SlideShare une entreprise Scribd logo

Club Excellence Opérationnelle : RGPD pour les TPE/PME

Loïc Charpentier
Loïc Charpentier

Le Club Excellence Organisationnelle a travaillé sur un sujet d’actualité : le RGPD. J’ai animé avec plaisir l’atelier dont l’objectif était de réfléchir à une mise en œuvre pragmatique pour les PME et mettre en avant les points de similitudes avec une démarche qualité : implication du management, processus d’amélioration, sensibilisation des équipes. Les membres du Club sont : Visiativ, Ekium, Akrome, Ionisos, Ascotronics, LinkByNet, CESI Entreprise, Mouvement Français pour la Qualité.

Direction et management
1  sur  41
Télécharger pour lire hors ligne
LE RGPD En pratique pour les TPE/PME Une réalisation du Club Excellence opérationnelle Rédacteur : Loïc Charpentier
Au sommaire : 1. Les données personnelles : état des lieux 2. Le RGPD en bref 3. Quels impacts pour l’entreprise 4. Une mise en œuvre pragmatique 5. Des outils adaptés La RGPD : Garder le cap
Etape 1 : comprendre le contexte Les données personnelles : état des lieux
 Les entreprises et les collaborateurs ignorent ce qu’est une donnée personnelle  Les données personnelles transitent sans contrôle dans les entreprises  Les données sont échangées sur tous les canaux à disposition des collaborateurs  Les données sont généralement stockées sans limite de conservation Un constat simple et réaliste en entreprise
Niveau Standard :  Gestion de la donnée client (CRM, SAV, …)  Gestion des données RH  Gestion des données de prospection Un usage mal maitrisé de la donnée
Niveau Expert :  Internet Of Things (NFC, …)  Démarche data-driven  Big-Data Un usage massif et mal maîtrisé de la donnée
La fin justifie les moyens Où sont mes données personnelles ? • Exploitation RH • Exploitation administrative • Exploitation commerciale • Exploitation marketing • Monétisation, … Un peu partout en interne et dans notre écosystème…
La fin justifie les moyens Et alors… ?
60% des attaques et vols de données en 2017 concernent une PME Source: Ministère de la Défense - 2017
Fuites de données personnelles, sursollicitation, non consentement,… = Perte de confiance
[…]toute information se rapportant à une personne physique identifiée ou identifiable […]; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement […] Une donnée personnelle, c’est quoi au final ?
toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction Bref TOUTES ACTIONS EFFECTUÉES SUR UNE DONNÉE Et un traitement de données personnelles ? Et même les données conservées sur papier
Etape 2 : comprendre les attentes Le Règlement Général sur la Protection des Données en ou RGPD
Le règlement est obligatoire dans tous ses éléments dès son entrée en vigueur Chaque Etat membre est tenu de l'appliquer sans délai …
Simplement protéger les personnes physiques contre les captations d’éléments appartenant à leur vie privée ; et ce en particulier vis-à-vis de l’outil informatique Quel est l’objectif du règlement ? (Cf. art. 2 du règlement)
La fin justifie le règlement Je dois fermer boutique ?
La fin justifie le règlement Bien sûr que non ! Le règlement régule, il n’interdit pas ! (Cf. art. 1 et 3 du règlement)
La RGPD : une histoire de traitements  Obtenir le consentement des personnes concernées dans l'UE  Encadrer les transferts de données hors UE  Conserver les données selon la finalité pour laquelle elles ont été collectées.  Tenir un registre de tous les traitements de données personnelles mis en oeuvre (qui, quoi ou comment, pourquoi)  Evaluer et documenter le risque au travers d’une analyse d’impact.  Notifier les individus et l’organisme de contrôle en cas de violation de données personnelles  Permettre aux individus d’exercer leurs droits (portabilité des données, interrogation, rectification, suppression, …)
Etape 3 : comprendre les changements Quels impacts pour l’entreprise ?
Les entreprises doivent désormais mettre en œuvre des mécanismes et des procédures internes permettant de démontrer (documentation à l’appui) le respect des règles relatives à la protection des données Passer du déclaratif à l’autogestion
 Nomination d’un DPO (selon les typologies et la masse de traitements effectués ou l’appartenance au public)  Alignement de l’organisation par rapport aux obligations du RGPD (process, …) Ce qui va changer au niveau organisationnel Vous aviez un CIL, Leurs statuts sont similaires…
 Opportunité méthodologique  Opportunité technique  Opportunité business De nombreuses opportunités
 Cartographier l'ensemble des traitements de données à caractère personnel  Sensibiliser le management et l'ensemble des collaborateurs sur la gestion des données personnelles et chasser les mauvaises pratiques  Sécuriser les lieux de stockage et les accès aux données personnelles Des grands défis internes à relever L’enjeu est la mobilisation de l’organisation en débutant par la direction générale.
Etape 4 : Prendre en main son organisation Une mise en œuvre pragmatique
POURQUOI ? : 1. Car La RGPD n’est pas l’histoire d’une personne le DPO 2. Car Il est question d’accompagnement du changement 3. Car l’ensemble des services sont concernés 4. Car le 25 mai c’est déjà HIER 5. Car à plusieurs c’est plus simple et trop nombreux on n’avance plus Action 1: Désigner une Pizza Team Désignez une équipe de 2 à 5 personnes pour une PME selon votre taille
