SlideShare une entreprise Scribd logo
© Soft Computing – www.softcomputing.com
Séminaire DCP
Les données personnelles : un patrimoine à sécuriser !
17 Novembre 2016
© 2
DIRECTION COMMERCIALE ET MARKETING
Sandra GOMES CLARION
Directrice Commerciale et Marketing
E-mail : contact@softcomputing.com
Tel : +33 (0)1 73 00 55 00
© 3
Les données personnelles : un patrimoine à sécuriser !
Séminaire le 17 novembre 2016
Dans un environnement règlementaire français et européen complexe et évolutif, comment la
nouvelle règlementation européenne va-t-elle changer vos processus marketing et digitaux ?
Le 14 avril dernier, le parlement européen votait un nouveau règlement sur la protection des
données. Accompagnés du Cabinet et fort de notre expérience opérationnelle, nous vous
proposons une démarche concrète en évoquant les questions suivantes :
Quelles sont les bonnes pratiques actuelles en matière de protection de données personnelles dans
les bases marketing et le marketing digital ? Quels sont les principaux apports du règlement de
l’Union Européenne ? Comment s’y préparer et avec quels outils ? Quels changements pour les
entreprises ? ….
A propos
Soft Computing est le spécialiste du marketing digital data-driven. Ses 400 consultants, experts en sciences de la donnée, en marketing digital et en technologies big data,
aident au quotidien plus de 150 entreprises à travers le monde à exploiter tout le potentiel de la donnée pour améliorer l’expérience de leurs clients et le ROI de leur
marketing digital. Soft Computing est côté à Paris sur NYSE Euronext (ISIN : FR0000075517, Symbole : SFT).
Cet événement est réservé aux clients et prospects Soft Computing. Pour tout autre profil, l'inscription sera soumise à validation.
Soft Computing |55 quai de Grenelle|75015 Paris|01 73 00 55 00 | www.softcomputing.com
Modalités :
Ce séminaire aura lieu dans les
locaux de Soft Computing.
Ou via notre site:
www.softcomputing.com
Agenda : 08h45 – 11h00
 Les principes actuels en matière de gestion des données personnelles
dans les bases marketing et le marketing digital,
 Les modifications apportées par le Règlement UE :
- Maîtres Michèle Anahory et Olivier Spreux du cabinet PBA, vous
présenteront les points essentiels et la démarche à adopter.
 Les points clés de mise en œuvre opérationnelle de la nouvelle
réglementation : marketing, organisationnelle, calendaire,
 Conclusion.
© 4
Sommaire
1. Présentation de Soft Computing & du Cabinet PBA
2. Introduction
3. Les principes actuels en matière de gestion des données
personnelles dans les bases marketing et le marketing digital
4. Les modifications apportées par le Règlement
5. Les points clés de mise en œuvre opérationnelle de la nouvelle
réglementation
6. Conclusion
© 5
Carte d’identité
© 6
Exploiter tout le potentiel de la data
Créer des expériences Client sans couture
Démultiplier la performance du marketing digital
Mission
Marketing
Intelligence
Big Data
Driven
Digital
Experience
© 7
Compétences : un mix unique de compétences pointues
Digital
Marketing
Data
Science
Project
Management
Information
Technologies
© 8
A la carte
Think Build Run
Délégation Projet Centre de services
Digital-Marketing IT AMOA
Offre
Delivery
Clients
© 9
Extraits de références
Digital Marketing Big Data
Aviva
CRM Onboarding et campagnes
marketing anonymes – identifiés.
Danone
Programme relationnel multi-
devices et remarketing.
Engie
Data Management Platform, CRM,
Identity Management et web
analytics.
Fnac
Convergence des pratiques et
outils marketing offline et in store
avec le digital.
Les Echos
Migration technique et
organisationnelle d’une DMP et
d’une SSP.
BPCE
Centre de services de gestion des
campagnes marketing multicanal.
L'Oréal
Déploiement et exploitation d’une
plate-forme CRM multi-marques
multi-pays.
Système U
Centre de services gestion de
campagnes marketing et
connaissance clients.
vente-privee.com
Mise en place de campagnes
automatisées et optimisées par des
tests.
Vivarte
Gestion et activation d’un
référentiel client unique
multimarques.
La Banque Postale
Conception de l’architecture
décisionnelle hybride big data –
datawarehouse.
LCL
Accompagnement à la conception
et la mise en place d’un datalake.
Orange
Formation de compétences et de
méthodes en data science sur les
filiales Afrique et Moyen-Orient.
PSA
Définition de la gouvernance d’un
MDM client multi-activité et
international.
RCI Banque
Elaboration d’une stratégie de
connaissance client et valorisation
des big data.
© 10
Experts reconnus
blog.softcomputing.com/
fr.slideshare.net/softcomputing
twitter.com/#!/SoftComputing
linkedin.com/company/soft-computing
facebook.com/softcomputing
softcomputing.com/news/
InformerEcrire Enseigner
© 11
Recruteur de talents
Datascience Projet
TechnologiesDigital
Marketing
CRM
Big Data
100 CDI à pourvoir cette année
Contact : recrutement@softcomputing.com –
http://www.softcomputing.com/offres-d-emploi
Concurrence,
distribution &
consommation
Assurance
& finance
Corporate
Droit
commercial
Construction
&
environnement
Data
privacy
Droit de la
santé
&
Sciences de la
vie
Médias &
propriété
intellectuelle
Droit de la
sécurité
sociale
Pénal
&
Compliance
Responsabilités
Droit du travail
NOS COMPETENCES
12
13
Banque -
Assurance
BTP
Hôtellerie
Industrie
Professions
réglementées
Santé -
Cosmétique
Services &
activités de
conseil
Sport
Transport
NOS SECTEURS D’ACTIVITES
14
© 15
Sommaire
1. Présentation de Soft Computing & du Cabinet PBA
2. Introduction
3. Les principes actuels en matière de gestion des données
personnelles dans les bases marketing et le marketing digital
4. Les modifications apportées par le Règlement
5. Les points clés de mise en œuvre opérationnelle de la nouvelle
réglementation
6. Conclusion
© 16
16
Les données personnelles : 3ème opus de la gouvernance des données
La gouvernance des données
Le RCU
Les données personnelles
© 17
Donnée à caractère personnel ?
« toute donnée permettant d’identifier
directement ou indirectement
une personne physique »
Adresse IP, adresse @, nom, prénom, n° d’immatriculation, n° de
téléphone, n° de sécurité sociale, photographie, éléments biométriques
tels que l’empreinte digitale, ADN, numéro d’Identification Nationale
Étudiant (INE), coordonnées bancaires, toutes les informations dont le
recoupement permet d’identifier une personne précise (ex. : une date de
naissance associée à une commune de résidence …), numéro client, …
© 18
Privacy, buzzword ou réalité ?
Une collecte no
limit des
données
Une hyper-
sollicitation
Des vols de
données à
répétition
Une
règlementation
qui se renforce
Un
questionnement
sur la relation
aux marques
No doubt, c’est une R E A L I T E !
© 19
Toujours plus connecté : toujours plus de données captées …
44 Zettabytes = 44 000 milliards de gigaoctets = 44 000 000 000 000 000 000 000 octets !!
© 20
… stockées et utilisées par des outils de plus en plus puissants !
 Data Management Plateform
 Entreprise Marketing Automotion
 Marketing Automotion Plateform
 Customer Identity Management
 Moteur de personnalisation
 Moteur de fidélisation
 Moteur d’offres
 Moteur de substitution
 Tag Management System
 Web analytics
 Content Management System
 …
© 21
Les données : un patrimoine qui attise les convoitises
© 22
Une réglementation de plus en plus exigeante
Il devient nécessaire de maîtriser ses données afin de répondre en temps et en heure aux
nombreuses exigences réglementaires.
BCBS 239
© 23
Mais est-ce uniquement une question légale ?
Les marques placent désormais l’expérience et l’engagement des
consommateurs au cœur de leur stratégie comme de leur organisation.
© 24
Le RGPD : une opportunité de repositionnement de la marque !
« Il s’agit aujourd’hui de se mobiliser pour éveiller les consciences,
expliquer la façon dont les données sont collectées, désidentifiées,
exploitées et sécurisées pour retrouver la confiance et l’adhésion
des consommateurs et leur offrir des expériences de marque
engageantes, à la hauteur de leurs attentes. »
© 25
Sommaire
1. Présentation de Soft Computing & du Cabinet PBA
2. Introduction
3. Les principes actuels en matière de gestion des données
personnelles dans les bases marketing et le marketing digital
4. Les modifications apportées par le Règlement
5. Les points clés de mise en œuvre opérationnelle de la nouvelle
réglementation
6. Conclusion
© 26
Sécurité des données
Quelques chiffres
 La cybercriminalité est le risque qui explose
 Une perte de confiance des utilisateurs en attente de transparence sur l’utilisation des données personnelles
 Mais le risque est déjà là où se situent les données
– 50% en Interne
– 35% Partenaires
– 13% Prestataires
– 2% Hacker
Global Economic Crime Survey 2016 PWC
HARRIS INTERACTIVE BAROMÈTRE DE LA CONFIANCE DES FRANÇAIS DANS LE NUMÉRIQUE 21/10/2016
Track up depuis 2010
© 27
Sécurité des données : le cadre règlementaire
Le contexte
 Le socle français
• La loi Informatique et Libertés
(Loi n 78-17 du 6 Janvier 1978)
• Le Paquet Telecom 2009
 L’environnement européen : De la directive …..
• La Directive 95/46 CE du 24 octobre 1995
• La Directive du 12 juillet 2002
 ….Au règlement général sur la protection des données, qui établit un cadre unique pour
l’ensemble des pays de l’UE et non plus un minimum commun qui pouvait être enrichi de spécificités
locales supplémentaires
Proposition
Commission
Adoption
Parlement
Adoption
Conseil UE
Adoption
Trilogues
Entrée en
Vigueur
Adoption
en plénière
03/ 201401/2012 06/ 2015 12/ 2015 04/2016 05/ 2018
• INFORMATION
• DROITS ET OBLIGATIONS
• TRAITEMENT DES INFORMATIONS NOMINATIVES
• COMMUNICATIONS ELECTRONIQUES
• PROTECTION DES DP
• PROTECTION DE LA VIE PRIVEE ELECTRONIQUE
ePrivacy
© 28
Déclaration
•Auprès de la CNIL
Source et durée
•Loyale et licite (annuaires et sites Internet,
forums : interdit)
•Conservation limitée*
Consentement
•Préalable
•Libre
•Spécifique
•Eclairé
Respect du droit des personnes
• Droit à l’information (identité, finalité, caractère
obligatoire/facultatif des réponses)
• Droit d’accès, rectification, effacement,
suppression
• Droit d’opposition
La Collecte
• Principe : les données clients peuvent être conservées durant 3 ans à compter de la fin de la relation commerciale
(i.e. après l’achat, la date de fin d’une garantie, le dernier contact à l’initiative du client…). Passé ce délai, il est
nécessaire de purger **les données. C’est pourquoi il est recommandé de générer des contacts (par exemple, une
connexion à un site est considérée comme une interaction avec la marque).
• ** Purge : dans les faits, il s’agit d’anonymiser les données du client. Cette opération est irréversible.
Les principales notions (1/2)
© 29
•Mentions d’information lors de la collecte :
•Finalité du traitement
•Caractère obligatoire ou facultatif des réponses (ex : jeux
concours)
Droit d’information des
personnes
•Délai : sous 3 semaines, répercussion vers bases
propriétaires
•Lors de la collecte et à tout moment
•En prospection : liste Robinson, BLOCTEL et d’opposition
interne
•Dans les faits : accuser réception de la demande et
confirmer le délai de prise en compte
•Et par canal
Droit d’opposition
• NB : les consentements sont valables par entité juridique
Les principales notions (2/2)
© 30
Le Cycle de vie des Données Personnelles
Le cycle
de vie des
données
Création
Collecte
Utilisation
Traitement
Conservation
Hébergement
Sécurisation
Contrôle
Déclaration CNIL
Collecte : Réseaux sociaux, IoT, Cookie
Mentions légales, Consentement
Utilisation : Prospection, Animation,
Retargetting, Geolocalisation
Datamining, Enrichissement,
Partage
Durée et finalité de traitement.
Modification : Désabonnement, Mise à jour
Partage de données
Authentification, Utilisateurs
Sécurité, Délai , Cryptage,
Anonymisation
Resp
Traitement
© 31
Les best practices : quelques principes de base !
Je déclare à la CNIL tous les traitements

