Face au règlement européen relatif à la protection des données personnelles (RGPD) qui entre en vigueur le 25 mai 2018, les organisations sont confrontées à une double contrainte :
- entrer dans une logique de conformité du traitement des données personnelles pendant toute leur durée de vie : collecte, exploitation, élimination ;
- répondre aux nouveaux droits des citoyens, consommateurs et employés européens.
Cette présentation se propose, à travers l’exploration de solutions concrètes, d’étudier l’interaction entre les deux dimensions.
Au travers de cette présentation, découvrez :
- Ce qu’est le RGPD
- Les étapes pour rentrer en conformité
- Comment une plateforme de gestion de contenus (ECM) comme Nuxeo peut vous aider
3. Agenda
1
2
3
4
5
Contexte et enjeux de la réglementation RGPD
Présentation de Nuxeo
Démarche de mise en conformité RGPD
Démo Nuxeo - La gestion des demandes d’accès
Questions / Réponses
5. 5
Pourquoi une réglementation?
Finalité des
traitements
Droits des
personnes
Droit à la
portabilité
Droits propres aux
mineurs
Droit à l’oubli
Droits d’accès et
de rectification
Prédiction
Design de service
Recherche
scientifique
Efficience des
processus
Achats en
ligne
Cookies
Dossiers de
demandes
Objets
connectés
Annuaires
d’entreprise
Réseaux
sociaux
Développement
économique
6. Le
règlement
en une
diapo
RGPD
Responsabilisation des
responsables de traitements
Privacy by design
Privacy by default
Responsabilisation sous-traitants
Plus de maîtrise de leurs données
par les individus
Consentement explicite
Droit d’accès
Droit de rectification
Droit à l’oubli
Droit à la portabilité
Renforcement de la coopération
entre les autorités de régulation au
niveau de l’UE
Guichet unique
Cadre juridique unifié
Applicable : 25 mai 2018
8. 8
La démarche de mise en conformité : un projet
Dimensions Constitutives
Fonctions Supports
9. 9
La démarche de mise en conformité : un projet
Pilotage
• Chef de projet naturel :
DPO
• Gérer les risques et
études d’impacts
• Plan d’actions
RH
• Nouveau poste : DPO
• Intégrer « privacy by
design » dans les
métiers de conception
• Evolution dans métiers
de gestion de la
relation client / usager
• Dans métiers du
marketing
Conduite du changement
• Nouveaux reflexes à acquérir
• Appropriation nouveaux outils, ou
nouveaux usages dans outils
existants
• Adaptation de la com. externe
(site web notamment)
Organisation
• Registre des traitements
centralisé
• Supervision centralisée de la
conformité dans toutes ses
dimensions
Processus
• Processus de collecte et de
traitement des données
• Processus de gestion du cycle
de vie des données
• Processus de gestion des
consentements
• …
Outils informatiques
• Evolution outils existants dont
sites web
• Evolution outils existants
• Acquisition nouveaux outils
10. 10
La démarche de mise en conformité : un projet
Pilotage
• Chef de projet naturel :
DPO
• Gérer les risques et
études d’impacts
• Plan d’actions
RH
• Nouveau poste : DPO
• Intégrer « privacy by
design » dans les
métiers de conception
• Evolution dans métiers
de gestion de la
relation client / usager
• Dans métiers du
marketing
Conduite du changement
• Nouveaux reflexes à acquérir
• Appropriation nouveaux outils, ou
nouveaux usages dans outils
existants
• Adaptation de la com. externe
(site web notamment)
Organisation
• Registre des traitements
centralisé
• Supervision centralisée de la
conformité dans toutes ses
dimensions
Processus
• Processus de collecte et de
traitement des données
• Processus de gestion du cycle
de vie des données
• Processus de gestion des
consentements
• …
Outils informatiques
• Evolution outils existants dont
sites web
• Evolution outils existants
• Acquisition nouveaux outils
11. 11
La démarche de mise en conformité : un projet
Pilotage
• Chef de projet naturel :
DPO
• Gérer les risques et
études d’impacts
• Plan d’actions
RH
• Nouveau poste : DPO
• Intégrer « privacy by
design » dans les
métiers de conception
• Evolution dans métiers
de gestion de la
relation client / usager
• Dans métiers du
marketing
Conduite du changement
• Nouveaux reflexes à acquérir
• Appropriation nouveaux outils, ou
nouveaux usages dans outils
existants
• Adaptation de la com. externe
(site web notamment)
Organisation
• Registre des traitements