 Organisez une réunion de sensibilisation sur le sujet  Demandez à chaque manager de désigner une personne clef de son service ayant une bonne connaissance de son fonctionnement. Action 2: Sensibiliser les managers La personne clef connait le fonctionnement réel du service…
Action 3 : Préparer votre planning
 Organisez une réunion de sensibilisation des équipes  Présentez le planning de mise en conformité  Prévoyez un plan de communication sur le sujet afin d’ancrer les messages Objectif : Informer les collaborateurs du chantier en cours et leur donner les clefs afin de répondre aux sollicitations potentielles des clients. Action 4: Sensibiliser les collaborateurs On parle ici d’accompagnement au changement…
 Listez les principaux services de votre organisation.  Identifiez les traitements standards les plus courants Objectif : Fournir à chaque représentant de service une base par laquelle démarrer qu’il pourra compléter de manière itérative. Action 5: Réaliser une macro-cartographie Il s’agit ici de préparer le terrain pour vos alliés au sein des services.
 Présentez la macro-cartographie à vos représentants de service  Expliquez leur la façon de détailler les traitements. (méthode QQOQCP) Action 6: Missionner les représentants Pas de panique ! Des outils très bien conçus existent, notamment une matrice Excel proposée par la CNIL.
 Identifiez les traitements présentant un risque réel et sérieux.  Alertez la direction sur les situations à risque  Proposez des actions curatives  Demandez une date de mise en application de l’action. Action 7: Priorisation des points douloureux Il ne s’agit pas ici de stopper toutes activités mais de recadrer les mauvaises pratiques et d’alerter sur le risque.
Certain de vos traitements sont « conformes » mais sensibles en raison des données personnelles exploitées ou des conditions d’exploitation. Vous devez alors réaliser une analyse de risque et documenter votre plan d’action permettant de réduire l’exposition au risque. Action 8: Prévenir les situations à risque La aussi de très bon outils méthodologiques et pratiques ont été mis à votre disposition par la CNIL
A ce stade, vous avez réussi à enclencher la dynamique et à démontrer que votre organisation a pris la bonne direction… Action 9 : Vous avez fait du bon travail
 Mettez en place un processus de suggestion d’amélioration de vos traitement.  Construisez un plan de sensibilisation et de formation de vos collaborateurs.  Auditez votre organisation ponctuellement  Testez vos processus internes en simulant des scénarios. Action 10: Poursuivre l’effort sur la durée La mise en conformité ne s’arrête pas au 25 mai mais doit devenir un processus ancré solidement dans l’entreprise.
1. Réunir la pizzaTeam RGPD et évaluer la gravité de la violation 2. Prévenir l’organisme de contrôle si la violation expose les données personnelles 3. Notifier l’ensemble des personnes dont les données ont été exposées. Action 11: En cas de violation… Vous avez 72 heures pour notifier l’organisme de contrôle !
Etape 5 : Utiliser les outils existants Des outils adaptés
La CNIL propose une documentation détaillée mais également des outils pratiques : Identifier les traitements à risque et les plans d’actions associés (PIA): https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil Informez vous sur les durées de conservation légales : https://www.cnil.fr/sites/default/files/typo/document/20120719-REF-DUREE_CONSERVATION-VD.pdf Mise à disposition de packs de conformité sectoriels : https://www.cnil.fr/fr/packs-de-conformite Guide du sous-traitant : https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-un-guide-pour-accompagner-les-sous-traitants La CNIL : le site de référence
L’ANSSI propose des contenus visant à promouvoir la sécurité au sein des entreprise : Bonnes pratiques en entreprise à destination des DSI : https://www.ssi.gouv.fr/entreprise/bonnes-pratiques/ Sensibilisation de vos collaborateurs à la cybersécurité : https://www.secnumacademie.gouv.fr/ L’ANSSI : une source inépuisable
Démarche ISO 9000 : Le RGPD vise à mettre en œuvre un processus d’amélioration continu des traitements de données à caractère personnel avec un engagement fort de la direction à ce titre il peut être décrit comme un processus transverse pour les entreprise respectant cette démarche Démarche ISO 27001 : Le RGPD insiste particulièrement sur la sécurisation des données à caractères personnelles et la gestion des risques. L’adoption de la norme ISO 27001 permet de répondre à une partie importante des exigences relatives à la sécurité des données. (exposition des données, documentation, identification des actifs, remontée d’incident, …) ISO : un standard
La CNIL proposait certains labels dont : label CNIL Gouvernance Informatique et Libertés Cependant la labellisation s’arrêtera au 25 mai et laissera la place aux organismes certificateurs. Le COFRAC est en cours de définition de certifications. Et les labels ?
Icones utilisées : • flow by Adam Terpening from the Noun Project • Icon made by Freepik from www.flaticon.com Crédits photos/images

