Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.
Etat des lieux et enjeux liés
au RGPD
1
RGPD
2
Règlement Général
pour la Protection des Données
Aussi appelé GDPR en Anglais.
Données personnelles
3
● prénom, nom,
● date de naissance,
● genre,
● adresse physique,
4
Données personnelles
génériques
● adresse IP,
● photo,
...
● données de santé,
● origines raciales ou ethniques,
● sexualité,
● opinions politiques,
● croyances religieuses
5
Donnée...
● ADN,
● empreintes digitales,
● données issues de reconnaissance faciale et
de la rétine
6
Données personnelles
biométriq...
Personally Identifiable Information (PII)
7
8
Personally Identifiable
Information
Une information qui peut servir à reconnaitre un
individu ou à l’identifier dans un ...
Consentement de l’individu
9
Le GDPR vise à redonner le pouvoir et la libre
utilisation des données aux individus.
10
Le consentement est
primordial
Avoir le choix de ne pas communiquer ses
données, sans subir de préjudices (toutefois
l’utilisateur peut ne plus avoir acc...
Le but de la récolte des données doit être
mentionné explicitement à l’utilisateur (ex : “vos
données seront utilisées pou...
Son consentement doit être intelligible par une
“action déclarative” de sa part, sans ambiguïté
(ex : Je suis d’accord pou...
L’utilisateur peut accéder à tout moment à ses
données.
14
Transparence
15
Réversibilité du
consentement
L’utilisateur peut retirer son consentement à tout
moment et réclamer la suppression de s...
Les acteurs du RGPD
16
De nouveaux acteurs vont arriver avec le RGPD :
● Le “Data Controller”
● Le “Data Processor”
● Le “Data Protection Officer...
18
Data Controller
C’est l’organisation qui collecte et devient
responsable de la donnée collectée vis-à-vis de la
CNIL.
C...
19
Data Processor
C’est le sous-traitant qui collecte les données
pour le compte du “Data Controller”.
Vous êtes concerné ...
Data Protection Officer
20
C’est la personne désignée au sein du “Data
Controller” afin de réguler et monitorer
l’utilisat...
21
Data Protection
Authority
C’est l’autorité nationale en charge de la mise en
place et du respect du RGPD, à savoir la C...
En tant qu’entreprise, suis-je concerné ?
22
Sont concernés, toutes les entreprises qui :
❏ commercialisent des produits et services au sein de l’UE
❏ possèdent des bu...
La réglementation est obligatoire si l’entreprise :
❏ récolte et gère régulièrement des données clients
❏ a plus de 250 sa...
Impact sur le “Product Management”
25
Le RGPD appliqués au Product Management :
● “Protection by Design”
● “Privacy by default”
26
27
“Protection by Design”
Chaque nouvelle fonctionnalité traitant des
données personnelles ou permettant d’en traiter
doit...
28
“Privacy by default”
Passage du “Big Data” avec la récolte maximale
de données à la “Data Minimisation”. Les données
pe...
Les questions à se poser (1/3)
❏ Qui récolte les données ?
❏ Qui est le “Data Controller” ?
❏ Qui est le “Data Processor” ...
Les questions à se poser (2/3)
❏ Où sont stockées les données ?
❏ Combien de temps seront-elles stockées ?
❏ Quelles sont ...
31
Les questions à se poser (3/3)
❏ Comment les personnes peuvent accéder à leurs
données, les modifier, les exporter ou l...
Mise en conformité RGPD
en 6 étapes
32
Désigner un chef d’orchestre qui exercera une
mission d’information, de conseil et de contrôle
en interne : le délégué à l...
34
/2 Cartographier
Recenser de façon précise vos traitements de
données personnelles. L'élaboration d'un registre
des tra...
35
/3 Prioriser
Identifier les actions à mener pour vous
conformer aux obligations. Prioriser ces actions
au regard des ri...
/4 Gérer les risques
36
Pour chaque traitement de données personnelles
impliquant un risque élevé pour les droits et
liber...
Imaginer l’ensemble des événements qui peuvent
survenir au cours de la vie d’un traitement.
37
/5 Organiser
38
/6 Documenter
Constituer et regrouper la documentation
nécessaire. Les actions et documents réalisés à
chaque étape doi...
Liste d’actions concrètes (1/2)
❏ Nommer un “Data Protection Officer”
❏ Tenir un registre numérique actualisé de tous les
...
Liste d’actions concrètes (2/2)
❏ Demander la mise en conformité des sous-traitants
❏ Mettre à jour les contrats des sous-...
Liste d’actions concrètes (3/3)
❏ Montrer sa “bonne foi” en mettant en place un mapping
des données récupérées et traitées...
A propos de l’auteur
42
En tant que "Solution Provider" j'ai
une approche pragmatique de votre
métier. Je privilégie les solutions
concrètes perme...
44
@Pierre_A
pierre@ammeloot.fr
pierre.ammeloot.fr
Prochain SlideShare
Chargement dans…5
×

Présentation RGPD/GDPR 2018

Etat des lieux et enjeux liés au RGPD (Règlement Général de la Protection des Données) aussi appelé GDPR (General Data Protection Regulation) en anglais.

