Le Club Excellence Organisationnelle a travaillé sur un sujet d’actualité : le RGPD. J’ai animé avec plaisir l’atelier dont l’objectif était de réfléchir à une mise en œuvre pragmatique pour les PME et mettre en avant les points de similitudes avec une démarche qualité : implication du management, processus d’amélioration, sensibilisation des équipes.
Les membres du Club sont : Visiativ, Ekium, Akrome, Ionisos, Ascotronics, LinkByNet, CESI Entreprise, Mouvement Français pour la Qualité.
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Club Excellence Opérationnelle : RGPD pour les TPE/PME
1. LE RGPD
En pratique pour les TPE/PME
Une réalisation du Club Excellence opérationnelle Rédacteur : Loïc Charpentier
2. Au sommaire :
1. Les données personnelles : état des lieux
2. Le RGPD en bref
3. Quels impacts pour l’entreprise
4. Une mise en œuvre pragmatique
5. Des outils adaptés
La RGPD : Garder le cap
3. Etape 1 : comprendre le contexte
Les données personnelles :
état des lieux
4. Les entreprises et les collaborateurs ignorent
ce qu’est une donnée personnelle
Les données personnelles transitent sans
contrôle dans les entreprises
Les données sont échangées sur tous les
canaux à disposition des collaborateurs
Les données sont généralement stockées sans
limite de conservation
Un constat simple et réaliste en entreprise
5. Niveau Standard :
Gestion de la donnée client (CRM, SAV, …)
Gestion des données RH
Gestion des données de prospection
Un usage mal maitrisé de la donnée
6. Niveau Expert :
Internet Of Things (NFC, …)
Démarche data-driven
Big-Data
Un usage massif et mal maîtrisé de la donnée
7. La fin justifie les moyens
Où sont mes
données
personnelles ?
• Exploitation RH
• Exploitation administrative
• Exploitation commerciale
• Exploitation marketing
• Monétisation, … Un peu partout en
interne et dans
notre écosystème…
9. 60% des attaques et
vols de données en 2017
concernent une PME
Source: Ministère de la Défense - 2017
10. Fuites de données personnelles,
sursollicitation, non consentement,…
=
Perte de confiance
11. […]toute information se rapportant à une
personne physique identifiée ou
identifiable […]; est réputée être une
«personne physique identifiable» une
personne physique qui peut être identifiée,
directement ou indirectement […]
Une donnée personnelle, c’est quoi au final ?
12. toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et
appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte,
l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification,
l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre
forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la
destruction
Bref
TOUTES ACTIONS EFFECTUÉES SUR
UNE DONNÉE
Et un traitement de données personnelles ?
Et même les données conservées sur papier
13. Etape 2 : comprendre les attentes
Le Règlement Général sur la Protection des Données en
ou
RGPD
14. Le règlement est obligatoire dans
tous ses éléments dès son entrée
en vigueur
Chaque Etat membre est tenu de l'appliquer sans délai …
15. Simplement protéger les personnes
physiques contre les captations d’éléments
appartenant à leur vie privée ; et ce en
particulier vis-à-vis de l’outil informatique
Quel est l’objectif du règlement ?
(Cf. art. 2 du règlement)
17. La fin justifie le règlement
Bien sûr que non !
Le règlement régule, il
n’interdit pas !
(Cf. art. 1 et 3 du règlement)
18. La RGPD : une histoire de traitements
Obtenir le consentement des personnes
concernées dans l'UE
Encadrer les transferts de données hors UE
Conserver les données selon la finalité pour
laquelle elles ont été collectées.
Tenir un registre de tous les traitements de
données personnelles mis en oeuvre (qui, quoi
ou comment, pourquoi)
Evaluer et documenter le risque au travers d’une
analyse d’impact.
Notifier les individus et l’organisme de contrôle en
cas de violation de données personnelles
Permettre aux individus d’exercer leurs droits
(portabilité des données, interrogation,
rectification, suppression, …)
19. Etape 3 : comprendre les changements
Quels impacts pour l’entreprise ?
20. Les entreprises doivent désormais mettre
en œuvre des mécanismes et des
procédures internes permettant de
démontrer (documentation à l’appui) le
respect des règles relatives à la protection
des données
Passer du déclaratif à l’autogestion
21. Nomination d’un DPO (selon les typologies et la masse de traitements
effectués ou l’appartenance au public)
Alignement de l’organisation par rapport aux
obligations du RGPD (process, …)
Ce qui va changer au niveau organisationnel
Vous aviez un CIL, Leurs statuts sont similaires…
23. Cartographier l'ensemble des traitements de
données à caractère personnel
Sensibiliser le management et l'ensemble des
collaborateurs sur la gestion des données
personnelles et chasser les mauvaises pratiques
Sécuriser les lieux de stockage et les accès aux
données personnelles
Des grands défis internes à relever
L’enjeu est la mobilisation de l’organisation en
débutant par la direction générale.
