Les données personnelles : un patrimoine à sécuriser ! Dans un environnement règlementaire déjà complexe et évolutif, que va impliquer la nouvelle règlementation européenne dans vos processus marketing et digitaux ? Le 25 mai 2018, les entreprises françaises devront être en mesure de respecter le nouveau règlement européen sur la protection des données (RGPD). S'il s'inscrit dans la continuité du cadre législatif français existant, il modifie significativement les droits et les rapports entre les consommateurs, les entreprises et les autorités de protection. Quels sont les éléments clés du règlement de l'Union Européenne ? Quels sont les principes à prendre en compte en matière de protection de données personnelles dans les bases marketing et le marketing digital ? Quelles conséquences sur votre activité ? Concrètement, quels impacts sur votre animation digitale, votre pratique actuelle de gestion des consentements, de stockage et de protection des données ? Quelle approche méthodologique et outils à adopter pour une mise en place d'une politique de traitement des données et avancer sur une mise en conformité ? Accompagnés du Cabinet PBA, et fort de notre expérience opérationnelle, nous répondrons à ces interrogations lors de ce séminaire au cours duquel nous vous exposerons une démarche concrète de mise en conformité.

1. © Soft Computing – www.softcomputing.com
Séminaire DCP
Les données personnelles : un patrimoine à sécuriser !
27 Avril 2017

2. © 2
Les données personnelles : un patrimoine à sécuriser !
Séminaire le 27 avril 2017
Dans un environnement règlementaire déjà complexe et évolutif, que va
impliquer la nouvelle règlementation européenne dans vos processus marketing
et digitaux ?
Le 25 mai 2018, les entreprises françaises devront être en mesure de respecter le nouveau règlement
européen sur la protection des données (RGPD).
Quels sont les éléments clés du règlement de l’Union Européenne ?
Quels sont les principes à prendre en compte en matière de protection de données personnelles dans
les bases marketing et le marketing digital ? Quelles conséquences sur votre activité ?
Accompagnés du Cabinet PBA, et fort de notre expérience opérationnelle, nous répondrons à ces
interrogations lors de ce séminaire au cours duquel nous vous exposerons une démarche concrète de
mise en conformité.
A propos
Soft Computing est le spécialiste du marketing digital data-driven. Ses 400 consultants, experts en sciences de la donnée, en marketing digital et en
technologies big data, aident au quotidien plus de 150 entreprises à travers le monde à exploiter tout le potentiel de la donnée pour améliorer l’expérience de
leurs clients et le ROI de leur marketing digital. Soft Computing est côté à Paris sur NYSE Euronext (ISIN : FR0000075517, Symbole : SFT).
Cet événement est réservé aux clients et prospects Soft Computing. Pour tout autre profil, l'inscription sera soumise à validation.
Soft Computing |55 quai de Grenelle|75015 Paris|01 73 00 55 00 | www.softcomputing.com
Modalités :
Ce séminaire aura lieu dans les
locaux de Soft Computing.
Ou via notre site:
www.softcomputing.com
Agenda : 08h45 – 11h00
 Les modifications apportées par le Règlement UE et les principes à
prendre en compte en matière de gestion des données personnelles
 Les impacts dans la mise en œuvre d’un projet
 Les points clés de mise en œuvre opérationnelle de la nouvelle
réglementation
 Conclusion

3. © 3
3
La compliance, opus de la gouvernance des données
La gouvernance des données
Les données personnelles
Le RCU

4. © 4
Sommaire
1. Présentation de Soft Computing & du Cabinet PBA
2. Introduction
3. Les modifications apportées par le Règlement et les principes
majeurs
4. Les impacts dans la mise en œuvre d’un projet
5. Les points clés de mise en conformité de la nouvelle
réglementation
6. Conclusion

5. © 5
Carte d’identité

6. © 6
Exploiter tout le potentiel de la data
Créer des expériences Client sans couture
Démultiplier la performance du marketing digital
Mission
Marketing
Intelligence
Big Data
Driven
Digital
Experience

7. © 7
Compétences : un mix unique de compétences pointues
Digital
Marketing
Data
Science
Project
Management
Information
Technologies

