SlideShare une entreprise Scribd logo
LE	RÈGLEMENT	EUROPÉEN	SUR	LA	
PROTECTION	DES	DONNEES
Jacques Folon, Ph.D.
Partner & GDPR Director Edge Consulting
DPO
ICF Member
Professeur ICHEC
Me. de Conf. Université de Liège
Prof. inv. Université Saint Louis
Keynote speaker
Derniers livres publiés
Le printemps numérique
Internet et vie privée, faut-il avoir peur?
jacques.folon@edge-consulting.biz
linkedin.com/in/folon
+ 32 475 98 21 15
DPO
LA RUEE VERS L'OR DE CONSULTANTS,
D'AVOCATS, DE SPECIALISTES EN SECURITE,…
GDPR et PME
Il n’existe pas de certification GDPR !
Ni de DPO CERTIFIÉS !
!5
A.LE GDPR CA FAIT PEUR
B.LE GDPR C'EST (PAS BEAUCOUP) DU
DROIT
C.LE GDPR C'EST COMPLIQUE
D.LE GDPR CA PEUT ETRE POSITIF
E.CONTEXTE DU GDPR
F.LES 13 GRANDS PRINCIPES
G.CONCLUSION: LE DOSSIER GDPR
A. LE GDPR CA FAIT PEUR
A. LE GDPR CA FAIT PEUR
B. LE GDPR C'EST (PAS BEAUCOUP) DU DROIT
DROIT
CONTRAT SOUS-TRAITANTS
PRIVACY POLICIES
RH (CONFIDENTIALITÉ-CODE DE CONDUITE)
INFORMATIQUE
PRIVACY BY DESIGN/DEFAULT
SECURITE DE L'INFORMATION
IAM
CODE DE CONDUITE ICT
DOCUMENTATION DES PROGRAMMES
DROIT D'ACCES
DROIT A L'OUBLI
CC81
ORGANISATION
ANALYSE DE RISQUES
ARCHIVAGE DIGITAL
GESTION DE PROJET
CHANGE MANAGEMENT
REGISTRE DE TRAITEMENT
COMMUNICATION DE CRISE (DATA BREACH)
FORMATION
CODES DE CONDUITES ET CERTIFICATIONS
!9
C. LE GDPR C'EST COMPLIQUÉ !
"RÉGLEMENTATIONSSSSS" !
C.LE GDPR C'EST COMPLIQUE !
C. LE GDPR C'EST COMPLIQUE !
ON COMMENCE PAR QUOI ?
1/ANALYSE PRÉALABLE
2/PLAN D'ACTIONS DE MISE EN
CONFORMITÉ
GDPR et PME
D.LE GDPR CA PEUT ETRE POSITIF
BONNE CONNAISSANCE
DES PROCESSUS INTERNES
GDPR et PME
E. CONTEXTE
!16
VOLS & PERTES DE DONNÉES
C'EST UNE VRAIE MENACE !
Objectif du GDPR
territoire
concerné
En deux mots…
!21
• Le GDPR est un règlement européen
concernant la protection des données
personnelles
• Il s'impose aux entreprises et au secteur
public
!22
MAY 2018
G. RAPPEL QUELQUES DEFINITIONS…
!23
UNE DONNÉE PERSONNELLE ?
!24
toute information se rapportant à une personne physique identifiée ou
identifiable (ci-après dénommée «personne concernée»);
est réputée être une «personne physique identifiable» une personne physique
qui peut être identifiée, directement ou indirectement, notamment par
référence à un identifiant, tel qu'un nom, un numéro d'identification, des
données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments
spécifiques propres à son identité physique, physiologique, génétique,
psychique, économique, culturelle
TRAITEMENT DE DONNEES
!25
. toute opération ou tout ensemble d'opérations effectuées ou non à
l'aide de procédés automatisés et appliquées à des données ou des
ensembles de données à caractère personnel, telles que la collecte,
l'enregistrement, l'organisation, la structuration, la conservation,
l'adaptation ou la modification, l'extraction, la consultation, l'utili-
sation, la communication par transmission, la diffusion ou toute autre
forme de mise à disposition, le rapprochement ou l'interconnexion, la
limitation, l'effacement ou la destruction; 

RESPONSABLE DE TRAITEMENT
!26
. la personne physique ou morale, l'autorité publique, le service
ou un autre organisme qui, seul ou conjointement avec d'autres,
détermine les finalités et les moyens du traitement; lorsque les
finalités et les moyens de ce traitement sont déterminés par le
droit de l'Union ou le droit d'un État membre, le responsable du
traitement peut être désigné ou les critères spécifiques
applicables à sa désignation peuvent être prévus par le droit de
l'Union ou par le droit d'un État membre; 

SOUS-TRAITANT
!27
. la personne physique ou morale, l'autorité publique, le
service ou un autre organisme qui traite des données à
caractère personnel pour le compte du responsable du
traitement; 

