SlideShare une entreprise Scribd logo
GDPR, le guide pratique pour bien démarrerDécembre 2017
Livre blanc
Ce qu’il faut savoir sur
Le Règlement Général sur la Protection
des Données n° 2016/679
2
Mise en perspective du GDPR
Les 3 objectifs du règlement européen
Des changements majeurs pour les entreprises
Un dossier complexe à mettre en œuvre
Zoom sur le DPO – Data Protection Officer
6 étapes pour se conformer au GDPR
Comment démontrer sa conformité
Mémo - Les définitions clés
3
7
8
11
14
17
26
29
3
Livre blanc
GDPR, le guide pratique pour bien démarrer
Mise en perspective
du GDPR
Le règlement européen n° 2016/679 relatif à la protection des
personnes physiques, à l’égard du traitement de leurs données à
caractère personnel, constitue une avancée majeure du système
juridique encadrant la protection de la vie privée.
Ce règlement remplace la directive 95/46/CE sur la protection des
données personnelles qui constituait le texte européen de référence
depuis 1995… bien avant l’émergence des géants d’Internet, GAFA et
consorts.
Face aux progrès technologiques fulgurants (big data, internet des
objets, intelligence artificielle…) qui transforment nos sociétés et nos
vies en favorisant un environnement numérique de plus en plus
omniprésent et pervasif, l’Union Européenne a adopté ce nouveau
règlement avec l’objectif de « redonner aux citoyens le contrôle de
leurs données personnelles ».
Le nouveau règlement européen sur la protection des données a été
définitivement adopté par le Parlement européen le 14 avril 2016 et ses
dispositions seront directement applicables dans l'ensemble des 28
États membres de l'Union européenne à compter du 25 mai 2018.
L’application du règlement aura également un impact extraterritorial
dans la mesure ou les sociétés non-européennes qui traitent des
données personnelles de résidents européens devront s’y conformer
(article 3 du règlement).
En cas de non-conformité au GDPR, les sociétés s’exposent à de lourdes
sanctions ! Le règlement donne aux régulateurs le pouvoir d'infliger des
sanctions financières allant jusqu'à 4% du chiffre d'affaires
mondial annuel d'une entreprise ou 20 millions d'euros (le montant
le plus élevé étant retenu) en cas de non-respect (article 83(6) du
règlement).
4
Livre blanc
GDPR, le guide pratique pour bien démarrer
Par son étendue et face aux lourdes sanctions financières encourues, les
obligations définies par le GDPR ne peuvent être ignorées d’aucune
organisation. Le sujet du traitement des données à caractère
personnel doit être pris au sérieux, ce dont veut nous faire prendre
conscience le législateur.
Au-delà de l’aspect contraignant, il faut donc y voir une
conscientisation et un véritable changement d’état d’esprit à
adopter vis-à-vis de ces données particulières qui nous sont confiées.
La responsabilité à l’égard de ces données est en définitive une preuve
de respect des personnes, citoyens, usagers, clients : elle permet
d’établir un lien de confiance, ce qui représente pour les
organisations un atout à valoriser.
5
Livre blanc
GDPR, le guide pratique pour bien démarrer
▪ Le GDPR est le texte de référence européen en matière de protection des données à
caractère personnel
▪ Applicable dans l'ensemble des États membres de l'UE à compter du 25 mai 2018
▪ Sanctions jusqu’à 20 millions d'euros ou 4% du CA annuel mondial de l'entreprise
▪ Objectifs :
▪ Renforcer le droit des personnes
▪ Responsabiliser les entreprises réalisant des traitements
▪ Renforcer la coopération avec les autorités protectrices des données personnelles
L’application du règlement ayant un impact extraterritorial, dans la mesure ou les sociétés
non-européennes qui traitent des données personnelles de résidents européens devront
s’y conformer (article 3 du règlement), le règlement européen a un réel impact pour des
entreprises internationales du monde entier.
En raison de la portée mondiale du règlement, nous préférons le terme anglais GDPR -
General Data Protection Regulation, au terme français RGPD - Règlement Général sur
la Protection des Données. Nous utilisons donc l’acronyme GDPR dans l’ensemble de
nos documents.
En bref
6
Le sujet du traitement des données à caractère
personnel doit être pris au sérieux, ce dont veut
nous faire prendre conscience le législateur.
7
Les 3 objectifs
du règlement européen
Le GDPR s’appliquera dès mai 2018 à
toute entreprise européenne qui collecte,
traite et stocke des données personnelles.
Ce règlement, à destination des entreprises,
veut simplifier, harmoniser et renforcer la
protection des données personnelles.
Le texte vise trois objectifs :
• Renforcer les droits des personnes
physiques
• Responsabiliser les entreprises qui
traitent les données à caractère personnel
• Consolider les pouvoirs des autorités
européennes en renforçant la coopération
entre les autorités protectrices de données
personnelles
Le GDPR a un véritable intérêt pour les
citoyens des 28 pays membres de l’UE. Il
renforce l’information sur l’usage des
données, uniformise les règlements
concernant la protection des données et
instaure la possibilité du droit à l’oubli à
l’échelle européenne.
Ce règlement répond au besoin en matière de
transparence, et rassure les clients des
entreprises.
Du point de vue des entreprises responsables
de traitement, une simple déclaration à
l’autorité de contrôle (comme la CNIL pour la
France) ne suffit plus.
Il s'agit à partir de maintenant d'être en
mesure de prouver à n’importe quel
moment, que les données à caractère
personnel sont protégées et impossible à
utiliser en cas de vol.
Le nouveau règlement européen met donc
l'entreprise face aux risques concrets et aux
défis de la cyber-sécurité.
Pour toutes les entreprises manipulant des
données personnelles (donc quasiment
l’intégralité des entreprises), le nouveau
règlement européen constitue l’un des
changements majeurs de ces dernières
années.
Livre blanc
GDPR, le guide pratique pour bien démarrer
8
Livre blanc
GDPR, le guide pratique pour bien démarrer
Des changements majeurs
pour les entreprises
Les objectifs du GDPR se déclinent en une
série de changements majeurs pour les
entreprises concernant : de nouveaux droits
des personnes physiques, la
responsabilisation des organisations
effectuant des traitements de données à
caractère personnel, et des obligations
légales vis-à-vis des autorités de contrôle.
Nouveaux droits des personnes physiques
• Le droit à l’oubli
• Le droit d’accès, de modification,
d’effacement
• Le droit à la portabilité des données
• Le droit à l’opposition de toute opération
marketing
Responsabilisation des entreprises
• La responsabilité en matière de traitement
de données (principe « d’accountability »
avec des sanctions lourdes pour les
contrevenants)
• La gestion des consentements des
personnes concernée (y compris des
enfants)
• L’information des personnes concernées
quant aux traitements de leurs données
• La documentation de toutes les mesures et
procédures utiles pour assurer la
protection des données
• La protection des données par les concepts
de « Privacy by design & by default »
• L’évaluation obligatoire d’impact des
risques sur la protection des données dans
certains cas
• La notification de violations de données à
l’autorité de contrôle et aux personnes
concernées en cas de risque réel d’atteinte
à la protection de leur vie privée, dans un
délai de 72h
• La nomination d’un délégué à la protection
des données (DPO) est obligatoire pour
certaines entreprises
• Le transfert international de données en
dehors de l’Union Européenne sous des
conditions strictes
• Même si votre entreprise n’est pas dans
l’UE, la réglementation s’applique
Pouvoir des autorités européennes
• Un mécanisme de « guichet unique »
Un nouveau guichet unique Européen est
créé pour les entreprises. Cela signifie que les
entreprises, en cas de traitement
transfrontalier, ne devront faire face qu’à une
autorité de surveillance unique pour
l’ensemble de l’Europe et non pas au sein de
chaque état. Ceci rend plus simple et moins
coûteux les échanges des entreprises au sein
de l’UE.
9
Livre blanc
GDPR, le guide pratique pour bien démarrer
Le GDPR impose de nouvelles normes et
obligations pour les entreprises qui n’ont que peu
de temps pour s’y préparer.
Or, des études faites au printemps 2017 sont
inquiétantes : plus de 50% des entreprises
affirment qu’elles ne seront pas prêtes à temps.
Les raisons évoquées : pas assez ressources,
difficulté à prioriser les chantiers, manque de
compréhension, trop de complexité…
10
Une imbrication étroite entre le légal, la
technologie et l’usage qui implique la
collaboration des expertises.
11
Livre blanc
GDPR, le guide pratique pour bien démarrer
La protection des données à caractère
personnel est un dossier complexe.
Né des avancées des technologies de
l’information et de la communication,
dont les progrès ont bouleversé
l’économie et la société, l’usage des
données à caractère personnel n’a fait que
croître jusqu’à se banaliser.
Les risques encourus par un usage
malveillant ou abusif de ce type particulier de
données ont suscité logiquement l’intérêt du
législateur pour aboutir à des mesures
juridiques dans un but de protection des
personnes.
Il apparait donc une imbrication étroite
entre le légal, la technologie et l’usage de
ces technologies, créant une complexité qui
nécessite des compétences expertes et
pluridisciplinaires. Le dossier est donc à la
fois légal et technologique, tout en
recouvrant des aspects organisationnels
essentiels. En effet, il est souvent nécessaire
d’impliquer de nombreux contributeurs
internes dans l’organisation, ainsi que des
sous-traitants externes pour couvrir le champ
complet des traitements de données.
A titre d’exemple, le recueil et le traitement
des données personnelles dans les
organisations incombent à des acteurs tels
que :
• Les ressources humaines et les services
généraux pour les données collaborateurs,
• Le marketing et le commerce pour les
données clients et prospects,
• Le service informatique pour nombre de
fonctions support,
• Des prestataires externes et des services
de traitement et de stockage dans le cloud
en mode SaaS.
En plus de ces nombreux intervenants, il faut
également prévoir de rendre compte de
l’avancement des travaux en lien avec les
données personnelles auprès des instances de
direction et animer des sessions de
sensibilisation et de formations pour des
collaborateurs.
En conclusion, le GDPR ne peut être pris
comme un dossier uniquement juridique,
organisationnel ou technique. Il doit être pris
dans son ensemble en recourant à une
approche holistique ne négligeant aucun
des 3 domaines d’expertise nécessaires :
• Le domaine juridique
• Le domaine organisationnel
• Le domaine technique
Un dossier complexe
à mettre en œuvre
12
13
Livre blanc
GDPR, le guide pratique pour bien démarrer
Légale
En premier lieu, la problématique est d’ordre légal, puisqu’il s’agit
de répondre à des obligations légales définies dans le GDPR. Des
compétences juridiques avancées dans le domaine de la protection des
données à caractère personnel sont donc requises. En outre le
règlement, ou du moins ses critères d’application, vont évoluer dans le
temps : il faut être en mesure de suivre les nouveaux développements
du règlement européen à partir de sa mise en application.
Organisationnelle
Chaque organisation est unique par sa culture, son activité et ses
pratiques. Il est nécessaire d’évaluer précisément , par le biais d’un
audit, la nature et le fonctionnement de chaque organisation pour
comprendre à quelles obligations légales elle doit se conformer et par
quels moyens elle y parviendra. Il est également nécessaire de créer une
véritable culture des données à caractère personnel chez tous les
intervenants en lien avec ces données pour favoriser leur coopération au
sein de l’organisation.
Technique
Au-delà des procédures et de l’acculturation des organisations, la
plupart des mesures à mettre en œuvre pour se conformer au
GDPR seront de nature technologique. Pour faire face au cyber-
risque, il existe un ensemble de bonnes pratiques et d’outils. Pour
répondre de manière adéquate aux obligations du règlement européen,
il faut donc avoir une bonne compréhension de l’environnement
technologique, des pratiques et des outils à disposition. Comme dans le
domaine juridique, une veille constante est nécessaire.
Une triple problématique…
14
Livre blanc
GDPR, le guide pratique pour bien démarrer
Zoom sur le DPO
Data Protection Officer
