SlideShare une entreprise Scribd logo
Propriété EOLAS + confidentiel
Propriété EOLAS – Document confidentiel
GDPR, INFOGÉRANCE ET CLOUD
2L’exigence digitale
Propriété EOLAS + confidentiel
Règlement général sur la protection des données
Une contrainte…
« … la recherche du Bien Commun passe par la construction d’institutions visant à
concilier l’intérêt individuel et l’intérêt général. »
Jean Tirole Prix Nobel d’Économie 2014. Membre de l’Académie des Sciences Morales et
Politiques.
Mais aussi la protection du « Bien Commun » ?
3L’exigence digitale
Propriété EOLAS + confidentiel
Concrètement, la GDPR?
4L’exigence digitale
Propriété EOLAS + confidentiel
Situation :
●  Hébergement « On Premise » ou
« cloud de 1ère génération »
●  Géré par la DSI interne
●  Sauvegarde sur bande, 1 fois par
semaine.
●  Les bandes mises dans un coffre
Cas d’usage 1 – Equipes Internes / OnPremise
Vos engagements GDPR :
●  La disponibilité en cas d’incident
●  La perte de données (depuis la
dernière sauvegarde)
●  La confidentialité (Vs Gestion des
droits du personnel interne)
●  Traçabilité
●  Surveillance, Alerte et Notification
interne/externe
5L’exigence digitale
Propriété EOLAS + confidentiel
Situation :
●  Hébergement Cloud Public localisé
en Europe.
●  Hébergeur présentant toutes les
garanties GDPR
●  Prestataire infogérance externe
●  Pilotage du prestataire par la DSI
Cas d’usage 2 – Equipes Internes / IAAS
Vos engagements GDPR
●  Le prestataire et ses process sont
fiables et compatibles GDPR
●  Votre environnement et données
sont en sureté (Vs extérieur ET les
autres clients de vos prestataires)
●  La disponibilité de votre plateforme
en cas d’incident est maitrisée
●  Une politique de sauvegarde
efficiente est en place (pour limiter
la perte de données)
●  Le processus d’alerte & notification
est en place et validé régulièrement
6L’exigence digitale
Propriété EOLAS + confidentiel
Situation :
●  Solution SaaS ou Paas fournie par
un éditeur ayant pignon sur rue
●  Solution directement gérée par les
équipes métier (marketing,
communication, …)
Cas d’usage 3 – Equipes Métier / SAAS
Vos engagements GDPR
●  Vous maitrisez toujours vos données et
métadonnées.
‒  Vous appartiennent elles toujours ?
‒  Quel accès l’éditeur permet à vos
données et métadonnées ?
‒  Vous savez où elles sont stockées?
●  Les engagements contractuels de votre
fournisseurs SaaS
‒  Y en a-t-il ?
‒  Ces engagements sont ils compatibles
avec les vôtres ?
‒  Modification en cas d’évolution légale ?
●  La chaîne d’escalade et d’alerte est
maitrisée ? Testée ?
7L’exigence digitale
Propriété EOLAS + confidentiel
Zoom sur les contrats de sous-traitance
●  Le sous-traitant :
‒  Doit présenter des garanties suffisantes et des mesures techniques et organisationnelles.
‒  Doit prendre des engagements contractuels forts par rapports aux garanties
●  Responsabilités :
‒  Même en l’absence d’un contrat signé, les sous-traitants seront désormais partiellement
responsables des traitements de données qu’ils mettent en œuvre pour le compte d’une
entreprise tierce
‒  Les sous-traitants pourront donc être audités voire sanctionnés en cas de non-respect du
GDPR
●  Obligations :
‒  Tenir un registre des traitements de données effectués pour le compte du Client
‒  Mettre en œuvre les procédures et les mesures de sécurité nécessaires et être en mesure
d’informer le responsable de traitement en cas de violation de la sécurité.
‒  Être en mesure de contester les instructions du Client lorsqu’elles sont contraires à la loi
‒  Ne sous-traiter à un autre sous-traitant qu’avec le consentement ou selon les cas,
l’information préalable du responsable de traitement
8L’exigence digitale
Propriété EOLAS + confidentiel
La GDPR à l’épreuve des frontières
●  La GDPR :
‒  Remplace la Directive 95/46/CE
‒  S’applique aux 28 états membres
‒  Le Royaume-Uni a confirmé l’application de GDPR
malgré le BREXIT
‒  S'appliquera aux sociétés non-européennes qui
ciblent les résidents de l'UE par le profilage ou
proposent des biens et services à des résidents
européens
●  Les pays « compatibles » selon la GDPR
‒  La désignation des pays tiers (ou territoires / secteurs), qui fournissent un niveau adéquat de
protection des données
‒  Un mécanisme d'examen périodique, au moins tous les quatre ans. La Commission va
surveiller de manière continue la situation
‒  La GDPR envisage expressément la possibilité d'une abrogation, d'une modification ou d'une
suspension de la décision d'adéquation
●  Les « BCR » (Binding Corporate Rules)
‒  Règles internes pour les groupes internationaux régissant les transferts internes au groupe
‒  Critères uniformes avec Approbation nécessaire par les autorités compétentes
9L’exigence digitale
Propriété EOLAS + confidentiel
La GDPR Vs Patriot Act
●  Pensez « Cloud Souverain » !
Soumis aux lois françaises
Obligatoire pour les collectivités locales
«les collectivités françaises devront impérativement
passer par des prestataires situés sur le territoire
français pour stocker et traiter les données dans le
cloud »
√ La meilleure des protections contre les
opérations « d’intelligence économique »
●  Tous les pays ont des lois qui permettent aux
autorités judiciaires d’accéder aux données
●  Un hébergement en Europe par une société
soumise au droit Européen est une meilleure
assurance de respect de la GDPR. Les
autorités US n’ont pas obligation de se
conformer au Droit Européen
10L’exigence digitale
Propriété EOLAS + confidentiel
Synthèse
N’oubliez pas que :
●  Vous êtes toujours responsable des données que vous collectez
●  Vous devez prouver que vous, et vos prestataires, respectent la GDPR de bout en bout.
Les étapes :
●  Prenez connaissance du lieu où sont hébergées vos
données et de la confiance envers votre prestataire,
ses équipes, la loi du pays…
●  Suivez le cheminement des données pendant le cycle
de vie du processus et assurez vous qu'il est sécurisé
en tous points
●  Validez la gestion des risques en place tout au long
de la chaine de traitement et les procédures de
notification
●  Validez la politique de contrôle d'accès, physique et
logique (qui peut accéder à vos données et dans
quelles circonstances…)
11L’exigence digitale
Propriété EOLAS + confidentiel
En conclusion
Comparer les offres n’est plus seulement une
nécessité.
Choisir un sous-traitant de qualité devient une
obligation.
Propriété EOLAS + confidentiel
Eolas groupe Business & Decision
Grenoble – Paris
www.eolas.fr @BD_Eolas
MERCI
.
Pascal Fouque
@BD_Eolas
pascal.fouque@businessdecision.com

