SlideShare une entreprise Scribd logo

Comment se mettre en conformité avec le GDPR ?

Télécharger en tant que PPTX, PDF
Pramana
Pramana

Vous vous demandez quelles sont les contraintes imposées par le GDPR et comment mettre votre entreprise en conformité? Nous vous apportons quelques pistes dans cette formation.

1  sur  8
Membre fondateur de Pramana | Data Management Mise en conformité avec le RGPD Rappel des exigences et Démarche de mise en conformité Juillet 2017
Pramana | Data Management | RGPD Confidentiel ― Ce document est la propriété exclusive de Pramana et ne peut en aucun cas être diffusé à des tiers sans son accord préalable 2 Rappel du contexte Un nouveau règlement sur les données personnelles qui entre en vigueur le 25 mai 2018 Le nouveau règlement européen sur la protection des données personnelles (RGPD: Règlement Général pour la Protection des Données) est paru au journal officiel de l’Union européenne et entrera en application le 25 mai 2018. L’adoption de ce texte doit permettre à l'Europe de s'adapter aux nouvelles réalités du numérique et de renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures. Un champ d’application étendu Le règlement s’applique dès lors que le responsable de traitement ou le sous-traitant est établi sur le territoire de l’Union européenne ou que le responsable de traitement ou le sous-traitant met en œuvre des traitements visant à fournir des biens et des services aux résidents européens ou à les « cibler » (en anglais monitor). Par ailleurs, alors que le droit de la protection des données actuel concerne essentiellement les « responsables de traitements », c’est-à-dire les organismes qui déterminent les finalités et les modalités de traitement de données personnelles, le règlement étend aux sous-traitants une large partie des obligations imposées aux responsables de traitement. Un changement de paradigme Le RGDP abroge la directive 95/46/CE. Alors que la directive de 1995 reposait en grande partie sur la notion de « formalités préalables » (déclaration, autorisations), le règlement européen repose sur une logique de conformité, dont les acteurs sont responsables, sous le contrôle et avec l’accompagnement du régulateur. Désormais les responsables des traitements doivent concevoir des traitements qui respectent dès leur conception et par défaut, les règles de protection des données personnelles (« privacy by design »). Des sanctions encadrées, graduées et renforcées Les responsables de traitement et les sous-traitants peuvent faire l’objet de sanctions administratives importantes en cas de méconnaissance des dispositions du règlement. S’agissant des amendes administratives, elles peuvent s’élever, selon la catégorie de l’infraction, de 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, de 2% jusqu’à 4% du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
Pramana | Data Management | RGPD Confidentiel ― Ce document est la propriété exclusive de Pramana et ne peut en aucun cas être diffusé à des tiers sans son accord préalable 3 Les 8 Exigences ou Principes requis par le RGPD Garantir le droit à l’accès1 Chaque individu (« data subject ») doit pouvoir obtenir une copie de ses données personnes et doit pouvoir savoir si ses données sont utilisées, où et dans quelle finalité. Notifier en cas de violation2 L’entreprise doit notifier la CNIL (autorité de contrôle) en cas de violation (« breach ») et si possible dans les 72h. Garantir le droit à l’oubli3 Chaque individu a le droit de demander à l’entreprise d’effacer ses données personnelles si la poursuite du traitement n’est pas justifiée. Garantir la portabilité des données 4 Chaque individu a le droit d’exiger de l’entreprise de transmettre ses données personnelles à une autre entreprise. Garantir l’accord de consentement5 Le règlement exige une action affirmative claire qui signale l’accord de consentement de transfert des données personnelles. Par ailleurs, un accord parental est exigé pour les données des mineurs (13 à 16 ans) Le « Privacy by Design »6 La protection des données doit être incluse dans la conception des systèmes en amont. Des mesures techniques et organisationnelles doivent être implémentées en conséquence. La responsabilité conjointe de traitement 7 Le sous-traitant est tenu de respecter des obligations spécifiques en matière de sécurité, de confidentialité et en matière de responsabilité (accountability). Désigner un Data Protection Officer8 La présence d’un DPO est quasi- obligatoire notamment lorsque les activités de base du responsable de traitement consistent en des traitements qui exigent un suivi particulier et systématique des personnes concernées.
Pramana | Data Management | RGPD Confidentiel ― Ce document est la propriété exclusive de Pramana et ne peut en aucun cas être diffusé à des tiers sans son accord préalable 4 Les exigences a minima en termes d’outils de gouvernance ou de management Cartographie des données sensiblesA Le règlement impose d’identifier les informations faisant référence aux origines raciales ou ethniques, à la religion, aux opinions politiques, philosophiques, syndicales, à la génétique, aux données biométriques, à la santé ou à la sexualité des personnes. Registre des traitementsB Le registre comporte des informations, dont le nom et les coordonnées du responsable du traitement, ses finalités, une description des catégories de personnes concernées et des catégories de données personnelles, etc. Système de gestion des prioritésC Sur la base du registre, l’entreprise doit identifier actions à mener pour se conformer aux obligations actuelles et à venir. Système de gestion des risques (+PIA)D Sur les zones à risque élevé, une étude d’impact sur la vie privée (EIVP ou Privacy Impact Assessment) doit être menée. Procédures internesE L’entreprise doit mettre en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement. Documentation de la conformitéF Pour prouver la conformité au règlement, l’entreprise doit constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement.