centralisé
• Supervision centralisée de la
conformité dans toutes ses
dimensions
Processus
• Processus de collecte et de
traitement des données
• Processus de gestion du cycle
de vie des données
• Processus de gestion des
consentements
• …
Outils informatiques
• Evolution outils existants dont
sites web
• Evolution outils existants
• Acquisition nouveaux outils
12. 12
La démarche de mise en conformité : un projet
Pilotage
• Chef de projet naturel :
DPO
• Gérer les risques et
études d’impacts
• Plan d’actions
RH
• Nouveau poste : DPO
• Intégrer « privacy by
design » dans les
métiers de conception
• Evolution dans métiers
de gestion de la
relation client / usager
• Dans métiers du
marketing
Conduite du changement
• Nouveaux reflexes à acquérir
• Appropriation nouveaux outils, ou
nouveaux usages dans outils
existants
• Adaptation de la com. externe
(site web notamment)
Organisation
• Registre des traitements
centralisé
• Supervision centralisée de la
conformité dans toutes ses
dimensions
Processus
• Processus de collecte et de
traitement des données
• Processus de gestion du cycle
de vie des données
• Processus de gestion des
consentements
• …
Outils informatiques
• Evolution outils existants dont
sites web
• Evolution outils existants
• Acquisition nouveaux outils
14. Nuxeo
14
Créé en 2008
8 bureaux en Europe et aux Etats - Unis
Nuxeo, éditeur d’une des plateformes de gestion de
contenu les plus innovantes sur le marché, réinvente la
gestion de contenu d’entreprise et des ressources
numériques.
Nuxeo transforme radicalement la manière dont les
entreprises utilisent les données et contenus numériques
pour créer de la valeur et de nouvelles opportunités
business.
Sa plateforme de gestion de contenu extrêmement
évolutive a été déployée au sein de grandes entreprises,
sociétés de taille intermédiaire et d’organismes publics
15. Nuxeo offre la
plateforme la plus
moderne et évolutive
du marché pour
addresser l’ensemble
de vos besoins en
gestion de contenus
Digital Asset
Management
Gérez l’ensemble du
cycle de vie de vos
ressources
numériques de leur
creation à leur
diffusion. Offrez à
votre marque de
Gestion des
connaissances
Fournissez
l’information
nécessaire à vos
collaborateurs.
Renforcez la
connaissance de vos
salariés.
Gestion de contenu
d’entreprise
Transformez la
manière de créer et
gérer vos contenus
d’entreprise. Partagez
vos informations
critiques au sein de
votre organisation.
Gestion de
dossiers
Optimisez vos
processus d’entreprise
grâce à une meilleure
gestion de vos données
et contenus. Améliorez
votre service clients et
citoyens.
Une nouvelle
génération de solution
de gestion de contenu
16. En quoi Nuxeo est différent ?
16
Un modèle de métadonnées
complet
Décrivez vos ressources avec le
modèle de métadonnées le plus
flexible du marché
Un accès à l’ensemble de vos
contenus
Gérez l’ensemble de vos contenus,
quel que soit l’endroit où ils se
trouvent, via une vue unique
Une performance maximum
Accédez aux dernières technologies
et disposez d’une solution s’adaptant
à l’évolution de vos besoins
d’entreprise
Une architecture Cloud-Native
Des déploiements Cloud, on-premises
ou hybrides facilités
Gérez l’ensemble de vos contenus
Gérez vos contenus traditionnels et
ressources numériques (photos,
vidéos, sons) au sein d’une plateforme
unique
Une plateforme nouvelle génération
Allez au-delà des applications métiers
avec une plateforme adressant
l’ensemble de vos besoins de gestion
de contenus d’entreprise.
Accélérez la création d’applications
Créez rapidement des applications
complexes via notre interface intuitive
17. Les analystes reconnaissent
le potentiel de notre
plateforme
8
▪ Nommé visionnaire dans le Gartner Magic Quadrant 2017 des plateformes
de Services de Contenus (CSP)
▪ Positionné dans le panorama des éditeurs de solutions DAM 2017 de
Forrester Research
▪ Nommé “Hot vendor in modern content management” par Aragon Research
▪ Deloitte Technology Fast 500 2017 : Positionné à la 467ème place des
entreprises ayant la plus forte croissance en Amérique du Nord
▪ Prix MongoDB Innovation 2017 dans la catégorie Startup Enterprise
▪ Nommé parmi les ”100 entreprises qui comptent dans l’industrie de la
gestion des connaissances ” du classement KM World 2017.