8. © 8
A la carte
Think Build Run
Délégation Projet Centre de services
Digital-Marketing IT AMOA
Offre
Delivery
Clients

9. © 9
Extraits de références
Digital Marketing Big Data
Cadrage des uses cases et mise en
œuvre opérationnelle d'un POC
DMP.
Programme relationnel multi-
devices et remarketing.
Data Management Platform, CRM,
Identity Management et web
analytics et déploiement des
usages Data Marketing.
Migration technique et
organisationnelle d’une DMP et
d’une SSP.
Mise en œuvre et exploitation
opérationnelle d'une DMP.
Centre de services de gestion des
campagnes marketing multicanal.
Mesure de l'impact des parcours
multicanaux sur le NPS et
recommandations d'améliorations.
Refonte de la stratégie de
fidélisation omnicanale multi-
marques.
Déploiement d’une plate-forme
CRM multi-marques multi-pays.
Centre de services gestion de
campagnes marketing et
connaissance clients.
Accompagnement Data Science à la
valorisation des données Big Data.
Stratégie de sécurité et
construction d'une plate-forme
d'intégration continue pour
industrialiser les flux Big Data.
Formation aux méthodes et outils
en Data Science, France et
International.
Définition de la gouvernance d’un
Référentiel client multi-activité et
international.
Mise en œuvre de l'intégration des
flux Big Data pour l'animation des
parcours clients.

10. © 10
Experts reconnus
InformerEcrire Enseigner
blog.softcomputing.com/
fr.slideshare.net/softcomputing
twitter.com/softcomputing
linkedin.com/company/soft-computing
facebook.com/softcomputing
softcomputing.com/news/

11. © 11
Recruteur de talents
Datascience Projet
TechnologiesDigital
Marketing
CRM
Big Data
100 CDI à pourvoir cette année
Contact : recrutement@softcomputing.com –
http://www.softcomputing.com/offres-d-emploi

12. Concurrence,
distribution &
consommation
Assurance
& finance
Corporate
Droit
commercial
Construction
&
environnement
Data
privacy
Droit de la
santé
&
Sciences de la
vie
Médias &
propriété
intellectuelle
Droit de la
sécurité
sociale
Pénal
&
Compliance
Responsabilités
Droit du travail
NOS COMPETENCES
12

13. 13

14. Banque -
Assurance
BTP
Hôtellerie
Industrie
Professions
réglementées
Santé -
Cosmétique
Services &
activités de
conseil
Sport
Transport
NOS SECTEURS D’ACTIVITES
14

15. © 15
Sommaire
1. Présentation de Soft Computing & du Cabinet PBA
2. Introduction
3. Les modifications apportées par le Règlement et les principes
majeurs
4. Les impacts dans la mise en œuvre d’un projet
5. Les points clés de mise en conformité de la nouvelle
réglementation
6. Conclusion

16. © 16
Un environnement Big Data, une approche Gouvernance
Volume de données
Stockage
Usages
Compliance
Sécurité Qualité
GOUVERNANCE

17. © 17
Pourquoi un nouveau cadre légal – Historique & dates clés
6 janvier 1978 Loi informatiques & libertés
24 octobre 1995 Adoption directive 95/46/CE
6 août 2004 Loi de transposition (LIL)
27 avril 2016 Adoption du Règlement 2016/679
25 mai 2018 Application du Règlement
Les objectifs du nouveau Règlement
1. Clarification & élargissement des notions
2. Plus grande protection des droits des personnes
3. Responsabilisation
4. Régulation
Nécessité d’avoir un cadre commun là où les frontières n’existent plus

18. © 18
Le Règlement Général de l'Union européenne sur la Protection des Données
A partir du 25 mai 2018, il sera nécessaire d’appliquer le règlement général sur la
protection des données, établissant un cadre unique pour l’ensemble des pays de
l’UE et non plus un minimum commun qui pouvait être enrichi de spécificités
locales supplémentaires.
Ce règlement a pour objectif de :
Renforcer les droits des personnes concernées
Préciser les exigences en matière de protection de l’information
Obliger les organisation à protéger les données
#1
#2
#3