Pramana | Data Management | RGPD Confidentiel ― Ce document est la propriété exclusive de Pramana et ne peut en aucun cas être diffusé à des tiers sans son accord préalable 5 Comment se mettre en conformité? Excepté l’obligation de mettre en place certains outils de gouvernance / management, le nouveau règlement décrit avant tout ce qui doit être fait (le « quoi ») mais laisse la main aux entreprises pour savoir « comment » se mettre en conformité. La méthode de mise en conformité proposée par Pramana est basée des mécanismes éprouvés de « gouvernance des données », qui va venir constituer à la fois un socle facilitant pour la mise en conformité au règlement européen, mais également un levier puissant de maîtrise des données sur d’autres dimensions que la « privacy » (ex: data quality, data publication, etc.).
Pramana | Data Management | RGPD Confidentiel ― Ce document est la propriété exclusive de Pramana et ne peut en aucun cas être diffusé à des tiers sans son accord préalable 6 Trois briques pour assurer la mise en conformité et le DPO en garant du système 1. Cartographie des données Le règlement impose de connaitre les données à caractère personnel, d’identifier celles qui sont sensibles et de tenir un registre des traitements. Il s’agit de la base sur laquelle pouvoir baser des politiques et des responsabilités. 2. Politiques Le règlement énonce un certain nombre de principes (droit à l’accès, droit à l’oubli, « privacy by design ») qui vont venir se décliner en politiques, ou plus précisément en règles, processus et procédures, sur la gestion de projet, les opérations métiers, la gestion de projet, la gestion des contrats fournisseurs, etc. Les politiques sont assorties de mécanismes de contrôle qui garantissent la boucle de retour et donc la garantie de conformité. 3. Rôles et responsabilités Les politiques ne s’appliquent pas toutes seules. Il est donc nécessaire, à l’instar d’un Etat avec les administrés, d’avoir des rôles définis avec des responsabilités bien délimitées pour appliquer et faire respecter les politiques énoncées. Le DPO, animateur et garant de la bonne application du règlement Le DPO est en particulier l’animateur de la gestion de risques et de priorités. Il s’assure que les politiques sont respectées et que les acteurs désignés sont bien investis de leur rôle. Stratégie de Management des Données Gestion des Risques / Contrôle / Pilotage
Pramana | Data Management | RGPD Confidentiel ― Ce document est la propriété exclusive de Pramana et ne peut en aucun cas être diffusé à des tiers sans son accord préalable 7 Mise en évidence des liens entre le RGPD et la Gouvernance des Données Cartographie des données sensiblesA Registre des traitementsB Le RGPD exige d’avoir une cartographie des données sensibles. La Gouvernance des Données oblige d’avoir un dictionnaire des données, une classification (données sensibles ou non, etc.), la cartographie associée et d’assigner des rôles et responsabilités dessus, en même temps que de mettre en application des politiques et des procédures sur ces données en fonction de leur classification (sensible, de référence, etc.). Par exemple, sur les données « sensibles » au sens CNIL, des politiques de traçabilité et de sécurité strictes seront appliquées, ainsi qu’une obligation de consigner les traitements qui sont faits de ces données. Système de gestion des prioritésC Procédures internesE Le RGPD exige, sur la base du registre, à identifier les actions à mener pour se conformer aux obligations actuelles et à venir. La Gouvernance des Données est indissociable d’une Stratégie de Management des Données, qui consiste à prioriser et focaliser les efforts et les actions à mener en fonction des sujets, qu’ils soient règlementaires, tactiques, opportunistes, etc. Ainsi, pour chaque donnée, il n’existe qu’une seule vision des actions à mener dessus, et non N visions parcellaires et morcelées en fonction des sujets et des priorités à adresser. Système de gestion des risques (+PIA)D Documentation de la conformitéF Le RGPD exige d’avoir un système de gestion des risques et de prouver la conformité à travers une documentation. La Gouvernance des Données est souvent pilotée à travers une gestion des risques (en lieu avec l’audit interne ou non), en concomitance avec une gestion des priorités (cf. ci-dessus). La mise en place de la démarche doit par ailleurs être documentée: la conformité sur le RGPD constitue donc un cas particulier de documentation du déploiement des mécanismes mis en place.
© Pramana 2017 CONTACTS Marcel LEE Directeur associé & Co-fondateur +33 (0)6 98 95 32 29 marcel.lee@pramana.fr +33 (0) 6 76 95 70 57 gilles.maurin@pramana.fr Gilles MAURIN Directeur d’agence - Lyon