18. La démarche de mise
en conformité RGPD
Méthodologie et Outils
20. 20
Exemple théorique de registre
Acteurs Finalité du traitement Transferts hors UE?
Données
sensibles ?
Nom / sigle N° / REF
Date de
création
Dernière mise
à jour
Responsable du traitement Finalité principale Oui / non Oui/ non
Pilot RH 1 10/ 06/ 1998 12/ 10/ 2017 DRH / Affaires générales / Emma Mertume
Gérer la paie et les carrières des
collaborateurs
Non Oui
GestFlouze 2 01/ 06/ 2002 06/ 06/ 2015
DAF/ Cellule traitement des données /
Quentin Dickinson
Gérer la comptabilité, les emprunts et
les investisstements
Non Non
CRM Sucre 3 04/ 04/ 2014 17/ 05/ 2011
Dir. Marketing / Cellule SI / Matthieu
Kuleron
Gérer les clients et les prospects Oui Non
Nuxeo 4 02/ 03/ 2012 25/ 01/ 2018 DSI / Service études et projet / Greg Carlin
Gérer les processus internes et les
documents de référence
Non Non
Formula2000 5 26/ 09/ 2009
Dir Marketing / Cellule SI / Matthieu Kuleron
Sous-traitant X / Mélanie Blanc
Réaliser des enquêtes de satisfaction
clients
Non Non
Identification du traitement
21. Fiche de registre 1
Description du traitement
Nom / sigle Pilot RH
N° / REF 1
Date de création 10/ 06/ 1998
Mise à jour 12/ 10/ 2017
Acteurs Prénom, nom Adresse CP Ville Pays Tel
Responsable du traitement Emma Mertume 15 rue des Pamplemousses 75006 Paris France +33145490918
Délégué à la protection des données Elisabeth Stuart 15 rue des Pamplemousses 75006 Paris France +33145480918
Représentant Didier Super 15 rue des Pamplemousses 75006 Paris France +33145490918
Responsable(s) conjoint(s) Néant
Finalité(s) du traitement effectué
Finalité principale Gérer la paie et les carrières des collaborateurs
Sous-finalité 1 Gérer les remboursements de notes de frais
Sous-finalité 2 Gérer les absences
Sous-finalité 3 Gérer les mobilités internes
Sous-finalité 4 Gérer les formations
Sous-finalité 5
Mesures de sécurité
Mesures de sécurité techniques
Mesures de sécurité organisationnelles
Hébergement des données
Hébergeur Sous-traitant XX
Localisation Aubervilliers
Clauses contractuelle spécifiques Redondance
Droits de consultation et modification restreints aux gestionnaires RH
Pilot RH inscrit dans le plan de sauvegarde SI
Redondance par contrat avec l'hébergeur + process sauvegarde/ restauration renforcé
21
Exemple théorique de registre
22. Catégoriesde donnéespersonnellesconcernées Description Délai d'effacement
Etat civil, identité, donnéesd'identification, images… Illimité pour ce qui permet de reconsituer la carrière
Vie personnelle (habitudesde vie, situation familiale,
etc.)
Situation maritale, ayants-droits: prénom, nom, date de naissance, scolarité Illimité pour ce qui permet de reconstituer la carrière
Informations d'ordre économique et financier
(revenus, situation financière, situation fiscale, etc.)
RIB, avis imposition historicisés, salaire Illimité pour ce qui permet de reconstituer la carrière
Donnéesde connexion (adressIP, logs, etc.) Adresse IP, identifiant de connexion, date, heure et durée de connexion 2 mois
Donnéesde localisation (déplacements, données
GPS, GSM, etc.)