Approche concrètes des enjeux pour les entreprises sur la mise en conformité avant le 25 mai 2018.

  • Soyez le premier à commenter

Présentation RGPD/GDPR 2018

  1. 1. Etat des lieux et enjeux liés au RGPD 1
  2. 2. RGPD 2 Règlement Général pour la Protection des Données Aussi appelé GDPR en Anglais.
  3. 3. Données personnelles 3
  4. 4. ● prénom, nom, ● date de naissance, ● genre, ● adresse physique, 4 Données personnelles génériques ● adresse IP, ● photo, ● posts sur réseaux sociaux
  5. 5. ● données de santé, ● origines raciales ou ethniques, ● sexualité, ● opinions politiques, ● croyances religieuses 5 Données personnelles sensibles
  6. 6. ● ADN, ● empreintes digitales, ● données issues de reconnaissance faciale et de la rétine 6 Données personnelles biométriques
  7. 7. Personally Identifiable Information (PII) 7
  8. 8. 8 Personally Identifiable Information Une information qui peut servir à reconnaitre un individu ou à l’identifier dans un certain contexte (ex : vos données de localisation sur Google Maps).
  9. 9. Consentement de l’individu 9
  10. 10. Le GDPR vise à redonner le pouvoir et la libre utilisation des données aux individus. 10 Le consentement est primordial
  11. 11. Avoir le choix de ne pas communiquer ses données, sans subir de préjudices (toutefois l’utilisateur peut ne plus avoir accès au service ou à l’intégralité du service). 11 Choix
  12. 12. Le but de la récolte des données doit être mentionné explicitement à l’utilisateur (ex : “vos données seront utilisées pour l’envoi de newsletter”). 12 But explicite
  13. 13. Son consentement doit être intelligible par une “action déclarative” de sa part, sans ambiguïté (ex : Je suis d’accord pour que mes données soient réutilisées pour…) 13 Consentement explicite
  14. 14. L’utilisateur peut accéder à tout moment à ses données. 14 Transparence
  15. 15. 15 Réversibilité du consentement L’utilisateur peut retirer son consentement à tout moment et réclamer la suppression de ses données s’il le souhaite.
  16. 16. Les acteurs du RGPD 16
  17. 17. De nouveaux acteurs vont arriver avec le RGPD : ● Le “Data Controller” ● Le “Data Processor” ● Le “Data Protection Officer” ● Le “Data Protection Authority” 17
  18. 18. 18 Data Controller C’est l’organisation qui collecte et devient responsable de la donnée collectée vis-à-vis de la CNIL. C’est vous !
  19. 19. 19 Data Processor C’est le sous-traitant qui collecte les données pour le compte du “Data Controller”. Vous êtes concerné si vous avez des clients B2B et que vous traitez des données personnelles pour leurs comptes.
  20. 20. Data Protection Officer 20 C’est la personne désignée au sein du “Data Controller” afin de réguler et monitorer l’utilisation des données personnelles.
  21. 21. 21 Data Protection Authority C’est l’autorité nationale en charge de la mise en place et du respect du RGPD, à savoir la CNIL en France, le CNPD au Luxembourg, la XX en Suisse et la YY en Belgique.
  22. 22. En tant qu’entreprise, suis-je concerné ? 22
  23. 23. Sont concernés, toutes les entreprises qui : ❏ commercialisent des produits et services au sein de l’UE ❏ possèdent des bureaux en zone UE ❏ développent des sites internet et applications mobiles disponibles dans des langues de la zone UE ❏ affichent des prix de vente en devises de l’UE ❏ possèdent des noms de domaine provenant de l’UE Un critère coché et le RGPD s’applique. 23
  24. 24. La réglementation est obligatoire si l’entreprise : ❏ récolte et gère régulièrement des données clients ❏ a plus de 250 salariés ❏ manipule des données clients pour le compte de clients B2B (de plus de 250 personnes) ❏ récolte et gère des données sensibles et biométriques ❏ récolte des données qui pourraient mettre en danger les droits et libertés des individus Un critère coché et le RGPD s’applique. 24
  25. 25. Impact sur le “Product Management” 25
  26. 26. Le RGPD appliqués au Product Management : ● “Protection by Design” ● “Privacy by default” 26
  27. 27. 27 “Protection by Design” Chaque nouvelle fonctionnalité traitant des données personnelles ou permettant d’en traiter doit garantir dès sa conception et lors de chaque utilisation, le plus haut niveau possible de protection des données.
