2. R
G
P
D
R
G
P
D
• AMO
• AUDIT DE PROCESS
• SECURITE DU NUMERIQUE
• GESTION SOUS-TRAITANCE
• GESTION DE PROJETS
• REDACTION SLA
• FORMATION
Frédéric GERDIL
Consultant en Numérisation
En Cours
En Cours
Sécurité Informatique Services Gestion de Projets Conformité
4. R
G
P
D
R
G
P
DRGPD - Objets
établit des règles relatives à la protection des personnes physiques à l'égard
du traitement des données à caractère personnel et des règles relatives à la
libre circulation de ces données.
protège les libertés et droits fondamentaux des personnes physiques, et
en particulier leur droit à la protection des données à caractère personnel.
permet La libre circulation des données à caractère personnel au sein de
l'Union
5. R
G
P
D
R
G
P
DRGPD - Objectifs
Renforcer les droits des personnes, notamment par la création d’un
droit à la portabilité des données personnelles et de dispositions
propres aux personnes mineures ;
Responsabiliser les acteurs traitant des données (responsables de
traitement et sous-traitants) ;
Crédibiliser la régulation grâce à une coopération renforcée entre
les autorités de protection des données, qui pourront notamment
adopter des décisions communes lorsque les traitements de
données seront transnationaux et des sanctions renforcées.
6. R
G
P
D
“
”
R
G
P
D
Constitue une donnée à caractère personnel toute information relative
à une personne physique identifiée ou qui peut être identifiée,
directement ou indirectement, par référence à un numéro
d’identification ou à un ou plusieurs éléments qui lui sont propres.
Pour déterminer si une personne est identifiable, il convient de
considérer l’ensemble des moyens en vue de permettre son
identification dont dispose ou auxquels peut avoir accès le
responsable du traitement ou toute autre personne.
EN RÉSUMÉ TOUS TYPES DE TRAITEMENTS INDIVIDUELS DE PERSONNES
RGPD : Données à caractère personnel
7. R
G
P
D
R
G
P
D
RGPD : Données a caractère personnel
Une donnée personnelle est une donnée se rapportant à une
personne physique, qui peut être identifiée quelque soit le
moyen utilisé. Il peut s’agir :
De données directement identifiantes : nom et prénom, photo, e-mail
nominatif, …
De données indirectement identifiantes : identifiant de compte, NIR,
empreinte digitale, …
D’un recoupement d’informations : le fils du notaire habitant au 11 bd
Raspail à Paris, …
8. R
G
P
D
R
G
P
DRGPD – Qui est responsable ?
Le Responsable du Traitement, personne physique ou
morale qui détermine les finalités ;
Il est considéré comme acteur responsable chargé de
prendre les mesures techniques pour respecter la
réglementation ;
Responsabilité partagées entre le RT et la sous-
traitance Ils sont tenus solidairement responsable des
dommages.
12. R
G
P
D
R
G
P
D
Approche centrée
sur la personne
Eviter les
dichotomies
hasardeuses
Transparence
Protection sur tout
le cycle de vie
Valoriser la vie
privée par défaut
Attitude proactive
pour prévenir les
brèches
Intégrer la vie
privée à la
conception
Protection des données
dès la conception
«Privacy by Design»
Les Risques
• Vol de données
• Altération des données
• Copie des données
• Revente des données
14. R
G
P
D
R
G
P
D5 Chantiers à mettre en œuvre
Volet Gouvernance :
Gestion des process - DPO
Volet Risques et Contrôle :
Contrôle des process – Analyse d’Impact
Volet Information :
Transparence et Portabilité
Volet Sensibilisation :
Communiquer avec les acteurs
Volet Juridique :
Revoir la documentation
17. R
G
P
D
R
G
P
D
Règlement = Effet direct sur la loi
Modification de la loi «Informatique et Libertés» de
1978
Décembre 2017 - Projet de loi
Janvier 2018 – Assemblée Nationale
Mars 2018 – Sénat
Mai 2018 – Vote de la loi ?
Spécificités nationales de rigueur
Une fois la loi votée et publiée, ce sera le temps des
juristes et avocats pour trouver les interprétations
18. R
G
P
D
R
G
P
D
LE DPO, DPD, ou CDP
Délégué à la protection des données
Emblème de l’arrivée de la RGPD
Obligatoire pour les entreprises de plus de
250 salariés
Doit être déclarer à la CNIL
Devient le contact privilégié de la CNIL
Responsable de l’information, la
surveillance, et la mise en œuvre de la
conformité
Peut être interne, externe, ou mutualisé
19. R
G
P
D
R
G
P
DUn DPO obligatoire pour qui ?
Le RGPD prévoit que la désignation d’un délégué à la protection des données (DPO) est
obligatoire tant pour le responsable de traitement que pour le sous-traitant dans trois cas
(article 37) :
lorsque le traitement est effectué par une autorité publique ou un organisme public ;
lorsque les activités de base du responsable du traitement ou du sous-traitant consistent
en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs
finalités, exigent un suivi régulier et systématique à grande échelle des personnes
concernées; ou
lorsque les activités de base du responsable du traitement ou du sous-traitant consistent
en un traitement à grande échelle de données dites « sensibles » (données de santé,
données biométriques, opinions politiques, convictions religieuses…) et de données à
caractère personnel relatives à des condamnations pénales et à des infractions.
20. R
G
P
D
R
G
P
DUn DPO obligatoire pour qui ?
le traitement doit concerner « les activités de base » de
l’organisme (ex: Vente en ligne, Hôpital, Sécurité, Marketing)
Les traitements du support (activités annexes) devraient être exemptés
(ex: Paie, Support Client, ou Informatique)
le traitement doit être « à grande échelle »
Les petites structures devraient être exemptés
le traitement doit impliquer « un suivi régulier et systématique »
Ex: Envoi de messages tous les jours
21. R
G
P
D
R
G
P
D
Focus : Objets Connectés (IoT)
La multiplication des objets connectés, la montée en puissance du Big Data ou le
recours à l’intelligence artificielle, autant de défis à relever pour se conformer au
nouveau règlement
Le RGPD impose des règles beaucoup plus strictes à l’exploitation des données à
caractères personnels
Réponses
• Maintenir le Registre des Traitements
• Mettre en place une gestion centralisée de la
donnée
• Renforcer la gouvernance des données
• Revoir la sécurité des objets connectés vis-à-
vis des données à caractères personnels
22. R
G
P
D
R
G
P
D
Focus : Impact sur les RH
Le département RH est à l’avant-poste du traitement des données
personnelles.
Du traitement des dossiers de candidatures au suivi de la carrière, les RH
concentrent et traitent une quantité de données.
Infographie : siapartners