VIOLATION DE DONNEES
!28
une violation de la sécurité entraînant, de manière accidentelle
ou illicite, la destruction, la perte, l'altération, la divulgation
non autorisée de données à caractère personnel transmises,
conservées ou traitées d'une autre manière, ou l'accès non
autorisé à de telles données;
CONSÉQUENCES:
NOTIFICATION PUBLIQUE !!
F. Les 13 grands principes du GDPR
!29
1. Responsabilité	-	«	accountability	»	
2. Droit	de	la	personne	concernée	(client,	employé,	citoyen)	
3. Privacy	by	design	
4. Sécurité	des	données	
5. Notification	des	vols/pertes	de	données	
6. Sanctions	importantes	
7. Gestion	des	accès	aux	données	(IAM)	
8. Licéité	des	traitements	(réglementation	ou	consentement)	
9. Registre	des	traitements	
10.Analyse	de	risques	et	PIA	
11.Formation	
12.Data	privacy	officer	
13.Relations	sous-traitants	-	responsable	de	traitement
1/ RESPONSABILITÉ
!30
RESPONSABILITÉ
PRINCIPALE TÂCHE
DO-CU-MEN-TA-TION
2. DROIT DE LA PERSONNE CONCERNEE
GDPR et PME
2/ DROIT DE LA PERSONNE
!35
TRANSPARENCE
INFORMATIONS LORS DE LA COLLECTE
DROIT D'ACCES
DROIT DE RECTIFICATION
DROIT A L'EFFACEMENT
DROIT A LA LIMITATION DU TRAITEMENT
PORTABILITE
DROIT D'OPPOSITION AU PROFILAGE
PRIVACY POLICY OR REGULATION OR …
CONSENTEMENT ET PREUVE
CONSENTEMENT
!38
«consentement» de la personne concernée, toute
manifestation de volonté, libre, spécifique,
éclairée et univoque par laquelle la personne
concernée accepte, par une déclaration ou par un
acte positif clair, que des données à caractère
personnel la concernant fassent l'objet d'un
traitement;
NB: IL FAUT GARDER LA PREUVE DU
CONSENTEMENT
3/ PRIVACY BY DESIGN
!39
Look at the entire data lifecycle
4/SECURITE DE L'INFORMATION
!41
LE MAILLON FAIBLE…
LE MAILLON FAIBLE
SECURITE
GDPR et PME
QUELLES SONT LES MENACES?
5/ NOTIFICATION DES VOLS/PERTES
!47
6/ SANCTIONS
!48
7/ Identity Access Management
(GESTION DES ACCÈS)
!49
GESTION DES PROFILS
NEED TO HAVE ACCESS !!
La question qui tue:
puis-je voir votre procédure de gestion des profils et la documentation quant aux besoins d'accès?
8. LICEITE
CONSENTEMENT (ET PREUVE)
Consentement pour quelle finalité ?
Privacy policy?
Preuve du consentement?
Cookies
VOUS AVEZ UNE BASE DE DONNEES
MAIS POUVEZ-VOUS PROUVER QUE VOUS
AVEZ LES CONSENTEMENTS?
9/ REGISTRE DES TRAITEMENTS
!55
GDPR et PME
UNE FICHE BIEN UTILE
NOM ET COORDONNEES DU RESPONSABLE DE
TRAITEMENT
FINALITES DU TRAITEMENT
CATÉGORIES DE PERSONNES CONCERNEES
CATEGORIE DE DESTINATAIRES
PAYS TIERS
DELAIS D'EFFACEMENT
MESURES DE SECURITE TECHNIQUES ET
ORGANISATIONELLES
MÉTHODOLOGIE
Proof Of Concept
RDT ou SST ?
Attention=> log de non conformité
lien vers les consentement, les décisions,
les sources
Le registre sert à se défendre !
10/ ANALYSE DE RISQUES /PIA
!59
GDPR et PME
11/ FORMATIONS
!61
GDPR et PME
12/ DATA PRIVACY OFFICER
!63
GDPR et PME
4 fonctions différentes !!
GDPR Sécurité	de	l’information
Conseil Data	Privacy	Officer	(DPO) Information	Security	Advisor	
(ISA)
Mise	en	œuvre Chef	de	projet	GDPR	ou	
correspondant	GDPR	dans	les	
divers	départements
Responsable	de	la	sécurité	des	
systèmes	d’information	(RSSI)
GDPR et PME
13. SOUS-TRAITANTS

VOUS ETES RESPONSABLE !