Une nouveauté majeure du GDPR sur laquelle il est important de s’arrêter est la création
de la fonction de Délégué à la Protection des Données (DPD) ou Data Protection Officer
(DPO).
La nomination d’un DPO est imposée à toutes les instances publiques et à toutes les entreprises
privées effectuant des traitements de données personnelles systématiques ou à grande échelle. Il
ne suffit pas ici de changer l’intitulé de poste de votre correspondant informatique et liberté (CIL)
pour satisfaire cette nouvelle exigence, mais bel et bien de mettre en œuvre une véritable
gouvernance transverse et indépendante autour de la protection des données personnelles au sein
de votre organisation.
Le DPO a comme missions et prérogatives :
• D’informer l’organisation et le personnel de leurs obligations en matière de gestion des
données personnelles,
• De superviser la mise en œuvre et le suivi des initiatives de mise en conformité au GDPR,
• D’être le point de contact et de centralisation de toutes les demandes d’application des droits
des personnes (droit à l’oubli, droit d’accès, droit à la portabilité, etc.),
• De coopérer avec l’autorité de contrôle,
• De participer à l’élaboration des analyses d’impacts, obligatoires pour certains types de
traitements (profiling, données sensibles, etc.).
3 cas de désignation obligatoire :
1. Le responsable de traitement est une autorité ou un organisme public ;
2. Les activités de base du responsable de traitement le conduisent à réaliser un suivi régulier
et systématique des personnes à grande échelle ;
3. Les activités de base du responsable de traitement le conduisent à traiter à grande échelle
des données dites « particulières » ou relatives à des condamnations pénales et infractions.
Fait intéressant : la désignation d’un DPO est un moyen d’attester de la conformité d’une
organisation au GDPR (selon le considérant 77 du règlement).
15
La désignation d’un DPO est un moyen d’attester
de la conformité d’une organisation au règlement
européen.
16
Une méthodologie rigoureuse, étape par étape, est
nécessaire pour couvrir tous les aspects du GDPR et
pourvoir attester de sa conformité.
17
6 étapes pour se conformer au GDPR
Livre blanc
GDPR, le guide pratique pour bien démarrer
Plusieurs autorités de contrôle ont publié des guides par étapes
afin de mener à bien un projet de mise en conformité au GDPR.
Allant de quelques étapes à une douzaine, ils listent de façon détaillée
les points d’attention et les opérations indispensables pour arriver à une
conformité démontrable.
Le guide en 6 étapes de l’autorité de contrôle française, la CNIL, nous
parait le mieux structuré pour mener correctement son projet sans se
perdre dans les détails.
Voici le 6 étapes préconisées :
1. Désigner un pilote
2. Cartographier vos traitements de données
3. Prioriser les actions
4. Gérer les risques
5. Organiser les processus internes
6. Documenter la conformité
18
Livre blanc
GDPR, le guide pratique pour bien démarrer
1. Désigner un pilote
Pour piloter la gouvernance des données à caractère personnel et la mise en conformité au
GDPR, il faut un responsable compétant et indépendant, disposant d’une mission claire et
des moyens nécessaires pour y aboutir.
Ce pilote peut être une personne formée interne à l’organisation, par exemple le CIL
(Correspondant Informatique et Libertés), ou une personne externe, par exemple un consultant
spécialisé dans la protection des données à caractère personnel.
Désignez au besoin un DPO (Data Protection Officer)* ou une personne qui est responsable
du respect des règles de protection des données. Évaluez la place que cette personne occupe
au sein de la structure et de la politique de votre entreprise ou organisation afin d’éviter tout
conflit d’intérêt et de pouvoir justifier de son indépendance.
* Le GPDR requiert pour certaines entreprises et organisations qu’elles désignent un délégué à la
protection des données (DPD/DPO), par exemple pour les autorités publiques ou les sous-traitants
dont la tâche consiste à observer régulièrement et systématiquement des personnes concernées,
ce à grande échelle. Il est important que, soit une personne de l’organisation, soit un conseiller
externe soit responsable du respect des principes de protection des données et que cette personne
ait les connaissances, l’implication et la compétence de le faire. Vous devez dès lors juger si votre
entreprise ou organisation a l’obligation de désigner un tel délégué.
Mission du DPO :
• Être en capacité d’imposer la loi et de remonter l’importance des sujets de données
personnelles au top management
• Éviter d’être en position de conflits d’intérêt et d’agir indépendamment des personnes qui
définissent les traitements
• Être en mesure de comprendre la législation et ses principes clés
• Identifier les nouveaux cas et anticiper les non conformités au plus vite
19
Livre blanc
GDPR, le guide pratique pour bien démarrer
2. Cartographier vos traitements de données personnelles
Recenser tous les traitements de votre activité de façon précise et méthodique est
indispensable pour mesurer concrètement l’impact du GDPR sur votre organisation. La
tenue d'un registre des traitements vous permet de faire le point.
Documentez les différents types de traitements de données que vous effectuez et identifiez
le fondement légal pour chacun d’entre eux. De nombreuses entreprises et organisations n’ont
peut-être pas défini à l’époque un fondement légal pour les traitements de données qu’elles
réalisent.
En vertu de la législation actuelle, les conséquences pratiques sont peu nombreuses voire
inexistantes. Le GPDR change toutefois la donne car les droits de la personne concernée peuvent
différer selon la base légale du traitement de données. L’exemple le plus parlant est le fait que la
personne concernée dispose d’un droit renforcé pour demander la suppression de ses données si
son consentement était à la base du traitement.
Il est important de préciser dans la déclaration de confidentialité le fondement légal qui a été
choisi pour le traitement de données et d’indiquer également ce fondement chaque fois que l’on
répond à une demande d’accès. Vérifiez donc quels traitements de données vous effectuez,
déterminez la base légale et documentez vos démarches avec soin, à la lumière de l’exigence de
responsabilité.
3. Prioriser les actions à mener
Mesurer les écarts entre vos pratiques actuelles et le GDPR. Sur la base du registre des
traitements, identifiez les actions à mener pour vous conformer aux obligations actuelles et à
venir. Priorisez ces actions en fonction des risques que font peser vos traitements sur les droits et
les libertés des personnes concernées.
20
Livre blanc
GDPR, le guide pratique pour bien démarrer
Si votre entreprise ou organisation traite déjà des données à caractère personnel, vous devez
fournir certaines informations aux personnes concernées, comme l’identité du sous-traitant et la
manière dont il utilisera les données. Ces informations sont généralement communiquées sous la
forme d’une déclaration de confidentialité.
Le GDPR requiert que cette déclaration de confidentialité soit complétée par de nouveaux
types d’information. Il faudra ainsi désormais communiquer le fondement légal du traitement
de données et les délais pendant lesquels vous conserverez les informations, préciser si vous
échangez les données en dehors de l’Union européenne et prévoir la possibilité pour la personne
concernée de porter plainte auprès de l’autorité de contrôle si elle estime que ses données à
caractère personnel sont traitées à tort. Le GDPR requiert que ces informations soient
communiquées de manière concise, dans une langue compréhensible et claire.
Évaluez vos contrats existants, principalement avec des sous-traitants, et apportez les
changements nécessaires en temps utile. Le GPDR crée un système intelligent qui établit le
rapport entre le responsable du traitement et les sous-traitants. Il détermine même les conditions
qui s’appliquent aux activités de sous-traitance. Pour approfondir ces conditions, vous devez
évaluer les contrats existants et apporter les modifications nécessaires.
Le GPDR souligne l’importance des mesures de sécurité applicables aux banques de données. En
cas d’outsourcing, il est également important d’évaluer si les mesures de sécurité qui étaient
prévues dans les contrats existants sont toujours adéquates et répondent aux exigences du GPDR.
Si votre entreprise ou organisation est active au niveau international, vous devez
déterminer de quelle autorité de contrôle vous relevez. Le GPDR prévoit un règlement
quelque peu complexe pour déterminer quelle autorité de contrôle prend la direction des
opérations lors de l’examen d’une plainte à caractère international, par exemple lorsqu’un
traitement de données se rapporte à des résidents de plusieurs États membres. L’autorité chef de
file est déterminée selon l’endroit où l’entreprise ou l’organisation a son établissement principal
ou selon l’établissement où sont prises les décisions relatives aux traitements de données. Pour
un siège principal traditionnel, on peut le déterminer assez facilement.
21
Livre blanc
GDPR, le guide pratique pour bien démarrer
Cela se complique dans le cas d’entreprises ou d’organisations complexes, implantées sur
plusieurs sites, où les décisions relatives à différentes activités de traitement sont prises à divers
endroits. Pour savoir clairement quelle autorité de contrôle est en charge de votre entreprise ou
organisation, il est conseillé d’établir à quel endroit votre organisation prend ses décisions les
plus importantes quant aux traitements de données. Cela vous permettra de déterminer votre «
établissement principal » et donc aussi l’autorité de contrôle compétente.
4. Gérer les risques
Si vous avez identifié des traitements de données personnelles susceptibles d'engendrer
des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener,
pour chacun de ces traitements, une analyse d'impact sur la protection des données (en
anglais, Data protection impact assessment ou Privacy Impact Assessment).
De manière générale, réaliser un PIA est une bonne pratique pour s’assurer de créer un traitement
conforme au GDPR et respectueux de la vie privée, que celui-ci soit susceptible ou non
d’engendrer des risques élevés sur la vie privée.
Le PIA doit être réalisé avant la mise en œuvre du traitement. C’est un processus itératif, les
analyses doivent être revues et corrigées de manière régulière, en particulier lors de changements
majeurs des modalités d’exécution du traitement.
Mener un PIA est obligatoire pour tout traitement susceptible d'engendrer des risques élevés pour
les droits et libertés des personnes concernées (Article 35 du RGPD).
22
Livre blanc
GDPR, le guide pratique pour bien démarrer
5. Organiser les processus internes
Pour garantir un haut niveau de protection des données personnelles en permanence,
mettez en place des procédures internes qui garantissent la protection des données à tout
moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la
vie d’un traitement (ex : faille de sécurité, gestion des demandes de rectification ou d’accès,
modification des données collectées, changement de prestataire).
Familiarisez-vous avec les notions de « protection des données dès la conception » et «
d’analyse d’impact relative à la protection des données », mieux connues sous les termes
suivants : « Privacy by design » et « Privacy impact assessment ».
Examinez la manière dont vous pouvez mettre en œuvre ces concepts dans le fonctionnement de
votre entreprise ou organisation. Ils peuvent être liés à d’autres processus organisationnels tels
que la gestion des risques et la gestion des projets. Évaluez d’ores et déjà les situations où il sera
nécessaire de réaliser de telles analyses. Qui s’en chargera ? Qui doit y être associé ? L’analyse se
fera-t-elle de manière centrale ou de manière locale ?
Intégrer dès le début la protection des données et, dans ce cadre, réaliser une analyse
d’impact font partie des « bonnes pratiques » d’une entreprise ou organisation. Il ne
s’agissait auparavant que d’une exigence implicite des principes de protection des données. Le
GDPR en fait une exigence légale claire. À noter que vous ne devez pas systématiquement réaliser
une analyse d’impact. Celle-ci n’est requise que dans des situations à haut risque, par exemple
lorsqu’une nouvelle technologie est mise en œuvre ou lorsqu’une opération de profilage peut