Recommandé

La gestion de projets informatiques
La gestion de projets informatiquesLa gestion de projets informatiques
La gestion de projets informatiquesLoïc Charpentier
 
Agile Portfolio
Agile PortfolioAgile Portfolio
Agile PortfolioFabrice Aimetti
 
Introduction à la gestion de projet !
Introduction à la gestion de projet ! Introduction à la gestion de projet !
Introduction à la gestion de projet ! Loïc Charpentier
 
PMIlq-Colloque-2021_Sebastien-Blais_IA-gestion-des-risques
PMIlq-Colloque-2021_Sebastien-Blais_IA-gestion-des-risquesPMIlq-Colloque-2021_Sebastien-Blais_IA-gestion-des-risques
PMIlq-Colloque-2021_Sebastien-Blais_IA-gestion-des-risquesPMI Lévis-Québec
 
La gestion d’équipe de projet informatique
La gestion d’équipe de projet informatiqueLa gestion d’équipe de projet informatique
La gestion d’équipe de projet informatiqueAbdellah Riyahi
 
Introduction gestion de projet
Introduction gestion de projetIntroduction gestion de projet
Introduction gestion de projetMohamed Amine BOURHIL
 
Méthode de conduite de projet
Méthode de conduite de projetMéthode de conduite de projet
Méthode de conduite de projetDavid Gana
 
Initiation à la gestion de projet
Initiation à la gestion de projetInitiation à la gestion de projet
Initiation à la gestion de projetSamer EL SAWDA, Ph.D.
 

Recommandé

La gestion de projets informatiques
La gestion de projets informatiquesLa gestion de projets informatiques
La gestion de projets informatiquesLoïc Charpentier
 
Agile Portfolio
Agile PortfolioAgile Portfolio
Agile PortfolioFabrice Aimetti
 
Introduction à la gestion de projet !
Introduction à la gestion de projet ! Introduction à la gestion de projet !
Introduction à la gestion de projet ! Loïc Charpentier
 
PMIlq-Colloque-2021_Sebastien-Blais_IA-gestion-des-risques
PMIlq-Colloque-2021_Sebastien-Blais_IA-gestion-des-risquesPMIlq-Colloque-2021_Sebastien-Blais_IA-gestion-des-risques
PMIlq-Colloque-2021_Sebastien-Blais_IA-gestion-des-risquesPMI Lévis-Québec
 
La gestion d’équipe de projet informatique
La gestion d’équipe de projet informatiqueLa gestion d’équipe de projet informatique
La gestion d’équipe de projet informatiqueAbdellah Riyahi
 
Introduction gestion de projet
Introduction gestion de projetIntroduction gestion de projet
Introduction gestion de projetMohamed Amine BOURHIL
 
Méthode de conduite de projet
Méthode de conduite de projetMéthode de conduite de projet
Méthode de conduite de projetDavid Gana
 
Initiation à la gestion de projet
Initiation à la gestion de projetInitiation à la gestion de projet
Initiation à la gestion de projetSamer EL SAWDA, Ph.D.
 
La gestion de projet informatique 2015
La gestion de projet informatique 2015La gestion de projet informatique 2015
La gestion de projet informatique 2015Loïc Charpentier
 
La gestion de projets - Jean-Michel Rolland
La gestion de projets - Jean-Michel RollandLa gestion de projets - Jean-Michel Rolland
La gestion de projets - Jean-Michel RollandGuillaume Pérocheau
 
Conduite de projets Web, pilotage & Outils
Conduite de projets Web, pilotage & OutilsConduite de projets Web, pilotage & Outils
Conduite de projets Web, pilotage & Outilsstephanie vincent
 
Formation gestion de projet - 04 - le cadrage
Formation gestion de projet - 04 - le cadrageFormation gestion de projet - 04 - le cadrage
Formation gestion de projet - 04 - le cadrageiafactory
 
Projet les fondamentaux - version 2014
Projet les fondamentaux - version 2014Projet les fondamentaux - version 2014
Projet les fondamentaux - version 2014Rémi Bachelet
 
Gestion des risques Démarche
Gestion des risques DémarcheGestion des risques Démarche
Gestion des risques DémarcheRémi Bachelet
 
Management de projet
Management de projetManagement de projet
Management de projetEric Métais
 
Innovative Project Management
Innovative Project ManagementInnovative Project Management
Innovative Project ManagementAirmis
 
Le management projet 2011
Le management projet 2011Le management projet 2011
Le management projet 2011mimousaid
 