Recommandé

Data Management - PramaTALK
Data Management - PramaTALKData Management - PramaTALK
Data Management - PramaTALK
Pramana
 
Introduction aux systèmes d’information des entreprises
Introduction aux systèmes d’information des entreprisesIntroduction aux systèmes d’information des entreprises
Introduction aux systèmes d’information des entreprises
Messaoud Hatri
 
Parcours de formations DATA ACADEMY
Parcours de formations DATA ACADEMYParcours de formations DATA ACADEMY
Parcours de formations DATA ACADEMY
Technofutur TIC
 
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
Guillaume Valcin
 
Système d'information
Système d'informationSystème d'information
Système d'informationcourgette
 
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper 2
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper 2Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper 2
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper 2
Guillaume Valcin
 
ISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPDISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPD
Agathe Rouviere 🚀
 
wskhlfdm,dsl,sfl
wskhlfdm,dsl,sflwskhlfdm,dsl,sfl
wskhlfdm,dsl,sflcoconimal
 

Recommandé

Data Management - PramaTALK
Data Management - PramaTALKData Management - PramaTALK
Data Management - PramaTALK
Pramana
 
Introduction aux systèmes d’information des entreprises
Introduction aux systèmes d’information des entreprisesIntroduction aux systèmes d’information des entreprises
Introduction aux systèmes d’information des entreprises
Messaoud Hatri
 
Parcours de formations DATA ACADEMY
Parcours de formations DATA ACADEMYParcours de formations DATA ACADEMY
Parcours de formations DATA ACADEMY
Technofutur TIC
 
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
Guillaume Valcin
 
Système d'information
Système d'informationSystème d'information
Système d'informationcourgette
 
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper 2
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper 2Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper 2
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper 2
Guillaume Valcin
 
ISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPDISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPD
Agathe Rouviere 🚀
 
wskhlfdm,dsl,sfl
wskhlfdm,dsl,sflwskhlfdm,dsl,sfl
wskhlfdm,dsl,sflcoconimal
 
Chap1 systéme d'information
Chap1 systéme d'informationChap1 systéme d'information
Chap1 systéme d'informationGhita Benabdellah
 
IBM : Gouvernance de l\'Information - Principes & Mise en oeuvre
IBM : Gouvernance de l\'Information - Principes & Mise en oeuvreIBM : Gouvernance de l\'Information - Principes & Mise en oeuvre
IBM : Gouvernance de l\'Information - Principes & Mise en oeuvre
Nicolas Desachy
 
Webinar : Reprenez le contrôle de votre capital informationnel avec Everteam
Webinar : Reprenez le contrôle de votre capital informationnel avec EverteamWebinar : Reprenez le contrôle de votre capital informationnel avec Everteam
Webinar : Reprenez le contrôle de votre capital informationnel avec Everteam
Everteam
 
Contrôleurs de gestion : prenez la main sur le pilotage des référentiels de g...
Contrôleurs de gestion : prenez la main sur le pilotage des référentiels de g...Contrôleurs de gestion : prenez la main sur le pilotage des référentiels de g...
Contrôleurs de gestion : prenez la main sur le pilotage des référentiels de g...
Olivier Rihouet
 
Les systèmes d'information
Les systèmes d'informationLes systèmes d'information
Les systèmes d'information
Oumaima Karim
 
Sécurité BI
Sécurité BISécurité BI
Sécurité BIGregoris Zikos
 
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
Boris Clément
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des Données
Terface
 
Rgpd simplifié - Présentation CGA du 22/05/2018
Rgpd simplifié - Présentation CGA du 22/05/2018Rgpd simplifié - Présentation CGA du 22/05/2018
Rgpd simplifié - Présentation CGA du 22/05/2018
cedric delberghe
 
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
Eloquant
 
Big Data & contrôle des données
Big Data & contrôle des donnéesBig Data & contrôle des données
Big Data & contrôle des données
Stephane Droxler
 
Mise en place d’un Systéme d’Information (S.I.) en PME
Mise en place d’un Systéme d’Information (S.I.) en PMEMise en place d’un Systéme d’Information (S.I.) en PME
Mise en place d’un Systéme d’Information (S.I.) en PMECYB@RDECHE
 
Système d’information
Système d’informationSystème d’information
Système d’information
z1l4n
 
Partie1BI-DW2019
Partie1BI-DW2019Partie1BI-DW2019
Partie1BI-DW2019
Aziz Darouichi
 
Atelier Informatica MDM Forum micropole 2014
Atelier Informatica MDM Forum micropole 2014Atelier Informatica MDM Forum micropole 2014
Atelier Informatica MDM Forum micropole 2014
Micropole Group
 