entraîner des effets considérables pour les personnes concernées. Lorsque le PIA indique que le
traitement de données comporte un « risque élevé », il est nécessaire d’obtenir l’avis de l’autorité
de contrôle » quant à la licéité du traitement à la lumière du GDPR.
23
Livre blanc
GDPR, le guide pratique pour bien démarrer
Vous devez vérifier si les procédures actuelles dans votre entreprise ou organisation prévoient
tous les droits que la personne concernée peut invoquer, y compris la manière dont les données à
caractère personnel peuvent être supprimées ou dont les données seront communiquées par voie
électronique.
Le GDPR prévoit notamment les droits suivants pour la personne concernée :
• Information et accès aux données à caractère personnel
• Rectification et suppression des données
• Objection à l’encontre de pratiques de marketing direct
• Objection à l’encontre de prises de décision automatisées et de profilage
• Portabilité des données
Le droit de portabilité des données est une nouveauté. Il s’agit d’une forme améliorée de l’accès
où la personne concernée a le droit d’obtenir les données à caractère personnel la concernant
dans un format structuré, couramment utilisé et lisible électroniquement. La plupart des
entreprises et organisations le font déjà, mais si vous utilisez encore des impressions papier ou
une forme électronique inhabituelle, c’est de nouveau le bon moment pour revoir votre copie.
Prévoyez une mise à jour de vos procédures d’accès existantes et réfléchissez à la manière dont
vous traiterez désormais les demandes d’accès eu égard aux nouveaux délais du GPDR.
Le GDPR prévoit de nouvelles règles qui déterminent la manière d’agir à l’égard de demandes
d’accès. Dans la plupart des cas, il faudra donner suite à la demande d’accès dans les 30
jours et ce gratuitement. Des demandes manifestement non fondées ou excessives peuvent être
facturées ou refusées. Si votre entreprise ou organisation veut être en mesure de refuser des
demandes d’accès, vous devez adapter la politique et les procédures en conséquence. Vous devez
donner à la personne concernée qui demande l’accès certaines informations complémentaires
comme les délais de conservation des informations et le droit de faire rectifier des données
inexactes. Si votre entreprise ou organisation traite un grand nombre de demandes d’accès, les
modifications prévues par le GPDR auront un impact considérable.
24
Livre blanc
GDPR, le guide pratique pour bien démarrer
Il faut qu’au niveau logistique, toutes les demandes puissent être traitées dans le délai prévu et
que la personne concernée reçoive les informations nécessaires. Une réflexion approfondie doit
être menée à ce sujet. À terme, il peut se révéler rentable de développer un système grâce auquel
la personne concernée peut consulter elle-même les données en ligne. Les entreprises et
organisations sont encouragées à réaliser une analyse coûts/bénéfices d’un tel système d’accès en
ligne.
Evaluez la manière dont vous demandez, obtenez et enregistrez le consentement et
apportez les modifications nécessaires. Le GDPR mentionne les termes “consentement” et
“consentement explicite”. La distinction n’est pas très claire, étant donné que le consentement
doit dans les deux cas être libre, spécifique, éclairé et univoque.
Prévoyez des procédures adéquates pour détecter, rapporter et analyser des fuites de
données à caractère personnel. Évaluez pour ce faire les différents types de données à caractère
personnel que vous conservez et documentez celles qui relèveraient de l’obligation de déclaration
si une fuite de données survenait. Dans certains cas, vous devez informer directement la personne
concernée faisant l’objet de la fuite de données, par exemple lorsque la fuite peut donner lieu à
des pertes financières personnelles. Toutes les fuites de données ne devront pas être signalées à
l’autorité de contrôle – seules celles pour lesquelles il est probable que la personne concernée
subira une quelconque forme de dommages, par exemple suite à un vol d’identité ou à la violation
d’une obligation de secret.
6. Documenter la conformité
Pour prouver votre conformité au règlement, vous devez constituer et regrouper la
documentation nécessaire.
Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés
régulièrement pour assurer une protection des données en continu.
25
26
Livre blanc
GDPR, le guide pratique pour bien démarrer
Comment démontrer sa conformité
Une documentation complète et détaillée permettra de démontrer sa mise en conformité
ainsi que le respect des obligations du règlement européen. Au cas par cas, elle
comprendra certains éléments nécessaires ou non, en fonction de la situation de
l’organisation.
Voici un aperçu de la documentation à constituer :
Les documents concernant la fonction de DPO
 Fiche de poste ou Lettre de mission du DPO
 Contrat de services pour DPO externe ou mutualisé
Les documents concernant vos traitements de données personnelles
 Registre des traitements (pour les responsables de traitements) ou des catégories d’activités
de traitements (pour les sous-traitants)
 PIA, Analyse d’impact sur la protection des données pour les traitements susceptibles
d'engendrer des risques élevés pour les droits et libertés des personnes
 L'encadrement des transferts de données hors de l'Union européenne (notamment, les
clauses contractuelles types, les BCR et certifications)
27
Livre blanc
GDPR, le guide pratique pour bien démarrer
Les documents concernant l’information des personnes
 Mentions d’information
 Déclaration de confidentialité
 Procédures/Modèles de Recueil du Consentement des personnes concernées
 Procédures relatives aux Droits des Personnes concernées
Les éléments contractuels qui définissent les rôles et les responsabilités des intervenants
 Contrats, clauses sous-traitant
 Procédure interne en cas de violation de données
 Les preuves que les personnes concernées ont donné leur consentement lorsque le traitement
de leurs données repose sur cette base.
Les documents de suivi dans le temps
 Plan de vérification et de suivi
28
29
Mémo
Les définitions clés
Donnée à caractère personnelle (DCP)
En anglais « personal data »
Toute information permettant d’identifier
directement ou indirectement une personne
physique (nom, coordonnées, e-mail, n° de
contrat, plaque d’immatriculation, photo,…).
Ce règlement, à destination des entreprises,
veut simplifier, harmoniser et renforcer la
protection des données personnelles.
Toute information se rapportant à une
personne physique identifiée ou identifiable
(ci-après dénommée «personne concernée») ;
est réputée être une «personne physique
identifiable» une personne physique qui peut
être identifiée, directement ou
indirectement, notamment par référence à un
identifiant, tel qu'un nom, un numéro
d'identification, des données de localisation,
un identifiant en ligne, ou à un ou plusieurs
éléments spécifiques propres à son identité
physique, physiologique, génétique,
psychique, économique, culturelle ou sociale;
Personne concernée
En anglais « data subject »
Toute personne qui peut être identifiée,
directement ou indirectement, par
l’intermédiaire de données à caractère
personnelle.
Toute personne qui peut être identifiée,
directement ou indirectement, par le biais
d’un identifiant (par exemple un nom, un
numéro d’identification, des données de
localisation, …) ou d’un ou plusieurs
éléments spécifiques propres à son identité
physique, physiologique, génétique,
psychique, économique, culturelle ou sociale.
En d’autres termes, une personne concernée
est un utilisateur final dont les données à
caractère personnel peuvent être recueillies.
Définition officielle de « personne concernée
» dans l’article 4.1 du GDPR.
Fichier de données à caractère personnel
Tout ensemble structuré et stable de données
à caractère personnel accessibles selon des
critères déterminés constitue un fichier de
données à caractère personnel.
Traitement de donnée à caractère
personnelle (TDCP)
En anglais « processing »
Toute opération effectuée sur des données à
caractères personnelle quel que soit le
procédé utilisé (collecte, enregistrement,
organisation, conservation, adaptation,
modification, extraction, consultation,
utilisation, verrouillage, effacement ou
destruction, transmission, …).
L'article 4 du règlement définit un traitement
Livre blanc
GDPR, le guide pratique pour bien démarrer
30
Livre blanc
GDPR, le guide pratique pour bien démarrer
comme " toute opération ou tout ensemble
d'opérations effectuées ou non à l'aide de
procédés automatisés et appliquées à des
données ou des ensembles de données à
caractère personnel, telles que la collecte,
l'enregistrement, l'organisation, la
structuration, la conservation, l'adaptation
ou la modification, l'extraction, la
consultation, l'utilisation, la communication
par transmission, la diffusion ou toute autre
forme de mise à disposition, le
rapprochement ou l'interconnexion, la
limitation, l'effacement ou la destruction;"
Finalités d'un traitement (objectifs d’un
traitement)
En anglais « purposes of processing »
Objectif principal d’une application
informatique de données personnelles.
Exemples de finalité : gestion des
recrutements, gestion des clients, enquête de
satisfaction, surveillance des locaux, etc.
Responsable de traitement (RT)
En anglais « controller »
Organisation, Entreprise, organisme,
autorité, personne physique professionnelle
qui détermine les finalités ou objectifs (le
pourquoi) et les moyens (le comment) du
traitement.
Sous-traitant (ST)
En anglais « processor »
Organisation, Entreprise, organisme,
autorité, personne physique professionnelle
qui traite des DCP pour le compte du RT.
Délégué à la Protection des Données
(DPD)
En anglais « Data Protection Officer
(DPO) »
Le délégué à la protection des données au
sein d’une organisation, entreprise,
organisme, autorité... a pour rôle de veiller à
ce que celle-ci protège convenablement les
données à caractère personnel des personnes
concernées, conformément à la législation en
vigueur.
Définition officielle de « délégué à la
protection des données » ainsi que des
informations sur la sélection et les
responsabilités du délégué à la protection des
données, dans les articles 37, 38 et 39 du
GDPR.
Autorité de contrôle
Autorité nationale en charge du respect des
législations portant sur les données
personnelles (Exemple : en France : la CNIL,
au Luxembourg : la CNPD, en Belgique : la
CPVP, etc.)
31
Livre blanc
GDPR, le guide pratique pour bien démarrer
A propos de Data Protection Services®
par Aïon Solutions
Data Protection Services, de la société Aïon Solutions, est une offre de services dédiée à la
conformité au GDPR, regroupant les compétences d’une équipe pluridisciplinaire composée de
juristes spécialisés et d’experts en technologies de l’information.
Cette offre comprend les services de DPO externes certifiés, les prestations de mise en
conformité au GDPR et de suivi, ainsi que la gestion de la documentation justifiant de cette
conformité*.
Des options couvrant les cyber-risques viennent compléter notre offre afin d’offrir un service
complet clé en main.
* Avec le concours du cabinet juridique NNA Legal, partenaire d’Aïon Solutions, nous avons élaboré une méthode
structurée en 6 étapes incluant les préconisations de 3 autorités de contrôle européenne de référence (CNIL, CNPD,
CPVP). Notre checklist exhaustive permet de balayer tous les aspects à traiter dans un processus de mise en
conformité au GDPR.
De plus, afin d’agir avec précaution sur certains aspects encore peu détaillés du GDPR, nous nous appuyons sur les
travaux du G29 (Groupe de travail Article 29 sur la protection des données).
Le G29 est un organe consultatif européen indépendant sur la protection des données et de la vie privée. Les
principales missions du groupe de travail sont : 1) Conseiller la Commission européenne et lui donner un avis
autorisé, sur toute mesure communautaire ayant une incidence sur les droits et libertés des personnes physiques à
l'égard du traitement des données à caractère personnel et de la protection de la vie privée ; 2) Promouvoir une
application uniforme des directives européennes au moyen de la coopération entre les autorités de contrôle de la
protection des données ; 3) Émettre des recommandations, des règles d'entreprise contraignantes, destinées au grand
public.
www.aion-solutions.lu
Construisons ensemble les expériences digitales de demain