19. © 19
Qu’ est ce qui relève de la protection des données ?
Données
sensibles
Données
Personnelles
Données pseudonymisées
Données anonymes
Consentement requis spécifique
Loi sur la protection des données
Potentielle loi sur la protection
des données
Aucune Loi sur la protection des
données

20. © 20
Quels sont les éléments à prendre en compte dans
la mise en conformité ?
•Politique générale Informatique et Libertés
•Nomination du DPO
•Gouvernance de la donnée personnelle
•Cartographie
•Organisation
•Registre
•Principes fondamentaux
•Durée de conservation
•Contrats & Mentions obligatoires
•Privacy By Design
•Privacy By Default
•Accountability
•Etude d’impacts
•Sécurité/Gestion de faille
•Droit des personnes
•Formation et sensibilisation
•Flux transfrontières
•Certification
•Conformité
•Mise en condition opérationnelle

21. © 21
Sommaire
1. Présentation de Soft Computing & du Cabinet PBA
2. Introduction
3. Les modifications apportées par le Règlement et les principes
majeurs
4. Les impacts dans la mise en œuvre d’un projet
5. Les points clés de mise en conformité de la nouvelle
réglementation
6. Conclusion

22. © 22
L’univers Règlement Général sur la Protection des Données - Dataviz
Représentation des dépendances entre les articles du RGPD (CNIL)

23. © 23
Et quelle est la perception des entreprises …
Quel impact le RGPD aura t-il sur leur fonctionnement ?
 43 % n’en ont aucune idée
 33 % ont simplement effleuré le sujet
 24 % mesurent complètement l’impact
Pour quelles raisons est ce si compliqué ?
 29% le manque d’information sur le sujet
 26% le manque de temps et l’absence de ressources
 12.5% le manque de compétences en interne
 10% la complexité de mise en place
 9% le manque de moyens techniques en interne
 8% la non-compréhension du sujet
Enquête SerdaLab réalisée en février 2017

24. © 24
Les principaux apports
Les 6 éléments clé de la nouvelle réglementation
Mise en œuvre d’un
champ d’application
élargi
Consécration de droits
renforcés & nouveaux
Création d’obligations
& de responsabilités
nouvelles pour les
responsables de
traitement
Passage d’une logique
de contrôle a priori à
celle d’accountability
Crédibilisation de la
régulation par la
coopération et le
renforcement des
pouvoirs d’enquête et
de sanction
Encadrement, un
renforcement et une
graduation des
sanctions
administratives
Changement radical de l’état d’esprit de la protection des données personnelles


25. © 25
1-Extension du champ d’application delaprotection des données
 Champ d’application temporel
 Impose aux entreprises d’être le plus tôt possible en conformité avec le règlement
 Champ d’application territorial
- Responsable de traitement ayant un établissement dans l’UE
- Responsable de traitement non établis dans l’UE
 Le Règlement s’applique à chaque fois qu’un résident européen sera directement visé par
un traitement de données
 Champ d’application ratione personae
- Responsable de traitement
- Sous-traitant
 Prise en compte de l’importance, de la multiplicité & de la technicité des sous-traitant

26. © 26
2-Lerenforcement etlaconsécration des droits & des libertés
Droit à
l’information
Droit à un recours
juridictionnel
effectif
Droit d’opposition
Droit de
rectification
Droit
d’accès
Droit à l’effacement
(droit à oubli)
Droit d’introduire
une réclamation
Droit d’information
d’une violation
Droit à la limitation
du traitement
Droit à la portabilité
Droit à réparation
Les droits renforcés
Les droits nouveaux

27. © 27
3-Lesnouvelles obligations àlacharge del’entreprise
Responsable
de traitement
+
Sous-traitant
Documentation
de la
conformité
Désignation
d’un
responsable
au sein de
l’UE
Tenue d’un
registre des
activités de
traitement
Notification
d’une faille
de sécurité
Réalisation
d’étude
d’impact sur
la vie privée
Consultation
préalable
de l’autorité
Désignation
d’un
data
privacy
officer