Initiation à la gestion de projet
Initiation à la gestion de projetInitiation à la gestion de projet
Initiation à la gestion de projetmahassine_med_amine
 
Le management de projet par Fethi FERHANE
Le management de projet par Fethi FERHANELe management de projet par Fethi FERHANE
Le management de projet par Fethi FERHANEFethi Ferhane
 
Management de projet 2
Management de projet 2Management de projet 2
Management de projet 2David VALLAT
 
Gestion de projet sept 2016
Gestion de projet sept 2016Gestion de projet sept 2016
Gestion de projet sept 2016Jean-Louis Gueroult
 
Esiee Initiation projet cours 2 organiser planifier 2
Esiee Initiation projet cours 2 organiser planifier 2Esiee Initiation projet cours 2 organiser planifier 2
Esiee Initiation projet cours 2 organiser planifier 2Christelle Fritz
 
Project Management Introduction (1/5) for Gobelins students
Project Management Introduction (1/5) for Gobelins studentsProject Management Introduction (1/5) for Gobelins students
Project Management Introduction (1/5) for Gobelins studentsEric DI POL
 
L’outil informatique : une composante incontournable de la conduite de projet...
L’outil informatique : une composante incontournable de la conduite de projet...L’outil informatique : une composante incontournable de la conduite de projet...
L’outil informatique : une composante incontournable de la conduite de projet...idealconnaissances
 
2015-04-29 Patrick Vallerand Succès en gestion de projet - Cas vécus
2015-04-29 Patrick Vallerand Succès en gestion de projet - Cas vécus2015-04-29 Patrick Vallerand Succès en gestion de projet - Cas vécus
2015-04-29 Patrick Vallerand Succès en gestion de projet - Cas vécusPMI Lévis-Québec
 
Gestion de projets
Gestion de projetsGestion de projets
Gestion de projetsSana REFAI
 
Management de projet
Management de projetManagement de projet
Management de projetPascal Thery Formations
 
Management de Projet International
Management de Projet InternationalManagement de Projet International
Management de Projet InternationalRiana Andrieux
 
Le RGPD, véritable opportunité vers la gouvernance de l’information
Le RGPD, véritable opportunité vers la gouvernance de l’informationLe RGPD, véritable opportunité vers la gouvernance de l’information
Le RGPD, véritable opportunité vers la gouvernance de l’informationPECB
 
"Take the L.E.A.D." l'offre globale de Sedona
"Take the L.E.A.D." l'offre globale de Sedona"Take the L.E.A.D." l'offre globale de Sedona
"Take the L.E.A.D." l'offre globale de SedonaAgence West
 

Contenu connexe

Tendances

La gestion de projet informatique 2015
La gestion de projet informatique 2015La gestion de projet informatique 2015
La gestion de projet informatique 2015Loïc Charpentier
 
La gestion de projets - Jean-Michel Rolland
La gestion de projets - Jean-Michel RollandLa gestion de projets - Jean-Michel Rolland
La gestion de projets - Jean-Michel RollandGuillaume Pérocheau
 
Conduite de projets Web, pilotage & Outils
Conduite de projets Web, pilotage & OutilsConduite de projets Web, pilotage & Outils
Conduite de projets Web, pilotage & Outilsstephanie vincent
 
Formation gestion de projet - 04 - le cadrage
Formation gestion de projet - 04 - le cadrageFormation gestion de projet - 04 - le cadrage
Formation gestion de projet - 04 - le cadrageiafactory
 
Projet les fondamentaux - version 2014
Projet les fondamentaux - version 2014Projet les fondamentaux - version 2014
Projet les fondamentaux - version 2014Rémi Bachelet
 
Gestion des risques Démarche
Gestion des risques DémarcheGestion des risques Démarche
Gestion des risques DémarcheRémi Bachelet
 
Management de projet
Management de projetManagement de projet
Management de projetEric Métais
 
Innovative Project Management
Innovative Project ManagementInnovative Project Management
Innovative Project ManagementAirmis
 
Le management projet 2011
Le management projet 2011Le management projet 2011
Le management projet 2011mimousaid
 
Initiation à la gestion de projet
Initiation à la gestion de projetInitiation à la gestion de projet
Initiation à la gestion de projetmahassine_med_amine
 
Le management de projet par Fethi FERHANE
Le management de projet par Fethi FERHANELe management de projet par Fethi FERHANE
Le management de projet par Fethi FERHANEFethi Ferhane
 
Management de projet 2
Management de projet 2Management de projet 2
Management de projet 2David VALLAT
 
Esiee Initiation projet cours 2 organiser planifier 2
Esiee Initiation projet cours 2 organiser planifier 2Esiee Initiation projet cours 2 organiser planifier 2
Esiee Initiation projet cours 2 organiser planifier 2Christelle Fritz
 