Contenu connexe

Tendances

Enjeux du RGPD pour les PME
Enjeux du RGPD pour les PMEEnjeux du RGPD pour les PME
Enjeux du RGPD pour les PME
Fred Gerdil
 
Découvrir le RGPD de façon pragmatique
Découvrir le RGPD de façon pragmatiqueDécouvrir le RGPD de façon pragmatique
Découvrir le RGPD de façon pragmatique
Nicolas Wipfli
 
Le GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaLe GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - Diaporama
Jean-Michel Tyszka
 
GDPR
GDPRGDPR
RGPD & Data Privacy : la CNIL au Digital Analytics Forum 2018
RGPD & Data Privacy : la CNIL au Digital Analytics Forum 2018RGPD & Data Privacy : la CNIL au Digital Analytics Forum 2018
RGPD & Data Privacy : la CNIL au Digital Analytics Forum 2018
AT Internet
 
C'est quoi le RGPD ?
C'est quoi le RGPD ?C'est quoi le RGPD ?
C'est quoi le RGPD ?
_unknowns
 
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
cedric delberghe
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des Données
Terface
 
Le numéro 42-43, printemps-été 2017
Le numéro 42-43, printemps-été 2017Le numéro 42-43, printemps-été 2017
Le numéro 42-43, printemps-été 2017
La revue européenne des médias et du numérique
 
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Niji
 
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
NP6
 
Guide pratique de sensibilisation au RGPD pour les TPE&PME
Guide pratique de sensibilisation au RGPD pour les TPE&PMEGuide pratique de sensibilisation au RGPD pour les TPE&PME
Guide pratique de sensibilisation au RGPD pour les TPE&PME
polenumerique33
 
RGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésRGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunités
Hatime Araki
 
RGPD / GDPR : Principes, Démarche, Outils
RGPD / GDPR : Principes, Démarche, OutilsRGPD / GDPR : Principes, Démarche, Outils
RGPD / GDPR : Principes, Démarche, Outils
aYaline
 
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)
AT Internet
 
Rgpd cdg 13 2018.compressed
Rgpd cdg 13 2018.compressedRgpd cdg 13 2018.compressed
Rgpd cdg 13 2018.compressed
Dominique Gayraud
 
earlegal #5 - Radiographie du délégué 
à la protection des données

earlegal #5 - Radiographie du délégué 
à la protection des données
earlegal #5 - Radiographie du délégué 
à la protection des données

earlegal #5 - Radiographie du délégué 
à la protection des données

Lexing - Belgium
 
Free Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentauxFree Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentaux
Michael DI ROCCO
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis Nystek
Pascal ALIX
 
Données de santé & RGPD (Règlement Général sur la Protection des Données Per...
Données de santé & RGPD  (Règlement Général sur la Protection des Données Per...Données de santé & RGPD  (Règlement Général sur la Protection des Données Per...
Données de santé & RGPD (Règlement Général sur la Protection des Données Per...
CEEDFormation
 

Tendances (20)

Enjeux du RGPD pour les PME
Enjeux du RGPD pour les PMEEnjeux du RGPD pour les PME
Enjeux du RGPD pour les PME
 
Découvrir le RGPD de façon pragmatique
Découvrir le RGPD de façon pragmatiqueDécouvrir le RGPD de façon pragmatique
Découvrir le RGPD de façon pragmatique
 
Le GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaLe GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - Diaporama
 
GDPR
GDPRGDPR
GDPR
 
RGPD & Data Privacy : la CNIL au Digital Analytics Forum 2018
RGPD & Data Privacy : la CNIL au Digital Analytics Forum 2018RGPD & Data Privacy : la CNIL au Digital Analytics Forum 2018
RGPD & Data Privacy : la CNIL au Digital Analytics Forum 2018
 
C'est quoi le RGPD ?
C'est quoi le RGPD ?C'est quoi le RGPD ?
C'est quoi le RGPD ?
 
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des Données
 
Le numéro 42-43, printemps-été 2017
Le numéro 42-43, printemps-été 2017Le numéro 42-43, printemps-été 2017
Le numéro 42-43, printemps-été 2017
 
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
 
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
 
Guide pratique de sensibilisation au RGPD pour les TPE&PME
Guide pratique de sensibilisation au RGPD pour les TPE&PMEGuide pratique de sensibilisation au RGPD pour les TPE&PME
Guide pratique de sensibilisation au RGPD pour les TPE&PME
 
RGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésRGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunités
 
RGPD / GDPR : Principes, Démarche, Outils
RGPD / GDPR : Principes, Démarche, OutilsRGPD / GDPR : Principes, Démarche, Outils
RGPD / GDPR : Principes, Démarche, Outils
 
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)
 
Rgpd cdg 13 2018.compressed
Rgpd cdg 13 2018.compressedRgpd cdg 13 2018.compressed
Rgpd cdg 13 2018.compressed
 
earlegal #5 - Radiographie du délégué 
à la protection des données

earlegal #5 - Radiographie du délégué 
à la protection des données
earlegal #5 - Radiographie du délégué 
à la protection des données

earlegal #5 - Radiographie du délégué 
à la protection des données

 
Free Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentauxFree Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentaux
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis Nystek
 
Données de santé & RGPD (Règlement Général sur la Protection des Données Per...
Données de santé & RGPD  (Règlement Général sur la Protection des Données Per...Données de santé & RGPD  (Règlement Général sur la Protection des Données Per...
Données de santé & RGPD (Règlement Général sur la Protection des Données Per...
 

