GDPRDonnées personnelles et SI - GDPR
Données personnelles et SI - GDPR
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATA
 
Règlement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UERèglement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UE
 
GDPR, tous concernés ! Le Règlement Général de la Protection des Donnée en un...
GDPR, tous concernés ! Le Règlement Général de la Protection des Donnée en un...GDPR, tous concernés ! Le Règlement Général de la Protection des Donnée en un...
GDPR, tous concernés ! Le Règlement Général de la Protection des Donnée en un...
 
protection des données
protection des donnéesprotection des données
protection des données
 
Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018
 

Plus de Inforsud Diffusion

ISDay 2018 - Atelier Sage 100cloud
ISDay 2018 - Atelier Sage 100cloudISDay 2018 - Atelier Sage 100cloud
ISDay 2018 - Atelier Sage 100cloudInforsud Diffusion
 
ISDay 2018 - Atelier Sage Paie
ISDay 2018 - Atelier Sage PaieISDay 2018 - Atelier Sage Paie
ISDay 2018 - Atelier Sage PaieInforsud Diffusion
 
ISDay 2018 - Atelier Sonicwall
ISDay 2018 - Atelier SonicwallISDay 2018 - Atelier Sonicwall
ISDay 2018 - Atelier SonicwallInforsud Diffusion
 
ISDay 2018 - Atelier Réseaux Sociaux
ISDay 2018 - Atelier Réseaux SociauxISDay 2018 - Atelier Réseaux Sociaux
ISDay 2018 - Atelier Réseaux SociauxInforsud Diffusion
 
ISDay 2017 - Atelier Juridique
ISDay 2017 - Atelier JuridiqueISDay 2017 - Atelier Juridique
ISDay 2017 - Atelier JuridiqueInforsud Diffusion
 
ISDay 2017 - Atelier Sage FRP 1000
ISDay 2017 - Atelier Sage FRP 1000ISDay 2017 - Atelier Sage FRP 1000
ISDay 2017 - Atelier Sage FRP 1000Inforsud Diffusion
 
Le Nuage Aveyronnais au service de la performance de l'entreprise
Le Nuage Aveyronnais au service de la performance de l'entrepriseLe Nuage Aveyronnais au service de la performance de l'entreprise
Le Nuage Aveyronnais au service de la performance de l'entrepriseInforsud Diffusion
 
Sage Paie i7 - Inforsud Diffusion
Sage Paie i7 - Inforsud DiffusionSage Paie i7 - Inforsud Diffusion
Sage Paie i7 - Inforsud DiffusionInforsud Diffusion
 

Plus de Inforsud Diffusion (20)

ISDay 2018 - Atelier Cisco
ISDay 2018 - Atelier CiscoISDay 2018 - Atelier Cisco
ISDay 2018 - Atelier Cisco
 
ISDay 2018 - Atelier Veeam
ISDay 2018 - Atelier VeeamISDay 2018 - Atelier Veeam
ISDay 2018 - Atelier Veeam
 
ISDay 2018 - Atelier Sage 100cloud
ISDay 2018 - Atelier Sage 100cloudISDay 2018 - Atelier Sage 100cloud
ISDay 2018 - Atelier Sage 100cloud
 
ISDay 2018 - Atelier Sage Paie
ISDay 2018 - Atelier Sage PaieISDay 2018 - Atelier Sage Paie
ISDay 2018 - Atelier Sage Paie
 
ISDay 2018 - Atelier Sonicwall
ISDay 2018 - Atelier SonicwallISDay 2018 - Atelier Sonicwall
ISDay 2018 - Atelier Sonicwall
 
ISDay 2018 - Atelier HPE
ISDay 2018 - Atelier HPEISDay 2018 - Atelier HPE
ISDay 2018 - Atelier HPE
 
ISDay 2018 - Atelier Réseaux Sociaux
ISDay 2018 - Atelier Réseaux SociauxISDay 2018 - Atelier Réseaux Sociaux
ISDay 2018 - Atelier Réseaux Sociaux
 
ISDay 2018 - Atelier Infineo
ISDay 2018 - Atelier InfineoISDay 2018 - Atelier Infineo
ISDay 2018 - Atelier Infineo
 