J’indique clairement la finalité du traitement
Je collecte les consentements
Je prévois une durée de conservation des données
Je communique sur demande les informations collectées
Je procède à toute modification qui sera demandée
Je sécurise l’accès aux données
Je m’assure de la bonne utilisation des données
Je sélectionne les Responsables de Traitement








© 32
Sommaire
1. Présentation de Soft Computing & du Cabinet PBA
2. Introduction
3. Les principes actuels en matière de gestion des données
personnelles dans les bases marketing et le marketing digital
4. Les modifications apportées par le Règlement
5. Les points clés de mise en œuvre opérationnelle de la nouvelle
réglementation
6. Conclusion
Lenouveaurégime
delaprotectiondes données
à caractère personnel
33
sommaire
I. Présentation du règlement européen
 Les apports du règlement européen
 Renforcement des droits & création de droits nouveaux
 Changement de paradigme & impacts sur l’entreprise
 Les moyens mis en œuvre par l’autorité de contrôle & par l’entreprise
 La mise en œuvre du principe d’accountability
 Les nouvelles obligations à la charge de l’entreprise
 Le rôle de la CNIL & la gestion des plaintes
 Les pouvoirs d’enquête et de sanction
II. Le déploiement du Règlement au sein de l’entreprise
 Déploiement & intégration du dispositif dans l’entreprise
 La boîte à outils de la conformité
 La période de transition
 Le modèle de registre d’activité de traitement
 La définition d’une politique générale de protection des données &
méthode d’analyse des risques
34
Introduction – Généralités
Adoption le 27 avril 2016 du règlement (UE) 2016/679 relatif à la protection des personnes physiques à
l’égard du traitement des données à caractère personnel et à la libre circulation des données
Refonte du droit de la protection des données à caractère personnel
Périmètre plus large que la directive 95/46/CE relative à la protection des données à caractère
personnel
Pourquoi un nouveau cadre légal?
1) Évolution du numérique et de sa place dans la vie des individus
2) Existence de divergences d’interprétation de la directive entre les États
Conclusion: Obsolescence du dispositif légal introduit par la directive du 24 octobre 1995
35
6 janvier 1978: Loi informatiques & libertés
24 octobre 1995 Adoption directive 95/46/CE
6 août 2004 Loi de transposition (LIL)
27 avril 2016 Adoption du Règlement 2016/679
Introduction – Historique & dates clés
25 mai 2018 Application du Règlement
36
Introduction – Les objectifs du Règlement
1. Clarification & élargissement des notions
2. Plus grande protection des droits des personnes
3. Responsabilisation
4. Régulation
Nécessité d’avoir un cadre commun là où les frontières n’existent plus