Contenu connexe

Tendances

Simplifiez la sécurisation de vos données par chiffrement transparent
Simplifiez la sécurisation de vos données par chiffrement transparentSimplifiez la sécurisation de vos données par chiffrement transparent
Simplifiez la sécurisation de vos données par chiffrement transparent
Kyos
 
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)
AT Internet
 
RGPD : impacts et guide pratique pour les sous-traitants
RGPD : impacts et guide pratique pour les sous-traitants RGPD : impacts et guide pratique pour les sous-traitants
RGPD : impacts et guide pratique pour les sous-traitants
Kiwi Backup
 
Présentation de Synertic : Hébergement des donnees en mode cloud
Présentation de Synertic : Hébergement des donnees en mode cloudPrésentation de Synertic : Hébergement des donnees en mode cloud
Présentation de Synertic : Hébergement des donnees en mode cloud
Marseille Innovation
 
Directive GPDR/RGPD du 28/11/2017
Directive GPDR/RGPD  du 28/11/2017Directive GPDR/RGPD  du 28/11/2017
Directive GPDR/RGPD du 28/11/2017
Zyxel France
 
Solution sécurité les pours et les contres siveton
Solution sécurité les pours et les contres   sivetonSolution sécurité les pours et les contres   siveton
Solution sécurité les pours et les contres siveton
CLDEM
 
Guide RGPD - IAB France
Guide RGPD - IAB FranceGuide RGPD - IAB France
Guide RGPD - IAB France
Romain Fonnier
 