ISDay 2017 - Atelier Juridique
ISDay 2017 - Atelier JuridiqueISDay 2017 - Atelier Juridique
ISDay 2017 - Atelier Juridique
 
Isday 2017 - Atelier Cisco
Isday 2017 - Atelier CiscoIsday 2017 - Atelier Cisco
Isday 2017 - Atelier Cisco
 
ISDay 2017 - Atelier Sage FRP 1000
ISDay 2017 - Atelier Sage FRP 1000ISDay 2017 - Atelier Sage FRP 1000
ISDay 2017 - Atelier Sage FRP 1000
 
ISDay 2017 - Sage 100 C
ISDay 2017 - Sage 100 CISDay 2017 - Sage 100 C
ISDay 2017 - Sage 100 C
 
ISDay 2017 - Atelier Edokial
ISDay 2017 - Atelier EdokialISDay 2017 - Atelier Edokial
ISDay 2017 - Atelier Edokial
 
ISDay 2017 - Atelier HPE
ISDay 2017 - Atelier HPEISDay 2017 - Atelier HPE
ISDay 2017 - Atelier HPE
 
ISDay 2017 - Atelier Arcserve
ISDay 2017 - Atelier ArcserveISDay 2017 - Atelier Arcserve
ISDay 2017 - Atelier Arcserve
 
ISDay2017 - Réseaux Sociaux
ISDay2017 - Réseaux SociauxISDay2017 - Réseaux Sociaux
ISDay2017 - Réseaux Sociaux
 
Calendrier DSN & Sage Paie RH
Calendrier DSN & Sage Paie RHCalendrier DSN & Sage Paie RH
Calendrier DSN & Sage Paie RH
 
Le Nuage Aveyronnais au service de la performance de l'entreprise
Le Nuage Aveyronnais au service de la performance de l'entrepriseLe Nuage Aveyronnais au service de la performance de l'entreprise
Le Nuage Aveyronnais au service de la performance de l'entreprise
 
Sage Paie i7 - Inforsud Diffusion
Sage Paie i7 - Inforsud DiffusionSage Paie i7 - Inforsud Diffusion
Sage Paie i7 - Inforsud Diffusion
 