Données personnelles et SI - GDPR
Données personnelles et SI - GDPRDonnées personnelles et SI - GDPR
Données personnelles et SI - GDPR
Antoine Vigneron
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATA
ISACA Chapitre de Québec
 
RGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésRGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunités
Hatime Araki
 
Solutions GED/Dématérialisation - "Gouvernance documentaire" et "Dématique"
Solutions GED/Dématérialisation - "Gouvernance documentaire" et "Dématique"Solutions GED/Dématérialisation - "Gouvernance documentaire" et "Dématique"
Solutions GED/Dématérialisation - "Gouvernance documentaire" et "Dématique"
Alain Chekroun
 
GDPR, tous concernés ! Le Règlement Général de la Protection des Donnée en un...
GDPR, tous concernés ! Le Règlement Général de la Protection des Donnée en un...GDPR, tous concernés ! Le Règlement Général de la Protection des Donnée en un...
GDPR, tous concernés ! Le Règlement Général de la Protection des Donnée en un...
EnjoyDigitAll by BNP Paribas
 
Protection des données personnelles Se mettre en conformité : Pourquoi ? Comm...
Protection des données personnelles Se mettre en conformité : Pourquoi ? Comm...Protection des données personnelles Se mettre en conformité : Pourquoi ? Comm...
Protection des données personnelles Se mettre en conformité : Pourquoi ? Comm...
Patrick Bouillaud
 
Les points clés du gdpr ppt
Les points clés du gdpr ppt Les points clés du gdpr ppt
Les points clés du gdpr ppt
Jeanny LUCAS
 

Contenu connexe

Tendances

Chap1 systéme d'information
Chap1 systéme d'informationChap1 systéme d'information
Chap1 systéme d'informationGhita Benabdellah
 
IBM : Gouvernance de l\'Information - Principes & Mise en oeuvre
IBM : Gouvernance de l\'Information - Principes & Mise en oeuvreIBM : Gouvernance de l\'Information - Principes & Mise en oeuvre
IBM : Gouvernance de l\'Information - Principes & Mise en oeuvre
Nicolas Desachy
 
Webinar : Reprenez le contrôle de votre capital informationnel avec Everteam
Webinar : Reprenez le contrôle de votre capital informationnel avec EverteamWebinar : Reprenez le contrôle de votre capital informationnel avec Everteam
Webinar : Reprenez le contrôle de votre capital informationnel avec Everteam
Everteam
 
Contrôleurs de gestion : prenez la main sur le pilotage des référentiels de g...
Contrôleurs de gestion : prenez la main sur le pilotage des référentiels de g...Contrôleurs de gestion : prenez la main sur le pilotage des référentiels de g...
Contrôleurs de gestion : prenez la main sur le pilotage des référentiels de g...
Olivier Rihouet
 
Les systèmes d'information
Les systèmes d'informationLes systèmes d'information
Les systèmes d'information
Oumaima Karim
 
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
Boris Clément
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des Données
Terface
 
Rgpd simplifié - Présentation CGA du 22/05/2018
Rgpd simplifié - Présentation CGA du 22/05/2018Rgpd simplifié - Présentation CGA du 22/05/2018
Rgpd simplifié - Présentation CGA du 22/05/2018
cedric delberghe
 
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
Eloquant
 
Big Data & contrôle des données
Big Data & contrôle des donnéesBig Data & contrôle des données
Big Data & contrôle des données
Stephane Droxler
 
Mise en place d’un Systéme d’Information (S.I.) en PME
Mise en place d’un Systéme d’Information (S.I.) en PMEMise en place d’un Systéme d’Information (S.I.) en PME
Mise en place d’un Systéme d’Information (S.I.) en PMECYB@RDECHE
 
Système d’information
Système d’informationSystème d’information
Système d’information
z1l4n
 
Partie1BI-DW2019
Partie1BI-DW2019Partie1BI-DW2019
Partie1BI-DW2019
Aziz Darouichi
 
Atelier Informatica MDM Forum micropole 2014
Atelier Informatica MDM Forum micropole 2014Atelier Informatica MDM Forum micropole 2014
Atelier Informatica MDM Forum micropole 2014
Micropole Group
 
Données personnelles et SI - GDPR
Données personnelles et SI - GDPRDonnées personnelles et SI - GDPR
Données personnelles et SI - GDPR
Antoine Vigneron
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATA
ISACA Chapitre de Québec
 
RGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésRGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunités
Hatime Araki
 
Solutions GED/Dématérialisation - "Gouvernance documentaire" et "Dématique"
Solutions GED/Dématérialisation - "Gouvernance documentaire" et "Dématique"Solutions GED/Dématérialisation - "Gouvernance documentaire" et "Dématique"
Solutions GED/Dématérialisation - "Gouvernance documentaire" et "Dématique"
Alain Chekroun
 