Project Management Introduction (1/5) for Gobelins students
Project Management Introduction (1/5) for Gobelins studentsProject Management Introduction (1/5) for Gobelins students
Project Management Introduction (1/5) for Gobelins studentsEric DI POL
 
L’outil informatique : une composante incontournable de la conduite de projet...
L’outil informatique : une composante incontournable de la conduite de projet...L’outil informatique : une composante incontournable de la conduite de projet...
L’outil informatique : une composante incontournable de la conduite de projet...idealconnaissances
 
2015-04-29 Patrick Vallerand Succès en gestion de projet - Cas vécus
2015-04-29 Patrick Vallerand Succès en gestion de projet - Cas vécus2015-04-29 Patrick Vallerand Succès en gestion de projet - Cas vécus
2015-04-29 Patrick Vallerand Succès en gestion de projet - Cas vécusPMI Lévis-Québec
 
Gestion de projets
Gestion de projetsGestion de projets
Gestion de projetsSana REFAI
 
Management de Projet International
Management de Projet InternationalManagement de Projet International
Management de Projet InternationalRiana Andrieux
 

Tendances (20)

La gestion de projet informatique 2015
La gestion de projet informatique 2015La gestion de projet informatique 2015
La gestion de projet informatique 2015
 
La gestion de projets - Jean-Michel Rolland
La gestion de projets - Jean-Michel RollandLa gestion de projets - Jean-Michel Rolland
La gestion de projets - Jean-Michel Rolland
 
Conduite de projets Web, pilotage & Outils
Conduite de projets Web, pilotage & OutilsConduite de projets Web, pilotage & Outils
Conduite de projets Web, pilotage & Outils
 
Formation gestion de projet - 04 - le cadrage
Formation gestion de projet - 04 - le cadrageFormation gestion de projet - 04 - le cadrage
Formation gestion de projet - 04 - le cadrage
 
Projet les fondamentaux - version 2014
Projet les fondamentaux - version 2014Projet les fondamentaux - version 2014
Projet les fondamentaux - version 2014
 
Gestion des risques Démarche
Gestion des risques DémarcheGestion des risques Démarche
Gestion des risques Démarche
 
Management de projet
Management de projetManagement de projet
Management de projet
 
Innovative Project Management
Innovative Project ManagementInnovative Project Management
Innovative Project Management
 
Le management projet 2011
Le management projet 2011Le management projet 2011
Le management projet 2011
 
Initiation à la gestion de projet
Initiation à la gestion de projetInitiation à la gestion de projet
Initiation à la gestion de projet
 
Le management de projet par Fethi FERHANE
Le management de projet par Fethi FERHANELe management de projet par Fethi FERHANE
Le management de projet par Fethi FERHANE
 
Management de projet 2
Management de projet 2Management de projet 2
Management de projet 2
 
Gestion de projet sept 2016
Gestion de projet sept 2016Gestion de projet sept 2016
Gestion de projet sept 2016
 
Esiee Initiation projet cours 2 organiser planifier 2
Esiee Initiation projet cours 2 organiser planifier 2Esiee Initiation projet cours 2 organiser planifier 2
Esiee Initiation projet cours 2 organiser planifier 2
 
Project Management Introduction (1/5) for Gobelins students
Project Management Introduction (1/5) for Gobelins studentsProject Management Introduction (1/5) for Gobelins students
Project Management Introduction (1/5) for Gobelins students
 
L’outil informatique : une composante incontournable de la conduite de projet...
L’outil informatique : une composante incontournable de la conduite de projet...L’outil informatique : une composante incontournable de la conduite de projet...
L’outil informatique : une composante incontournable de la conduite de projet...
 
2015-04-29 Patrick Vallerand Succès en gestion de projet - Cas vécus
2015-04-29 Patrick Vallerand Succès en gestion de projet - Cas vécus2015-04-29 Patrick Vallerand Succès en gestion de projet - Cas vécus
2015-04-29 Patrick Vallerand Succès en gestion de projet - Cas vécus
 
Gestion de projets
Gestion de projetsGestion de projets
Gestion de projets
 
Management de projet
Management de projetManagement de projet
Management de projet
 
Management de Projet International
Management de Projet InternationalManagement de Projet International
Management de Projet International
 

Similaire à Club Excellence Opérationnelle : RGPD pour les TPE/PME

Le RGPD, véritable opportunité vers la gouvernance de l’information
Le RGPD, véritable opportunité vers la gouvernance de l’informationLe RGPD, véritable opportunité vers la gouvernance de l’information
Le RGPD, véritable opportunité vers la gouvernance de l’informationPECB
 
"Take the L.E.A.D." l'offre globale de Sedona
"Take the L.E.A.D." l'offre globale de Sedona"Take the L.E.A.D." l'offre globale de Sedona
"Take the L.E.A.D." l'offre globale de SedonaAgence West
 