28. © 28
Ladésignation d’un data privacy officer (DPO)
Responsabledela
conformitédestraitements
del’entrepriseàla
règlementationapplicable
Désignation d’un employé ou d’un
tierssurlabasedeses:
- qualitésprofessionnelles
- connaissances expertes du
droitetdespratiques
- Capacité à accomplir les
missionsconfiées
Présenceobligatoiresi:
• Secteurpublic
• Activitésprincipalesimpliquentle
traitement
- Degrandsvolumesdedonnées,
régulièrement&
systématiquement(profilage)
- De données sensibles à grande
échelle
1. Informer & conseiller le
responsable du traitement +
employés
2. Contrôler le respect de la
règlementation
3. ConseillersurlesEIVP
4. Coopérer avec l’autorité de
contrôle
Indépendancefonctionnelle
Indépendancehiérarchique
 Obligationdesecret
Obligationdeconfidentialité
DPO

29. © 29
Latenued’un registre des traitements
Registre obligatoire si:
- Traitements susceptibles de comporter un risque pour les droits &
libertés
- Activité régulière de l’entreprise
- Traitement contient des données sensibles
Registre obligatoire
A la disposition de l’autorité de contrôle sur demande

30. © 30
Violation des
données
personnelles
Destruction
Perte
Altération
Divulgation non-autorisée
Faille de sécurité
1
Violation susceptible
d’engendrer un risque élevé
pourlesdroits&libertés
+
Absencedemiseenœuvrede
toutes les mesures techniques&
organisationnellesadéquates
2
Accès non-autorisé
Communication à la personne concernée
Dans les meilleurs délais si:
Notification de
l’autorité chef de file
Dans les 72h après
avoir eu connaissance
Les obligations en cas de violation des données à caractère
personnel

31. © 31
4-Leconcept d’accountability
Principe d’accountability (Art. 25 Règlement)
« Le responsable du traitement met en œuvre, tant au moment de la
détermination des moyens (privacy by design), qu’au moment du
traitement lui-même, des mesures techniques et organisationnelles
appropriées, qui sont destinés à mettre en œuvre les principes relatifs à
la protection des données de façon effective et à assortir le
traitement des garanties nécessaires afin de répondre aux exigences
légales et de protéger les droits des personnes »
 Réalisation d’études d’impact sur la vie privée
 Élaboration de codes de bonne conduite
 Rédaction de Binding Corporate Rules (BCR)
 Mise en œuvre d’une politique de protection des
données à caractère personnel
E n p ra t i q u e :
L’entreprise devra s’interroger sur le respect
par sa technologie du principe de privacy by
design dès lors que la technologie permettra:
- D’être intrusive dans la vie privée des
utilisateurs
- De collecter massivement des données

32. © 32
Changementde paradigme et impacts sur l’entreprise
Prendre des mesures
proactives et non
réactives
Assurer la protection
implicite de la vie privée
Intégrer la protection de
la vie privée dans la
conception des systèmes
& pratiques
Assurer une fonctionnalité intégrale
selon un paradigme à somme
positive
Assurer la sécurité de bout en
bout pendant une durée de
conservation
Assurer la visibilité &
la transparence
Respecter la vie
privée des utilisateurs
1
2
3
45
6
7
Privacy
by
design

33. © 33
5-Coopération etRenforcement de l’autorité decontrôle
Normes simplifiées
Méthodologie de référence
Déclarations simplifiées
Suppression des formalités
déclaratives dès lors que les
traitements ne constituent
pas un risque pour la vie
privée
Accomplissement des
formalités dans chacun
des pays de l’UE
Guichet unique « One stop shop »
 Mise en œuvre uniforme des programmes de conformité à l’échelle de l’UE
Pour l’entreprise = rationalisation des coûts
Avant Après
1
2

34. © 34
Impact surle transfertdesdonnées
Union
Européenne Hors UE Aux USA
Transfert vers un pays tiers subordonné à une décision d’adéquation adoptée par la Commission
européenneuniquementsil’Etatassureunniveaudeprotectionsuffisant
 Délaisdetraitementvariables
 Retarddansledéploiementopérationnel
 Découragementdesorganisationssousfortepressionéconomique
Compétencede
chacunedesautorités
decontrôleconcernée
parletraitement
1. Décision d’adéquation
2. Binding Corporate Rules
3. Code de conduite
4. Clauses contractuelles
types
+
Engagement contraignant
& exécutoire d’appliquer les
garanties appropriées
Privacy Shield
Depuis 1er août 2016
d’auto-certification
volontaire annuelle
+
Inscription sur un
registre administratif
Avant2016:
Après2016/2018:

35. © 35
6-Encadrement, Renforcement et gradation
Les pouvoirs d’enquête Les sanctions
administratives
Ordonnerlacommunicationdetoute
informationnécessairedans
l’accomplissementdesesmissions
Mener des enquêtessouslaforme d’auditsur
laprotectiondesdonnées
Procéder à un examen des certifications
délivrées
Notifier une violation alléguée à la
réglementation
Obtenirl’accèsàtouteslesdonnées&àtoutes
lesinformationsnécessairesà
l’accomplissementdesesmissions
Obtenirl’accèsàtous leslocaux,installation&
moyensdetraitement
Prononcerunavertissement
Mettreendemeurel’entreprise
Limitertemporairement/définitivement
untraitement
Suspendrelesfluxdedonnées
Ordonnerdesatisfaireauxdemandes
d’exercicedesdroitsdespersonnes
Ordonnerlarectification,lalimitationou
l’effacementdesdonnées
Ordonnerleretraitdelacertification
Prononceruneamendeadministrative
Des amendes administratives qui selon les catégories peuvent s’élever jusqu’à 4% du CAAM


36. © 36
En résumé
Responsabiliser l’ensemble des intervenants
Gérer de nouveaux concepts
Protéger
Documenter
R
D
P
G
les entreprises devront être en mesure de démontrer que les
traitements mis en œuvre sont conformes au nouveau règlement

37. © 37
Sommaire
1. Présentation de Soft Computing & du Cabinet PBA
2. Introduction
3. Les modifications apportées par le Règlement et les principes
majeurs
4. Les impacts dans la mise en œuvre d’un projet
5. Les points clés de mise en conformité de la nouvelle
réglementation
6. Conclusion

38. © 38
Sommaire
1. Présentation de Soft Computing & du Cabinet PBA
2. Introduction
3. Les modifications apportées par le Règlement et les principes
majeurs
4. Les impacts dans la mise en œuvre d’un projet
5. Les points clés de mise en conformité de la nouvelle
réglementation
6. Conclusion

39. © 39
Qu’est ce qu’une mise en conformité dans une environnement
protection des données
 Mise en place et Définition d’une politique générale de protection des données
– Mesures techniques et organisationnelles
– En fonction de l'entreprise ou de l'organisme
– Déploiement hors UE
– Formations internes
 Intégration et interprétation du texte juridique dans l’ensemble des process de l’entreprise
– Démarche de mise en conformité
– L’approche de l’autorité de contrôle
 Application différenciée en fonction de l’organisation de chacun qui demande une adaptation
– Une démarche accompagnement/conseil personnalisée
– Des outil juridiques identifiés par le règlement à s’approprier

40. © 40
Comment initier le déploiement et l’intégration du dispositif dans
l’entreprise
 Les risques de non-conformité (pénal, administrative, image) obligent les entreprises à bien
les comprendre et à engager des programmes internes de mise en conformité
 La définition et l’anticipation des risques constituent une opportunité pour faire de la
protection des données un élément de valorisation des actifs et un avantage concurrentiel
 L’anticipation des risques va permettre aux entreprises de regagner la confiance de leurs
clients de plus en plus sensibles aux problématiques de protection de la vie privée
 Le respect le plus tôt possible des dispositions va permettre aux entreprises de se prémunir:
- Des poursuites judiciaires
- Des vols de données qui pourraient être utilisés pour les concurrencer
- Des risques inhérents à des pertes ou des vols qui auraient des conséquences
irrémédiables sur l’image de l’entreprise