37
I. Les apports du règlement européen
 Mise en œuvre d’un champ d’application élargi
 La consécration de droits renforcés & de droits nouveaux
 La création d’obligations & de responsabilités nouvelles pour les responsables de
traitement
 Le passage d’une logique de contrôle a priori à celle d’accountability
 Une crédibilisation de la régulation par la coopération et le renforcement des pouvoirs
d’enquête et de sanction
 Un encadrement, un renforcement et une graduation des sanctions administratives
Changement radical de l’état d’esprit de la protection des données personnelles
38
I. Lerèglement–Extensionduchampd’applicationdelaprotectiondesdonnées
 Champ d’application temporel
Traitements des données passés en cours de validité, les projets en cours & les projets futurs
 Les traitements déjà mis en œuvre à cette date devront d’ici le 25 mai 2018 mis en
conformité avec le nouveau cadre légal
 Impose aux entreprises d’être le plus tôt possible en conformité avec le règlement
 Champ d’application territorial
- Responsable de traitement ayant un établissement dans l’UE
- Responsable de traitement non établis dans l’UE
 Le Règlement s’applique à chaque fois qu’un résident européen sera directement visé
par un traitement de données
 Champ d’application ratione personae
- Responsable de traitement
- Sous-traitant
 Prise en compte de l’importance, de la multiplicité & de la technicité des sous-traitant
39
I. Lerèglement–Lerenforcement&laconsécrationdesdroits&deslibertés
Droit à
l’information
Droit à un recours
juridictionnel
effectif
Droit d’opposition
Droit de
rectification
Droit
d’accès
Droit à l’effacement
(droit à oubli)
Droit d’introduire
une réclamation
Droit d’information
d’une violation
Droit à la limitation
du traitement
Droit à la portabilité
Droit à réparation
Les droits renforcés
Les droits nouveaux
40
I. Lerèglement–Lesdroitsrenforcés
Droit d’être informé d’une façon concise,
transparente, compréhensible et aisément
accessible en des termes clairs et simples par le
responsable du traitement
Droit à l’information
Droit d’obtenir la confirmation que des données
à caractère personnel sont ou ne sont pas
traitées, et le cas échéant, y avoir accès
Droit d’accès
Droit d’obtenir dans les meilleurs
délais la rectification des données à
caractère personnel qui sont
inexactes
Droit de rectification
Droit de s’opposer à tout moment, pour des
raisons tenant à sa situation particulière, à un
traitement de données
Droit d’opposition
Droit de former un recours juridictionnel effectif contre:
- Une décision contraignante d’une autorité de contrôle
qui la concerne
- Le responsable du traitement si la personne concerné
considère que les droits conférés par le Règlement ont
été violés du fait du traitement
Droit à un recours juridictionnel
effectif
Droit d’obtenir du responsable du
traitement ou de son sous-traitant la
réparation du préjudice matériel ou moral
subi du fait d’une violation du Règlement
Droit à réparation
41
Tout individu peut exiger l’effacement
dans les meilleurs délais de ses données
à caractère personnel dès lors
qu’aucun motif légitime ne justifie leur
conservation
Droit à l’effacement
Droit d’introduire une réclamation auprès d’une
autorité de contrôle si la personne concernée
considère que le traitement de données à caractère
personnel constitue une violation du Règlement
Droit d’introduire une réclamation
Droit d’être informé en des termes clairs et simples et
de dans les meilleurs délais de la violation de
données à caractère personnel dès lors que celle-ci
est susceptible d’engendre un risque élevé pour ses
droits et libertés
Droit d’information d’une violation
Droit d’exiger une limitation temporaire du
traitement de ses données dès lors que surgit
une contestation de l’exactitude des données
ou si la personne a fait une opposition et ce,
dans l’attente de la vérification des éventuelles
raisons légitimes
Droit à la limitation du traitement
Droit de pouvoir récupérer et transférer ses
données à caractère personnel d’un
prestataire de service à un autre dans un
format structuré et intelligible
Droit à la portabilité
I. Lerèglement–Lesdroitsnouveaux
42
I. Changementdeparadigme&impactssurl’entreprise
Cadre légal insuffisant pour assurer une réelle protection de la vie privée
Nécessité d’intervenir en amont grâce à une démarche qui intègre à toute technologie des mesures
techniques & organisationnelles afin que cette technologie ne porte pas atteinte à la vie privée des
individus
Application du principe du privacy by design
L’accountablity repose sur 7 principes fondateurs du privacy by design dont l’objectif est double:
-Assurer une autorégulation efficace dès le départ
-Garantie une protection effective des données
 Mise à plat de tout le système pour identifier les risques d’un mauvais usage
D’où vient le principe d’accountability?
43
Prendre des mesures
proactives et non
réactives
Assurer la protection
implicite de la vie privée
Intégrer la protection de
la vie privée dans la
conception des systèmes
& pratiques
Assurer une fonctionnalité intégrale
selon un paradigme à somme
positive
Assurer la sécurité de bout en
bout pendant une durée de
conservation
Assurer la visibilité &
la transparence
Respecter la vie
privée des utilisateurs
I. Changementdeparadigme&impactssurl’entreprise
1
2
3
45
6
7
Privacy
by
design
44
I. Lesmoyensmisenœuvreparl’autoritédecontrôle(1)
Normes simplifiées
Méthodologie de référence
Déclarations simplifiées
Suppression des formalités
déclaratives dès lors que les
traitements ne constituent
pas un risque pour la vie
privée
Accomplissement des
formalités dans chacun
des pays de l’UE
Guichet unique « One stop shop »
 Mise en œuvre uniforme des programmes de conformité à l’échelle de l’UE
Pour l’entreprise = rationalisation des coûts
Avant Après
1
2
45
I. Lesmoyensmisenœuvreparl’entreprise(2)
Principe d’accountability (Art. 25 Règlement)
« Le responsable du traitement met en œuvre, tant au moment de la
détermination des moyens (privacy by design), qu’au moment du
traitement lui-même, des mesures techniques et organisationnelles
appropriées, qui sont destinés à mettre en œuvre les principes
relatifs à la protection des données de façon effective et à assortir le
traitement des garanties nécessaires afin de répondre aux exigences
légales et de protéger les droits des personnes »
 Réalisation d’études d’impact sur la vie privée
 Élaboration de codes de bonne conduite
 Rédaction de Binding Corporate Rules (BCR)
 Mise en œuvre d’une politique de protection des
données à caractère personnel
E n p r a t i q u e :
L’entreprise devra s’interroger sur le
respect par sa technologie du principe de
privacy by design dès lors que la
technologie permettra:
- D’être intrusive dans la vie privée des
utilisateurs
- De collecter massivement des données
46
I. Lamiseenœuvreduprinciped’accountability
Les exigences
1. La minimisation de l’utilisation des données: se limiter aux données strictement nécessaires à la
finalité
2. La limitation du volume des données traitées, de la durée de conservation & du nombre de
destinataires
3. L’anonymisation, le chiffrement ou la pseudonomysation des données
4. L’intégration d’un niveau très élevé de sécurité dans les dispositifs technologiques
5. L’empêchement de toute interconnexion et de croisement des données
6. La formation du personnel sur les problématiques de protection des données à caractère
personnel
Exigences au carrefour des obligations juridiques, informatiques, éthiques, économiques, organisationnelles…
E n p r a t i q u e :
Juristes & ingénieurs doivent travailler ensemble
Principe: Le responsable du traitement doit mettre en œuvre des mesures techniques et
organisationnelles appropriées pour s’assurer que le traitement est effectué conformément au règlement
(et être en mesure de le démontrer)
47
I. Lesnouvellesobligationsàlachargedel’entreprise
Responsable
de traitement
+
Sous-traitant
Documentation
de la
conformité
Désignation
d’un
responsable
au sein de
l’UE
Tenue d’un
registre des
activités de
traitement
Notification
d’une faille
de sécurité
Réalisation
d’étude
d’impact sur
la vie privée
Consultation
préalable
de l’autorité
Désignation
d’un
data privacy
officer
48
I. Lesnouvellesobligationsàlachargedel’entreprise – Latenued’unregistredes
traitements
Registre obligatoire si:
- Traitements susceptibles de comporter un risque pour les droits &
libertés
- Activité régulière de l’entreprise
- Traitement contient des données sensibles
Registre obligatoire
A la disposition de l’autorité de contrôle sur demande
49
I. Lesobligationsencasdeviolationdesdonnéesàcaractèrepersonnel
Violation des
données
personnelles
Destruction
Perte
Altération
Divulgation non-autorisée
Faille de sécurité
1
Violation susceptible
d’engendrer un risque élevé
pourlesdroits&libertés
+
Absencedemiseenœuvrede
toutes les mesures techniques&
organisationnellesadéquates
2
Accès non-autorisé
Communication à la personne concernée
Dans les meilleurs délais si:
Notification de l’autorité
chef de file
Dans les 72h après avoir
eu connaissance
50
I. Ladésignationd’undataprivacyofficer(DPO)
Responsabledela
conformitédestraitements
del’entrepriseàla
règlementationapplicable
Désignation d’un employé ou
d’untierssurlabasedeses:
- qualitésprofessionnelles
- connaissances expertes du
droitetdespratiques
- Capacité à accomplir les
missionsconfiées
Présenceobligatoiresi:
• Secteurpublic
• Activitésprincipalesimpliquent
letraitement
- Degrandsvolumesde
données,régulièrement&
systématiquement(profilage)
- Dedonnéessensiblesàgrande
échelle
1. Informer & conseiller le
responsable du traitement +
employés
2. Contrôler le respect de la
règlementation
3. ConseillersurlesEIVP
4. Coopérer avec l’autorité de
contrôle
Indépendancefonctionnelle
Indépendancehiérarchique
 Obligationdesecret
Obligationdeconfidentialité
DPO
51
I. Letransfertdesdonnées
Union Européenne Hors UE Aux USA
Transfert vers un pays tiers subordonné à une décision d’adéquation adoptée par la
Commissioneuropéenneuniquementsil’Etatassureunniveaudeprotectionsuffisant
 Délaisdetraitementvariables
 Retarddansledéploiementopérationnel
 Découragementdesorganisationssousfortepressionéconomique
Compétencede
chacunedesautorités
decontrôleconcernée
parletraitement
1. Décision d’adéquation
2. Binding Corporate
Rules
3. Code de conduite
4. Clauses contractuelles
types
+
Engagement contraignant
& exécutoire d’appliquer
les garanties appropriées
Privacy Shield
Depuis 1er août 2016
d’auto-certification
volontaire annuelle
+
Inscription sur un
registre administratif
Avant2016:
52
Après2016/2018:
I. Lasous-traitance
Sous-traitant = personne morale/physique traitant des données à caractère personnel pour le
compte du responsable du traitement
Responsabilité
Autorité de contrôle
Personne physique
Responsable du traitement
1. Contrat de sous-traitance écrit contenant
des dispositions impératives
2. Existence de garanties suffisantes en
matière de mesures techniques &
organisationnelles
3. Obtention autorisation écrite préalable du
responsable avant tout recours à un autre
sous-traitant
4. Mise en œuvre du traitement qu’avec
instruction du responsable du traitement
53
I. Le rôle de la CNIL
Confiance en
l’économie
numérique
Préservation de
la vie privée
Gestion de la
e-réputation
54
I. La gestion d’une plainte & processus de sanction de la CNIL
Particuliers, syndicats, association de
consommateurs/défense des droits de
l’Homme,
CNIL étrangère, organismes (HALDE,
OCLCTIC…), service de police, responsable
de traitement…
Instruction
1 Plainte à la CNIL
1. Accusé réception de la plainte
2. Envoi courrier au responsable du
traitement (observations sur les
agissements)
Réponse satisfaisante
Clôture de la
plainte
+
information du
plaignant
Réponse non
satisfaisante/absen
ce
Option
1. Transmission pour contrôle
2. Transmission pour sanction
Mise en demeure ou avertissement
Procédure de sanction
2
3
4
1. Désignation d’un rapporteur
2. Audition
3. Délibération
4. Sanction
55
I. Les pouvoirs d’enquête & de sanction
Les pouvoirs d’enquête Les sanctions
administratives
Ordonnerlacommunicationdetoute
informationnécessairedans
l’accomplissementdesesmissions
Mener des enquêtessouslaforme d’auditsur
laprotectiondesdonnées
Procéder à un examen des certifications
délivrées
Notifier une violation alléguée à la
réglementation
Obtenirl’accèsàtouteslesdonnées&àtoutes
lesinformationsnécessairesà
l’accomplissementdesesmissions
Obtenirl’accèsàtous leslocaux,installation&
moyensdetraitement
Prononcerunavertissement
Mettreendemeurel’entreprise
Limitertemporairement/définitivement
untraitement
Suspendrelesfluxdedonnées
Ordonnerdesatisfaireauxdemandes
d’exercicedesdroitsdespersonnes
Ordonnerlarectification,lalimitationou
l’effacementdesdonnées
Ordonnerleretraitdelacertification
Prononceruneamendeadministrative
56
I. Les amendes administratives
Amende < 10 m €
Ou 2% CAAM
Protection des mineurs
Traitement ne nécessitant pas
l’identification des données dès la
conception et protection des
données par défaut
Absence de représentant dans
l’UE
Obligations du sous-traitant
Défaut de transparence en
matière de certification
Amende < 20 m €
Ou 4% CAAM
Principes de bases d’un traitement
Conditions du consentement
Droits des personnes physique
Obligations dérivant du droit
national
Non-respect d’une injonction,
d’une limitation, d’une suspension
de flux ou dans un cadre d’une
enquête
Transfert de donnée
57
sommaire
I. Présentation du règlement européen
 Les apports du règlement européen
 Renforcement des droits & création de droits nouveaux
 Changement de paradigme & impacts sur l’entreprise
 Les moyens mis en œuvre par l’autorité de contrôle & par l’entreprise
 La mise en œuvre du principe d’accountability
 Les nouvelles obligations à la charge de l’entreprise
 Le rôle de la CNIL & la gestion des plaintes
 Les pouvoirs d’enquête et de sanction
II. Le déploiement du Règlement au sein de l’entreprise
 Déploiement & intégration du dispositif dans l’entreprise
 La boîte à outils de la conformité
 La période de transition
 Le modèle de registre d’activité de traitement
 La définition d’une politique générale de protection des données &
méthode d’analyse des risques
58
II. Déploiement&intégrationdudispositifdansl’entreprise
 Les risques de non-conformité (pénal, administrative, image) obligent les entreprises à bien les
comprendre & à engager des programmes internes de mise en conformité
 La définition & l’anticipation des risques constituent une opportunité pour faire de la protection
des données un élément de valorisation des actifs & un avantage concurrentiel
 L’anticipation des risques va permettre aux entreprises de regagner la confiance de leurs clients
de plus en plus sensibles aux problématiques de protection de la vie privée
 Le respect le plus tôt possible des dispositions va permettre aux entreprises de se prémunir:
- Des poursuites judiciaires
- Des vols de données qui pourraient être utilisés pour les concurrencer
- Des risques inhérents à des pertes ou des vols qui auraient des conséquences
irrémédiables sur l’image de l’entreprise
59
II. La boîte à outils de la conformité
Binding
Corporate Rules
Code de
conduite
Certification
Vise à garantir la
conformité des
comportements des
salariés et dirigeants par
rapport aux règles de
l’entreprise, selon une
approche sectorielle
Normes internes relatives
aux transferts de données
à un responsable de
traitement établi dans un
pays tiers au sein d’un
groupe d’entreprises
Mécanismes de
certifications, de labels
et de marques afin
d’attester de la
conformité des
traitements effectués
au règlement
Approbation par la
Commission Européenne
Approbation par
l’autorité chef de file
Mise en œuvre & contrôlé par
le Comité européen de la
protection des données
Instruments « d’autorégulation »
60
II. Lapériodedetransition
audit
Cartographie
des risques
Mise en
conformité
Politique
générale
1
23
4
61
Les noms et coordonnées du responsable de traitement, de
sonreprésentantetduDPO
Lesfinalitésdutraitement
Ladescriptiondescatégoriesdepersonnesconcernées
La description des catégories de données à caractère
personnelobjetdutraitement
Les catégories de destinataires auxquels les données seront
communiquées
Les transferts de données vers un pays tiers, l’identification du
pays tiers & les justificatifs attestant l’existence de garanties
appropriées
Lesdélaisprévuspourl’effacementdesdifférentescatégories
dedonnées
Unedescriptiongénéraledesmesuresdesécuritétechniques
etorganisationnelles
1
2
3
4
5
6
7
Informations obligatoires
II. Modèlederegistredestraitements
2
3
4
5
6
7
8
62
II. La définition d’une politique générale de protection des données
 Mesures techniques et organisationnelles
 En fonction de l'entreprise ou de l'organisme
 Déploiement hors UE
 Formations internes
63
© 64
Sommaire
1. Présentation de Soft Computing & du Cabinet PBA
2. Introduction
3. Les principes actuels en matière de gestion des données
personnelles dans les bases marketing et le marketing digital
4. Les principes actuels en matière de gestion des données
personnelles dans les bases marketing et le marketing digital
5. Les points clés de mise en œuvre opérationnelle de la nouvelle
réglementation
6. Conclusion
© 65
Quel est l’objectif recherché ?
La mise en
conformité ad
hoc
La mise en
œuvre d’une
politique
durable
© 66
3
4
5
2
1
A faire / à ne pas faire
C’est un projet d’entreprise
• Évitez les projets « sous-marin ». Il faut un sponsoring fort !
• Pensez à accompagner les métiers impactés (change management).
C’est un projet de longue haleine
• Gardez toujours en tête les objectifs recherchés.
• Communiquez à bon escient et autant que possible.
C’est un projet ambitieux
• Prévoyez des ressources pour l’initialisation de la démarche.
C’est un projet transversal
• Mettez en œuvre un projet piloté par un trinôme Métier, IT & Juridique.
C’est un projet complexe et nécessitant des expertises
• Déployez la gouvernance de façon progressive en valorisant les 1ers succès.
• Faites appel à des compétences externes (juriste, data management, …).
© 67
Sommaire
1. Présentation de Soft Computing & du Cabinet PBA
2. Introduction
3. Les principes actuels en matière de gestion des données
personnelles dans les bases marketing et le marketing digital
4. Les principes actuels en matière de gestion des données
personnelles dans les bases marketing et le marketing digital
5. Les points clés de mise en œuvre opérationnelle de la nouvelle
réglementation
6. Conclusion
© 68
Des best practices : éveiller les consciences !
Je déclare à la CNIL tous les traitements

J’indique clairement la finalité du traitement
Je collecte les consentements
Je prévois une durée de conservation des données
Je communique sur demande les informations collectées
Je procède à toute modification qui sera demandée
Je sécurise l’accès aux données
Je m’assure de la bonne utilisation des données
Je sélectionne les RT