1. de vos sous-traitants

2. en tant que sous-traitant
SOUS-TRAITANTS
Article 28 - Sous-traitant
Lorsqu'un traitement doit être effectué pour le compte d'un responsable du
traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des
garanties suffisantes quant à la mise en œuvre de mesures techniques et
organisationnelles appropriées de manière à ce que le traitement réponde aux
exigences du présent règlement et garantisse la protection des droits de la
personne concernée.
Le sous-traitant ne recrute pas un autre sous-traitant sans l'autorisation
écrite préalable, spécifique ou générale, du responsable du traitement. Dans
le cas d'une autorisation écrite générale, le sous-traitant informe le responsable du
traitement de tout changement prévu concernant l'ajout ou le remplacement
d'autres sous-traitants, donnant ainsi au responsable du traitement la possibilité
d'émettre des objections à l'encontre de ces changements.
SOUS-TRAITANTS
Le traitement par un sous-traitant est régi par un contrat ou un autre acte
juridique au titre du droit de l'Union ou du droit d'un État membre, qui lie le sous-
traitant à l'égard du responsable du traitement, définit l'objet et la durée du
traitement, la nature et la finalité du traitement, le type de données à caractère
personnel et les catégories de personnes concernées, et les obligations et les droits
du responsable du traitement. Ce contrat ou cet autre acte juridique prévoit,
notamment, que le sous-traitant:
a) ne traite les données à caractère personnel que sur instruction documentée du
responsable du traitement, y compris en ce qui concerne les transferts de données
à caractère personnel vers un pays tiers ou à une organisation internationale, à
moins qu'il ne soit tenu d'y procéder en vertu du droit de l'Union ou du droit de l'État
membre auquel le sous-traitant est soumis; dans ce cas, le sous-traitant informe le
responsable du traitement de cette obligation juridique avant le traitement, sauf si le
droit concerné interdit une telle information pour des motifs importants d'intérêt
public;
b) veille à ce que les personnes autorisées à traiter les données à caractère
personnel s'engagent à respecter la confidentialité ou soient soumises à une
obligation légale appropriée de confidentialité; (ASPECTS RH !)
SOUS-TRAITANT ET IAM
Article 29 - Traitement effectué sous l'autorité
du responsable du traitement ou du sous-
traitant
Le sous-traitant et toute personne agissant
sous l'autorité du responsable du traitement
ou sous celle du sous-traitant, qui a accès à
des données à caractère personnel, ne peut
pas traiter ces données, excepté sur
instruction du responsable du traitement, à
moins d'y être obligé par le droit de l'Union ou
le droit d'un État membre.
ATTENTION AUX PROPOSITIONS DE
CONTRATS
NE RIEN SIGNER SANS ANALYSER
ETRE SOUS-TRAITANT A DES
CONSEQUENCES
VOS SOUS-TRAITANTS DOIVENT
LE RESTER
DELIVRABLE : LE DOSSIER GDPR
• REGISTRE DE TRAITEMENT
• PLAN DE SECURITE
• POLITIQUE D'ARCHIVAGE
• IAM
• DECISIONS PRISES
• CONTRATS SOUS-TRAITANCE
• FORMATIONS
• BEST PRACTICES INTERNES
• etc.
SOLUTION	POUR	PME	EN	LIGNE	LE	15/6/2018
GDPR et PME
GDPR et PME
CONCLUSION
BONNE CHANCE A TOUS
!78

Contenu connexe

Tendances

Protection de la vie privée en Belgique
Protection de la vie privée en BelgiqueProtection de la vie privée en Belgique
Protection de la vie privée en Belgique
Prof. Jacques Folon (Ph.D)
 
la vie privée sur Internet
la vie privée sur Internetla vie privée sur Internet
la vie privée sur Internet
Prof. Jacques Folon (Ph.D)
 
GDPR et RH
GDPR et RHGDPR et RH
Protection de la vie privée
Protection de la vie privéeProtection de la vie privée
Protection de la vie privée
Prof. Jacques Folon (Ph.D)
 
GDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUEGDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUE
Umanis
 
GDPR DAY ONE Ichec
GDPR DAY ONE Ichec GDPR DAY ONE Ichec
GDPR DAY ONE Ichec
Prof. Jacques Folon (Ph.D)
 
RGPD
RGPDRGPD
RÔLE DU DPO
RÔLE DU DPORÔLE DU DPO
Droit Et Deontologie Partie 1 Isfsc Sept 2009
Droit Et Deontologie Partie 1 Isfsc Sept 2009Droit Et Deontologie Partie 1 Isfsc Sept 2009
Droit Et Deontologie Partie 1 Isfsc Sept 2009
Prof. Jacques Folon (Ph.D)
 
Rgpd presentation
Rgpd presentationRgpd presentation
Rgpd presentation
gnizon
 
Données de santé & RGPD (Règlement Général sur la Protection des Données Per...
Données de santé & RGPD  (Règlement Général sur la Protection des Données Per...Données de santé & RGPD  (Règlement Général sur la Protection des Données Per...
Données de santé & RGPD (Règlement Général sur la Protection des Données Per...
CEEDFormation
 
Free Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentauxFree Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentaux
Michael DI ROCCO
 
Marketing et gdpr avril 2018
Marketing et gdpr avril 2018Marketing et gdpr avril 2018
Marketing et gdpr avril 2018
Prof. Jacques Folon (Ph.D)
 
Cnil - Guide Travail
Cnil - Guide TravailCnil - Guide Travail
Cnil - Guide Travail
foxshare
 
Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen
Thiebaut Devergranne
 
ISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPDISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPD
Agathe Rouviere 🚀
 
GDPR Pseudonymization (French paper)
GDPR Pseudonymization (French paper)GDPR Pseudonymization (French paper)
GDPR Pseudonymization (French paper)
Didier Barella
 
FEB - La protection des données
FEB - La protection des donnéesFEB - La protection des données
FEB - La protection des données
Bizcover
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des Données
Terface
 
Protection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentielProtection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentiel
Pierre MASSOT
 

Tendances (20)

Protection de la vie privée en Belgique
Protection de la vie privée en BelgiqueProtection de la vie privée en Belgique
Protection de la vie privée en Belgique
 
la vie privée sur Internet
la vie privée sur Internetla vie privée sur Internet
la vie privée sur Internet
 
GDPR et RH
GDPR et RHGDPR et RH
GDPR et RH
 
Protection de la vie privée
Protection de la vie privéeProtection de la vie privée
Protection de la vie privée
 
GDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUEGDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUE
 