Néant
Donnéessensibles Description Délai d'effacement
Donnéesrévèlant l'origine raciale ou ethnique Néant
Donnéesrévèlant lesopinionspolitiques Néant
Donnéesrévèlant lesconvictionsreligieusesou
philosophiques
Oui (droitsà joursd'absence en raison de fêtesreligieusesspécifiques) Fin du contrat de travail
Donnéesrévèlant l'appartenance syndicale Oui pour lesreprésentantsofficielsdesOS Fin du contrat de travail
Donnéesgénétiques Néant
Données biométriquesaux finsd'identifier une
personne physique de manière unique
Néant
Donnéesconcernant la santé Néant
Donnéesconcernant la vie sexuelle ou l'orientation
sexuelle
Néant
Donnéesrelativesà descondamnations pénalesou
infractions
Oui : extrait de casier judificiaire demandé à l'embauche Fin du contrat de travail
Numéro d'identification national unique (NIRpour la
France)
N° permisde conduire le caséchéant Fin du contrat de travail
Etat civil, prénom, nom, photo (facultative), adresse personnelle, téléphone
personnel, mail personnel, coordonnéesprofessionnelles, date d'entrée, poste
actuellement occupé, postesanciennement occupés
Exemple théorique de registre
22
23. 23
Catégories de personnes concernées Description
Catégorie de personnes 1 Salariés
Catégorie de personnes 2
Destinataires Description Type de destinataire Type de garantie
Destinataire 1 Prestataire édition bulletin de paueSous-traitants
Destinataire 2 Administration fiscale
Partenaires institutionnels ou
commerciaux
Destinataire 3
Destinataire 4
Tranferts hors UE Destinataire Pays Lien vers le doc
Organisme destinataire 1
Organisme destinataire 2
Organisme destinataire 3
Organisme destinataire 4
Informations concernant les processus spécifiques
Modalités de recueil du consentement Formulaire en ligne saisi à l'entrée dans la société
Modlaités d'information sur les droits et le
consentement
Entretien RH à l'entrée dans la société + livret d'accueil
Modalités de collecte des données Dossier de candidature et pièces administratives produites dans le cadre de la carrière
Type de Garanties
Destruction des données à l'issue de
chaque édition
Finalité
Edition et transmission des bulletin de
paie
IR
Exemple théorique de registre
24. Démo : liste des traitements dans Nuxeo
Transport du registre
des traitements dans
Nuxeo
25. 25
La
démarche
Répondreauxdemandes/Gérerleconsentement
Semettreenconformité
Se structurer pour mener le projet
Responsabilisation Maîtrise de ses données
Savoir où sont les
données = 1e étape
pour répondre
Cartographier les traitements de
données personnelles et établir le
registre des traitements
Prioriser les actions à mener pour
se mettre en conformité (au regard
de chaque traitement identifié)
Enjeux des demandes
potentielles = critère de
priorisation
Mettre en place des
outils ad hoc
1
3
2
26. 26
La
démarche
Répondreauxdemandes/Gérerleconsentement
Semettreenconformité
Se structurer pour mener le projet
Responsabilisation Maîtrise de ses données
Savoir où sont les
données = 1e étape
pour répondre
Cartographier les traitements de
données personnelles et établir le
registre des traitements
Prioriser les actions à mener pour
se mettre en conformité (au regard
de chaque traitement identifié)
Enjeux des demandes
potentielles = critère de
priorisation
Mettre en place des
outils ad hoc
Gérer les risques
Mener des études d’impact
sur la vie privée
1
3
4
2
27. 27
La
démarche
Répondreauxdemandes/Gérerleconsentement
Semettreenconformité
Se structurer pour mener le projet
Responsabilisation Maîtrise de ses données
Savoir où sont les
données = 1e étape
pour répondre
Cartographier les traitements de
données personnelles et établir le
registre des traitements
Prioriser les actions à mener pour
se mettre en conformité (au regard
de chaque traitement identifié)
Enjeux des demandes
potentielles = critère de
priorisation
Mettre en place des
outils ad hoc
Gérer les risques
Mener des études d’impact
sur la vie privée
Organiser les processus internes
Organiser les processus
de réponse et de recueil
du consentement
1
3
4
2
5
28. 28
Processus de
collecte des
données
Liste non
exhaustive
des
processus
internes
Processus de conception des
traitement ➩ privacy by design
Processus de
traitement des
demandes et
réclamations
Processus de mise à jour du registre
et des fiches de registre
Demande de restitution (portabilité)
Demande de rectification
Demande de traitement restreint
Information des personnes
Conservation du consentement
Identification de l’âge des personnes
Recueil du consentement adultes / mineurs
Processus
d’élimination des
données
Programmée
Demande de suppression
Demande d’accès
Processus en
lien avec la
sécurité des
données
Contrôles réguliers de la sécurité des données
Résolution des violation de la sécurité
Investigation en cas de faille de sécurité identifiée
Information en cas de faille de sécurité probable ou avérée
29. 29
Processus de
collecte des
données
Liste non
exhaustive
des
processus
internes
Processus de conception des
traitement ➩ privacy by design
Processus de
traitement des
demandes et
réclamations
Processus de mise à jour du registre
et des fiches de registre
Demande de restitution (portabilité)
Demande de rectification
Demande de traitement restreint
Information des personnes
Conservation du consentement
Identification de l’âge des personnes
Recueil du consentement adultes / mineurs
Processus
d’élimination des
données
Programmée
Demande de suppression
Demande d’accès
Processus en
lien avec la
sécurité des
données
Contrôles réguliers de la sécurité des données
Résolution des violation de la sécurité
Investigation en cas de faille de sécurité identifiée
Information en cas de faille de sécurité probable ou avérée
30. Portabilité
30
La création d’un droit à la portabilité des données pour les personnes
physiques.