Guide RGPD - IAB France
Guide RGPD - IAB FranceGuide RGPD - IAB France
Guide RGPD - IAB FranceRomain Fonnier
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesTerface
 
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra PartnersJedha Bootcamp
 
Benchmark TNP Consultants sur les outils du DPO - GDPR
Benchmark TNP Consultants sur les outils du DPO - GDPRBenchmark TNP Consultants sur les outils du DPO - GDPR
Benchmark TNP Consultants sur les outils du DPO - GDPRTNP Consultant
 
Benchmark gdpr outils dpo
Benchmark gdpr outils dpoBenchmark gdpr outils dpo
Benchmark gdpr outils dpoTNP Consultant
 
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?Boris Clément
 
Données personnelles et SI - GDPR
Données personnelles et SI - GDPRDonnées personnelles et SI - GDPR
Données personnelles et SI - GDPRAntoine Vigneron
 
[Infographie] Le RGPD - en bref
[Infographie] Le RGPD - en bref[Infographie] Le RGPD - en bref
[Infographie] Le RGPD - en brefThinkmarket
 
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018David Blampain
 
Comment se mettre en conformité avec le GDPR ?
Comment se mettre en conformité avec le GDPR ?Comment se mettre en conformité avec le GDPR ?
Comment se mettre en conformité avec le GDPR ?Pramana
 
BAROMÈTRE RGPD
BAROMÈTRE RGPDBAROMÈTRE RGPD
BAROMÈTRE RGPDConverteo
 
Rh et data DANS LE MONDE APRÈS LE CONFINEMENT
Rh et data DANS LE MONDE APRÈS LE CONFINEMENTRh et data DANS LE MONDE APRÈS LE CONFINEMENT
Rh et data DANS LE MONDE APRÈS LE CONFINEMENTProf. Jacques Folon (Ph.D)
 
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...Medialibs
 
Guide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxGuide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxTech4nulls
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekPascal ALIX
 
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018cedric delberghe
 

Similaire à Club Excellence Opérationnelle : RGPD pour les TPE/PME (20)

Le RGPD, véritable opportunité vers la gouvernance de l’information
Le RGPD, véritable opportunité vers la gouvernance de l’informationLe RGPD, véritable opportunité vers la gouvernance de l’information
Le RGPD, véritable opportunité vers la gouvernance de l’information
 
"Take the L.E.A.D." l'offre globale de Sedona
"Take the L.E.A.D." l'offre globale de Sedona"Take the L.E.A.D." l'offre globale de Sedona
"Take the L.E.A.D." l'offre globale de Sedona
 
Guide RGPD - IAB France
Guide RGPD - IAB FranceGuide RGPD - IAB France
Guide RGPD - IAB France
 
Obligations RGPD : Comment-agir ?
Obligations RGPD : Comment-agir ?Obligations RGPD : Comment-agir ?
Obligations RGPD : Comment-agir ?
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des Données
 
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
 
Benchmark TNP Consultants sur les outils du DPO - GDPR
Benchmark TNP Consultants sur les outils du DPO - GDPRBenchmark TNP Consultants sur les outils du DPO - GDPR
Benchmark TNP Consultants sur les outils du DPO - GDPR
 
Benchmark gdpr outils dpo
Benchmark gdpr outils dpoBenchmark gdpr outils dpo
Benchmark gdpr outils dpo
 
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
 
Données personnelles et SI - GDPR
Données personnelles et SI - GDPRDonnées personnelles et SI - GDPR
Données personnelles et SI - GDPR
 
[Infographie] Le RGPD - en bref
[Infographie] Le RGPD - en bref[Infographie] Le RGPD - en bref
[Infographie] Le RGPD - en bref
 
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
 
Comment se mettre en conformité avec le GDPR ?
Comment se mettre en conformité avec le GDPR ?Comment se mettre en conformité avec le GDPR ?
Comment se mettre en conformité avec le GDPR ?
 
Atelier RGPD ANDRH 27.03.18
Atelier RGPD ANDRH 27.03.18Atelier RGPD ANDRH 27.03.18
Atelier RGPD ANDRH 27.03.18
 
BAROMÈTRE RGPD
BAROMÈTRE RGPDBAROMÈTRE RGPD
BAROMÈTRE RGPD
 
Rh et data DANS LE MONDE APRÈS LE CONFINEMENT
Rh et data DANS LE MONDE APRÈS LE CONFINEMENTRh et data DANS LE MONDE APRÈS LE CONFINEMENT
Rh et data DANS LE MONDE APRÈS LE CONFINEMENT
 
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
 
Guide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxGuide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptx
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis Nystek
 