Similaire à GDPR / RGPD - Livre Blanc - Aion Solutions

BAROMÈTRE RGPD
BAROMÈTRE RGPDBAROMÈTRE RGPD
BAROMÈTRE RGPD
Converteo
 
protection_des_donnees_personnelles_vf
protection_des_donnees_personnelles_vfprotection_des_donnees_personnelles_vf
protection_des_donnees_personnelles_vf
Jean-Charles Croiger
 
GDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUEGDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUE
Umanis
 
RGPD
RGPDRGPD
Guide pratique de sensibilisation au RGPD par Bpifrance Le Lab et la CNIL
Guide pratique de sensibilisation au RGPD par Bpifrance Le Lab et la CNILGuide pratique de sensibilisation au RGPD par Bpifrance Le Lab et la CNIL
Guide pratique de sensibilisation au RGPD par Bpifrance Le Lab et la CNIL
Bpifrance
 
bpi-cnil-rgpd_guide-tpe-pme.pdf
bpi-cnil-rgpd_guide-tpe-pme.pdfbpi-cnil-rgpd_guide-tpe-pme.pdf
bpi-cnil-rgpd_guide-tpe-pme.pdf
Wafa Hammami
 
Comment se mettre en conformité avec le GDPR ?
Comment se mettre en conformité avec le GDPR ?Comment se mettre en conformité avec le GDPR ?
Comment se mettre en conformité avec le GDPR ?
Pramana
 
[Infographie] Le RGPD - en bref
[Infographie] Le RGPD - en bref[Infographie] Le RGPD - en bref
[Infographie] Le RGPD - en bref
Thinkmarket
 
Protection des données personnelles Se mettre en conformité : Pourquoi ? Comm...
Protection des données personnelles Se mettre en conformité : Pourquoi ? Comm...Protection des données personnelles Se mettre en conformité : Pourquoi ? Comm...
Protection des données personnelles Se mettre en conformité : Pourquoi ? Comm...
Patrick Bouillaud
 
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
Medialibs
 
Mise en conformité rgpd
Mise en conformité rgpdMise en conformité rgpd
Mise en conformité rgpd
Stéphanie Brigas ★ DL Développement
 
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
Jedha Bootcamp
 
Matinée Micropole GDPR
Matinée Micropole GDPRMatinée Micropole GDPR
Matinée Micropole GDPR
Micropole Group
 
RGPD en bref NBIC
RGPD en bref NBICRGPD en bref NBIC
RGPD en bref NBIC
NicolasBataille6
 
Grand Format "Data to Consumer" - Présentation Bird & Bird
Grand Format "Data to Consumer" - Présentation Bird & BirdGrand Format "Data to Consumer" - Présentation Bird & Bird
Grand Format "Data to Consumer" - Présentation Bird & Bird
Petit Web
 
Evolution de la reglementation europeenne en matiere de protection des donnes...
Evolution de la reglementation europeenne en matiere de protection des donnes...Evolution de la reglementation europeenne en matiere de protection des donnes...
Evolution de la reglementation europeenne en matiere de protection des donnes...
Marseille Innovation
 
Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !
Philippe Mignen
 
Nos vies numériques sous haute protection le 21-10-2017
Nos vies numériques sous haute protection le 21-10-2017Nos vies numériques sous haute protection le 21-10-2017
Nos vies numériques sous haute protection le 21-10-2017
Christophe Boeraeve
 
Les points clés du GDPR
Les points clés du GDPRLes points clés du GDPR
Les points clés du GDPR
Martin Dupuy
 
Les points clés du GDPR ppt
Les points clés du GDPR ppt Les points clés du GDPR ppt
Les points clés du GDPR ppt
Jeanny LUCAS
 

Similaire à GDPR / RGPD - Livre Blanc - Aion Solutions (20)

BAROMÈTRE RGPD
BAROMÈTRE RGPDBAROMÈTRE RGPD
BAROMÈTRE RGPD
 
protection_des_donnees_personnelles_vf
protection_des_donnees_personnelles_vfprotection_des_donnees_personnelles_vf
protection_des_donnees_personnelles_vf
 
GDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUEGDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUE
 
RGPD
RGPDRGPD
RGPD
 
Guide pratique de sensibilisation au RGPD par Bpifrance Le Lab et la CNIL
Guide pratique de sensibilisation au RGPD par Bpifrance Le Lab et la CNILGuide pratique de sensibilisation au RGPD par Bpifrance Le Lab et la CNIL
Guide pratique de sensibilisation au RGPD par Bpifrance Le Lab et la CNIL
 
bpi-cnil-rgpd_guide-tpe-pme.pdf
bpi-cnil-rgpd_guide-tpe-pme.pdfbpi-cnil-rgpd_guide-tpe-pme.pdf
bpi-cnil-rgpd_guide-tpe-pme.pdf
 
Comment se mettre en conformité avec le GDPR ?
Comment se mettre en conformité avec le GDPR ?Comment se mettre en conformité avec le GDPR ?
Comment se mettre en conformité avec le GDPR ?
 
[Infographie] Le RGPD - en bref
[Infographie] Le RGPD - en bref[Infographie] Le RGPD - en bref
[Infographie] Le RGPD - en bref
 
Protection des données personnelles Se mettre en conformité : Pourquoi ? Comm...
Protection des données personnelles Se mettre en conformité : Pourquoi ? Comm...Protection des données personnelles Se mettre en conformité : Pourquoi ? Comm...
Protection des données personnelles Se mettre en conformité : Pourquoi ? Comm...
 
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
 
Mise en conformité rgpd
Mise en conformité rgpdMise en conformité rgpd
Mise en conformité rgpd
 
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
 
Matinée Micropole GDPR
Matinée Micropole GDPRMatinée Micropole GDPR
Matinée Micropole GDPR
 
RGPD en bref NBIC
RGPD en bref NBICRGPD en bref NBIC
RGPD en bref NBIC
 
Grand Format "Data to Consumer" - Présentation Bird & Bird
Grand Format "Data to Consumer" - Présentation Bird & BirdGrand Format "Data to Consumer" - Présentation Bird & Bird
Grand Format "Data to Consumer" - Présentation Bird & Bird
 
Evolution de la reglementation europeenne en matiere de protection des donnes...
Evolution de la reglementation europeenne en matiere de protection des donnes...Evolution de la reglementation europeenne en matiere de protection des donnes...
Evolution de la reglementation europeenne en matiere de protection des donnes...
 
Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !
 
Nos vies numériques sous haute protection le 21-10-2017
Nos vies numériques sous haute protection le 21-10-2017Nos vies numériques sous haute protection le 21-10-2017
Nos vies numériques sous haute protection le 21-10-2017
 
Les points clés du GDPR
Les points clés du GDPRLes points clés du GDPR
Les points clés du GDPR
 
Les points clés du GDPR ppt
Les points clés du GDPR ppt Les points clés du GDPR ppt
Les points clés du GDPR ppt
 