GDPR DAY ONE Ichec
GDPR DAY ONE Ichec GDPR DAY ONE Ichec
GDPR DAY ONE Ichec
 
RGPD
RGPDRGPD
RGPD
 
RÔLE DU DPO
RÔLE DU DPORÔLE DU DPO
RÔLE DU DPO
 
Droit Et Deontologie Partie 1 Isfsc Sept 2009
Droit Et Deontologie Partie 1 Isfsc Sept 2009Droit Et Deontologie Partie 1 Isfsc Sept 2009
Droit Et Deontologie Partie 1 Isfsc Sept 2009
 
Rgpd presentation
Rgpd presentationRgpd presentation
Rgpd presentation
 
Données de santé & RGPD (Règlement Général sur la Protection des Données Per...
Données de santé & RGPD  (Règlement Général sur la Protection des Données Per...Données de santé & RGPD  (Règlement Général sur la Protection des Données Per...
Données de santé & RGPD (Règlement Général sur la Protection des Données Per...
 
Free Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentauxFree Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentaux
 
Marketing et gdpr avril 2018
Marketing et gdpr avril 2018Marketing et gdpr avril 2018
Marketing et gdpr avril 2018
 
Cnil - Guide Travail
Cnil - Guide TravailCnil - Guide Travail
Cnil - Guide Travail
 
Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen
 
ISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPDISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPD
 
GDPR Pseudonymization (French paper)
GDPR Pseudonymization (French paper)GDPR Pseudonymization (French paper)
GDPR Pseudonymization (French paper)
 
FEB - La protection des données
FEB - La protection des donnéesFEB - La protection des données
FEB - La protection des données
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des Données
 
Protection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentielProtection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentiel
 

Similaire à GDPR et PME

RH ET RGPD
RH ET RGPDRH ET RGPD
Ifc gdpr cmd sept 2019
Ifc gdpr cmd sept 2019Ifc gdpr cmd sept 2019
Ifc gdpr cmd sept 2019
Prof. Jacques Folon (Ph.D)
 
Universitédelorraine2018 cours 5 RGPD
Universitédelorraine2018 cours 5 RGPDUniversitédelorraine2018 cours 5 RGPD
Universitédelorraine2018 cours 5 RGPD
Prof. Jacques Folon (Ph.D)
 
Gdpr horeca novembre 2018
Gdpr horeca novembre 2018Gdpr horeca novembre 2018
Gdpr horeca novembre 2018
Prof. Jacques Folon (Ph.D)
 
ULG RH Cours N°3 : GDPR
ULG RH Cours N°3 : GDPR ULG RH Cours N°3 : GDPR
ULG RH Cours N°3 : GDPR
Prof. Jacques Folon (Ph.D)
 
RGPD et stratégie digitale
RGPD et stratégie digitaleRGPD et stratégie digitale
RGPD et stratégie digitale
Prof. Jacques Folon (Ph.D)
 
Rgpd et marketing digital
Rgpd et marketing digitalRgpd et marketing digital
Rgpd et marketing digital
Prof. Jacques Folon (Ph.D)
 
Marketing digital et GDPR
Marketing digital et GDPRMarketing digital et GDPR
Marketing digital et GDPR
Prof. Jacques Folon (Ph.D)
 
INFOGRAPHIE - Focus sur le RGPD
INFOGRAPHIE - Focus sur le RGPDINFOGRAPHIE - Focus sur le RGPD
INFOGRAPHIE - Focus sur le RGPD
Mohamed KAROUT
 
Gestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsGestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligations
Claranet
 
Workshop CNIL
Workshop CNILWorkshop CNIL
Workshop CNIL
FrenchTechCentral
 
Protection des données personnelles
Protection des données personnelles Protection des données personnelles
Protection des données personnelles
Prof. Jacques Folon (Ph.D)
 
Comment se mettre en conformité avec le GDPR ?
Comment se mettre en conformité avec le GDPR ?Comment se mettre en conformité avec le GDPR ?
Comment se mettre en conformité avec le GDPR ?
Pramana
 
Protection de la vie privée
Protection de la vie privée Protection de la vie privée
Protection de la vie privée
Prof. Jacques Folon (Ph.D)
 
Conférence Maître LAMACHI-ELKILANI ACSS 2018
Conférence Maître LAMACHI-ELKILANI ACSS 2018Conférence Maître LAMACHI-ELKILANI ACSS 2018
Conférence Maître LAMACHI-ELKILANI ACSS 2018
African Cyber Security Summit
 
Open Data, protection des données personnelles et de la vie privée
Open Data, protection des données personnelles et de la vie privéeOpen Data, protection des données personnelles et de la vie privée
Open Data, protection des données personnelles et de la vie privée
Florence Bonnet
 
Règlement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UERèglement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UE
PECB
 
RGPD et plateforme pédagogique
RGPD et plateforme pédagogique RGPD et plateforme pédagogique
RGPD et plateforme pédagogique
Lyon3 University - Jean Moulin
 
droit.ppt
droit.pptdroit.ppt
droit.ppt
YnesZid
 
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
David Blampain
 

Similaire à GDPR et PME (20)

RH ET RGPD
RH ET RGPDRH ET RGPD
RH ET RGPD
 
Ifc gdpr cmd sept 2019
Ifc gdpr cmd sept 2019Ifc gdpr cmd sept 2019
Ifc gdpr cmd sept 2019
 
Universitédelorraine2018 cours 5 RGPD
Universitédelorraine2018 cours 5 RGPDUniversitédelorraine2018 cours 5 RGPD
Universitédelorraine2018 cours 5 RGPD
 