Sage i7 DSN
Sage i7 DSNSage i7 DSN
Sage i7 DSN
 

ISDay 2018 - Atelier RGPD

  • 1. RGPD Objectif Conformité Philippe Wallaert Avocat associé, Morvilliers Sentenac & Associés Toulouse|Bordeaux
  • 2. RGPD Objectif Conformité 25 mai 2018 … Il n’est pas trop tard
  • 3. RGPD Objectif Conformité • Le Règlement Général sur la Protection des Données (« RGPD ») est applicable depuis le 25 mai 2018. Depuis cette date, les entreprises doivent être conformes à cette nouvelle réglementation. • Quels sont les impacts opérationnels au sein de votre entreprise ? Comment mettre en place concrètement un plan de mise en conformité ?
  • 4. RGPD Objectif Conformité Les principaux changements issus de la réforme Les impacts concrets dans la gestion des fichiers de l’entreprise Un Etat des lieux
  • 5. RGPD Objectif Conformité 1. Les principaux changements issus de la réforme Un cadre juridique unifié • champ d’application territorial (critère du ciblage) De nouvelles définitions • donnée personnelle, consentement, … Un renforcement des droits des personnes • consentement (mais aussi d’autres bases juridiques : intérêt légitime, contrat, disposition légale), information, nouveaux droits (portabilité, retrait, …) Une responsabilité accrue des acteurs • « accountability », sous-traitants, « privacy by design », « privacy by default », sécurité et confidentialité, information, notification des violations, études d’impact (PIA), … Le cadre des transferts hors UE • garanties appropriées, décision d’adéquation, règles d’entreprises contraignantes (BCR), clauses contractuelles types, Privacy Shield Des sanctions renforcées • administratives (avertissement, mise en demeure, injonction, …), pécuniaires (selon la catégorie de l’infraction, de 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, de 2% jusqu’à 4% du chiffre d'affaires annuel mondial)
  • 6. RGPD Objectif Conformité 2. Les impacts concrets dans la gestion des fichiers de l’entreprise • Toutes les organisations sont concernées (entreprises, collectivités, associations, …) • Tous les fichiers sont concernés (RH, marketing, comptabilité, clients, …) • Les contrats clients/fournisseurs doivent être modifiés • Les processus internes doivent être adaptés (sécurité, …) • Les personnels doivent être sensibilisés (information, formation)
  • 7. RGPD Objectif Conformité Les bonnes pratiques : les points clés pour bien se préparer Désigner un interlocuteur Cartographier les traitements existants Mettre en place un plan de mise en conformité Organiser les processus internes, sensibiliser et formes les équipes Documenter la conformité, créer un registre
  • 8. RGPD Objectif Conformité 1. Désigner un interlocuteur Un DPO • La désignation d’un DPO est obligatoire dans les entreprises dont l’activité de base les amène à réaliser un suivi régulier et systématique des personnes à grande échelle, ou à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions Un responsable • La désignation d’une « task force » est fortement recommandée dans toutes les organisations
  • 9. RGPD Objectif Conformité 2. Cartographier les traitements existants QUI ? • Inscrivez le nom et les coordonnées du responsable du traitement (et de son représentant légal) et, le cas échéant, du délégué à la protection des données • Identifiez les responsables des services opérationnels traitant les données au sein de votre organisme • Etablissez la liste des sous-traitants QUOI ? • Identifiez les catégories de données traitées • Identifiez les données susceptibles de soulever des risques en raison de leur sensibilité particulière (par exemple, les données relatives à la santé ou les infractions) POURQUOI • Indiquez la ou les finalités pour lesquelles vous collectez ou traitez ces données (exemple : gestion de la relation commerciale, gestion RH…) OÙ ? • Déterminez le lieu où les données sont hébergées • Indiquez quels pays les données sont éventuellement transférées JUSQU’À QUAND ? • Indiquez, pour chaque catégorie de données, combien de temps vous les conservez COMMENT ? • Quelles mesures de sécurité sont mises en œuvre pour minimiser les risques d’accès non autorisés aux données et donc d’impact sur la vie privée des personnes concernées
  • 10. RGPD Objectif Conformité 2. Cartographier les traitements existants • Il s’agit d’expliciter les règles à appliquer, qui différent selon le degré de criticité des données • Les traitements présentant des risques élevés pour les droits et libertés font l’objet d’une étude d'impact (« Privacy Impact Assessment » ou PIA) • Quelles sont les mesures organisationnelles (personnes habilitées) et sécuritaires (anonymisation, chiffrement, …) à mettre en place ? • Dépendant de la finalité du traitement, la durée de la conservation des données doit être également établie • Les données seront-elles ensuite archivées ou supprimées ?