Alphorm.com Formation Comprendre le RGPD
Alphorm.com Formation Comprendre le RGPDAlphorm.com Formation Comprendre le RGPD
Alphorm.com Formation Comprendre le RGPD
Alphorm
 
earlegal #6 - Caméras et cybersurveillance du travailleur : quelles règles re...
earlegal #6 - Caméras et cybersurveillance du travailleur : quelles règles re...earlegal #6 - Caméras et cybersurveillance du travailleur : quelles règles re...
earlegal #6 - Caméras et cybersurveillance du travailleur : quelles règles re...
Lexing - Belgium
 
earlegal #8 - Caméra - Comment concilier RGPD, loi caméra, droit à l'image et...
earlegal #8 - Caméra - Comment concilier RGPD, loi caméra, droit à l'image et...earlegal #8 - Caméra - Comment concilier RGPD, loi caméra, droit à l'image et...
earlegal #8 - Caméra - Comment concilier RGPD, loi caméra, droit à l'image et...
Lexing - Belgium
 
2011 05 26 Sécurisation des documents électroniques by COMPETITIC
2011 05 26 Sécurisation des documents électroniques by COMPETITIC2011 05 26 Sécurisation des documents électroniques by COMPETITIC
2011 05 26 Sécurisation des documents électroniques by COMPETITIC
COMPETITIC
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des Données
Terface
 
Du Big Data au Smart Data
Du Big Data au Smart DataDu Big Data au Smart Data
Du Big Data au Smart Data
Michel Jaccard
 
Webinar | Le RGPD en pratique et bien outillé
Webinar | Le RGPD en pratique et bien outilléWebinar | Le RGPD en pratique et bien outillé
Webinar | Le RGPD en pratique et bien outillé
Everteam
 
Cnil - Guide Travail
Cnil - Guide TravailCnil - Guide Travail
Cnil - Guide Travail
foxshare
 
earlegal #6 - Comment bien réagir en cas de violation de données (GDPR, NIS, ...
earlegal #6 - Comment bien réagir en cas de violation de données (GDPR, NIS, ...earlegal #6 - Comment bien réagir en cas de violation de données (GDPR, NIS, ...
earlegal #6 - Comment bien réagir en cas de violation de données (GDPR, NIS, ...
Lexing - Belgium
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis Nystek
Pascal ALIX
 
RGPD ! Etes vous en conformité ?
RGPD ! Etes vous en conformité ?RGPD ! Etes vous en conformité ?
RGPD ! Etes vous en conformité ?
OlivierDEKETER
 
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
NP6
 

Tendances (19)

Simplifiez la sécurisation de vos données par chiffrement transparent
Simplifiez la sécurisation de vos données par chiffrement transparentSimplifiez la sécurisation de vos données par chiffrement transparent
Simplifiez la sécurisation de vos données par chiffrement transparent
 
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)
 
RGPD : impacts et guide pratique pour les sous-traitants
RGPD : impacts et guide pratique pour les sous-traitants RGPD : impacts et guide pratique pour les sous-traitants
RGPD : impacts et guide pratique pour les sous-traitants
 
Présentation de Synertic : Hébergement des donnees en mode cloud
Présentation de Synertic : Hébergement des donnees en mode cloudPrésentation de Synertic : Hébergement des donnees en mode cloud
Présentation de Synertic : Hébergement des donnees en mode cloud
 
Directive GPDR/RGPD du 28/11/2017
Directive GPDR/RGPD  du 28/11/2017Directive GPDR/RGPD  du 28/11/2017
Directive GPDR/RGPD du 28/11/2017
 
Solution sécurité les pours et les contres siveton
Solution sécurité les pours et les contres   sivetonSolution sécurité les pours et les contres   siveton
Solution sécurité les pours et les contres siveton
 
Guide RGPD - IAB France
Guide RGPD - IAB FranceGuide RGPD - IAB France
Guide RGPD - IAB France
 
Alphorm.com Formation Comprendre le RGPD
Alphorm.com Formation Comprendre le RGPDAlphorm.com Formation Comprendre le RGPD
Alphorm.com Formation Comprendre le RGPD
 
earlegal #6 - Caméras et cybersurveillance du travailleur : quelles règles re...
earlegal #6 - Caméras et cybersurveillance du travailleur : quelles règles re...earlegal #6 - Caméras et cybersurveillance du travailleur : quelles règles re...
earlegal #6 - Caméras et cybersurveillance du travailleur : quelles règles re...
 
earlegal #8 - Caméra - Comment concilier RGPD, loi caméra, droit à l'image et...
earlegal #8 - Caméra - Comment concilier RGPD, loi caméra, droit à l'image et...earlegal #8 - Caméra - Comment concilier RGPD, loi caméra, droit à l'image et...
earlegal #8 - Caméra - Comment concilier RGPD, loi caméra, droit à l'image et...
 