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
 

Club Excellence Opérationnelle : RGPD pour les TPE/PME

  • 1. LE RGPD En pratique pour les TPE/PME Une réalisation du Club Excellence opérationnelle Rédacteur : Loïc Charpentier
  • 2. Au sommaire : 1. Les données personnelles : état des lieux 2. Le RGPD en bref 3. Quels impacts pour l’entreprise 4. Une mise en œuvre pragmatique 5. Des outils adaptés La RGPD : Garder le cap
  • 3. Etape 1 : comprendre le contexte Les données personnelles : état des lieux
  • 4.  Les entreprises et les collaborateurs ignorent ce qu’est une donnée personnelle  Les données personnelles transitent sans contrôle dans les entreprises  Les données sont échangées sur tous les canaux à disposition des collaborateurs  Les données sont généralement stockées sans limite de conservation Un constat simple et réaliste en entreprise
  • 5. Niveau Standard :  Gestion de la donnée client (CRM, SAV, …)  Gestion des données RH  Gestion des données de prospection Un usage mal maitrisé de la donnée
  • 6. Niveau Expert :  Internet Of Things (NFC, …)  Démarche data-driven  Big-Data Un usage massif et mal maîtrisé de la donnée
  • 7. La fin justifie les moyens Où sont mes données personnelles ? • Exploitation RH • Exploitation administrative • Exploitation commerciale • Exploitation marketing • Monétisation, … Un peu partout en interne et dans notre écosystème…
  • 8. La fin justifie les moyens Et alors… ?
  • 9. 60% des attaques et vols de données en 2017 concernent une PME Source: Ministère de la Défense - 2017
  • 10. Fuites de données personnelles, sursollicitation, non consentement,… = Perte de confiance
  • 11. […]toute information se rapportant à une personne physique identifiée ou identifiable […]; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement […] Une donnée personnelle, c’est quoi au final ?
  • 12. toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction Bref TOUTES ACTIONS EFFECTUÉES SUR UNE DONNÉE Et un traitement de données personnelles ? Et même les données conservées sur papier
  • 13. Etape 2 : comprendre les attentes Le Règlement Général sur la Protection des Données en ou RGPD
  • 14. Le règlement est obligatoire dans tous ses éléments dès son entrée en vigueur Chaque Etat membre est tenu de l'appliquer sans délai …
  • 15. Simplement protéger les personnes physiques contre les captations d’éléments appartenant à leur vie privée ; et ce en particulier vis-à-vis de l’outil informatique Quel est l’objectif du règlement ? (Cf. art. 2 du règlement)
  • 16. La fin justifie le règlement Je dois fermer boutique ?
  • 17. La fin justifie le règlement Bien sûr que non ! Le règlement régule, il n’interdit pas ! (Cf. art. 1 et 3 du règlement)
  • 18. La RGPD : une histoire de traitements  Obtenir le consentement des personnes concernées dans l'UE  Encadrer les transferts de données hors UE  Conserver les données selon la finalité pour laquelle elles ont été collectées.  Tenir un registre de tous les traitements de données personnelles mis en oeuvre (qui, quoi ou comment, pourquoi)  Evaluer et documenter le risque au travers d’une analyse d’impact.  Notifier les individus et l’organisme de contrôle en cas de violation de données personnelles  Permettre aux individus d’exercer leurs droits (portabilité des données, interrogation, rectification, suppression, …)
  • 19. Etape 3 : comprendre les changements Quels impacts pour l’entreprise ?
  • 20. Les entreprises doivent désormais mettre en œuvre des mécanismes et des procédures internes permettant de démontrer (documentation à l’appui) le respect des règles relatives à la protection des données Passer du déclaratif à l’autogestion
  • 21.  Nomination d’un DPO (selon les typologies et la masse de traitements effectués ou l’appartenance au public)  Alignement de l’organisation par rapport aux obligations du RGPD (process, …) Ce qui va changer au niveau organisationnel Vous aviez un CIL, Leurs statuts sont similaires…
  • 22.  Opportunité méthodologique  Opportunité technique  Opportunité business De nombreuses opportunités
  • 23.  Cartographier l'ensemble des traitements de données à caractère personnel  Sensibiliser le management et l'ensemble des collaborateurs sur la gestion des données personnelles et chasser les mauvaises pratiques  Sécuriser les lieux de stockage et les accès aux données personnelles Des grands défis internes à relever L’enjeu est la mobilisation de l’organisation en débutant par la direction générale.
  • 24. Etape 4 : Prendre en main son organisation Une mise en œuvre pragmatique
  • 25. POURQUOI ? : 1. Car La RGPD n’est pas l’histoire d’une personne le DPO 2. Car Il est question d’accompagnement du changement 3. Car l’ensemble des services sont concernés 4. Car le 25 mai c’est déjà HIER 5. Car à plusieurs c’est plus simple et trop nombreux on n’avance plus Action 1: Désigner une Pizza Team Désignez une équipe de 2 à 5 personnes pour une PME selon votre taille