GDPR, tous concernés ! Le Règlement Général de la Protection des Donnée en un...
GDPR, tous concernés ! Le Règlement Général de la Protection des Donnée en un...GDPR, tous concernés ! Le Règlement Général de la Protection des Donnée en un...
GDPR, tous concernés ! Le Règlement Général de la Protection des Donnée en un...
EnjoyDigitAll by BNP Paribas
 

Tendances (20)

Chap1 systéme d'information
Chap1 systéme d'informationChap1 systéme d'information
Chap1 systéme d'information
 
IBM : Gouvernance de l\'Information - Principes & Mise en oeuvre
IBM : Gouvernance de l\'Information - Principes & Mise en oeuvreIBM : Gouvernance de l\'Information - Principes & Mise en oeuvre
IBM : Gouvernance de l\'Information - Principes & Mise en oeuvre
 
Webinar : Reprenez le contrôle de votre capital informationnel avec Everteam
Webinar : Reprenez le contrôle de votre capital informationnel avec EverteamWebinar : Reprenez le contrôle de votre capital informationnel avec Everteam
Webinar : Reprenez le contrôle de votre capital informationnel avec Everteam
 
Contrôleurs de gestion : prenez la main sur le pilotage des référentiels de g...
Contrôleurs de gestion : prenez la main sur le pilotage des référentiels de g...Contrôleurs de gestion : prenez la main sur le pilotage des référentiels de g...
Contrôleurs de gestion : prenez la main sur le pilotage des référentiels de g...
 
Les systèmes d'information
Les systèmes d'informationLes systèmes d'information
Les systèmes d'information
 
Sécurité BI
Sécurité BISécurité BI
Sécurité BI
 
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des Données
 
Rgpd simplifié - Présentation CGA du 22/05/2018
Rgpd simplifié - Présentation CGA du 22/05/2018Rgpd simplifié - Présentation CGA du 22/05/2018
Rgpd simplifié - Présentation CGA du 22/05/2018
 
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
 
Big Data & contrôle des données
Big Data & contrôle des donnéesBig Data & contrôle des données
Big Data & contrôle des données
 
Mise en place d’un Systéme d’Information (S.I.) en PME
Mise en place d’un Systéme d’Information (S.I.) en PMEMise en place d’un Systéme d’Information (S.I.) en PME
Mise en place d’un Systéme d’Information (S.I.) en PME
 
Système d’information
Système d’informationSystème d’information
Système d’information
 
Partie1BI-DW2019
Partie1BI-DW2019Partie1BI-DW2019
Partie1BI-DW2019
 
Atelier Informatica MDM Forum micropole 2014
Atelier Informatica MDM Forum micropole 2014Atelier Informatica MDM Forum micropole 2014
Atelier Informatica MDM Forum micropole 2014
 
Données personnelles et SI - GDPR
Données personnelles et SI - GDPRDonnées personnelles et SI - GDPR
Données personnelles et SI - GDPR
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATA
 
RGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésRGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunités
 
Solutions GED/Dématérialisation - "Gouvernance documentaire" et "Dématique"
Solutions GED/Dématérialisation - "Gouvernance documentaire" et "Dématique"Solutions GED/Dématérialisation - "Gouvernance documentaire" et "Dématique"
Solutions GED/Dématérialisation - "Gouvernance documentaire" et "Dématique"
 
GDPR, tous concernés ! Le Règlement Général de la Protection des Donnée en un...
GDPR, tous concernés ! Le Règlement Général de la Protection des Donnée en un...GDPR, tous concernés ! Le Règlement Général de la Protection des Donnée en un...
GDPR, tous concernés ! Le Règlement Général de la Protection des Donnée en un...
 

Similaire à Comment se mettre en conformité avec le GDPR ?

Protection des données personnelles Se mettre en conformité : Pourquoi ? Comm...
Protection des données personnelles Se mettre en conformité : Pourquoi ? Comm...Protection des données personnelles Se mettre en conformité : Pourquoi ? Comm...
Protection des données personnelles Se mettre en conformité : Pourquoi ? Comm...
Patrick Bouillaud
 
Les points clés du gdpr ppt
Les points clés du gdpr ppt Les points clés du gdpr ppt
Les points clés du gdpr ppt
Jeanny LUCAS
 
Les points clés du GDPR ppt
Les points clés du GDPR ppt Les points clés du GDPR ppt
Les points clés du GDPR ppt
Jeanny LUCAS
 
Rgpd presentation
Rgpd presentationRgpd presentation
Rgpd presentation
gnizon
 
Les points clés du GDPR
Les points clés du GDPRLes points clés du GDPR
Les points clés du GDPR
Martin Dupuy
 
GDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico LégauxGDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico Légaux
Yves Gattegno
 
Guide RGPD - IAB France
Guide RGPD - IAB FranceGuide RGPD - IAB France
Guide RGPD - IAB France
Romain Fonnier
 