  • 11. RGPD Objectif Conformité 3. Mettre en place un plan de mise en conformité • Assurez-vous que seules les données strictement nécessaires à la poursuite de vos objectifs sont collectées et traitées • Identifiez la base juridique sur laquelle se fonde votre traitement (par exemple : consentement de la personne, intérêt légitime, contrat, obligation légale) • Révisez vos mentions d’information afin qu’elles soient conformes aux exigences du règlement (articles 12, 13 et 14 du RGPD) • Vérifiez que vos sous-traitants connaissent leurs nouvelles obligations et leurs responsabilités, assurez-vous de l’existence de clauses contractuelles rappelant les obligations du sous-traitant en matière de sécurité, de confidentialité et de protection des données personnelles traitées • Prévoyez les modalités d'exercice des droits des personnes concernées (droit d'accès, de rectification, droit à la portabilité, retrait du consentement...) • Vérifiez les mesures de sécurité mises en place
  • 12. RGPD Objectif Conformité 3. Mettre en place un plan de mise en conformité VOUS TRAITEZ CERTAINS TYPES DE DONNÉES • des données qui révèlent l’origine prétendument raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, • des données concernant la santé ou l’orientation sexuelle, • des données génétiques ou biométriques, • des données d’infraction ou de condamnation pénale, • des données concernant des mineurs. VOTRE TRAITEMENT A POUR OBJET OU POUR EFFET • la surveillance systématique à grande échelle d'une zone accessible au public ; • l'évaluation systématique et approfondie d'aspects personnels, y compris le profilage, sur la base de laquelle vous prenez des décisions produisant des effets juridiques à l'égard d'une personne physique ou l'affectant de manière significative. VOUS TRANSFÉREZ DES DONNÉES HORS DE L'UNION EUROPÉENNE • vérifiez que le pays vers lequel vous transférez les données est reconnu comme adéquat par la Commission européenne ; • dans le cas contraire, encadrez vos transferts. Si vos traitements répondent à ces caractéristiques, des mesures particulières peuvent s’appliquer (exemple : étude d'impact sur la protection des données (PIA), information renforcée, recueil du consentement, autorisation préalable, clauses contractuelles, …).
  • 13. RGPD Objectif Conformité 4. Organiser les processus internes, sensibiliser et formes les équipes • Prendre en compte de la protection des données personnelles dès la conception d’une application ou d’un traitement (minimisation de la collecte de données au regard de la finalité, cookies, durée de conservation, mentions d’information, recueil du consentement, sécurité et confidentialité des données s’assurer du rôle et de la responsabilité des acteurs impliqués dans la mise en œuvre de traitements de données) • Sensibiliser et d'organiser la remontée d’information en construisant notamment un plan de formation et de communication auprès de vos collaborateurs • Traiter les réclamations et les demandes des personnes concernées quant à l’exercice de leurs droits (droits d’accès, de rectification, d’opposition, droit à la portabilité, retrait du consentement) en définissant les acteurs et les modalités (l'exercice des droits doit pouvoir se faire par voie électronique, si les données ont été collectées par ce moyen) • Anticiper les violations de données en prévoyant, dans certains cas, la notification à l’autorité de protection des données dans les 72 heures et aux personnes concernées dans les meilleurs délais
  • 14. RGPD Objectif Conformité 4. Organiser les processus internes, sensibiliser et formes les équipes . Dresser l’ensemble des processus internes qui vont garantir l’intégrité et la protection des données tout au long de la vie d’un traitement • Comment prendre en compte cette protection dès la conception d’un traitement ? • Comment seront traitées les demandes des personnes faisant valoir l’exercice de leurs droits ? • En cas de violation, quelle est la chaîne de responsabilité ? Mettre en place la gouvernance spécifique visant à garantir l’intégrité de la donnée tout au long de la vie, de la collecte à sa suppression. • Comment assurer le plus haut niveau de protection dès la conception d’un nouveau traitement (privacy by design) ? • Comment seront traitées les demandes des personnes fichées faisant valoir l’exercice de leurs droits ? • Quelle est la chaîne de responsabilités en cas de fuite de données sachant qu’en principe la Cnil doit être alertée sous 72 heures ?
  • 15. RGPD Objectif Conformité 5. Documenter la conformité, créer un registre LA DOCUMENTATION SUR VOS TRAITEMENTS DE DONNÉES PERSONNELLES • Le registre des traitements (pour les responsables de traitements) ou des catégories d’activités de traitements (pour les sous-traitants) • Les analyses d’impact sur la protection des données (PIA) pour les traitements susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes • L'encadrement des transferts de données hors de l'Union européenne (notamment, les clauses contractuelles types, les BCR et certifications) L'INFORMATION DES PERSONNES • Les mentions d’information • ​Les modèles de recueil du consentement des personnes concernées, • Les procédures mises en place pour l'exercice des droits LES CONTRATS QUI DÉFINISSENT LES RÔLES ET LES RESPONSABILITÉS DES ACTEURS • Les contrats avec les sous-traitants • Les procédures internes en cas de violations de données • Les preuves que les personnes concernées ont donné leur consentement lorsque le traitement de leurs données repose sur cette base.