  • 26.  Organisez une réunion de sensibilisation sur le sujet  Demandez à chaque manager de désigner une personne clef de son service ayant une bonne connaissance de son fonctionnement. Action 2: Sensibiliser les managers La personne clef connait le fonctionnement réel du service…
  • 27. Action 3 : Préparer votre planning
  • 28.  Organisez une réunion de sensibilisation des équipes  Présentez le planning de mise en conformité  Prévoyez un plan de communication sur le sujet afin d’ancrer les messages Objectif : Informer les collaborateurs du chantier en cours et leur donner les clefs afin de répondre aux sollicitations potentielles des clients. Action 4: Sensibiliser les collaborateurs On parle ici d’accompagnement au changement…
  • 29.  Listez les principaux services de votre organisation.  Identifiez les traitements standards les plus courants Objectif : Fournir à chaque représentant de service une base par laquelle démarrer qu’il pourra compléter de manière itérative. Action 5: Réaliser une macro-cartographie Il s’agit ici de préparer le terrain pour vos alliés au sein des services.
  • 30.  Présentez la macro-cartographie à vos représentants de service  Expliquez leur la façon de détailler les traitements. (méthode QQOQCP) Action 6: Missionner les représentants Pas de panique ! Des outils très bien conçus existent, notamment une matrice Excel proposée par la CNIL.
  • 31.  Identifiez les traitements présentant un risque réel et sérieux.  Alertez la direction sur les situations à risque  Proposez des actions curatives  Demandez une date de mise en application de l’action. Action 7: Priorisation des points douloureux Il ne s’agit pas ici de stopper toutes activités mais de recadrer les mauvaises pratiques et d’alerter sur le risque.
  • 32. Certain de vos traitements sont « conformes » mais sensibles en raison des données personnelles exploitées ou des conditions d’exploitation. Vous devez alors réaliser une analyse de risque et documenter votre plan d’action permettant de réduire l’exposition au risque. Action 8: Prévenir les situations à risque La aussi de très bon outils méthodologiques et pratiques ont été mis à votre disposition par la CNIL
  • 33. A ce stade, vous avez réussi à enclencher la dynamique et à démontrer que votre organisation a pris la bonne direction… Action 9 : Vous avez fait du bon travail
  • 34.  Mettez en place un processus de suggestion d’amélioration de vos traitement.  Construisez un plan de sensibilisation et de formation de vos collaborateurs.  Auditez votre organisation ponctuellement  Testez vos processus internes en simulant des scénarios. Action 10: Poursuivre l’effort sur la durée La mise en conformité ne s’arrête pas au 25 mai mais doit devenir un processus ancré solidement dans l’entreprise.
  • 35. 1. Réunir la pizzaTeam RGPD et évaluer la gravité de la violation 2. Prévenir l’organisme de contrôle si la violation expose les données personnelles 3. Notifier l’ensemble des personnes dont les données ont été exposées. Action 11: En cas de violation… Vous avez 72 heures pour notifier l’organisme de contrôle !
  • 36. Etape 5 : Utiliser les outils existants Des outils adaptés
  • 37. La CNIL propose une documentation détaillée mais également des outils pratiques : Identifier les traitements à risque et les plans d’actions associés (PIA): https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil Informez vous sur les durées de conservation légales : https://www.cnil.fr/sites/default/files/typo/document/20120719-REF-DUREE_CONSERVATION-VD.pdf Mise à disposition de packs de conformité sectoriels : https://www.cnil.fr/fr/packs-de-conformite Guide du sous-traitant : https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-un-guide-pour-accompagner-les-sous-traitants La CNIL : le site de référence
  • 38. L’ANSSI propose des contenus visant à promouvoir la sécurité au sein des entreprise : Bonnes pratiques en entreprise à destination des DSI : https://www.ssi.gouv.fr/entreprise/bonnes-pratiques/ Sensibilisation de vos collaborateurs à la cybersécurité : https://www.secnumacademie.gouv.fr/ L’ANSSI : une source inépuisable
  • 39. Démarche ISO 9000 : Le RGPD vise à mettre en œuvre un processus d’amélioration continu des traitements de données à caractère personnel avec un engagement fort de la direction à ce titre il peut être décrit comme un processus transverse pour les entreprise respectant cette démarche Démarche ISO 27001 : Le RGPD insiste particulièrement sur la sécurisation des données à caractères personnelles et la gestion des risques. L’adoption de la norme ISO 27001 permet de répondre à une partie importante des exigences relatives à la sécurité des données. (exposition des données, documentation, identification des actifs, remontée d’incident, …) ISO : un standard
  • 40. La CNIL proposait certains labels dont : label CNIL Gouvernance Informatique et Libertés Cependant la labellisation s’arrêtera au 25 mai et laissera la place aux organismes certificateurs. Le COFRAC est en cours de définition de certifications. Et les labels ?
  • 41. Icones utilisées : • flow by Adam Terpening from the Noun Project • Icon made by Freepik from www.flaticon.com Crédits photos/images