La solution externalisée pour les TPE ppt
La solution externalisée pour les TPE pptLa solution externalisée pour les TPE ppt
La solution externalisée pour les TPE ppt
Martin Dupuy
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis Nystek
Pascal ALIX
 
[Infographie] Le RGPD - en bref
[Infographie] Le RGPD - en bref[Infographie] Le RGPD - en bref
[Infographie] Le RGPD - en bref
Thinkmarket
 
Gestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsGestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligations
Claranet
 
Règlement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UERèglement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UE
PECB
 
ISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPDISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPD
Inforsud Diffusion
 
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
Jedha Bootcamp
 
INFOGRAPHIE - Focus sur le RGPD
INFOGRAPHIE - Focus sur le RGPDINFOGRAPHIE - Focus sur le RGPD
INFOGRAPHIE - Focus sur le RGPD
Mohamed KAROUT
 
Contrat de sous-traitance - GDPR
Contrat de sous-traitance - GDPRContrat de sous-traitance - GDPR
Contrat de sous-traitance - GDPR
Technofutur TIC
 
BAROMÈTRE RGPD
BAROMÈTRE RGPDBAROMÈTRE RGPD
BAROMÈTRE RGPD
Converteo
 
Club Excellence Opérationnelle : RGPD pour les TPE/PME
Club Excellence Opérationnelle : RGPD pour les TPE/PMEClub Excellence Opérationnelle : RGPD pour les TPE/PME
Club Excellence Opérationnelle : RGPD pour les TPE/PME
Loïc Charpentier
 
RGPD / GDPR : Principes, Démarche, Outils
RGPD / GDPR : Principes, Démarche, OutilsRGPD / GDPR : Principes, Démarche, Outils
RGPD / GDPR : Principes, Démarche, Outils
aYaline
 
La solution GDPR externalisée pour les tpe ppt
La solution GDPR externalisée pour les tpe pptLa solution GDPR externalisée pour les tpe ppt
La solution GDPR externalisée pour les tpe ppt
Jeanny LUCAS
 

Similaire à Comment se mettre en conformité avec le GDPR ? (20)

Protection des données personnelles Se mettre en conformité : Pourquoi ? Comm...
Protection des données personnelles Se mettre en conformité : Pourquoi ? Comm...Protection des données personnelles Se mettre en conformité : Pourquoi ? Comm...
Protection des données personnelles Se mettre en conformité : Pourquoi ? Comm...
 
Les points clés du gdpr ppt
Les points clés du gdpr ppt Les points clés du gdpr ppt
Les points clés du gdpr ppt
 
Les points clés du GDPR ppt
Les points clés du GDPR ppt Les points clés du GDPR ppt
Les points clés du GDPR ppt
 
Rgpd presentation
Rgpd presentationRgpd presentation
Rgpd presentation
 
Les points clés du GDPR
Les points clés du GDPRLes points clés du GDPR
Les points clés du GDPR
 
GDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico LégauxGDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico Légaux
 
Guide RGPD - IAB France
Guide RGPD - IAB FranceGuide RGPD - IAB France
Guide RGPD - IAB France
 
La solution externalisée pour les TPE ppt
La solution externalisée pour les TPE pptLa solution externalisée pour les TPE ppt
La solution externalisée pour les TPE ppt
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis Nystek
 
[Infographie] Le RGPD - en bref
[Infographie] Le RGPD - en bref[Infographie] Le RGPD - en bref
[Infographie] Le RGPD - en bref
 
Gestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsGestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligations
 
Règlement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UERèglement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UE
 
ISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPDISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPD
 
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
 
INFOGRAPHIE - Focus sur le RGPD
INFOGRAPHIE - Focus sur le RGPDINFOGRAPHIE - Focus sur le RGPD
INFOGRAPHIE - Focus sur le RGPD
 
Contrat de sous-traitance - GDPR
Contrat de sous-traitance - GDPRContrat de sous-traitance - GDPR
Contrat de sous-traitance - GDPR
 
BAROMÈTRE RGPD
BAROMÈTRE RGPDBAROMÈTRE RGPD
BAROMÈTRE RGPD
 
Club Excellence Opérationnelle : RGPD pour les TPE/PME
Club Excellence Opérationnelle : RGPD pour les TPE/PMEClub Excellence Opérationnelle : RGPD pour les TPE/PME
Club Excellence Opérationnelle : RGPD pour les TPE/PME
 
RGPD / GDPR : Principes, Démarche, Outils
RGPD / GDPR : Principes, Démarche, OutilsRGPD / GDPR : Principes, Démarche, Outils
RGPD / GDPR : Principes, Démarche, Outils
 
La solution GDPR externalisée pour les tpe ppt
La solution GDPR externalisée pour les tpe pptLa solution GDPR externalisée pour les tpe ppt
La solution GDPR externalisée pour les tpe ppt
 

Comment se mettre en conformité avec le GDPR ?