GDPR / RGPD - Livre Blanc - Aion Solutions

  • 1. GDPR, le guide pratique pour bien démarrerDécembre 2017 Livre blanc Ce qu’il faut savoir sur Le Règlement Général sur la Protection des Données n° 2016/679
  • 2. 2 Mise en perspective du GDPR Les 3 objectifs du règlement européen Des changements majeurs pour les entreprises Un dossier complexe à mettre en œuvre Zoom sur le DPO – Data Protection Officer 6 étapes pour se conformer au GDPR Comment démontrer sa conformité Mémo - Les définitions clés 3 7 8 11 14 17 26 29
  • 3. 3 Livre blanc GDPR, le guide pratique pour bien démarrer Mise en perspective du GDPR Le règlement européen n° 2016/679 relatif à la protection des personnes physiques, à l’égard du traitement de leurs données à caractère personnel, constitue une avancée majeure du système juridique encadrant la protection de la vie privée. Ce règlement remplace la directive 95/46/CE sur la protection des données personnelles qui constituait le texte européen de référence depuis 1995… bien avant l’émergence des géants d’Internet, GAFA et consorts. Face aux progrès technologiques fulgurants (big data, internet des objets, intelligence artificielle…) qui transforment nos sociétés et nos vies en favorisant un environnement numérique de plus en plus omniprésent et pervasif, l’Union Européenne a adopté ce nouveau règlement avec l’objectif de « redonner aux citoyens le contrôle de leurs données personnelles ». Le nouveau règlement européen sur la protection des données a été définitivement adopté par le Parlement européen le 14 avril 2016 et ses dispositions seront directement applicables dans l'ensemble des 28 États membres de l'Union européenne à compter du 25 mai 2018. L’application du règlement aura également un impact extraterritorial dans la mesure ou les sociétés non-européennes qui traitent des données personnelles de résidents européens devront s’y conformer (article 3 du règlement). En cas de non-conformité au GDPR, les sociétés s’exposent à de lourdes sanctions ! Le règlement donne aux régulateurs le pouvoir d'infliger des sanctions financières allant jusqu'à 4% du chiffre d'affaires mondial annuel d'une entreprise ou 20 millions d'euros (le montant le plus élevé étant retenu) en cas de non-respect (article 83(6) du règlement).
  • 4. 4 Livre blanc GDPR, le guide pratique pour bien démarrer Par son étendue et face aux lourdes sanctions financières encourues, les obligations définies par le GDPR ne peuvent être ignorées d’aucune organisation. Le sujet du traitement des données à caractère personnel doit être pris au sérieux, ce dont veut nous faire prendre conscience le législateur. Au-delà de l’aspect contraignant, il faut donc y voir une conscientisation et un véritable changement d’état d’esprit à adopter vis-à-vis de ces données particulières qui nous sont confiées. La responsabilité à l’égard de ces données est en définitive une preuve de respect des personnes, citoyens, usagers, clients : elle permet d’établir un lien de confiance, ce qui représente pour les organisations un atout à valoriser.
  • 5. 5 Livre blanc GDPR, le guide pratique pour bien démarrer ▪ Le GDPR est le texte de référence européen en matière de protection des données à caractère personnel ▪ Applicable dans l'ensemble des États membres de l'UE à compter du 25 mai 2018 ▪ Sanctions jusqu’à 20 millions d'euros ou 4% du CA annuel mondial de l'entreprise ▪ Objectifs : ▪ Renforcer le droit des personnes ▪ Responsabiliser les entreprises réalisant des traitements ▪ Renforcer la coopération avec les autorités protectrices des données personnelles L’application du règlement ayant un impact extraterritorial, dans la mesure ou les sociétés non-européennes qui traitent des données personnelles de résidents européens devront s’y conformer (article 3 du règlement), le règlement européen a un réel impact pour des entreprises internationales du monde entier. En raison de la portée mondiale du règlement, nous préférons le terme anglais GDPR - General Data Protection Regulation, au terme français RGPD - Règlement Général sur la Protection des Données. Nous utilisons donc l’acronyme GDPR dans l’ensemble de nos documents. En bref
  • 6. 6 Le sujet du traitement des données à caractère personnel doit être pris au sérieux, ce dont veut nous faire prendre conscience le législateur.
  • 7. 7 Les 3 objectifs du règlement européen Le GDPR s’appliquera dès mai 2018 à toute entreprise européenne qui collecte, traite et stocke des données personnelles. Ce règlement, à destination des entreprises, veut simplifier, harmoniser et renforcer la protection des données personnelles. Le texte vise trois objectifs : • Renforcer les droits des personnes physiques • Responsabiliser les entreprises qui traitent les données à caractère personnel • Consolider les pouvoirs des autorités européennes en renforçant la coopération entre les autorités protectrices de données personnelles Le GDPR a un véritable intérêt pour les citoyens des 28 pays membres de l’UE. Il renforce l’information sur l’usage des données, uniformise les règlements concernant la protection des données et instaure la possibilité du droit à l’oubli à l’échelle européenne. Ce règlement répond au besoin en matière de transparence, et rassure les clients des entreprises. Du point de vue des entreprises responsables de traitement, une simple déclaration à l’autorité de contrôle (comme la CNIL pour la France) ne suffit plus. Il s'agit à partir de maintenant d'être en mesure de prouver à n’importe quel moment, que les données à caractère personnel sont protégées et impossible à utiliser en cas de vol. Le nouveau règlement européen met donc l'entreprise face aux risques concrets et aux défis de la cyber-sécurité. Pour toutes les entreprises manipulant des données personnelles (donc quasiment l’intégralité des entreprises), le nouveau règlement européen constitue l’un des changements majeurs de ces dernières années. Livre blanc GDPR, le guide pratique pour bien démarrer
  • 8. 8 Livre blanc GDPR, le guide pratique pour bien démarrer Des changements majeurs pour les entreprises Les objectifs du GDPR se déclinent en une série de changements majeurs pour les entreprises concernant : de nouveaux droits des personnes physiques, la responsabilisation des organisations effectuant des traitements de données à caractère personnel, et des obligations légales vis-à-vis des autorités de contrôle. Nouveaux droits des personnes physiques • Le droit à l’oubli • Le droit d’accès, de modification, d’effacement • Le droit à la portabilité des données • Le droit à l’opposition de toute opération marketing Responsabilisation des entreprises • La responsabilité en matière de traitement de données (principe « d’accountability » avec des sanctions lourdes pour les contrevenants) • La gestion des consentements des personnes concernée (y compris des enfants) • L’information des personnes concernées quant aux traitements de leurs données • La documentation de toutes les mesures et procédures utiles pour assurer la protection des données • La protection des données par les concepts de « Privacy by design & by default » • L’évaluation obligatoire d’impact des risques sur la protection des données dans certains cas • La notification de violations de données à l’autorité de contrôle et aux personnes concernées en cas de risque réel d’atteinte à la protection de leur vie privée, dans un délai de 72h • La nomination d’un délégué à la protection des données (DPO) est obligatoire pour certaines entreprises • Le transfert international de données en dehors de l’Union Européenne sous des conditions strictes • Même si votre entreprise n’est pas dans l’UE, la réglementation s’applique Pouvoir des autorités européennes • Un mécanisme de « guichet unique » Un nouveau guichet unique Européen est créé pour les entreprises. Cela signifie que les entreprises, en cas de traitement transfrontalier, ne devront faire face qu’à une autorité de surveillance unique pour l’ensemble de l’Europe et non pas au sein de chaque état. Ceci rend plus simple et moins coûteux les échanges des entreprises au sein de l’UE.
  • 9. 9 Livre blanc GDPR, le guide pratique pour bien démarrer Le GDPR impose de nouvelles normes et obligations pour les entreprises qui n’ont que peu de temps pour s’y préparer. Or, des études faites au printemps 2017 sont inquiétantes : plus de 50% des entreprises affirment qu’elles ne seront pas prêtes à temps. Les raisons évoquées : pas assez ressources, difficulté à prioriser les chantiers, manque de compréhension, trop de complexité…
  • 10. 10 Une imbrication étroite entre le légal, la technologie et l’usage qui implique la collaboration des expertises.
  • 11. 11 Livre blanc GDPR, le guide pratique pour bien démarrer La protection des données à caractère personnel est un dossier complexe. Né des avancées des technologies de l’information et de la communication, dont les progrès ont bouleversé l’économie et la société, l’usage des données à caractère personnel n’a fait que croître jusqu’à se banaliser. Les risques encourus par un usage malveillant ou abusif de ce type particulier de données ont suscité logiquement l’intérêt du législateur pour aboutir à des mesures juridiques dans un but de protection des personnes. Il apparait donc une imbrication étroite entre le légal, la technologie et l’usage de ces technologies, créant une complexité qui nécessite des compétences expertes et pluridisciplinaires. Le dossier est donc à la fois légal et technologique, tout en recouvrant des aspects organisationnels essentiels. En effet, il est souvent nécessaire d’impliquer de nombreux contributeurs internes dans l’organisation, ainsi que des sous-traitants externes pour couvrir le champ complet des traitements de données. A titre d’exemple, le recueil et le traitement des données personnelles dans les organisations incombent à des acteurs tels que : • Les ressources humaines et les services généraux pour les données collaborateurs, • Le marketing et le commerce pour les données clients et prospects, • Le service informatique pour nombre de fonctions support, • Des prestataires externes et des services de traitement et de stockage dans le cloud en mode SaaS. En plus de ces nombreux intervenants, il faut également prévoir de rendre compte de l’avancement des travaux en lien avec les données personnelles auprès des instances de direction et animer des sessions de sensibilisation et de formations pour des collaborateurs. En conclusion, le GDPR ne peut être pris comme un dossier uniquement juridique, organisationnel ou technique. Il doit être pris dans son ensemble en recourant à une approche holistique ne négligeant aucun des 3 domaines d’expertise nécessaires : • Le domaine juridique • Le domaine organisationnel • Le domaine technique Un dossier complexe à mettre en œuvre
  • 12. 12
  • 13. 13 Livre blanc GDPR, le guide pratique pour bien démarrer Légale En premier lieu, la problématique est d’ordre légal, puisqu’il s’agit de répondre à des obligations légales définies dans le GDPR. Des compétences juridiques avancées dans le domaine de la protection des données à caractère personnel sont donc requises. En outre le règlement, ou du moins ses critères d’application, vont évoluer dans le temps : il faut être en mesure de suivre les nouveaux développements du règlement européen à partir de sa mise en application. Organisationnelle Chaque organisation est unique par sa culture, son activité et ses pratiques. Il est nécessaire d’évaluer précisément , par le biais d’un audit, la nature et le fonctionnement de chaque organisation pour comprendre à quelles obligations légales elle doit se conformer et par quels moyens elle y parviendra. Il est également nécessaire de créer une véritable culture des données à caractère personnel chez tous les intervenants en lien avec ces données pour favoriser leur coopération au sein de l’organisation. Technique Au-delà des procédures et de l’acculturation des organisations, la plupart des mesures à mettre en œuvre pour se conformer au GDPR seront de nature technologique. Pour faire face au cyber- risque, il existe un ensemble de bonnes pratiques et d’outils. Pour répondre de manière adéquate aux obligations du règlement européen, il faut donc avoir une bonne compréhension de l’environnement technologique, des pratiques et des outils à disposition. Comme dans le domaine juridique, une veille constante est nécessaire. Une triple problématique…