41. © 41
UneMéthode d’analyse des risques
1. Analyse des risques & des dangers
2. Détermination des points critiques
3. Détermination des seuils critiques d’alerte
4. Mise en place des systèmes de surveillance permettant à l’entreprise de
contrôler les dangers identifiés
5. Détermination des mesures correctives à prendre par l’entreprise si un
point critique n’est pas maîtrisé
6. Application d’une procédure de vérification du bon fonctionnement du
système de protection des données à caractère personnel
7. Constitution d’un dossier récapitulatif des procédures et de leur mise en
application
Exemple: la transposition de la méthode Hazard
Analysis Critical Control Point (HACCP)

42. © 42
La feuille de route préconisée par la CNIL
Qui s’appuie et donc requiert
Une organisation
interne
Une méthode de
vérification de la
conformité des
traitements
Une gestion des
plainte et des
incidents

43. © 43
Quel est l’objectif recherché ?
La mise en
conformité ad
hoc
La mise en
œuvre d’une
politique
durable

44. © 44
Notre démarche et son application
Etat des lieux, enjeux &
priorités
1 Cible & Stratégie des moyens2 Feuille de route &
mise en oeuvre
3
Existant Cible Déploiement
 Cartographie des données
personnelles
 Identification des points de
risque
(collecte/consentement,
anonymisation/chiffrement,
mise à jour, flux) .
 Sécurité des données
(Infrastructures, accessibilité,
intégrité,gestion des
incidents)
 Conformité de la Base de
données avec le Privacy By
Design
 Alimentation du Registre des
traitements dans le cadre de
l’Accountability (données ,
acteurs, règles de
traitements)
 Procédures de contrôles et
de remédiation.
 Formation des interlocuteurs

45. © 45
Ladémarche de mise en œuvredu principe d’accountability
Les exigences
1. La minimisation de l’utilisation des données: se limiter aux données strictement nécessaires à la
finalité
2. La limitation du volume des données traitées, de la durée de conservation & du nombre de
destinataires
3. L’anonymisation, le chiffrement ou la pseudonimysation des données
4. L’intégration d’un niveau très élevé de sécurité dans les dispositifs technologiques
5. L’empêchement de toute interconnexion et de croisement des données
6. La formation du personnel sur les problématiques de protection des données à caractère personnel
Exigences au carrefour des obligations juridiques, informatiques, éthiques, économiques,
organisationnelles…
E n p r a t i q u e :
Juristes et ingénieurs doivent travailler ensemble
Principe: Le responsable du traitement doit mettre en œuvre des mesures techniques et
organisationnelles appropriées pour s’assurer que le traitement est effectué conformément
au règlement (et être en mesure de le démontrer)

46. © 46
Responsable de traitement /Sous traitant : desresponsabilités àdéfinir
Sous-traitant = personne morale/physique traitant des données à caractère personnel pour le
compte du responsable du traitement
Responsabilité
Autorité de contrôle
Personne physique
Responsable du traitement
1. Contrat de sous-traitance écrit contenant des
dispositions impératives
2. Existence de garanties suffisantes en matière
de mesures techniques & organisationnelles
3. Obtention autorisation écrite préalable du
responsable avant tout recours à un autre
sous-traitant
4. Mise en œuvre du traitement qu’avec
instruction du responsable du traitement

47. © 47
Lesoutils : Meneruneétude d’impact surle vieprivée (EIVP)
Délimiter et décrire :
- Lecontextedutraitement
- Lesopérationsdetraitement
considérées
- Lesenjeux
 Étude du contexte accompagnée d'une
description générale et détaillée des traitements
ainsiquedesenjeux.
Etape1
Evaluer la nécessité et la proportionnalité des
traitementsauregarddesfinalités
Identification des mesures existantes ou prévues par l'entreprise
permettantderespecterlaloietd'appréhenderlerisquesurlavie
privée:
 mesures juridiques
 mesures traitant les risques:
- Organisationnelles (gestion des risques, politiques
internes,supervision…)
- Sécurité (anonymisation, chiffrement, sauvegarde,
contrôled’accès,cloisonnementdesdonnées…)
- Sécurité physique (matériels, contrôle d’accès
physiques,protectioncontrelessourcesderisquesnon
humaines…)
Étape2
Apprécierlesrisquessurlavieprivée
pour vérifier si le traitement est adapté et
les risques potentiels gérés (sources,
évènementsredoutés,échelledegravité,
menace)
Étape3
Valideruneméthode
respectantlesprincipesdeprotectiondelavieprivéeetde
traitementdesrisquesouréviserlesétapesprécédentes
Étape4