24. Etape 4 : Prendre en main son organisation
Une mise en œuvre pragmatique
25. POURQUOI ? :
1. Car La RGPD n’est pas l’histoire d’une
personne le DPO
2. Car Il est question d’accompagnement du
changement
3. Car l’ensemble des services sont concernés
4. Car le 25 mai c’est déjà HIER
5. Car à plusieurs c’est plus simple et trop
nombreux on n’avance plus
Action 1: Désigner une Pizza Team
Désignez une équipe de 2 à 5 personnes pour
une PME selon votre taille
26. Organisez une réunion de
sensibilisation sur le sujet
Demandez à chaque manager de
désigner une personne clef de son
service ayant une bonne connaissance
de son fonctionnement.
Action 2: Sensibiliser les managers
La personne clef connait le fonctionnement réel
du service…
28. Organisez une réunion de sensibilisation
des équipes
Présentez le planning de mise en conformité
Prévoyez un plan de communication sur le
sujet afin d’ancrer les messages
Objectif : Informer les collaborateurs du chantier en
cours et leur donner les clefs afin de répondre aux
sollicitations potentielles des clients.
Action 4: Sensibiliser les collaborateurs
On parle ici d’accompagnement au
changement…
29. Listez les principaux services de votre
organisation.
Identifiez les traitements standards les plus
courants
Objectif : Fournir à chaque représentant de service
une base par laquelle démarrer qu’il pourra
compléter de manière itérative.
Action 5: Réaliser une macro-cartographie
Il s’agit ici de préparer le terrain pour vos alliés
au sein des services.
30. Présentez la macro-cartographie à vos
représentants de service
Expliquez leur la façon de détailler les
traitements. (méthode QQOQCP)
Action 6: Missionner les représentants
Pas de panique ! Des outils très bien conçus existent,
notamment une matrice Excel proposée par la CNIL.
31. Identifiez les traitements présentant un risque
réel et sérieux.
Alertez la direction sur les situations à risque
Proposez des actions curatives
Demandez une date de mise en application de
l’action.
Action 7: Priorisation des points douloureux
Il ne s’agit pas ici de stopper toutes activités mais de recadrer
les mauvaises pratiques et d’alerter sur le risque.
32. Certain de vos traitements sont « conformes » mais
sensibles en raison des données personnelles
exploitées ou des conditions d’exploitation. Vous
devez alors réaliser une analyse de risque et
documenter votre plan d’action permettant de
réduire l’exposition au risque.
Action 8: Prévenir les situations à risque
La aussi de très bon outils méthodologiques et pratiques ont
été mis à votre disposition par la CNIL
33. A ce stade, vous avez réussi à
enclencher la dynamique et à
démontrer que votre organisation
a pris la bonne direction…
Action 9 : Vous avez fait du bon travail
34. Mettez en place un processus de suggestion
d’amélioration de vos traitement.
Construisez un plan de sensibilisation et de
formation de vos collaborateurs.
Auditez votre organisation ponctuellement
Testez vos processus internes en simulant des
scénarios.
Action 10: Poursuivre l’effort sur la durée
La mise en conformité ne s’arrête pas au 25 mai mais doit
devenir un processus ancré solidement dans l’entreprise.
35. 1. Réunir la pizzaTeam RGPD et évaluer la
gravité de la violation
2. Prévenir l’organisme de contrôle si la
violation expose les données personnelles
3. Notifier l’ensemble des personnes dont les
données ont été exposées.
Action 11: En cas de violation…
Vous avez 72 heures pour notifier l’organisme de contrôle !
36. Etape 5 : Utiliser les outils existants
Des outils adaptés
37. La CNIL propose une documentation détaillée mais
également des outils pratiques :
Identifier les traitements à risque et les plans d’actions associés (PIA):
https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil
Informez vous sur les durées de conservation légales :
https://www.cnil.fr/sites/default/files/typo/document/20120719-REF-DUREE_CONSERVATION-VD.pdf
Mise à disposition de packs de conformité sectoriels :
https://www.cnil.fr/fr/packs-de-conformite
Guide du sous-traitant :
https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-un-guide-pour-accompagner-les-sous-traitants
La CNIL : le site de référence
38. L’ANSSI propose des contenus visant à promouvoir la
sécurité au sein des entreprise :
Bonnes pratiques en entreprise à destination des DSI :
https://www.ssi.gouv.fr/entreprise/bonnes-pratiques/
Sensibilisation de vos collaborateurs à la cybersécurité :
https://www.secnumacademie.gouv.fr/
L’ANSSI : une source inépuisable
39. Démarche ISO 9000 :
Le RGPD vise à mettre en œuvre un processus d’amélioration continu des traitements de données
à caractère personnel avec un engagement fort de la direction à ce titre il peut être décrit comme
un processus transverse pour les entreprise respectant cette démarche
Démarche ISO 27001 :
Le RGPD insiste particulièrement sur la sécurisation des données à caractères personnelles et la
gestion des risques. L’adoption de la norme ISO 27001 permet de répondre à une partie
importante des exigences relatives à la sécurité des données. (exposition des données,
documentation, identification des actifs, remontée d’incident, …)
ISO : un standard
40. La CNIL proposait certains labels dont :
label CNIL Gouvernance Informatique et Libertés
Cependant la labellisation s’arrêtera au 25 mai et laissera la place aux organismes certificateurs.
Le COFRAC est en cours de définition de certifications.
Et les labels ?
41. Icones utilisées :
• flow by Adam Terpening from the Noun Project
• Icon made by Freepik from www.flaticon.com
Crédits photos/images