© 69
Les 6 éléments clés de la nouvelle règlementation
Mise en œuvre d’un
champ d’application
élargi
Consécration de droits
renforcés & nouveaux
Création d’obligations &
de responsabilités
nouvelles pour les
responsables de
traitement
Passage d’une logique
de contrôle a priori à
celle d’accountability
Crédibilisation de la
régulation par la
coopération et le
renforcement des
pouvoirs d’enquête et
de sanction
Encadrement, un
renforcement et une
graduation des
sanctions
administratives
© 70
Les bénéfices de la mise en conformité :
L’amélioration …
• Des Résultats concrets : efficacité opérationnelle supérieure et couts de fonctionnement
réduits grâce à des pratiques et processus simplifiés.
• De la Réactivité : si vous disposez de la technologie, des personnes et des processus
adéquats, vous n'aurez pas à précipiter les changements opérationnels.
• De l’Engagement de vos collaborateurs en les impliquant voire une meilleure éthique.
• De la Communication et Coopération entre services grâce au décloisonnement nécessaire
des données.
• De la Sécurité, la gestion du risque et la pérennité de votre organisation.
• De la Protection de vos clients : une conformité transparente avec les règlementations de
protection des données en constante évolution garantit à vos clients que leurs informations
sont entre de bonnes mains.
• De la Relation avec vos fournisseurs.
© 71
Soft Computing est à votre service, avec …
son expertise technologique
sa connaissance des clients
son pragmatisme
… et vous remercie
© 72

Contenu connexe

Tendances

Diaporama GED-SAE
Diaporama GED-SAEDiaporama GED-SAE
Diaporama GED-SAE
inforoutes
 
PCA/PRA: Plan de Continuité/Reprise d’Activité
PCA/PRA: Plan de Continuité/Reprise d’Activité PCA/PRA: Plan de Continuité/Reprise d’Activité
PCA/PRA: Plan de Continuité/Reprise d’Activité
Edem ALOMATSI
 
Cours éthique et droit liés aux données numériques
Cours éthique et droit liés aux données numériquesCours éthique et droit liés aux données numériques
Cours éthique et droit liés aux données numériques
marysesalles
 
Modèle cahier des charges site web
Modèle cahier des charges site webModèle cahier des charges site web
Modèle cahier des charges site web
JEAN-GUILLAUME DUJARDIN
 
Etude de faisabilité et analyse de l'existant
Etude de faisabilité et analyse de l'existantEtude de faisabilité et analyse de l'existant
Etude de faisabilité et analyse de l'existant
Clément Dussarps
 
Data mining - Introduction générale
Data mining - Introduction généraleData mining - Introduction générale
Data mining - Introduction générale
Mohamed Heny SELMI
 
Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012jedjenderedjian
 
Présentation de soutenance de PFE - La digitalisation des points de vente
Présentation de soutenance de PFE - La digitalisation des points de ventePrésentation de soutenance de PFE - La digitalisation des points de vente
Présentation de soutenance de PFE - La digitalisation des points de vente
Yousra Beddaou
 
Diaporama archivage electronique
Diaporama archivage electroniqueDiaporama archivage electronique
Diaporama archivage electronique
Vanessa GENDRIN
 
De la business intelligence au Big Data
De la business intelligence au Big DataDe la business intelligence au Big Data
De la business intelligence au Big Data
Technofutur TIC
 
ChatGPT: Le bon la brute et le changement
ChatGPT: Le bon la brute et le changementChatGPT: Le bon la brute et le changement
ChatGPT: Le bon la brute et le changement
Jérémie Guay
 
Mise en place d’un serveur proxy : Cas du CCProxy
Mise en place d’un serveur proxy : Cas du CCProxyMise en place d’un serveur proxy : Cas du CCProxy
Mise en place d’un serveur proxy : Cas du CCProxy
Jeff Hermann Ela Aba
 
Projet de Fin d'études
Projet de Fin d'études Projet de Fin d'études
Projet de Fin d'études
Ghizlane El Karchouli
 
Présentation ERP
Présentation ERPPrésentation ERP
Présentation ERP
naziha harrag
 
Expression de besoin pour le si
Expression de besoin pour le siExpression de besoin pour le si
Expression de besoin pour le si
fatima zahra FANDI
 
Introduction aux systèmes d’information des entreprises
Introduction aux systèmes d’information des entreprisesIntroduction aux systèmes d’information des entreprises
Introduction aux systèmes d’information des entreprises
Messaoud Hatri
 
Introduction to Machine learning
Introduction to Machine learningIntroduction to Machine learning
Introduction to Machine learning
Quentin Ambard
 
Gestion de projet
Gestion de projetGestion de projet
Gestion de projet
Pascal Thery Formations
 
Data Mining (Partie 1).pdf
Data Mining (Partie 1).pdfData Mining (Partie 1).pdf
Data Mining (Partie 1).pdf
OuailChoukhairi
 

Tendances (20)

Diaporama GED-SAE
Diaporama GED-SAEDiaporama GED-SAE
Diaporama GED-SAE
 
PCA/PRA: Plan de Continuité/Reprise d’Activité
PCA/PRA: Plan de Continuité/Reprise d’Activité PCA/PRA: Plan de Continuité/Reprise d’Activité
PCA/PRA: Plan de Continuité/Reprise d’Activité
 
Cours éthique et droit liés aux données numériques
Cours éthique et droit liés aux données numériquesCours éthique et droit liés aux données numériques
Cours éthique et droit liés aux données numériques
 
Modèle cahier des charges site web
Modèle cahier des charges site webModèle cahier des charges site web
Modèle cahier des charges site web
 
Etude de faisabilité et analyse de l'existant
Etude de faisabilité et analyse de l'existantEtude de faisabilité et analyse de l'existant
Etude de faisabilité et analyse de l'existant
 
Data mining - Introduction générale
Data mining - Introduction généraleData mining - Introduction générale
Data mining - Introduction générale
 
Présentation bi 1.0
Présentation bi 1.0Présentation bi 1.0
Présentation bi 1.0
 
Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012
 
Présentation de soutenance de PFE - La digitalisation des points de vente
Présentation de soutenance de PFE - La digitalisation des points de ventePrésentation de soutenance de PFE - La digitalisation des points de vente
Présentation de soutenance de PFE - La digitalisation des points de vente
 
Diaporama archivage electronique
Diaporama archivage electroniqueDiaporama archivage electronique
Diaporama archivage electronique
 
De la business intelligence au Big Data
De la business intelligence au Big DataDe la business intelligence au Big Data
De la business intelligence au Big Data
 
ChatGPT: Le bon la brute et le changement
ChatGPT: Le bon la brute et le changementChatGPT: Le bon la brute et le changement
ChatGPT: Le bon la brute et le changement
 
Mise en place d’un serveur proxy : Cas du CCProxy
Mise en place d’un serveur proxy : Cas du CCProxyMise en place d’un serveur proxy : Cas du CCProxy
Mise en place d’un serveur proxy : Cas du CCProxy
 
Projet de Fin d'études
Projet de Fin d'études Projet de Fin d'études
Projet de Fin d'études
 
Présentation ERP
Présentation ERPPrésentation ERP
Présentation ERP
 
Expression de besoin pour le si
Expression de besoin pour le siExpression de besoin pour le si
Expression de besoin pour le si
 
Introduction aux systèmes d’information des entreprises
Introduction aux systèmes d’information des entreprisesIntroduction aux systèmes d’information des entreprises
Introduction aux systèmes d’information des entreprises
 
Introduction to Machine learning
Introduction to Machine learningIntroduction to Machine learning
Introduction to Machine learning
 
Gestion de projet
Gestion de projetGestion de projet
Gestion de projet
 
Data Mining (Partie 1).pdf
Data Mining (Partie 1).pdfData Mining (Partie 1).pdf
Data Mining (Partie 1).pdf
 

Similaire à Données Personnelles

27/04/17 Séminaire Données Personnelles
27/04/17 Séminaire Données Personnelles27/04/17 Séminaire Données Personnelles
27/04/17 Séminaire Données Personnelles
Soft Computing
 
Séminaire RCU
Séminaire RCUSéminaire RCU
Séminaire RCU
Soft Computing
 
Matinée Micropole GDPR
Matinée Micropole GDPRMatinée Micropole GDPR
Matinée Micropole GDPR
Micropole Group
 
La Gouvernance des Données
La Gouvernance des DonnéesLa Gouvernance des Données
La Gouvernance des Données
Soft Computing
 
19/10/17 Séminaire Référentiel Client Unique
19/10/17 Séminaire Référentiel Client Unique19/10/17 Séminaire Référentiel Client Unique
19/10/17 Séminaire Référentiel Client Unique
Soft Computing
 
Future Marketing Club #4 : quand <data et Marketing ne font plus qu'un !
Future Marketing Club #4 : quand <data et Marketing ne font plus qu'un !Future Marketing Club #4 : quand <data et Marketing ne font plus qu'un !
Future Marketing Club #4 : quand <data et Marketing ne font plus qu'un !
Kiss The Bride
 
25/01/18 Matinale Data Science
25/01/18 Matinale Data Science25/01/18 Matinale Data Science
25/01/18 Matinale Data Science
Soft Computing
 
Data Science
Data ScienceData Science
Data Science
Soft Computing
 
DMP : après un temps d'observation, comment l'inscrire dans une réalité opéra...
DMP : après un temps d'observation, comment l'inscrire dans une réalité opéra...DMP : après un temps d'observation, comment l'inscrire dans une réalité opéra...
DMP : après un temps d'observation, comment l'inscrire dans une réalité opéra...
Soft Computing
 
Du Data Mining à la Data Science
Du Data Mining à la Data ScienceDu Data Mining à la Data Science
Du Data Mining à la Data Science
Soft Computing
 
06/07/17 Table ronde Data Transformation Program
06/07/17 Table ronde Data Transformation Program06/07/17 Table ronde Data Transformation Program
06/07/17 Table ronde Data Transformation Program
Soft Computing
 
Objets Connectés (IoT) et Data Science
Objets Connectés (IoT) et Data ScienceObjets Connectés (IoT) et Data Science
Objets Connectés (IoT) et Data Science
Soft Computing
 
Phygital
PhygitalPhygital
Phygital
Soft Computing
 
Future Marketing 3 - Slideshow intégral de l'événement
Future Marketing 3 - Slideshow intégral de l'événementFuture Marketing 3 - Slideshow intégral de l'événement
Future Marketing 3 - Slideshow intégral de l'événement
Loyalty Company
 
Big data et le marketing
Big data et le marketingBig data et le marketing
Big data et le marketing
Khaled Fayala
 
Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !
Philippe Mignen
 
Soft Computing & IBM : Digital, Big Data & DMP
Soft Computing & IBM : Digital, Big Data & DMPSoft Computing & IBM : Digital, Big Data & DMP
Soft Computing & IBM : Digital, Big Data & DMP
Soft Computing
 
Pilotage & Performance 2012
Pilotage & Performance 2012Pilotage & Performance 2012
Pilotage & Performance 2012
Business & Decision
 
GDPR : un voyage à 20 millions d'euros - par CRAYON FRANCE
GDPR : un voyage à 20 millions d'euros - par CRAYON FRANCEGDPR : un voyage à 20 millions d'euros - par CRAYON FRANCE
GDPR : un voyage à 20 millions d'euros - par CRAYON FRANCE
Chloe Benech
 
Machine Learning et Intelligence Artificielle
Machine Learning et Intelligence ArtificielleMachine Learning et Intelligence Artificielle
Machine Learning et Intelligence Artificielle
Soft Computing
 

Similaire à Données Personnelles (20)

27/04/17 Séminaire Données Personnelles
27/04/17 Séminaire Données Personnelles27/04/17 Séminaire Données Personnelles
27/04/17 Séminaire Données Personnelles
 
Séminaire RCU
Séminaire RCUSéminaire RCU
Séminaire RCU
 
Matinée Micropole GDPR
Matinée Micropole GDPRMatinée Micropole GDPR
Matinée Micropole GDPR
 
La Gouvernance des Données
La Gouvernance des DonnéesLa Gouvernance des Données
La Gouvernance des Données
 
19/10/17 Séminaire Référentiel Client Unique
19/10/17 Séminaire Référentiel Client Unique19/10/17 Séminaire Référentiel Client Unique
19/10/17 Séminaire Référentiel Client Unique
 
Future Marketing Club #4 : quand <data et Marketing ne font plus qu'un !
Future Marketing Club #4 : quand <data et Marketing ne font plus qu'un !Future Marketing Club #4 : quand <data et Marketing ne font plus qu'un !
Future Marketing Club #4 : quand <data et Marketing ne font plus qu'un !
 