Gdpr horeca novembre 2018
Gdpr horeca novembre 2018Gdpr horeca novembre 2018
Gdpr horeca novembre 2018
 
ULG RH Cours N°3 : GDPR
ULG RH Cours N°3 : GDPR ULG RH Cours N°3 : GDPR
ULG RH Cours N°3 : GDPR
 
RGPD et stratégie digitale
RGPD et stratégie digitaleRGPD et stratégie digitale
RGPD et stratégie digitale
 
Rgpd et marketing digital
Rgpd et marketing digitalRgpd et marketing digital
Rgpd et marketing digital
 
Marketing digital et GDPR
Marketing digital et GDPRMarketing digital et GDPR
Marketing digital et GDPR
 
INFOGRAPHIE - Focus sur le RGPD
INFOGRAPHIE - Focus sur le RGPDINFOGRAPHIE - Focus sur le RGPD
INFOGRAPHIE - Focus sur le RGPD
 
Gestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsGestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligations
 
Workshop CNIL
Workshop CNILWorkshop CNIL
Workshop CNIL
 
Protection des données personnelles
Protection des données personnelles Protection des données personnelles
Protection des données personnelles
 
Comment se mettre en conformité avec le GDPR ?
Comment se mettre en conformité avec le GDPR ?Comment se mettre en conformité avec le GDPR ?
Comment se mettre en conformité avec le GDPR ?
 
Protection de la vie privée
Protection de la vie privée Protection de la vie privée
Protection de la vie privée
 
Conférence Maître LAMACHI-ELKILANI ACSS 2018
Conférence Maître LAMACHI-ELKILANI ACSS 2018Conférence Maître LAMACHI-ELKILANI ACSS 2018
Conférence Maître LAMACHI-ELKILANI ACSS 2018
 
Open Data, protection des données personnelles et de la vie privée
Open Data, protection des données personnelles et de la vie privéeOpen Data, protection des données personnelles et de la vie privée
Open Data, protection des données personnelles et de la vie privée
 
Règlement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UERèglement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UE
 
RGPD et plateforme pédagogique
RGPD et plateforme pédagogique RGPD et plateforme pédagogique
RGPD et plateforme pédagogique
 
droit.ppt
droit.pptdroit.ppt
droit.ppt
 
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
 

Plus de Prof. Jacques Folon (Ph.D)

Introduction to digital strategy
Introduction to digital strategy Introduction to digital strategy
Introduction to digital strategy
Prof. Jacques Folon (Ph.D)
 
Ifc jour 1 dpo
Ifc jour 1 dpoIfc jour 1 dpo
Cpas divers sujets
Cpas divers sujets Cpas divers sujets
Cpas divers sujets
Prof. Jacques Folon (Ph.D)
 
Ferrer premier cours octobre 2021
Ferrer premier cours octobre  2021Ferrer premier cours octobre  2021
Ferrer premier cours octobre 2021
Prof. Jacques Folon (Ph.D)
 
premier cours saint louis sept 2021
premier cours saint louis sept 2021premier cours saint louis sept 2021
premier cours saint louis sept 2021
Prof. Jacques Folon (Ph.D)
 
Cmd premier cours sept 2021
Cmd premier cours sept 2021Cmd premier cours sept 2021
Cmd premier cours sept 2021
Prof. Jacques Folon (Ph.D)
 
CPAS ET RGPD : direction et DPO
CPAS ET RGPD : direction et DPO CPAS ET RGPD : direction et DPO
CPAS ET RGPD : direction et DPO
Prof. Jacques Folon (Ph.D)
 
le RGPD fossoyeur du marketing digital ?
le RGPD fossoyeur du marketing digital ?le RGPD fossoyeur du marketing digital ?
le RGPD fossoyeur du marketing digital ?
Prof. Jacques Folon (Ph.D)
 
Ifc gdpr strat digit mai 2021
Ifc gdpr strat digit mai 2021Ifc gdpr strat digit mai 2021
Ifc gdpr strat digit mai 2021
Prof. Jacques Folon (Ph.D)
 
Pandemie et vie privee
Pandemie et vie priveePandemie et vie privee
Pandemie et vie privee
Prof. Jacques Folon (Ph.D)
 
GDPR & digital strategy
GDPR & digital strategyGDPR & digital strategy
GDPR & digital strategy
Prof. Jacques Folon (Ph.D)
 
Cmd de la stratégie au marketing digital
Cmd de la stratégie au marketing digitalCmd de la stratégie au marketing digital
Cmd de la stratégie au marketing digital
Prof. Jacques Folon (Ph.D)
 
Ichec ipr feb 2021
Ichec ipr feb 2021Ichec ipr feb 2021
Ichec ipr feb 2021
Prof. Jacques Folon (Ph.D)
 
Strategy for digital business class #1
Strategy for digital business class #1Strategy for digital business class #1
Strategy for digital business class #1
Prof. Jacques Folon (Ph.D)
 
E comm et rgpd
E comm et rgpdE comm et rgpd
Cmd premier cours
Cmd premier coursCmd premier cours
Cmd premier cours
Prof. Jacques Folon (Ph.D)
 