  • 1. Membre fondateur de Pramana | Data Management Mise en conformité avec le RGPD Rappel des exigences et Démarche de mise en conformité Juillet 2017
  • 2. Pramana | Data Management | RGPD Confidentiel ― Ce document est la propriété exclusive de Pramana et ne peut en aucun cas être diffusé à des tiers sans son accord préalable 2 Rappel du contexte Un nouveau règlement sur les données personnelles qui entre en vigueur le 25 mai 2018 Le nouveau règlement européen sur la protection des données personnelles (RGPD: Règlement Général pour la Protection des Données) est paru au journal officiel de l’Union européenne et entrera en application le 25 mai 2018. L’adoption de ce texte doit permettre à l'Europe de s'adapter aux nouvelles réalités du numérique et de renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures. Un champ d’application étendu Le règlement s’applique dès lors que le responsable de traitement ou le sous-traitant est établi sur le territoire de l’Union européenne ou que le responsable de traitement ou le sous-traitant met en œuvre des traitements visant à fournir des biens et des services aux résidents européens ou à les « cibler » (en anglais monitor). Par ailleurs, alors que le droit de la protection des données actuel concerne essentiellement les « responsables de traitements », c’est-à-dire les organismes qui déterminent les finalités et les modalités de traitement de données personnelles, le règlement étend aux sous-traitants une large partie des obligations imposées aux responsables de traitement. Un changement de paradigme Le RGDP abroge la directive 95/46/CE. Alors que la directive de 1995 reposait en grande partie sur la notion de « formalités préalables » (déclaration, autorisations), le règlement européen repose sur une logique de conformité, dont les acteurs sont responsables, sous le contrôle et avec l’accompagnement du régulateur. Désormais les responsables des traitements doivent concevoir des traitements qui respectent dès leur conception et par défaut, les règles de protection des données personnelles (« privacy by design »). Des sanctions encadrées, graduées et renforcées Les responsables de traitement et les sous-traitants peuvent faire l’objet de sanctions administratives importantes en cas de méconnaissance des dispositions du règlement. S’agissant des amendes administratives, elles peuvent s’élever, selon la catégorie de l’infraction, de 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, de 2% jusqu’à 4% du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
  • 3. Pramana | Data Management | RGPD Confidentiel ― Ce document est la propriété exclusive de Pramana et ne peut en aucun cas être diffusé à des tiers sans son accord préalable 3 Les 8 Exigences ou Principes requis par le RGPD Garantir le droit à l’accès1 Chaque individu (« data subject ») doit pouvoir obtenir une copie de ses données personnes et doit pouvoir savoir si ses données sont utilisées, où et dans quelle finalité. Notifier en cas de violation2 L’entreprise doit notifier la CNIL (autorité de contrôle) en cas de violation (« breach ») et si possible dans les 72h. Garantir le droit à l’oubli3 Chaque individu a le droit de demander à l’entreprise d’effacer ses données personnelles si la poursuite du traitement n’est pas justifiée. Garantir la portabilité des données 4 Chaque individu a le droit d’exiger de l’entreprise de transmettre ses données personnelles à une autre entreprise. Garantir l’accord de consentement5 Le règlement exige une action affirmative claire qui signale l’accord de consentement de transfert des données personnelles. Par ailleurs, un accord parental est exigé pour les données des mineurs (13 à 16 ans) Le « Privacy by Design »6 La protection des données doit être incluse dans la conception des systèmes en amont. Des mesures techniques et organisationnelles doivent être implémentées en conséquence. La responsabilité conjointe de traitement 7 Le sous-traitant est tenu de respecter des obligations spécifiques en matière de sécurité, de confidentialité et en matière de responsabilité (accountability). Désigner un Data Protection Officer8 La présence d’un DPO est quasi- obligatoire notamment lorsque les activités de base du responsable de traitement consistent en des traitements qui exigent un suivi particulier et systématique des personnes concernées.
  • 4. Pramana | Data Management | RGPD Confidentiel ― Ce document est la propriété exclusive de Pramana et ne peut en aucun cas être diffusé à des tiers sans son accord préalable 4 Les exigences a minima en termes d’outils de gouvernance ou de management Cartographie des données sensiblesA Le règlement impose d’identifier les informations faisant référence aux origines raciales ou ethniques, à la religion, aux opinions politiques, philosophiques, syndicales, à la génétique, aux données biométriques, à la santé ou à la sexualité des personnes. Registre des traitementsB Le registre comporte des informations, dont le nom et les coordonnées du responsable du traitement, ses finalités, une description des catégories de personnes concernées et des catégories de données personnelles, etc. Système de gestion des prioritésC Sur la base du registre, l’entreprise doit identifier actions à mener pour se conformer aux obligations actuelles et à venir. Système de gestion des risques (+PIA)D Sur les zones à risque élevé, une étude d’impact sur la vie privée (EIVP ou Privacy Impact Assessment) doit être menée. Procédures internesE L’entreprise doit mettre en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement. Documentation de la conformitéF Pour prouver la conformité au règlement, l’entreprise doit constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement.