  • 16. RGPD Objectif Conformité • Liens officiels http://www.cnil.fr/fr https://www.autoriteprotectiondonnees.be/ https://rgpd.medef.com/ • Liens juridiques http://france.taylorwessing.com/en/gdpr-assessment-tool http://www.gdpr-expert.eu/#textesofficiels Liens utiles
  • 17. RGPD Objectif Conformité Les fondamentaux de la gestion d'un projet de mise en conformité au RGPD • Les concepts clés du projet de mise en conformité au RGPD • Rédiger un cahier des charges et contractualiser les objectifs • Découper le projet en taches cohérentes • Identifier les contenus et mes ressources nécessaires des tâches à exécuter • Construire l'organigramme des tâches • Définir les procédures de prise de décision • Susciter et entretenir l'implication de l'équipe • Organiser les revues entre phases • Établir un budget et un calendrier prévisionnels • Placer le projet dans la politique générale de l'entreprise • Constituer la documentation du projet • Suivi des indicateurs et des tableaux de bord • Assurer la qualité des prestations Etape n°1 : établir une cartographie réglementaire • Phase 1 : Réunion de cadrage : l'équipe projet • Phase 2 : Recensement des traitements et cartographie juridique • Phase 3 : Analyse de conformité, la Compliance Data : référentiel légal, analyse des risques, rapports, radar juridique • Phase 4 : plan de communication des résultats au métier (outils : modèle de support de restitution) Etape n°2 : Etablir un chemin de route GDPR • Plan d'actions • Priorisation des actions • Calendrier prévisionnel • Métiers impliqués • Outil : tableau Excel structuré Etape n°3 : Réaliser les actions de mise en conformité : Méthode RACI (Réalisation – Accountable – Consultation - Information) • Commencer par les non-conformités majeures • Adopter une approche par les processus • Impliquer le business par la mise en oeuvre de groupes de travail • Adopter une approche s'appuyant sur des Core models à déployer localement • Échanger ou statuer sur les demandes ou les contraintes spécifiques • Construire une démarche ouverte afin d'impliquer positivement les métiers Etape n°4 : Implémenter les actions et assurer leur suivi • Plan d'implémentation • Réseau de correspondants international • Localisation des documents • Vérification de leur mise en oeuvre (outil : grille d'audit de contrôle)
  • 18. RGPD Objectif Conformité Fiche de registre ref-000 Description du traitement Nom / sigle N° / REFref-000 Date de création Mise à jour Acteurs Nom Adresse CP Ville Pays Tel Responsable du traitement Délégué à la protection des données Représentant Responsable(s) conjoint(s) Finalité(s) du traitement effectué Finalité principale Sous-finalité 1 Sous-finalité 2 Sous-finalité 3 Sous-finalité 4 Sous-finalité 5 Mesures de sécurité Mesures de sécurité techniques Mesures de sécurité organisationnelles Catégories de données personnelles concernées Description Délai d'effacement Etat civil, identité, données d'identification, images… Vie personnelle (habitudes de vie, situation familiale, etc.) Informations d'ordre économique et financier (revenus, situation financière, situation fiscale,etc.) Données de connexion (adress IP, logs, etc.) Données de localisation (déplacements, données GPS, GSM, etc.) Données sensiblesDescription Délai d'effacement Données révèlant l'origine racialeou ethnique Données révèlant les opinions politiques Données révèlant les convictions religieuses ou philosophiques Données révèlant l'appartenance syndicale Données génétiques Données biométriques aux fins d'identifier une personne physique de manière unique Données concernant la santé Données concernant la vie sexuelle ou l'orientation sexuelle Données relatives à des condamnations pénales ou infractions Numéro d'identification national unique (NIR pour la France) Catégories de personnes concernéesDescription Catégorie de personnes 1 Catégorie de personnes 2 DestinatairesDescription Type de destinataire Destinataire 1 Destinataire 2 Destinataire 3 Destinataire 4 Tranferts hors UEDestinataire Pays Type de Garanties Lien vers le doc Organismedestinataire 1 Organismedestinataire 2 Organismedestinataire 3 Organismedestinataire 4 Identification du traitement Acteurs Finalité du traitement Transferts hors UE ? Données sensibles ? Nom / sigle N° / REF Date de création Dernière mise à jour Responsable du traitement Finalité principale Oui /non Oui/non
  • 21. RGPD Objectif Conformité Philippe Wallaert | wallaert@msgw.com Morvilliers Sentenac & Associés Toulouse 18, rue Lafayette | Bordeaux 61, cours Pasteur Tel. +33 (0)5 62 27 50 50 http://www.ms-associes.com