Cmd cours 1
Cmd cours 1Cmd cours 1
Le dossier RGPD
Le dossier RGPDLe dossier RGPD
Rh et data DANS LE MONDE APRÈS LE CONFINEMENT
Rh et data DANS LE MONDE APRÈS LE CONFINEMENTRh et data DANS LE MONDE APRÈS LE CONFINEMENT
Rh et data DANS LE MONDE APRÈS LE CONFINEMENT
Prof. Jacques Folon (Ph.D)
 
Rgpd et rh formation en ligne mars 2020
Rgpd et rh formation en ligne mars 2020Rgpd et rh formation en ligne mars 2020
Rgpd et rh formation en ligne mars 2020
Prof. Jacques Folon (Ph.D)
 

Plus de Prof. Jacques Folon (Ph.D) (20)

Introduction to digital strategy
Introduction to digital strategy Introduction to digital strategy
Introduction to digital strategy
 
Ifc jour 1 dpo
Ifc jour 1 dpoIfc jour 1 dpo
Ifc jour 1 dpo
 
Cpas divers sujets
Cpas divers sujets Cpas divers sujets
Cpas divers sujets
 
Ferrer premier cours octobre 2021
Ferrer premier cours octobre  2021Ferrer premier cours octobre  2021
Ferrer premier cours octobre 2021
 
premier cours saint louis sept 2021
premier cours saint louis sept 2021premier cours saint louis sept 2021
premier cours saint louis sept 2021
 
Cmd premier cours sept 2021
Cmd premier cours sept 2021Cmd premier cours sept 2021
Cmd premier cours sept 2021
 
CPAS ET RGPD : direction et DPO
CPAS ET RGPD : direction et DPO CPAS ET RGPD : direction et DPO
CPAS ET RGPD : direction et DPO
 
le RGPD fossoyeur du marketing digital ?
le RGPD fossoyeur du marketing digital ?le RGPD fossoyeur du marketing digital ?
le RGPD fossoyeur du marketing digital ?
 
Ifc gdpr strat digit mai 2021
Ifc gdpr strat digit mai 2021Ifc gdpr strat digit mai 2021
Ifc gdpr strat digit mai 2021
 
Pandemie et vie privee
Pandemie et vie priveePandemie et vie privee
Pandemie et vie privee
 
GDPR & digital strategy
GDPR & digital strategyGDPR & digital strategy
GDPR & digital strategy
 
Cmd de la stratégie au marketing digital
Cmd de la stratégie au marketing digitalCmd de la stratégie au marketing digital
Cmd de la stratégie au marketing digital
 
Ichec ipr feb 2021
Ichec ipr feb 2021Ichec ipr feb 2021
Ichec ipr feb 2021
 
Strategy for digital business class #1
Strategy for digital business class #1Strategy for digital business class #1
Strategy for digital business class #1
 
E comm et rgpd
E comm et rgpdE comm et rgpd
E comm et rgpd
 
Cmd premier cours
Cmd premier coursCmd premier cours
Cmd premier cours
 
Cmd cours 1
Cmd cours 1Cmd cours 1
Cmd cours 1
 
Le dossier RGPD
Le dossier RGPDLe dossier RGPD
Le dossier RGPD
 
Rh et data DANS LE MONDE APRÈS LE CONFINEMENT
Rh et data DANS LE MONDE APRÈS LE CONFINEMENTRh et data DANS LE MONDE APRÈS LE CONFINEMENT
Rh et data DANS LE MONDE APRÈS LE CONFINEMENT
 
Rgpd et rh formation en ligne mars 2020
Rgpd et rh formation en ligne mars 2020Rgpd et rh formation en ligne mars 2020
Rgpd et rh formation en ligne mars 2020
 

Dernier

GUIDE POUR L’EVRAS BALISES ET APPRENTISSAGES
GUIDE POUR L’EVRAS BALISES ET APPRENTISSAGESGUIDE POUR L’EVRAS BALISES ET APPRENTISSAGES
GUIDE POUR L’EVRAS BALISES ET APPRENTISSAGES
DjibrilToure5
 
Compréhension orale La famille de Sophie (12).pdf
Compréhension orale  La famille de Sophie (12).pdfCompréhension orale  La famille de Sophie (12).pdf
Compréhension orale La famille de Sophie (12).pdf
lebaobabbleu
 
MÉDIATION ORALE - MON NOUVEL APPARTEMENT.pdf
MÉDIATION ORALE - MON NOUVEL APPARTEMENT.pdfMÉDIATION ORALE - MON NOUVEL APPARTEMENT.pdf
MÉDIATION ORALE - MON NOUVEL APPARTEMENT.pdf
lebaobabbleu
 
Auguste Herbin.pptx Peintre français
Auguste   Herbin.pptx Peintre   françaisAuguste   Herbin.pptx Peintre   français
Auguste Herbin.pptx Peintre français
Txaruka
 
1e geo metropolisation metropolisation x
1e geo metropolisation metropolisation x1e geo metropolisation metropolisation x
1e geo metropolisation metropolisation x
NadineHG
 
A1- Compréhension orale - présentations.pdf
A1- Compréhension orale - présentations.pdfA1- Compréhension orale - présentations.pdf
A1- Compréhension orale - présentations.pdf
lebaobabbleu
 
Bonnard, Pierre et Marthe.pptx
Bonnard,     Pierre     et    Marthe.pptxBonnard,     Pierre     et    Marthe.pptx
Bonnard, Pierre et Marthe.pptx
Txaruka
 