Nuxeo offre une grande flexibilité sur l’export de données
Zip arborescent
34. Gestion des accès
34
Audit activé par défaut sur la plateforme
Création, modification, suppression, téléchargement, copie, historique des
versions...
Possibilité d’ajouter de nouveaux événements
“Qui a modifié la propriété X dans le document A?”
35. Gestion de la sécurité
35
Composition de droits spécifiques
Droit de lecture sans possibilité de télécharger de
documents par exemple
Capacité à étendre le modèle de sécurité
existant (ACL) pour baser la sécurité sur la
base de métadonnées
“Cette métadonnée contenant des informations
personnelles n’est pas accessible de tous”
Utilisation des facettes ou des schémas pour
identifier / rechercher les documents soumis à la
réglementation GDPR (cf. privacy by design)
36. Gestion des
consentements
36
Gestion des registres des consentements dans
Nuxeo
Consentement parental pour les mineurs
Gestion des retraits
Lien avec des traitements automatisés
37. Suppression et
droit à l’oubli
37
Les services de rétention par type de
documents sont mis à disposition
Suppression de données de manière
automatisée ou manuelle
Paramétrage des jobs de nettoyage
Audit
Stockage
Base de
données
38. 38
La
démarche
Répondreauxdemandes/Gérerleconsentement
Semettreenconformité
Se structurer pour mener le projet1
Responsabilisation Maîtrise de ses données
Savoir où sont les
données = 1e étape
pour répondre
Cartographier les traitements de
données personnelles et établir le
registre des traitements
Prioriser les actions à mener pour
se mettre en conformité (au regard
de chaque traitement identifié)
3
Enjeux des demandes
potentielles = critère de
priorisation
Mettre en place des
outils ad hoc
Gérer les risques4
Mener des études d’impact
sur la vie privée
2
Organiser les processus internes5
Organiser les processus
de réponse et de recueil
du consentement
Documenter la conformité6
Documenter les cas
d’usage et processus
afférents
39. 39
Répondreauxdemandes/Gérerleconsentement
Semettreenconformité
Se structurer pour mener le projet1
Responsabilisation Maîtrise de ses données
Savoir où sont les
données = 1e étape
pour répondre
Cartographier les traitements de
données personnelles et établir le
registre des traitements
Prioriser les actions à mener pour
se mettre en conformité (au regard
de chaque traitement identifié)
3
Enjeux des demandes
potentielles = critère de
priorisation
Mettre en place des
outils ad hoc
Gérer les risques4
Mener des études d’impact
sur la vie privée
2
Organiser les processus internes5
Organiser les processus
de réponse et de recueil
du consentement
Documenter la conformité6
Documenter les cas
d’usage et processus
afférents
Contrôler et corriger7
La
démarche
41. 41
Subject Access
Request En tant que client, employé,
citoyen, étudiant...
Les règles changent:
Service non payant
Temps de réponse réduit
Augmentation prévisible des
demandes
43. Soumission
43
Via un formulaire papier ou
numérique
Il choisit le format de réponse
attendue
44. Création d’une
demande
44
Automatique ou manuelle
Validation et enrichissement
Initialisation du workflow et
délai de réponse
Notifications automatiques