  28. 28. 28 “Privacy by default” Passage du “Big Data” avec la récolte maximale de données à la “Data Minimisation”. Les données personnelles récoltées doivent donc être adéquates, pertinentes et limitées uniquement aux besoins du business de l’entreprise.
  29. 29. Les questions à se poser (1/3) ❏ Qui récolte les données ? ❏ Qui est le “Data Controller” ? ❏ Qui est le “Data Processor” ? ❏ Quelle est la liste des données récupérées ? ❏ Les données récupérées sont-elles proportionnées par rapport à l’utilisation finale ? ❏ De quelles données ai-je réellement & strictement besoin ? ❏ A quoi chaque donnée va-t-elle servir ?29
  30. 30. Les questions à se poser (2/3) ❏ Où sont stockées les données ? ❏ Combien de temps seront-elles stockées ? ❏ Quelles sont les données stockées ? ❏ Les personnes dont on récupère des données sont-elles informées ? Ont-elles donné leur consentement ? ❏ De quelle façon les utilisateurs vont consentir au traitement de leurs informations personnelles ? 30
  31. 31. 31 Les questions à se poser (3/3) ❏ Comment les personnes peuvent accéder à leurs données, les modifier, les exporter ou les supprimer ? ❏ Comment et quand les données sont-elles rafraichies ? ❏ Qui accède aux données ? ❏ A quels profils d’utilisateurs sont destinées les données traitées ? ❏ Des sociétés externes ont-elles également accès aux données ? Si oui, dans quels pays ?
  32. 32. Mise en conformité RGPD en 6 étapes 32
  33. 33. Désigner un chef d’orchestre qui exercera une mission d’information, de conseil et de contrôle en interne : le délégué à la protection des données (DPD, ou DPO en anglais). 33 /1 Désigner un pilote
  34. 34. 34 /2 Cartographier Recenser de façon précise vos traitements de données personnelles. L'élaboration d'un registre des traitements vous permet de faire le point.
  35. 35. 35 /3 Prioriser Identifier les actions à mener pour vous conformer aux obligations. Prioriser ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées.
  36. 36. /4 Gérer les risques 36 Pour chaque traitement de données personnelles impliquant un risque élevé pour les droits et libertés des personnes concernées = une analyse d'impact sur la protection des données (PIA).
  37. 37. Imaginer l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement. 37 /5 Organiser
  38. 38. 38 /6 Documenter Constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être ré-examinés et actualisés régulièrement pour assurer une protection des données en continu.
  39. 39. Liste d’actions concrètes (1/2) ❏ Nommer un “Data Protection Officer” ❏ Tenir un registre numérique actualisé de tous les traitements de données personnelles ❏ Préconiser le chiffrement ou la pseudonymisation des données les plus sensibles ❏ Mettre en conformité les formulaires à destination des clients pour récupérer leur consentement sur l’utilisation de leurs données personnelles pour un usage précis 39
  40. 40. Liste d’actions concrètes (2/2) ❏ Demander la mise en conformité des sous-traitants ❏ Mettre à jour les contrats des sous-traitants ❏ Mettre en place une charte de bonnes pratiques de l’utilisation des données personnelles à destination des collaborateurs ❏ Mettre en place une procédure d’escalade auprès de la CNIL et une communication de crise et d’informations en cas de violation de données personnelles 40
  41. 41. Liste d’actions concrètes (3/3) ❏ Montrer sa “bonne foi” en mettant en place un mapping des données récupérées et traitées (= registre numérique) et surtout ❏ Se montrer coopératif en cas de contrôle par la CNIL ❏ Faire un Privacy Impact Assessment (PIA) ❏ Modifier vos CGU/CGV et mentions légales en intégrant un “Privacy Policies” en conséquence ❏ Idéalement stocker les données en zone UE 41
  42. 42. A propos de l’auteur 42
  43. 43. En tant que "Solution Provider" j'ai une approche pragmatique de votre métier. Je privilégie les solutions concrètes permettant une mise en place rapide sous forme d'itérations. Enthousiaste je mobilise vos équipes vers un objectif commun. ● Mentorat de dirigeant ● Due Diligence technique ● Accompagnement au changement Pierre Ammeloot Directeur Technique Indépendant 43
  44. 44. 44 @Pierre_A pierre@ammeloot.fr pierre.ammeloot.fr

×