1e Espaces productifs 2024.Espaces productif
1e Espaces productifs 2024.Espaces productif1e Espaces productifs 2024.Espaces productif
1e Espaces productifs 2024.Espaces productif
NadineHG
 

Dernier (8)

GUIDE POUR L’EVRAS BALISES ET APPRENTISSAGES
GUIDE POUR L’EVRAS BALISES ET APPRENTISSAGESGUIDE POUR L’EVRAS BALISES ET APPRENTISSAGES
GUIDE POUR L’EVRAS BALISES ET APPRENTISSAGES
 
Compréhension orale La famille de Sophie (12).pdf
Compréhension orale  La famille de Sophie (12).pdfCompréhension orale  La famille de Sophie (12).pdf
Compréhension orale La famille de Sophie (12).pdf
 
MÉDIATION ORALE - MON NOUVEL APPARTEMENT.pdf
MÉDIATION ORALE - MON NOUVEL APPARTEMENT.pdfMÉDIATION ORALE - MON NOUVEL APPARTEMENT.pdf
MÉDIATION ORALE - MON NOUVEL APPARTEMENT.pdf
 
Auguste Herbin.pptx Peintre français
Auguste   Herbin.pptx Peintre   françaisAuguste   Herbin.pptx Peintre   français
Auguste Herbin.pptx Peintre français
 
1e geo metropolisation metropolisation x
1e geo metropolisation metropolisation x1e geo metropolisation metropolisation x
1e geo metropolisation metropolisation x
 
A1- Compréhension orale - présentations.pdf
A1- Compréhension orale - présentations.pdfA1- Compréhension orale - présentations.pdf
A1- Compréhension orale - présentations.pdf
 
Bonnard, Pierre et Marthe.pptx
Bonnard,     Pierre     et    Marthe.pptxBonnard,     Pierre     et    Marthe.pptx
Bonnard, Pierre et Marthe.pptx
 
1e Espaces productifs 2024.Espaces productif
1e Espaces productifs 2024.Espaces productif1e Espaces productifs 2024.Espaces productif
1e Espaces productifs 2024.Espaces productif
 

GDPR et PME

  • 1. LE RÈGLEMENT EUROPÉEN SUR LA PROTECTION DES DONNEES Jacques Folon, Ph.D. Partner & GDPR Director Edge Consulting DPO ICF Member Professeur ICHEC Me. de Conf. Université de Liège Prof. inv. Université Saint Louis Keynote speaker Derniers livres publiés Le printemps numérique Internet et vie privée, faut-il avoir peur? jacques.folon@edge-consulting.biz linkedin.com/in/folon + 32 475 98 21 15
  • 2. DPO LA RUEE VERS L'OR DE CONSULTANTS, D'AVOCATS, DE SPECIALISTES EN SECURITE,…
  • 4. Il n’existe pas de certification GDPR ! Ni de DPO CERTIFIÉS !
  • 5. !5 A.LE GDPR CA FAIT PEUR B.LE GDPR C'EST (PAS BEAUCOUP) DU DROIT C.LE GDPR C'EST COMPLIQUE D.LE GDPR CA PEUT ETRE POSITIF E.CONTEXTE DU GDPR F.LES 13 GRANDS PRINCIPES G.CONCLUSION: LE DOSSIER GDPR
  • 6. A. LE GDPR CA FAIT PEUR
  • 7. A. LE GDPR CA FAIT PEUR
  • 8. B. LE GDPR C'EST (PAS BEAUCOUP) DU DROIT DROIT CONTRAT SOUS-TRAITANTS PRIVACY POLICIES RH (CONFIDENTIALITÉ-CODE DE CONDUITE) INFORMATIQUE PRIVACY BY DESIGN/DEFAULT SECURITE DE L'INFORMATION IAM CODE DE CONDUITE ICT DOCUMENTATION DES PROGRAMMES DROIT D'ACCES DROIT A L'OUBLI CC81 ORGANISATION ANALYSE DE RISQUES ARCHIVAGE DIGITAL GESTION DE PROJET CHANGE MANAGEMENT REGISTRE DE TRAITEMENT COMMUNICATION DE CRISE (DATA BREACH) FORMATION
  • 9. CODES DE CONDUITES ET CERTIFICATIONS !9
  • 10. C. LE GDPR C'EST COMPLIQUÉ ! "RÉGLEMENTATIONSSSSS" !
  • 11. C.LE GDPR C'EST COMPLIQUE !
  • 12. C. LE GDPR C'EST COMPLIQUE ! ON COMMENCE PAR QUOI ? 1/ANALYSE PRÉALABLE 2/PLAN D'ACTIONS DE MISE EN CONFORMITÉ
  • 14. D.LE GDPR CA PEUT ETRE POSITIF BONNE CONNAISSANCE DES PROCESSUS INTERNES
  • 17. VOLS & PERTES DE DONNÉES
  • 18. C'EST UNE VRAIE MENACE !
  • 21. En deux mots… !21 • Le GDPR est un règlement européen concernant la protection des données personnelles • Il s'impose aux entreprises et au secteur public
  • 23. G. RAPPEL QUELQUES DEFINITIONS… !23
  • 24. UNE DONNÉE PERSONNELLE ? !24 toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle
  • 25. TRAITEMENT DE DONNEES !25 . toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utili- sation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction; 