  • 14. 14 Livre blanc GDPR, le guide pratique pour bien démarrer Zoom sur le DPO Data Protection Officer Une nouveauté majeure du GDPR sur laquelle il est important de s’arrêter est la création de la fonction de Délégué à la Protection des Données (DPD) ou Data Protection Officer (DPO). La nomination d’un DPO est imposée à toutes les instances publiques et à toutes les entreprises privées effectuant des traitements de données personnelles systématiques ou à grande échelle. Il ne suffit pas ici de changer l’intitulé de poste de votre correspondant informatique et liberté (CIL) pour satisfaire cette nouvelle exigence, mais bel et bien de mettre en œuvre une véritable gouvernance transverse et indépendante autour de la protection des données personnelles au sein de votre organisation. Le DPO a comme missions et prérogatives : • D’informer l’organisation et le personnel de leurs obligations en matière de gestion des données personnelles, • De superviser la mise en œuvre et le suivi des initiatives de mise en conformité au GDPR, • D’être le point de contact et de centralisation de toutes les demandes d’application des droits des personnes (droit à l’oubli, droit d’accès, droit à la portabilité, etc.), • De coopérer avec l’autorité de contrôle, • De participer à l’élaboration des analyses d’impacts, obligatoires pour certains types de traitements (profiling, données sensibles, etc.). 3 cas de désignation obligatoire : 1. Le responsable de traitement est une autorité ou un organisme public ; 2. Les activités de base du responsable de traitement le conduisent à réaliser un suivi régulier et systématique des personnes à grande échelle ; 3. Les activités de base du responsable de traitement le conduisent à traiter à grande échelle des données dites « particulières » ou relatives à des condamnations pénales et infractions. Fait intéressant : la désignation d’un DPO est un moyen d’attester de la conformité d’une organisation au GDPR (selon le considérant 77 du règlement).
  • 15. 15 La désignation d’un DPO est un moyen d’attester de la conformité d’une organisation au règlement européen.
  • 16. 16 Une méthodologie rigoureuse, étape par étape, est nécessaire pour couvrir tous les aspects du GDPR et pourvoir attester de sa conformité.
  • 17. 17 6 étapes pour se conformer au GDPR Livre blanc GDPR, le guide pratique pour bien démarrer Plusieurs autorités de contrôle ont publié des guides par étapes afin de mener à bien un projet de mise en conformité au GDPR. Allant de quelques étapes à une douzaine, ils listent de façon détaillée les points d’attention et les opérations indispensables pour arriver à une conformité démontrable. Le guide en 6 étapes de l’autorité de contrôle française, la CNIL, nous parait le mieux structuré pour mener correctement son projet sans se perdre dans les détails. Voici le 6 étapes préconisées : 1. Désigner un pilote 2. Cartographier vos traitements de données 3. Prioriser les actions 4. Gérer les risques 5. Organiser les processus internes 6. Documenter la conformité
  • 18. 18 Livre blanc GDPR, le guide pratique pour bien démarrer 1. Désigner un pilote Pour piloter la gouvernance des données à caractère personnel et la mise en conformité au GDPR, il faut un responsable compétant et indépendant, disposant d’une mission claire et des moyens nécessaires pour y aboutir. Ce pilote peut être une personne formée interne à l’organisation, par exemple le CIL (Correspondant Informatique et Libertés), ou une personne externe, par exemple un consultant spécialisé dans la protection des données à caractère personnel. Désignez au besoin un DPO (Data Protection Officer)* ou une personne qui est responsable du respect des règles de protection des données. Évaluez la place que cette personne occupe au sein de la structure et de la politique de votre entreprise ou organisation afin d’éviter tout conflit d’intérêt et de pouvoir justifier de son indépendance. * Le GPDR requiert pour certaines entreprises et organisations qu’elles désignent un délégué à la protection des données (DPD/DPO), par exemple pour les autorités publiques ou les sous-traitants dont la tâche consiste à observer régulièrement et systématiquement des personnes concernées, ce à grande échelle. Il est important que, soit une personne de l’organisation, soit un conseiller externe soit responsable du respect des principes de protection des données et que cette personne ait les connaissances, l’implication et la compétence de le faire. Vous devez dès lors juger si votre entreprise ou organisation a l’obligation de désigner un tel délégué. Mission du DPO : • Être en capacité d’imposer la loi et de remonter l’importance des sujets de données personnelles au top management • Éviter d’être en position de conflits d’intérêt et d’agir indépendamment des personnes qui définissent les traitements • Être en mesure de comprendre la législation et ses principes clés • Identifier les nouveaux cas et anticiper les non conformités au plus vite
  • 19. 19 Livre blanc GDPR, le guide pratique pour bien démarrer 2. Cartographier vos traitements de données personnelles Recenser tous les traitements de votre activité de façon précise et méthodique est indispensable pour mesurer concrètement l’impact du GDPR sur votre organisation. La tenue d'un registre des traitements vous permet de faire le point. Documentez les différents types de traitements de données que vous effectuez et identifiez le fondement légal pour chacun d’entre eux. De nombreuses entreprises et organisations n’ont peut-être pas défini à l’époque un fondement légal pour les traitements de données qu’elles réalisent. En vertu de la législation actuelle, les conséquences pratiques sont peu nombreuses voire inexistantes. Le GPDR change toutefois la donne car les droits de la personne concernée peuvent différer selon la base légale du traitement de données. L’exemple le plus parlant est le fait que la personne concernée dispose d’un droit renforcé pour demander la suppression de ses données si son consentement était à la base du traitement. Il est important de préciser dans la déclaration de confidentialité le fondement légal qui a été choisi pour le traitement de données et d’indiquer également ce fondement chaque fois que l’on répond à une demande d’accès. Vérifiez donc quels traitements de données vous effectuez, déterminez la base légale et documentez vos démarches avec soin, à la lumière de l’exigence de responsabilité. 3. Prioriser les actions à mener Mesurer les écarts entre vos pratiques actuelles et le GDPR. Sur la base du registre des traitements, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions en fonction des risques que font peser vos traitements sur les droits et les libertés des personnes concernées.
  • 20. 20 Livre blanc GDPR, le guide pratique pour bien démarrer Si votre entreprise ou organisation traite déjà des données à caractère personnel, vous devez fournir certaines informations aux personnes concernées, comme l’identité du sous-traitant et la manière dont il utilisera les données. Ces informations sont généralement communiquées sous la forme d’une déclaration de confidentialité. Le GDPR requiert que cette déclaration de confidentialité soit complétée par de nouveaux types d’information. Il faudra ainsi désormais communiquer le fondement légal du traitement de données et les délais pendant lesquels vous conserverez les informations, préciser si vous échangez les données en dehors de l’Union européenne et prévoir la possibilité pour la personne concernée de porter plainte auprès de l’autorité de contrôle si elle estime que ses données à caractère personnel sont traitées à tort. Le GDPR requiert que ces informations soient communiquées de manière concise, dans une langue compréhensible et claire. Évaluez vos contrats existants, principalement avec des sous-traitants, et apportez les changements nécessaires en temps utile. Le GPDR crée un système intelligent qui établit le rapport entre le responsable du traitement et les sous-traitants. Il détermine même les conditions qui s’appliquent aux activités de sous-traitance. Pour approfondir ces conditions, vous devez évaluer les contrats existants et apporter les modifications nécessaires. Le GPDR souligne l’importance des mesures de sécurité applicables aux banques de données. En cas d’outsourcing, il est également important d’évaluer si les mesures de sécurité qui étaient prévues dans les contrats existants sont toujours adéquates et répondent aux exigences du GPDR. Si votre entreprise ou organisation est active au niveau international, vous devez déterminer de quelle autorité de contrôle vous relevez. Le GPDR prévoit un règlement quelque peu complexe pour déterminer quelle autorité de contrôle prend la direction des opérations lors de l’examen d’une plainte à caractère international, par exemple lorsqu’un traitement de données se rapporte à des résidents de plusieurs États membres. L’autorité chef de file est déterminée selon l’endroit où l’entreprise ou l’organisation a son établissement principal ou selon l’établissement où sont prises les décisions relatives aux traitements de données. Pour un siège principal traditionnel, on peut le déterminer assez facilement.
  • 21. 21 Livre blanc GDPR, le guide pratique pour bien démarrer Cela se complique dans le cas d’entreprises ou d’organisations complexes, implantées sur plusieurs sites, où les décisions relatives à différentes activités de traitement sont prises à divers endroits. Pour savoir clairement quelle autorité de contrôle est en charge de votre entreprise ou organisation, il est conseillé d’établir à quel endroit votre organisation prend ses décisions les plus importantes quant aux traitements de données. Cela vous permettra de déterminer votre « établissement principal » et donc aussi l’autorité de contrôle compétente. 4. Gérer les risques Si vous avez identifié des traitements de données personnelles susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une analyse d'impact sur la protection des données (en anglais, Data protection impact assessment ou Privacy Impact Assessment). De manière générale, réaliser un PIA est une bonne pratique pour s’assurer de créer un traitement conforme au GDPR et respectueux de la vie privée, que celui-ci soit susceptible ou non d’engendrer des risques élevés sur la vie privée. Le PIA doit être réalisé avant la mise en œuvre du traitement. C’est un processus itératif, les analyses doivent être revues et corrigées de manière régulière, en particulier lors de changements majeurs des modalités d’exécution du traitement. Mener un PIA est obligatoire pour tout traitement susceptible d'engendrer des risques élevés pour les droits et libertés des personnes concernées (Article 35 du RGPD).