25/01/18 Matinale Data Science
25/01/18 Matinale Data Science25/01/18 Matinale Data Science
25/01/18 Matinale Data Science
 
Data Science
Data ScienceData Science
Data Science
 
DMP : après un temps d'observation, comment l'inscrire dans une réalité opéra...
DMP : après un temps d'observation, comment l'inscrire dans une réalité opéra...DMP : après un temps d'observation, comment l'inscrire dans une réalité opéra...
DMP : après un temps d'observation, comment l'inscrire dans une réalité opéra...
 
Du Data Mining à la Data Science
Du Data Mining à la Data ScienceDu Data Mining à la Data Science
Du Data Mining à la Data Science
 
06/07/17 Table ronde Data Transformation Program
06/07/17 Table ronde Data Transformation Program06/07/17 Table ronde Data Transformation Program
06/07/17 Table ronde Data Transformation Program
 
Objets Connectés (IoT) et Data Science
Objets Connectés (IoT) et Data ScienceObjets Connectés (IoT) et Data Science
Objets Connectés (IoT) et Data Science
 
Phygital
PhygitalPhygital
Phygital
 
Future Marketing 3 - Slideshow intégral de l'événement
Future Marketing 3 - Slideshow intégral de l'événementFuture Marketing 3 - Slideshow intégral de l'événement
Future Marketing 3 - Slideshow intégral de l'événement
 
Big data et le marketing
Big data et le marketingBig data et le marketing
Big data et le marketing
 
Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !
 
Soft Computing & IBM : Digital, Big Data & DMP
Soft Computing & IBM : Digital, Big Data & DMPSoft Computing & IBM : Digital, Big Data & DMP
Soft Computing & IBM : Digital, Big Data & DMP
 
Pilotage & Performance 2012
Pilotage & Performance 2012Pilotage & Performance 2012
Pilotage & Performance 2012
 
GDPR : un voyage à 20 millions d'euros - par CRAYON FRANCE
GDPR : un voyage à 20 millions d'euros - par CRAYON FRANCEGDPR : un voyage à 20 millions d'euros - par CRAYON FRANCE
GDPR : un voyage à 20 millions d'euros - par CRAYON FRANCE
 
Machine Learning et Intelligence Artificielle
Machine Learning et Intelligence ArtificielleMachine Learning et Intelligence Artificielle
Machine Learning et Intelligence Artificielle
 

Plus de Soft Computing

16/04/19 Matinale Experts Marketing Omnicanal
16/04/19 Matinale Experts Marketing Omnicanal16/04/19 Matinale Experts Marketing Omnicanal
16/04/19 Matinale Experts Marketing Omnicanal
Soft Computing
 
17/05/18 Matinale Usages Activation Omnicanal
17/05/18 Matinale Usages Activation Omnicanal17/05/18 Matinale Usages Activation Omnicanal
17/05/18 Matinale Usages Activation Omnicanal
Soft Computing
 
07/12/17 Séminaire Expérience Client
07/12/17 Séminaire Expérience Client07/12/17 Séminaire Expérience Client
07/12/17 Séminaire Expérience Client
Soft Computing
 
23/11/17 Matinale Usages Réactivation et SMS Enrichi
23/11/17 Matinale Usages Réactivation et SMS Enrichi23/11/17 Matinale Usages Réactivation et SMS Enrichi
23/11/17 Matinale Usages Réactivation et SMS Enrichi
Soft Computing
 
05/10/17 Matinale Qlik Sense
05/10/17 Matinale Qlik Sense05/10/17 Matinale Qlik Sense
05/10/17 Matinale Qlik Sense
Soft Computing
 
28/09/2017 Séminaire Data & Activation Client
28/09/2017 Séminaire Data & Activation Client28/09/2017 Séminaire Data & Activation Client
28/09/2017 Séminaire Data & Activation Client
Soft Computing
 
29/06/17 Matinale Python
29/06/17 Matinale Python29/06/17 Matinale Python
29/06/17 Matinale Python
Soft Computing
 
01/06/2017 Matinale Activation Client personnalisée et Délivrabilité
01/06/2017 Matinale Activation Client personnalisée et Délivrabilité01/06/2017 Matinale Activation Client personnalisée et Délivrabilité
01/06/2017 Matinale Activation Client personnalisée et Délivrabilité
Soft Computing
 
Moteur de Recommandation
Moteur de RecommandationMoteur de Recommandation
Moteur de Recommandation
Soft Computing
 
Séminaire Expérience Client
Séminaire Expérience ClientSéminaire Expérience Client
Séminaire Expérience Client
Soft Computing
 
Machine Learning
Machine LearningMachine Learning
Machine Learning
Soft Computing
 
Matinale Technologique Adobe Campaign
Matinale Technologique Adobe CampaignMatinale Technologique Adobe Campaign
Matinale Technologique Adobe Campaign
Soft Computing
 
Expérience Client
Expérience ClientExpérience Client
Expérience Client
Soft Computing
 
CRM & DMP : le digital au service d’une animation client omnicanal et temps réel
CRM & DMP : le digital au service d’une animation client omnicanal et temps réelCRM & DMP : le digital au service d’une animation client omnicanal et temps réel
CRM & DMP : le digital au service d’une animation client omnicanal et temps réel
Soft Computing
 
Digital In Store
Digital In StoreDigital In Store
Digital In Store
Soft Computing
 
Matinale Technologique SAS
Matinale Technologique SASMatinale Technologique SAS
Matinale Technologique SAS
Soft Computing
 
Data Lake
Data LakeData Lake
Data Lake
Soft Computing
 
Des reportings efficients pour des analyses pertinentes
Des reportings efficients pour des analyses pertinentesDes reportings efficients pour des analyses pertinentes
Des reportings efficients pour des analyses pertinentes
Soft Computing
 
Outils de Vente : Du CRM à la Digitalisation de l'Animation Commerciale
Outils de Vente : Du CRM à la Digitalisation de l'Animation CommercialeOutils de Vente : Du CRM à la Digitalisation de l'Animation Commerciale
Outils de Vente : Du CRM à la Digitalisation de l'Animation Commerciale
Soft Computing
 

Plus de Soft Computing (19)

16/04/19 Matinale Experts Marketing Omnicanal
16/04/19 Matinale Experts Marketing Omnicanal16/04/19 Matinale Experts Marketing Omnicanal
16/04/19 Matinale Experts Marketing Omnicanal
 
17/05/18 Matinale Usages Activation Omnicanal
17/05/18 Matinale Usages Activation Omnicanal17/05/18 Matinale Usages Activation Omnicanal
17/05/18 Matinale Usages Activation Omnicanal
 
07/12/17 Séminaire Expérience Client
07/12/17 Séminaire Expérience Client07/12/17 Séminaire Expérience Client
07/12/17 Séminaire Expérience Client
 
23/11/17 Matinale Usages Réactivation et SMS Enrichi
23/11/17 Matinale Usages Réactivation et SMS Enrichi23/11/17 Matinale Usages Réactivation et SMS Enrichi
23/11/17 Matinale Usages Réactivation et SMS Enrichi
 
05/10/17 Matinale Qlik Sense
05/10/17 Matinale Qlik Sense05/10/17 Matinale Qlik Sense
05/10/17 Matinale Qlik Sense
 
28/09/2017 Séminaire Data & Activation Client
28/09/2017 Séminaire Data & Activation Client28/09/2017 Séminaire Data & Activation Client
28/09/2017 Séminaire Data & Activation Client
 
29/06/17 Matinale Python
29/06/17 Matinale Python29/06/17 Matinale Python
29/06/17 Matinale Python
 
01/06/2017 Matinale Activation Client personnalisée et Délivrabilité
01/06/2017 Matinale Activation Client personnalisée et Délivrabilité01/06/2017 Matinale Activation Client personnalisée et Délivrabilité
01/06/2017 Matinale Activation Client personnalisée et Délivrabilité
 
Moteur de Recommandation
Moteur de RecommandationMoteur de Recommandation
Moteur de Recommandation
 
Séminaire Expérience Client
Séminaire Expérience ClientSéminaire Expérience Client
Séminaire Expérience Client
 
Machine Learning
Machine LearningMachine Learning
Machine Learning
 
Matinale Technologique Adobe Campaign
Matinale Technologique Adobe CampaignMatinale Technologique Adobe Campaign
Matinale Technologique Adobe Campaign
 
Expérience Client
Expérience ClientExpérience Client
Expérience Client
 
CRM & DMP : le digital au service d’une animation client omnicanal et temps réel
CRM & DMP : le digital au service d’une animation client omnicanal et temps réelCRM & DMP : le digital au service d’une animation client omnicanal et temps réel
CRM & DMP : le digital au service d’une animation client omnicanal et temps réel
 
Digital In Store
Digital In StoreDigital In Store
Digital In Store
 
Matinale Technologique SAS
Matinale Technologique SASMatinale Technologique SAS
Matinale Technologique SAS
 
Data Lake
Data LakeData Lake
Data Lake
 
Des reportings efficients pour des analyses pertinentes
Des reportings efficients pour des analyses pertinentesDes reportings efficients pour des analyses pertinentes
Des reportings efficients pour des analyses pertinentes
 
Outils de Vente : Du CRM à la Digitalisation de l'Animation Commerciale
Outils de Vente : Du CRM à la Digitalisation de l'Animation CommercialeOutils de Vente : Du CRM à la Digitalisation de l'Animation Commerciale
Outils de Vente : Du CRM à la Digitalisation de l'Animation Commerciale
 

Dernier

Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
OCTO Technology
 
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Laurent Speyser
 
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'universitéDe l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
Université de Franche-Comté
 
Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024
UNITECBordeaux
 
COURS D'ADMINISTRATION RESEAU SOUS WINDOWS
COURS D'ADMINISTRATION RESEAU  SOUS WINDOWSCOURS D'ADMINISTRATION RESEAU  SOUS WINDOWS
COURS D'ADMINISTRATION RESEAU SOUS WINDOWS
AlbertSmithTambwe
 
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
Horgix
 
PRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptx
PRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptxPRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptx
PRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptx
AlbertSmithTambwe
 
Les écrans informatiques au fil du temps.pptx
Les écrans informatiques au fil du temps.pptxLes écrans informatiques au fil du temps.pptx
Les écrans informatiques au fil du temps.pptx
abderrahimbourimi
 