  • 26. RESPONSABLE DE TRAITEMENT !26 . la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre; 

  • 27. SOUS-TRAITANT !27 . la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement; 

  • 28. VIOLATION DE DONNEES !28 une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données; CONSÉQUENCES: NOTIFICATION PUBLIQUE !!
  • 29. F. Les 13 grands principes du GDPR !29 1. Responsabilité - « accountability » 2. Droit de la personne concernée (client, employé, citoyen) 3. Privacy by design 4. Sécurité des données 5. Notification des vols/pertes de données 6. Sanctions importantes 7. Gestion des accès aux données (IAM) 8. Licéité des traitements (réglementation ou consentement) 9. Registre des traitements 10.Analyse de risques et PIA 11.Formation 12.Data privacy officer 13.Relations sous-traitants - responsable de traitement
  • 33. 2. DROIT DE LA PERSONNE CONCERNEE
  • 35. 2/ DROIT DE LA PERSONNE !35 TRANSPARENCE INFORMATIONS LORS DE LA COLLECTE DROIT D'ACCES DROIT DE RECTIFICATION DROIT A L'EFFACEMENT DROIT A LA LIMITATION DU TRAITEMENT PORTABILITE DROIT D'OPPOSITION AU PROFILAGE
  • 36. PRIVACY POLICY OR REGULATION OR …
  • 38. CONSENTEMENT !38 «consentement» de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement; NB: IL FAUT GARDER LA PREUVE DU CONSENTEMENT
  • 39. 3/ PRIVACY BY DESIGN !39
  • 40. Look at the entire data lifecycle
  • 46. QUELLES SONT LES MENACES?
  • 47. 5/ NOTIFICATION DES VOLS/PERTES !47
  • 49. 7/ Identity Access Management (GESTION DES ACCÈS) !49
  • 50. GESTION DES PROFILS NEED TO HAVE ACCESS !! La question qui tue: puis-je voir votre procédure de gestion des profils et la documentation quant aux besoins d'accès?
  • 52. Consentement pour quelle finalité ? Privacy policy? Preuve du consentement?
  • 54. VOUS AVEZ UNE BASE DE DONNEES MAIS POUVEZ-VOUS PROUVER QUE VOUS AVEZ LES CONSENTEMENTS?
  • 55. 9/ REGISTRE DES TRAITEMENTS !55
  • 57. UNE FICHE BIEN UTILE NOM ET COORDONNEES DU RESPONSABLE DE TRAITEMENT FINALITES DU TRAITEMENT CATÉGORIES DE PERSONNES CONCERNEES CATEGORIE DE DESTINATAIRES PAYS TIERS DELAIS D'EFFACEMENT MESURES DE SECURITE TECHNIQUES ET ORGANISATIONELLES
  • 58. MÉTHODOLOGIE Proof Of Concept RDT ou SST ? Attention=> log de non conformité lien vers les consentement, les décisions, les sources Le registre sert à se défendre !
  • 59. 10/ ANALYSE DE RISQUES /PIA !59
  • 63. 12/ DATA PRIVACY OFFICER !63
  • 65. 4 fonctions différentes !! GDPR Sécurité de l’information Conseil Data Privacy Officer (DPO) Information Security Advisor (ISA) Mise en œuvre Chef de projet GDPR ou correspondant GDPR dans les divers départements Responsable de la sécurité des systèmes d’information (RSSI)
  • 67. 13. SOUS-TRAITANTS
 VOUS ETES RESPONSABLE !
 1. de vos sous-traitants
 2. en tant que sous-traitant
  • 68. SOUS-TRAITANTS Article 28 - Sous-traitant Lorsqu'un traitement doit être effectué pour le compte d'un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée. Le sous-traitant ne recrute pas un autre sous-traitant sans l'autorisation écrite préalable, spécifique ou générale, du responsable du traitement. Dans le cas d'une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l'ajout ou le remplacement d'autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d'émettre des objections à l'encontre de ces changements.
  • 69. SOUS-TRAITANTS Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l'Union ou du droit d'un État membre, qui lie le sous- traitant à l'égard du responsable du traitement, définit l'objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement. Ce contrat ou cet autre acte juridique prévoit, notamment, que le sous-traitant: a) ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, à moins qu'il ne soit tenu d'y procéder en vertu du droit de l'Union ou du droit de l'État membre auquel le sous-traitant est soumis; dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public; b) veille à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité; (ASPECTS RH !)
  • 70. SOUS-TRAITANT ET IAM Article 29 - Traitement effectué sous l'autorité du responsable du traitement ou du sous- traitant Le sous-traitant et toute personne agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne peut pas traiter ces données, excepté sur instruction du responsable du traitement, à moins d'y être obligé par le droit de l'Union ou le droit d'un État membre.
  • 71. ATTENTION AUX PROPOSITIONS DE CONTRATS NE RIEN SIGNER SANS ANALYSER ETRE SOUS-TRAITANT A DES CONSEQUENCES VOS SOUS-TRAITANTS DOIVENT LE RESTER
  • 72. DELIVRABLE : LE DOSSIER GDPR • REGISTRE DE TRAITEMENT • PLAN DE SECURITE • POLITIQUE D'ARCHIVAGE • IAM • DECISIONS PRISES • CONTRATS SOUS-TRAITANCE • FORMATIONS • BEST PRACTICES INTERNES • etc.
  • 78. !78