  • 22. 22 Livre blanc GDPR, le guide pratique pour bien démarrer 5. Organiser les processus internes Pour garantir un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demandes de rectification ou d’accès, modification des données collectées, changement de prestataire). Familiarisez-vous avec les notions de « protection des données dès la conception » et « d’analyse d’impact relative à la protection des données », mieux connues sous les termes suivants : « Privacy by design » et « Privacy impact assessment ». Examinez la manière dont vous pouvez mettre en œuvre ces concepts dans le fonctionnement de votre entreprise ou organisation. Ils peuvent être liés à d’autres processus organisationnels tels que la gestion des risques et la gestion des projets. Évaluez d’ores et déjà les situations où il sera nécessaire de réaliser de telles analyses. Qui s’en chargera ? Qui doit y être associé ? L’analyse se fera-t-elle de manière centrale ou de manière locale ? Intégrer dès le début la protection des données et, dans ce cadre, réaliser une analyse d’impact font partie des « bonnes pratiques » d’une entreprise ou organisation. Il ne s’agissait auparavant que d’une exigence implicite des principes de protection des données. Le GDPR en fait une exigence légale claire. À noter que vous ne devez pas systématiquement réaliser une analyse d’impact. Celle-ci n’est requise que dans des situations à haut risque, par exemple lorsqu’une nouvelle technologie est mise en œuvre ou lorsqu’une opération de profilage peut entraîner des effets considérables pour les personnes concernées. Lorsque le PIA indique que le traitement de données comporte un « risque élevé », il est nécessaire d’obtenir l’avis de l’autorité de contrôle » quant à la licéité du traitement à la lumière du GDPR.
  • 23. 23 Livre blanc GDPR, le guide pratique pour bien démarrer Vous devez vérifier si les procédures actuelles dans votre entreprise ou organisation prévoient tous les droits que la personne concernée peut invoquer, y compris la manière dont les données à caractère personnel peuvent être supprimées ou dont les données seront communiquées par voie électronique. Le GDPR prévoit notamment les droits suivants pour la personne concernée : • Information et accès aux données à caractère personnel • Rectification et suppression des données • Objection à l’encontre de pratiques de marketing direct • Objection à l’encontre de prises de décision automatisées et de profilage • Portabilité des données Le droit de portabilité des données est une nouveauté. Il s’agit d’une forme améliorée de l’accès où la personne concernée a le droit d’obtenir les données à caractère personnel la concernant dans un format structuré, couramment utilisé et lisible électroniquement. La plupart des entreprises et organisations le font déjà, mais si vous utilisez encore des impressions papier ou une forme électronique inhabituelle, c’est de nouveau le bon moment pour revoir votre copie. Prévoyez une mise à jour de vos procédures d’accès existantes et réfléchissez à la manière dont vous traiterez désormais les demandes d’accès eu égard aux nouveaux délais du GPDR. Le GDPR prévoit de nouvelles règles qui déterminent la manière d’agir à l’égard de demandes d’accès. Dans la plupart des cas, il faudra donner suite à la demande d’accès dans les 30 jours et ce gratuitement. Des demandes manifestement non fondées ou excessives peuvent être facturées ou refusées. Si votre entreprise ou organisation veut être en mesure de refuser des demandes d’accès, vous devez adapter la politique et les procédures en conséquence. Vous devez donner à la personne concernée qui demande l’accès certaines informations complémentaires comme les délais de conservation des informations et le droit de faire rectifier des données inexactes. Si votre entreprise ou organisation traite un grand nombre de demandes d’accès, les modifications prévues par le GPDR auront un impact considérable.
  • 24. 24 Livre blanc GDPR, le guide pratique pour bien démarrer Il faut qu’au niveau logistique, toutes les demandes puissent être traitées dans le délai prévu et que la personne concernée reçoive les informations nécessaires. Une réflexion approfondie doit être menée à ce sujet. À terme, il peut se révéler rentable de développer un système grâce auquel la personne concernée peut consulter elle-même les données en ligne. Les entreprises et organisations sont encouragées à réaliser une analyse coûts/bénéfices d’un tel système d’accès en ligne. Evaluez la manière dont vous demandez, obtenez et enregistrez le consentement et apportez les modifications nécessaires. Le GDPR mentionne les termes “consentement” et “consentement explicite”. La distinction n’est pas très claire, étant donné que le consentement doit dans les deux cas être libre, spécifique, éclairé et univoque. Prévoyez des procédures adéquates pour détecter, rapporter et analyser des fuites de données à caractère personnel. Évaluez pour ce faire les différents types de données à caractère personnel que vous conservez et documentez celles qui relèveraient de l’obligation de déclaration si une fuite de données survenait. Dans certains cas, vous devez informer directement la personne concernée faisant l’objet de la fuite de données, par exemple lorsque la fuite peut donner lieu à des pertes financières personnelles. Toutes les fuites de données ne devront pas être signalées à l’autorité de contrôle – seules celles pour lesquelles il est probable que la personne concernée subira une quelconque forme de dommages, par exemple suite à un vol d’identité ou à la violation d’une obligation de secret. 6. Documenter la conformité Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.
  • 25. 25
  • 26. 26 Livre blanc GDPR, le guide pratique pour bien démarrer Comment démontrer sa conformité Une documentation complète et détaillée permettra de démontrer sa mise en conformité ainsi que le respect des obligations du règlement européen. Au cas par cas, elle comprendra certains éléments nécessaires ou non, en fonction de la situation de l’organisation. Voici un aperçu de la documentation à constituer : Les documents concernant la fonction de DPO  Fiche de poste ou Lettre de mission du DPO  Contrat de services pour DPO externe ou mutualisé Les documents concernant vos traitements de données personnelles  Registre des traitements (pour les responsables de traitements) ou des catégories d’activités de traitements (pour les sous-traitants)  PIA, Analyse d’impact sur la protection des données pour les traitements susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes  L'encadrement des transferts de données hors de l'Union européenne (notamment, les clauses contractuelles types, les BCR et certifications)
  • 27. 27 Livre blanc GDPR, le guide pratique pour bien démarrer Les documents concernant l’information des personnes  Mentions d’information  Déclaration de confidentialité  Procédures/Modèles de Recueil du Consentement des personnes concernées  Procédures relatives aux Droits des Personnes concernées Les éléments contractuels qui définissent les rôles et les responsabilités des intervenants  Contrats, clauses sous-traitant  Procédure interne en cas de violation de données  Les preuves que les personnes concernées ont donné leur consentement lorsque le traitement de leurs données repose sur cette base. Les documents de suivi dans le temps  Plan de vérification et de suivi
  • 28. 28
  • 29. 29 Mémo Les définitions clés Donnée à caractère personnelle (DCP) En anglais « personal data » Toute information permettant d’identifier directement ou indirectement une personne physique (nom, coordonnées, e-mail, n° de contrat, plaque d’immatriculation, photo,…). Ce règlement, à destination des entreprises, veut simplifier, harmoniser et renforcer la protection des données personnelles. Toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale; Personne concernée En anglais « data subject » Toute personne qui peut être identifiée, directement ou indirectement, par l’intermédiaire de données à caractère personnelle. Toute personne qui peut être identifiée, directement ou indirectement, par le biais d’un identifiant (par exemple un nom, un numéro d’identification, des données de localisation, …) ou d’un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. En d’autres termes, une personne concernée est un utilisateur final dont les données à caractère personnel peuvent être recueillies. Définition officielle de « personne concernée » dans l’article 4.1 du GDPR. Fichier de données à caractère personnel Tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés constitue un fichier de données à caractère personnel. Traitement de donnée à caractère personnelle (TDCP) En anglais « processing » Toute opération effectuée sur des données à caractères personnelle quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, verrouillage, effacement ou destruction, transmission, …). L'article 4 du règlement définit un traitement Livre blanc GDPR, le guide pratique pour bien démarrer
  • 30. 30 Livre blanc GDPR, le guide pratique pour bien démarrer comme " toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction;" Finalités d'un traitement (objectifs d’un traitement) En anglais « purposes of processing » Objectif principal d’une application informatique de données personnelles. Exemples de finalité : gestion des recrutements, gestion des clients, enquête de satisfaction, surveillance des locaux, etc. Responsable de traitement (RT) En anglais « controller » Organisation, Entreprise, organisme, autorité, personne physique professionnelle qui détermine les finalités ou objectifs (le pourquoi) et les moyens (le comment) du traitement. Sous-traitant (ST) En anglais « processor » Organisation, Entreprise, organisme, autorité, personne physique professionnelle qui traite des DCP pour le compte du RT. Délégué à la Protection des Données (DPD) En anglais « Data Protection Officer (DPO) » Le délégué à la protection des données au sein d’une organisation, entreprise, organisme, autorité... a pour rôle de veiller à ce que celle-ci protège convenablement les données à caractère personnel des personnes concernées, conformément à la législation en vigueur. Définition officielle de « délégué à la protection des données » ainsi que des informations sur la sélection et les responsabilités du délégué à la protection des données, dans les articles 37, 38 et 39 du GDPR. Autorité de contrôle Autorité nationale en charge du respect des législations portant sur les données personnelles (Exemple : en France : la CNIL, au Luxembourg : la CNPD, en Belgique : la CPVP, etc.)
  • 31. 31 Livre blanc GDPR, le guide pratique pour bien démarrer A propos de Data Protection Services® par Aïon Solutions Data Protection Services, de la société Aïon Solutions, est une offre de services dédiée à la conformité au GDPR, regroupant les compétences d’une équipe pluridisciplinaire composée de juristes spécialisés et d’experts en technologies de l’information. Cette offre comprend les services de DPO externes certifiés, les prestations de mise en conformité au GDPR et de suivi, ainsi que la gestion de la documentation justifiant de cette conformité*. Des options couvrant les cyber-risques viennent compléter notre offre afin d’offrir un service complet clé en main. * Avec le concours du cabinet juridique NNA Legal, partenaire d’Aïon Solutions, nous avons élaboré une méthode structurée en 6 étapes incluant les préconisations de 3 autorités de contrôle européenne de référence (CNIL, CNPD, CPVP). Notre checklist exhaustive permet de balayer tous les aspects à traiter dans un processus de mise en conformité au GDPR. De plus, afin d’agir avec précaution sur certains aspects encore peu détaillés du GDPR, nous nous appuyons sur les travaux du G29 (Groupe de travail Article 29 sur la protection des données). Le G29 est un organe consultatif européen indépendant sur la protection des données et de la vie privée. Les principales missions du groupe de travail sont : 1) Conseiller la Commission européenne et lui donner un avis autorisé, sur toute mesure communautaire ayant une incidence sur les droits et libertés des personnes physiques à l'égard du traitement des données à caractère personnel et de la protection de la vie privée ; 2) Promouvoir une application uniforme des directives européennes au moyen de la coopération entre les autorités de contrôle de la protection des données ; 3) Émettre des recommandations, des règles d'entreprise contraignantes, destinées au grand public.
  • 32. www.aion-solutions.lu Construisons ensemble les expériences digitales de demain