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
OCTO Technology
 

Dernier (9)

Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
 
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
 
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'universitéDe l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
 
Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024
 
COURS D'ADMINISTRATION RESEAU SOUS WINDOWS
COURS D'ADMINISTRATION RESEAU  SOUS WINDOWSCOURS D'ADMINISTRATION RESEAU  SOUS WINDOWS
COURS D'ADMINISTRATION RESEAU SOUS WINDOWS
 
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
 
PRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptx
PRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptxPRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptx
PRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptx
 
Les écrans informatiques au fil du temps.pptx
Les écrans informatiques au fil du temps.pptxLes écrans informatiques au fil du temps.pptx
Les écrans informatiques au fil du temps.pptx
 
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
 

Données Personnelles

  • 1. © Soft Computing – www.softcomputing.com Séminaire DCP Les données personnelles : un patrimoine à sécuriser ! 17 Novembre 2016
  • 2. © 2 DIRECTION COMMERCIALE ET MARKETING Sandra GOMES CLARION Directrice Commerciale et Marketing E-mail : contact@softcomputing.com Tel : +33 (0)1 73 00 55 00
  • 3. © 3 Les données personnelles : un patrimoine à sécuriser ! Séminaire le 17 novembre 2016 Dans un environnement règlementaire français et européen complexe et évolutif, comment la nouvelle règlementation européenne va-t-elle changer vos processus marketing et digitaux ? Le 14 avril dernier, le parlement européen votait un nouveau règlement sur la protection des données. Accompagnés du Cabinet et fort de notre expérience opérationnelle, nous vous proposons une démarche concrète en évoquant les questions suivantes : Quelles sont les bonnes pratiques actuelles en matière de protection de données personnelles dans les bases marketing et le marketing digital ? Quels sont les principaux apports du règlement de l’Union Européenne ? Comment s’y préparer et avec quels outils ? Quels changements pour les entreprises ? …. A propos Soft Computing est le spécialiste du marketing digital data-driven. Ses 400 consultants, experts en sciences de la donnée, en marketing digital et en technologies big data, aident au quotidien plus de 150 entreprises à travers le monde à exploiter tout le potentiel de la donnée pour améliorer l’expérience de leurs clients et le ROI de leur marketing digital. Soft Computing est côté à Paris sur NYSE Euronext (ISIN : FR0000075517, Symbole : SFT). Cet événement est réservé aux clients et prospects Soft Computing. Pour tout autre profil, l'inscription sera soumise à validation. Soft Computing |55 quai de Grenelle|75015 Paris|01 73 00 55 00 | www.softcomputing.com Modalités : Ce séminaire aura lieu dans les locaux de Soft Computing. Ou via notre site: www.softcomputing.com Agenda : 08h45 – 11h00  Les principes actuels en matière de gestion des données personnelles dans les bases marketing et le marketing digital,  Les modifications apportées par le Règlement UE : - Maîtres Michèle Anahory et Olivier Spreux du cabinet PBA, vous présenteront les points essentiels et la démarche à adopter.  Les points clés de mise en œuvre opérationnelle de la nouvelle réglementation : marketing, organisationnelle, calendaire,  Conclusion.
  • 4. © 4 Sommaire 1. Présentation de Soft Computing & du Cabinet PBA 2. Introduction 3. Les principes actuels en matière de gestion des données personnelles dans les bases marketing et le marketing digital 4. Les modifications apportées par le Règlement 5. Les points clés de mise en œuvre opérationnelle de la nouvelle réglementation 6. Conclusion
  • 6. © 6 Exploiter tout le potentiel de la data Créer des expériences Client sans couture Démultiplier la performance du marketing digital Mission Marketing Intelligence Big Data Driven Digital Experience
  • 7. © 7 Compétences : un mix unique de compétences pointues Digital Marketing Data Science Project Management Information Technologies
  • 8. © 8 A la carte Think Build Run Délégation Projet Centre de services Digital-Marketing IT AMOA Offre Delivery Clients
  • 9. © 9 Extraits de références Digital Marketing Big Data Aviva CRM Onboarding et campagnes marketing anonymes – identifiés. Danone Programme relationnel multi- devices et remarketing. Engie Data Management Platform, CRM, Identity Management et web analytics. Fnac Convergence des pratiques et outils marketing offline et in store avec le digital. Les Echos Migration technique et organisationnelle d’une DMP et d’une SSP. BPCE Centre de services de gestion des campagnes marketing multicanal. L'Oréal Déploiement et exploitation d’une plate-forme CRM multi-marques multi-pays. Système U Centre de services gestion de campagnes marketing et connaissance clients. vente-privee.com Mise en place de campagnes automatisées et optimisées par des tests. Vivarte Gestion et activation d’un référentiel client unique multimarques. La Banque Postale Conception de l’architecture décisionnelle hybride big data – datawarehouse. LCL Accompagnement à la conception et la mise en place d’un datalake. Orange Formation de compétences et de méthodes en data science sur les filiales Afrique et Moyen-Orient. PSA Définition de la gouvernance d’un MDM client multi-activité et international. RCI Banque Elaboration d’une stratégie de connaissance client et valorisation des big data.
  • 11. © 11 Recruteur de talents Datascience Projet TechnologiesDigital Marketing CRM Big Data 100 CDI à pourvoir cette année Contact : recrutement@softcomputing.com – http://www.softcomputing.com/offres-d-emploi
  • 12. Concurrence, distribution & consommation Assurance & finance Corporate Droit commercial Construction & environnement Data privacy Droit de la santé & Sciences de la vie Médias & propriété intellectuelle Droit de la sécurité sociale Pénal & Compliance Responsabilités Droit du travail NOS COMPETENCES 12
  • 13. 13
  • 14. Banque - Assurance BTP Hôtellerie Industrie Professions réglementées Santé - Cosmétique Services & activités de conseil Sport Transport NOS SECTEURS D’ACTIVITES 14
  • 15. © 15 Sommaire 1. Présentation de Soft Computing & du Cabinet PBA 2. Introduction 3. Les principes actuels en matière de gestion des données personnelles dans les bases marketing et le marketing digital 4. Les modifications apportées par le Règlement 5. Les points clés de mise en œuvre opérationnelle de la nouvelle réglementation 6. Conclusion
  • 16. © 16 16 Les données personnelles : 3ème opus de la gouvernance des données La gouvernance des données Le RCU Les données personnelles
  • 17. © 17 Donnée à caractère personnel ? « toute donnée permettant d’identifier directement ou indirectement une personne physique » Adresse IP, adresse @, nom, prénom, n° d’immatriculation, n° de téléphone, n° de sécurité sociale, photographie, éléments biométriques tels que l’empreinte digitale, ADN, numéro d’Identification Nationale Étudiant (INE), coordonnées bancaires, toutes les informations dont le recoupement permet d’identifier une personne précise (ex. : une date de naissance associée à une commune de résidence …), numéro client, …
  • 18. © 18 Privacy, buzzword ou réalité ? Une collecte no limit des données Une hyper- sollicitation Des vols de données à répétition Une règlementation qui se renforce Un questionnement sur la relation aux marques No doubt, c’est une R E A L I T E !
  • 19. © 19 Toujours plus connecté : toujours plus de données captées … 44 Zettabytes = 44 000 milliards de gigaoctets = 44 000 000 000 000 000 000 000 octets !!
  • 20. © 20 … stockées et utilisées par des outils de plus en plus puissants !  Data Management Plateform  Entreprise Marketing Automotion  Marketing Automotion Plateform  Customer Identity Management  Moteur de personnalisation  Moteur de fidélisation  Moteur d’offres  Moteur de substitution  Tag Management System  Web analytics  Content Management System  …
  • 21. © 21 Les données : un patrimoine qui attise les convoitises
  • 22. © 22 Une réglementation de plus en plus exigeante Il devient nécessaire de maîtriser ses données afin de répondre en temps et en heure aux nombreuses exigences réglementaires. BCBS 239
  • 23. © 23 Mais est-ce uniquement une question légale ? Les marques placent désormais l’expérience et l’engagement des consommateurs au cœur de leur stratégie comme de leur organisation.
  • 24. © 24 Le RGPD : une opportunité de repositionnement de la marque ! « Il s’agit aujourd’hui de se mobiliser pour éveiller les consciences, expliquer la façon dont les données sont collectées, désidentifiées, exploitées et sécurisées pour retrouver la confiance et l’adhésion des consommateurs et leur offrir des expériences de marque engageantes, à la hauteur de leurs attentes. »
  • 25. © 25 Sommaire 1. Présentation de Soft Computing & du Cabinet PBA 2. Introduction 3. Les principes actuels en matière de gestion des données personnelles dans les bases marketing et le marketing digital 4. Les modifications apportées par le Règlement 5. Les points clés de mise en œuvre opérationnelle de la nouvelle réglementation 6. Conclusion
  • 26. © 26 Sécurité des données Quelques chiffres  La cybercriminalité est le risque qui explose  Une perte de confiance des utilisateurs en attente de transparence sur l’utilisation des données personnelles  Mais le risque est déjà là où se situent les données – 50% en Interne – 35% Partenaires – 13% Prestataires – 2% Hacker Global Economic Crime Survey 2016 PWC HARRIS INTERACTIVE BAROMÈTRE DE LA CONFIANCE DES FRANÇAIS DANS LE NUMÉRIQUE 21/10/2016 Track up depuis 2010
  • 27. © 27 Sécurité des données : le cadre règlementaire Le contexte  Le socle français • La loi Informatique et Libertés (Loi n 78-17 du 6 Janvier 1978) • Le Paquet Telecom 2009  L’environnement européen : De la directive ….. • La Directive 95/46 CE du 24 octobre 1995 • La Directive du 12 juillet 2002  ….Au règlement général sur la protection des données, qui établit un cadre unique pour l’ensemble des pays de l’UE et non plus un minimum commun qui pouvait être enrichi de spécificités locales supplémentaires Proposition Commission Adoption Parlement Adoption Conseil UE Adoption Trilogues Entrée en Vigueur Adoption en plénière 03/ 201401/2012 06/ 2015 12/ 2015 04/2016 05/ 2018 • INFORMATION • DROITS ET OBLIGATIONS • TRAITEMENT DES INFORMATIONS NOMINATIVES • COMMUNICATIONS ELECTRONIQUES • PROTECTION DES DP • PROTECTION DE LA VIE PRIVEE ELECTRONIQUE ePrivacy
  • 28. © 28 Déclaration •Auprès de la CNIL Source et durée •Loyale et licite (annuaires et sites Internet, forums : interdit) •Conservation limitée* Consentement •Préalable •Libre •Spécifique •Eclairé Respect du droit des personnes • Droit à l’information (identité, finalité, caractère obligatoire/facultatif des réponses) • Droit d’accès, rectification, effacement, suppression • Droit d’opposition La Collecte • Principe : les données clients peuvent être conservées durant 3 ans à compter de la fin de la relation commerciale (i.e. après l’achat, la date de fin d’une garantie, le dernier contact à l’initiative du client…). Passé ce délai, il est nécessaire de purger **les données. C’est pourquoi il est recommandé de générer des contacts (par exemple, une connexion à un site est considérée comme une interaction avec la marque). • ** Purge : dans les faits, il s’agit d’anonymiser les données du client. Cette opération est irréversible. Les principales notions (1/2)
  • 29. © 29 •Mentions d’information lors de la collecte : •Finalité du traitement •Caractère obligatoire ou facultatif des réponses (ex : jeux concours) Droit d’information des personnes •Délai : sous 3 semaines, répercussion vers bases propriétaires •Lors de la collecte et à tout moment •En prospection : liste Robinson, BLOCTEL et d’opposition interne •Dans les faits : accuser réception de la demande et confirmer le délai de prise en compte •Et par canal Droit d’opposition • NB : les consentements sont valables par entité juridique Les principales notions (2/2)