  • 5. Pramana | Data Management | RGPD Confidentiel ― Ce document est la propriété exclusive de Pramana et ne peut en aucun cas être diffusé à des tiers sans son accord préalable 5 Comment se mettre en conformité? Excepté l’obligation de mettre en place certains outils de gouvernance / management, le nouveau règlement décrit avant tout ce qui doit être fait (le « quoi ») mais laisse la main aux entreprises pour savoir « comment » se mettre en conformité. La méthode de mise en conformité proposée par Pramana est basée des mécanismes éprouvés de « gouvernance des données », qui va venir constituer à la fois un socle facilitant pour la mise en conformité au règlement européen, mais également un levier puissant de maîtrise des données sur d’autres dimensions que la « privacy » (ex: data quality, data publication, etc.).
  • 6. Pramana | Data Management | RGPD Confidentiel ― Ce document est la propriété exclusive de Pramana et ne peut en aucun cas être diffusé à des tiers sans son accord préalable 6 Trois briques pour assurer la mise en conformité et le DPO en garant du système 1. Cartographie des données Le règlement impose de connaitre les données à caractère personnel, d’identifier celles qui sont sensibles et de tenir un registre des traitements. Il s’agit de la base sur laquelle pouvoir baser des politiques et des responsabilités. 2. Politiques Le règlement énonce un certain nombre de principes (droit à l’accès, droit à l’oubli, « privacy by design ») qui vont venir se décliner en politiques, ou plus précisément en règles, processus et procédures, sur la gestion de projet, les opérations métiers, la gestion de projet, la gestion des contrats fournisseurs, etc. Les politiques sont assorties de mécanismes de contrôle qui garantissent la boucle de retour et donc la garantie de conformité. 3. Rôles et responsabilités Les politiques ne s’appliquent pas toutes seules. Il est donc nécessaire, à l’instar d’un Etat avec les administrés, d’avoir des rôles définis avec des responsabilités bien délimitées pour appliquer et faire respecter les politiques énoncées. Le DPO, animateur et garant de la bonne application du règlement Le DPO est en particulier l’animateur de la gestion de risques et de priorités. Il s’assure que les politiques sont respectées et que les acteurs désignés sont bien investis de leur rôle. Stratégie de Management des Données Gestion des Risques / Contrôle / Pilotage
  • 7. Pramana | Data Management | RGPD Confidentiel ― Ce document est la propriété exclusive de Pramana et ne peut en aucun cas être diffusé à des tiers sans son accord préalable 7 Mise en évidence des liens entre le RGPD et la Gouvernance des Données Cartographie des données sensiblesA Registre des traitementsB Le RGPD exige d’avoir une cartographie des données sensibles. La Gouvernance des Données oblige d’avoir un dictionnaire des données, une classification (données sensibles ou non, etc.), la cartographie associée et d’assigner des rôles et responsabilités dessus, en même temps que de mettre en application des politiques et des procédures sur ces données en fonction de leur classification (sensible, de référence, etc.). Par exemple, sur les données « sensibles » au sens CNIL, des politiques de traçabilité et de sécurité strictes seront appliquées, ainsi qu’une obligation de consigner les traitements qui sont faits de ces données. Système de gestion des prioritésC Procédures internesE Le RGPD exige, sur la base du registre, à identifier les actions à mener pour se conformer aux obligations actuelles et à venir. La Gouvernance des Données est indissociable d’une Stratégie de Management des Données, qui consiste à prioriser et focaliser les efforts et les actions à mener en fonction des sujets, qu’ils soient règlementaires, tactiques, opportunistes, etc. Ainsi, pour chaque donnée, il n’existe qu’une seule vision des actions à mener dessus, et non N visions parcellaires et morcelées en fonction des sujets et des priorités à adresser. Système de gestion des risques (+PIA)D Documentation de la conformitéF Le RGPD exige d’avoir un système de gestion des risques et de prouver la conformité à travers une documentation. La Gouvernance des Données est souvent pilotée à travers une gestion des risques (en lieu avec l’audit interne ou non), en concomitance avec une gestion des priorités (cf. ci-dessus). La mise en place de la démarche doit par ailleurs être documentée: la conformité sur le RGPD constitue donc un cas particulier de documentation du déploiement des mécanismes mis en place.
  • 8. © Pramana 2017 CONTACTS Marcel LEE Directeur associé & Co-fondateur +33 (0)6 98 95 32 29 marcel.lee@pramana.fr +33 (0) 6 76 95 70 57 gilles.maurin@pramana.fr Gilles MAURIN Directeur d’agence - Lyon