48. © 48
Lesoutils : Modèle de registre des traitements
Les noms et coordonnées du responsable de traitement, de
sonreprésentantetduDPO
Lesfinalitésdutraitement
Ladescriptiondescatégoriesdepersonnesconcernées
La description des catégories de données à caractère
personnelobjetdutraitement
Les catégories de destinataires auxquels les données seront
communiquées
Les transferts de données vers un pays tiers, l’identification du
pays tiers & les justificatifs attestant l’existence de garanties
appropriées
Lesdélaisprévuspourl’effacementdesdifférentescatégories
dedonnées
Unedescriptiongénéraledesmesuresdesécuritétechniques
etorganisationnelles
1
2
3
4
5
6
7
Informations obligatoires
2
3
4
5
6
7
8

49. © 49
Gouverner ses données pour se mettre en conformité dans la durée
Un chantier multi-dimensionnel

50. © 50
Sommaire
1. Présentation de Soft Computing & du Cabinet PBA
2. Introduction
3. Les modifications apportées par le Règlement et les principes
majeurs
4. Les impacts dans la mise en œuvre d’un projet
5. Les points clés de mise en conformité de la nouvelle
réglementation
6. Conclusion

51. © 51
Les principaux apports
Les 6 éléments clé de la nouvelle réglementation
Mise en œuvre d’un
champ d’application
élargi
Consécration de droits
renforcés & nouveaux
Création d’obligations
& de responsabilités
nouvelles pour les
responsables de
traitement
Passage d’une logique
de contrôle a priori à
celle d’accountability
Crédibilisation de la
régulation par la
coopération et le
renforcement des
pouvoirs d’enquête et
de sanction
Encadrement, un
renforcement et une
graduation des
sanctions
administratives

52. © 52
Nos convictions
Enjeu collectif Impulsion DG
Outils
Processus
Organisation
Démarche
pragmatique
Longue route

53. © 53
Quelques bonnes pratiques
#1
#2
#3
#4
#5
C’est un projet d’entreprise
C’est un projet de longue haleine
• Évitez les projets « sous-marin ». Il faut un sponsoring fort !
• Pensez à accompagner les métiers impactés (change management).
• Gardez toujours en tête les objectifs recherchés.
• Communiquez à bon escient et autant que possible.
• Prévoyez des ressources pour l’initialisation de la démarche.
C’est un projet ambitieux
C’est un projet transversal
C’est un projet complexe et nécessitant des expertises
• Mettez en œuvre un projet piloté par un trinôme Métier, IT & Juridique.
•Déployez la gouvernance de façon progressive en valorisant les 1ers succès.
•Faites appel à des compétences externes (juriste, data management, …).

54. © 54
Quelques bénéfices de la mise en conformité : l’amélioration …
Des Résultats opérationnels (efficacité opérationnelle supérieure
et coûts de fonctionnement réduits)
De la Communication et Coopération entre services (grâce au
décloisonnement nécessaire des données)
De la Sécurité, la gestion du risque et la pérennité de votre
organisation.
De la Protection de vos clients (les données de vos clients sont
entre de bonnes mains)

55. © 55
Le RGPD : une opportunité de repositionnement de la marque !
« Il s’agit aujourd’hui de se mobiliser pour éveiller les consciences,
expliquer la façon dont les données sont collectées, désidentifiées,
exploitées et sécurisées pour retrouver la confiance et l’adhésion
des consommateurs et leur offrir des expériences de marque
engageantes, à la hauteur de leurs attentes. »

56. © 56
Soft Computing est à votre service, avec …
son expertise technologique
sa connaissance des clients
son pragmatisme
… et vous remercie

57. © 57
- www.softcomputing.com -
@softcomputing @softcomputing @softcomputing
Merci !
Des questions
contact@softcomputing.com – Tél. : +33 (0)1 73 00 55 00