  • 30. © 30 Le Cycle de vie des Données Personnelles Le cycle de vie des données Création Collecte Utilisation Traitement Conservation Hébergement Sécurisation Contrôle Déclaration CNIL Collecte : Réseaux sociaux, IoT, Cookie Mentions légales, Consentement Utilisation : Prospection, Animation, Retargetting, Geolocalisation Datamining, Enrichissement, Partage Durée et finalité de traitement. Modification : Désabonnement, Mise à jour Partage de données Authentification, Utilisateurs Sécurité, Délai , Cryptage, Anonymisation Resp Traitement
  • 31. © 31 Les best practices : quelques principes de base ! Je déclare à la CNIL tous les traitements  J’indique clairement la finalité du traitement Je collecte les consentements Je prévois une durée de conservation des données Je communique sur demande les informations collectées Je procède à toute modification qui sera demandée Je sécurise l’accès aux données Je m’assure de la bonne utilisation des données Je sélectionne les Responsables de Traitement        
  • 32. © 32 Sommaire 1. Présentation de Soft Computing & du Cabinet PBA 2. Introduction 3. Les principes actuels en matière de gestion des données personnelles dans les bases marketing et le marketing digital 4. Les modifications apportées par le Règlement 5. Les points clés de mise en œuvre opérationnelle de la nouvelle réglementation 6. Conclusion
  • 34. sommaire I. Présentation du règlement européen  Les apports du règlement européen  Renforcement des droits & création de droits nouveaux  Changement de paradigme & impacts sur l’entreprise  Les moyens mis en œuvre par l’autorité de contrôle & par l’entreprise  La mise en œuvre du principe d’accountability  Les nouvelles obligations à la charge de l’entreprise  Le rôle de la CNIL & la gestion des plaintes  Les pouvoirs d’enquête et de sanction II. Le déploiement du Règlement au sein de l’entreprise  Déploiement & intégration du dispositif dans l’entreprise  La boîte à outils de la conformité  La période de transition  Le modèle de registre d’activité de traitement  La définition d’une politique générale de protection des données & méthode d’analyse des risques 34
  • 35. Introduction – Généralités Adoption le 27 avril 2016 du règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données Refonte du droit de la protection des données à caractère personnel Périmètre plus large que la directive 95/46/CE relative à la protection des données à caractère personnel Pourquoi un nouveau cadre légal? 1) Évolution du numérique et de sa place dans la vie des individus 2) Existence de divergences d’interprétation de la directive entre les États Conclusion: Obsolescence du dispositif légal introduit par la directive du 24 octobre 1995 35
  • 36. 6 janvier 1978: Loi informatiques & libertés 24 octobre 1995 Adoption directive 95/46/CE 6 août 2004 Loi de transposition (LIL) 27 avril 2016 Adoption du Règlement 2016/679 Introduction – Historique & dates clés 25 mai 2018 Application du Règlement 36
  • 37. Introduction – Les objectifs du Règlement 1. Clarification & élargissement des notions 2. Plus grande protection des droits des personnes 3. Responsabilisation 4. Régulation Nécessité d’avoir un cadre commun là où les frontières n’existent plus  37
  • 38. I. Les apports du règlement européen  Mise en œuvre d’un champ d’application élargi  La consécration de droits renforcés & de droits nouveaux  La création d’obligations & de responsabilités nouvelles pour les responsables de traitement  Le passage d’une logique de contrôle a priori à celle d’accountability  Une crédibilisation de la régulation par la coopération et le renforcement des pouvoirs d’enquête et de sanction  Un encadrement, un renforcement et une graduation des sanctions administratives Changement radical de l’état d’esprit de la protection des données personnelles 38
  • 39. I. Lerèglement–Extensionduchampd’applicationdelaprotectiondesdonnées  Champ d’application temporel Traitements des données passés en cours de validité, les projets en cours & les projets futurs  Les traitements déjà mis en œuvre à cette date devront d’ici le 25 mai 2018 mis en conformité avec le nouveau cadre légal  Impose aux entreprises d’être le plus tôt possible en conformité avec le règlement  Champ d’application territorial - Responsable de traitement ayant un établissement dans l’UE - Responsable de traitement non établis dans l’UE  Le Règlement s’applique à chaque fois qu’un résident européen sera directement visé par un traitement de données  Champ d’application ratione personae - Responsable de traitement - Sous-traitant  Prise en compte de l’importance, de la multiplicité & de la technicité des sous-traitant 39
  • 40. I. Lerèglement–Lerenforcement&laconsécrationdesdroits&deslibertés Droit à l’information Droit à un recours juridictionnel effectif Droit d’opposition Droit de rectification Droit d’accès Droit à l’effacement (droit à oubli) Droit d’introduire une réclamation Droit d’information d’une violation Droit à la limitation du traitement Droit à la portabilité Droit à réparation Les droits renforcés Les droits nouveaux 40
  • 41. I. Lerèglement–Lesdroitsrenforcés Droit d’être informé d’une façon concise, transparente, compréhensible et aisément accessible en des termes clairs et simples par le responsable du traitement Droit à l’information Droit d’obtenir la confirmation que des données à caractère personnel sont ou ne sont pas traitées, et le cas échéant, y avoir accès Droit d’accès Droit d’obtenir dans les meilleurs délais la rectification des données à caractère personnel qui sont inexactes Droit de rectification Droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement de données Droit d’opposition Droit de former un recours juridictionnel effectif contre: - Une décision contraignante d’une autorité de contrôle qui la concerne - Le responsable du traitement si la personne concerné considère que les droits conférés par le Règlement ont été violés du fait du traitement Droit à un recours juridictionnel effectif Droit d’obtenir du responsable du traitement ou de son sous-traitant la réparation du préjudice matériel ou moral subi du fait d’une violation du Règlement Droit à réparation 41
  • 42. Tout individu peut exiger l’effacement dans les meilleurs délais de ses données à caractère personnel dès lors qu’aucun motif légitime ne justifie leur conservation Droit à l’effacement Droit d’introduire une réclamation auprès d’une autorité de contrôle si la personne concernée considère que le traitement de données à caractère personnel constitue une violation du Règlement Droit d’introduire une réclamation Droit d’être informé en des termes clairs et simples et de dans les meilleurs délais de la violation de données à caractère personnel dès lors que celle-ci est susceptible d’engendre un risque élevé pour ses droits et libertés Droit d’information d’une violation Droit d’exiger une limitation temporaire du traitement de ses données dès lors que surgit une contestation de l’exactitude des données ou si la personne a fait une opposition et ce, dans l’attente de la vérification des éventuelles raisons légitimes Droit à la limitation du traitement Droit de pouvoir récupérer et transférer ses données à caractère personnel d’un prestataire de service à un autre dans un format structuré et intelligible Droit à la portabilité I. Lerèglement–Lesdroitsnouveaux 42
  • 43. I. Changementdeparadigme&impactssurl’entreprise Cadre légal insuffisant pour assurer une réelle protection de la vie privée Nécessité d’intervenir en amont grâce à une démarche qui intègre à toute technologie des mesures techniques & organisationnelles afin que cette technologie ne porte pas atteinte à la vie privée des individus Application du principe du privacy by design L’accountablity repose sur 7 principes fondateurs du privacy by design dont l’objectif est double: -Assurer une autorégulation efficace dès le départ -Garantie une protection effective des données  Mise à plat de tout le système pour identifier les risques d’un mauvais usage D’où vient le principe d’accountability? 43
  • 44. Prendre des mesures proactives et non réactives Assurer la protection implicite de la vie privée Intégrer la protection de la vie privée dans la conception des systèmes & pratiques Assurer une fonctionnalité intégrale selon un paradigme à somme positive Assurer la sécurité de bout en bout pendant une durée de conservation Assurer la visibilité & la transparence Respecter la vie privée des utilisateurs I. Changementdeparadigme&impactssurl’entreprise 1 2 3 45 6 7 Privacy by design 44
  • 45. I. Lesmoyensmisenœuvreparl’autoritédecontrôle(1) Normes simplifiées Méthodologie de référence Déclarations simplifiées Suppression des formalités déclaratives dès lors que les traitements ne constituent pas un risque pour la vie privée Accomplissement des formalités dans chacun des pays de l’UE Guichet unique « One stop shop »  Mise en œuvre uniforme des programmes de conformité à l’échelle de l’UE Pour l’entreprise = rationalisation des coûts Avant Après 1 2 45
  • 46. I. Lesmoyensmisenœuvreparl’entreprise(2) Principe d’accountability (Art. 25 Règlement) « Le responsable du traitement met en œuvre, tant au moment de la détermination des moyens (privacy by design), qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, qui sont destinés à mettre en œuvre les principes relatifs à la protection des données de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences légales et de protéger les droits des personnes »  Réalisation d’études d’impact sur la vie privée  Élaboration de codes de bonne conduite  Rédaction de Binding Corporate Rules (BCR)  Mise en œuvre d’une politique de protection des données à caractère personnel E n p r a t i q u e : L’entreprise devra s’interroger sur le respect par sa technologie du principe de privacy by design dès lors que la technologie permettra: - D’être intrusive dans la vie privée des utilisateurs - De collecter massivement des données 46
  • 47. I. Lamiseenœuvreduprinciped’accountability Les exigences 1. La minimisation de l’utilisation des données: se limiter aux données strictement nécessaires à la finalité 2. La limitation du volume des données traitées, de la durée de conservation & du nombre de destinataires 3. L’anonymisation, le chiffrement ou la pseudonomysation des données 4. L’intégration d’un niveau très élevé de sécurité dans les dispositifs technologiques 5. L’empêchement de toute interconnexion et de croisement des données 6. La formation du personnel sur les problématiques de protection des données à caractère personnel Exigences au carrefour des obligations juridiques, informatiques, éthiques, économiques, organisationnelles… E n p r a t i q u e : Juristes & ingénieurs doivent travailler ensemble Principe: Le responsable du traitement doit mettre en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer que le traitement est effectué conformément au règlement (et être en mesure de le démontrer) 47
  • 48. I. Lesnouvellesobligationsàlachargedel’entreprise Responsable de traitement + Sous-traitant Documentation de la conformité Désignation d’un responsable au sein de l’UE Tenue d’un registre des activités de traitement Notification d’une faille de sécurité Réalisation d’étude d’impact sur la vie privée Consultation préalable de l’autorité Désignation d’un data privacy officer 48
  • 49. I. Lesnouvellesobligationsàlachargedel’entreprise – Latenued’unregistredes traitements Registre obligatoire si: - Traitements susceptibles de comporter un risque pour les droits & libertés - Activité régulière de l’entreprise - Traitement contient des données sensibles Registre obligatoire A la disposition de l’autorité de contrôle sur demande 49
  • 50. I. Lesobligationsencasdeviolationdesdonnéesàcaractèrepersonnel Violation des données personnelles Destruction Perte Altération Divulgation non-autorisée Faille de sécurité 1 Violation susceptible d’engendrer un risque élevé pourlesdroits&libertés + Absencedemiseenœuvrede toutes les mesures techniques& organisationnellesadéquates 2 Accès non-autorisé Communication à la personne concernée Dans les meilleurs délais si: Notification de l’autorité chef de file Dans les 72h après avoir eu connaissance 50
  • 51. I. Ladésignationd’undataprivacyofficer(DPO) Responsabledela conformitédestraitements del’entrepriseàla règlementationapplicable Désignation d’un employé ou d’untierssurlabasedeses: - qualitésprofessionnelles - connaissances expertes du droitetdespratiques - Capacité à accomplir les missionsconfiées Présenceobligatoiresi: • Secteurpublic • Activitésprincipalesimpliquent letraitement - Degrandsvolumesde données,régulièrement& systématiquement(profilage) - Dedonnéessensiblesàgrande échelle 1. Informer & conseiller le responsable du traitement + employés 2. Contrôler le respect de la règlementation 3. ConseillersurlesEIVP 4. Coopérer avec l’autorité de contrôle Indépendancefonctionnelle Indépendancehiérarchique  Obligationdesecret Obligationdeconfidentialité DPO 51
  • 52. I. Letransfertdesdonnées Union Européenne Hors UE Aux USA Transfert vers un pays tiers subordonné à une décision d’adéquation adoptée par la Commissioneuropéenneuniquementsil’Etatassureunniveaudeprotectionsuffisant  Délaisdetraitementvariables  Retarddansledéploiementopérationnel  Découragementdesorganisationssousfortepressionéconomique Compétencede chacunedesautorités decontrôleconcernée parletraitement 1. Décision d’adéquation 2. Binding Corporate Rules 3. Code de conduite 4. Clauses contractuelles types + Engagement contraignant & exécutoire d’appliquer les garanties appropriées Privacy Shield Depuis 1er août 2016 d’auto-certification volontaire annuelle + Inscription sur un registre administratif Avant2016: 52 Après2016/2018:
  • 53. I. Lasous-traitance Sous-traitant = personne morale/physique traitant des données à caractère personnel pour le compte du responsable du traitement Responsabilité Autorité de contrôle Personne physique Responsable du traitement 1. Contrat de sous-traitance écrit contenant des dispositions impératives 2. Existence de garanties suffisantes en matière de mesures techniques & organisationnelles 3. Obtention autorisation écrite préalable du responsable avant tout recours à un autre sous-traitant 4. Mise en œuvre du traitement qu’avec instruction du responsable du traitement 53
  • 54. I. Le rôle de la CNIL Confiance en l’économie numérique Préservation de la vie privée Gestion de la e-réputation 54
  • 55. I. La gestion d’une plainte & processus de sanction de la CNIL Particuliers, syndicats, association de consommateurs/défense des droits de l’Homme, CNIL étrangère, organismes (HALDE, OCLCTIC…), service de police, responsable de traitement… Instruction 1 Plainte à la CNIL 1. Accusé réception de la plainte 2. Envoi courrier au responsable du traitement (observations sur les agissements) Réponse satisfaisante Clôture de la plainte + information du plaignant Réponse non satisfaisante/absen ce Option 1. Transmission pour contrôle 2. Transmission pour sanction Mise en demeure ou avertissement Procédure de sanction 2 3 4 1. Désignation d’un rapporteur 2. Audition 3. Délibération 4. Sanction 55
  • 56. I. Les pouvoirs d’enquête & de sanction Les pouvoirs d’enquête Les sanctions administratives Ordonnerlacommunicationdetoute informationnécessairedans l’accomplissementdesesmissions Mener des enquêtessouslaforme d’auditsur laprotectiondesdonnées Procéder à un examen des certifications délivrées Notifier une violation alléguée à la réglementation Obtenirl’accèsàtouteslesdonnées&àtoutes lesinformationsnécessairesà l’accomplissementdesesmissions Obtenirl’accèsàtous leslocaux,installation& moyensdetraitement Prononcerunavertissement Mettreendemeurel’entreprise Limitertemporairement/définitivement untraitement Suspendrelesfluxdedonnées Ordonnerdesatisfaireauxdemandes d’exercicedesdroitsdespersonnes Ordonnerlarectification,lalimitationou l’effacementdesdonnées Ordonnerleretraitdelacertification Prononceruneamendeadministrative 56
  • 57. I. Les amendes administratives Amende < 10 m € Ou 2% CAAM Protection des mineurs Traitement ne nécessitant pas l’identification des données dès la conception et protection des données par défaut Absence de représentant dans l’UE Obligations du sous-traitant Défaut de transparence en matière de certification Amende < 20 m € Ou 4% CAAM Principes de bases d’un traitement Conditions du consentement Droits des personnes physique Obligations dérivant du droit national Non-respect d’une injonction, d’une limitation, d’une suspension de flux ou dans un cadre d’une enquête Transfert de donnée 57
  • 58. sommaire I. Présentation du règlement européen  Les apports du règlement européen  Renforcement des droits & création de droits nouveaux  Changement de paradigme & impacts sur l’entreprise  Les moyens mis en œuvre par l’autorité de contrôle & par l’entreprise  La mise en œuvre du principe d’accountability  Les nouvelles obligations à la charge de l’entreprise  Le rôle de la CNIL & la gestion des plaintes  Les pouvoirs d’enquête et de sanction II. Le déploiement du Règlement au sein de l’entreprise  Déploiement & intégration du dispositif dans l’entreprise  La boîte à outils de la conformité  La période de transition  Le modèle de registre d’activité de traitement  La définition d’une politique générale de protection des données & méthode d’analyse des risques 58
  • 59. II. Déploiement&intégrationdudispositifdansl’entreprise  Les risques de non-conformité (pénal, administrative, image) obligent les entreprises à bien les comprendre & à engager des programmes internes de mise en conformité  La définition & l’anticipation des risques constituent une opportunité pour faire de la protection des données un élément de valorisation des actifs & un avantage concurrentiel  L’anticipation des risques va permettre aux entreprises de regagner la confiance de leurs clients de plus en plus sensibles aux problématiques de protection de la vie privée  Le respect le plus tôt possible des dispositions va permettre aux entreprises de se prémunir: - Des poursuites judiciaires - Des vols de données qui pourraient être utilisés pour les concurrencer - Des risques inhérents à des pertes ou des vols qui auraient des conséquences irrémédiables sur l’image de l’entreprise 59
  • 60. II. La boîte à outils de la conformité Binding Corporate Rules Code de conduite Certification Vise à garantir la conformité des comportements des salariés et dirigeants par rapport aux règles de l’entreprise, selon une approche sectorielle Normes internes relatives aux transferts de données à un responsable de traitement établi dans un pays tiers au sein d’un groupe d’entreprises Mécanismes de certifications, de labels et de marques afin d’attester de la conformité des traitements effectués au règlement Approbation par la Commission Européenne Approbation par l’autorité chef de file Mise en œuvre & contrôlé par le Comité européen de la protection des données Instruments « d’autorégulation » 60
  • 61. II. Lapériodedetransition audit Cartographie des risques Mise en conformité Politique générale 1 23 4 61
  • 62. Les noms et coordonnées du responsable de traitement, de sonreprésentantetduDPO Lesfinalitésdutraitement Ladescriptiondescatégoriesdepersonnesconcernées La description des catégories de données à caractère personnelobjetdutraitement Les catégories de destinataires auxquels les données seront communiquées Les transferts de données vers un pays tiers, l’identification du pays tiers & les justificatifs attestant l’existence de garanties appropriées Lesdélaisprévuspourl’effacementdesdifférentescatégories dedonnées Unedescriptiongénéraledesmesuresdesécuritétechniques etorganisationnelles 1 2 3 4 5 6 7 Informations obligatoires II. Modèlederegistredestraitements 2 3 4 5 6 7 8 62
  • 63. II. La définition d’une politique générale de protection des données  Mesures techniques et organisationnelles  En fonction de l'entreprise ou de l'organisme  Déploiement hors UE  Formations internes 63
  • 64. © 64 Sommaire 1. Présentation de Soft Computing & du Cabinet PBA 2. Introduction 3. Les principes actuels en matière de gestion des données personnelles dans les bases marketing et le marketing digital 4. Les principes actuels en matière de gestion des données personnelles dans les bases marketing et le marketing digital 5. Les points clés de mise en œuvre opérationnelle de la nouvelle réglementation 6. Conclusion
  • 65. © 65 Quel est l’objectif recherché ? La mise en conformité ad hoc La mise en œuvre d’une politique durable
  • 66. © 66 3 4 5 2 1 A faire / à ne pas faire C’est un projet d’entreprise • Évitez les projets « sous-marin ». Il faut un sponsoring fort ! • Pensez à accompagner les métiers impactés (change management). C’est un projet de longue haleine • Gardez toujours en tête les objectifs recherchés. • Communiquez à bon escient et autant que possible. C’est un projet ambitieux • Prévoyez des ressources pour l’initialisation de la démarche. C’est un projet transversal • Mettez en œuvre un projet piloté par un trinôme Métier, IT & Juridique. C’est un projet complexe et nécessitant des expertises • Déployez la gouvernance de façon progressive en valorisant les 1ers succès. • Faites appel à des compétences externes (juriste, data management, …).
  • 67. © 67 Sommaire 1. Présentation de Soft Computing & du Cabinet PBA 2. Introduction 3. Les principes actuels en matière de gestion des données personnelles dans les bases marketing et le marketing digital 4. Les principes actuels en matière de gestion des données personnelles dans les bases marketing et le marketing digital 5. Les points clés de mise en œuvre opérationnelle de la nouvelle réglementation 6. Conclusion
  • 68. © 68 Des best practices : éveiller les consciences ! Je déclare à la CNIL tous les traitements  J’indique clairement la finalité du traitement Je collecte les consentements Je prévois une durée de conservation des données Je communique sur demande les informations collectées Je procède à toute modification qui sera demandée Je sécurise l’accès aux données Je m’assure de la bonne utilisation des données Je sélectionne les RT        
  • 69. © 69 Les 6 éléments clés de la nouvelle règlementation Mise en œuvre d’un champ d’application élargi Consécration de droits renforcés & nouveaux Création d’obligations & de responsabilités nouvelles pour les responsables de traitement Passage d’une logique de contrôle a priori à celle d’accountability Crédibilisation de la régulation par la coopération et le renforcement des pouvoirs d’enquête et de sanction Encadrement, un renforcement et une graduation des sanctions administratives
  • 70. © 70 Les bénéfices de la mise en conformité : L’amélioration … • Des Résultats concrets : efficacité opérationnelle supérieure et couts de fonctionnement réduits grâce à des pratiques et processus simplifiés. • De la Réactivité : si vous disposez de la technologie, des personnes et des processus adéquats, vous n'aurez pas à précipiter les changements opérationnels. • De l’Engagement de vos collaborateurs en les impliquant voire une meilleure éthique. • De la Communication et Coopération entre services grâce au décloisonnement nécessaire des données. • De la Sécurité, la gestion du risque et la pérennité de votre organisation. • De la Protection de vos clients : une conformité transparente avec les règlementations de protection des données en constante évolution garantit à vos clients que leurs informations sont entre de bonnes mains. • De la Relation avec vos fournisseurs.
  • 71. © 71 Soft Computing est à votre service, avec … son expertise technologique sa connaissance des clients son pragmatisme … et vous remercie
  • 72. © 72