2011 05 26 Sécurisation des documents électroniques by COMPETITIC
2011 05 26 Sécurisation des documents électroniques by COMPETITIC2011 05 26 Sécurisation des documents électroniques by COMPETITIC
2011 05 26 Sécurisation des documents électroniques by COMPETITIC
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des Données
 
Du Big Data au Smart Data
Du Big Data au Smart DataDu Big Data au Smart Data
Du Big Data au Smart Data
 
Webinar | Le RGPD en pratique et bien outillé
Webinar | Le RGPD en pratique et bien outilléWebinar | Le RGPD en pratique et bien outillé
Webinar | Le RGPD en pratique et bien outillé
 
Cnil - Guide Travail
Cnil - Guide TravailCnil - Guide Travail
Cnil - Guide Travail
 
earlegal #6 - Comment bien réagir en cas de violation de données (GDPR, NIS, ...
earlegal #6 - Comment bien réagir en cas de violation de données (GDPR, NIS, ...earlegal #6 - Comment bien réagir en cas de violation de données (GDPR, NIS, ...
earlegal #6 - Comment bien réagir en cas de violation de données (GDPR, NIS, ...
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis Nystek
 
RGPD ! Etes vous en conformité ?
RGPD ! Etes vous en conformité ?RGPD ! Etes vous en conformité ?
RGPD ! Etes vous en conformité ?
 
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
 

Similaire à GDPR Roadshow Business Decision Eolas - Grenoble 2017

Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?
Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?
Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?
Sollan France
 
Adetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketingAdetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketing
Luc-Marie AUGAGNEUR
 
Les points clés du GDPR ppt
Les points clés du GDPR ppt Les points clés du GDPR ppt
Les points clés du GDPR ppt
Jeanny LUCAS
 
Les points clés du gdpr ppt
Les points clés du gdpr ppt Les points clés du gdpr ppt
Les points clés du gdpr ppt
Jeanny LUCAS
 
La solution externalisée pour les TPE ppt
La solution externalisée pour les TPE  pptLa solution externalisée pour les TPE  ppt
La solution externalisée pour les TPE ppt
Martin Dupuy
 
Les points clés du GDPR
Les points clés du GDPRLes points clés du GDPR
Les points clés du GDPR
Martin Dupuy
 
Comment se mettre en conformité avec le GDPR ?
Comment se mettre en conformité avec le GDPR ?Comment se mettre en conformité avec le GDPR ?
Comment se mettre en conformité avec le GDPR ?
Pramana
 
Règlement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UERèglement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UE
PECB
 
Etapes Pratiques Pour La Mise En Conformité Au GDPR avec Talend
Etapes Pratiques Pour La Mise En Conformité Au GDPR avec TalendEtapes Pratiques Pour La Mise En Conformité Au GDPR avec Talend
Etapes Pratiques Pour La Mise En Conformité Au GDPR avec Talend
Jean-Michel Franco
 
E comm et rgpd
E comm et rgpdE comm et rgpd
Rgpd presentation
Rgpd presentationRgpd presentation
Rgpd presentation
gnizon
 
La solution GDPR externalisée pour les tpe ppt
La solution GDPR externalisée pour les tpe  pptLa solution GDPR externalisée pour les tpe  ppt
La solution GDPR externalisée pour les tpe ppt
Jeanny LUCAS
 
Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018
Pierre Ammeloot
 
Atelier RGPD ANDRH 27.03.18
Atelier RGPD ANDRH 27.03.18Atelier RGPD ANDRH 27.03.18
Atelier RGPD ANDRH 27.03.18
Andrea MARTELLETTI
 
Ti region cloud_computing_vsiveton
Ti region cloud_computing_vsivetonTi region cloud_computing_vsiveton
Ti region cloud_computing_vsiveton
vsiveton
 
Comment se préparer à l'entrée en vigueur du GDPR?
Comment se préparer à l'entrée en vigueur du GDPR?Comment se préparer à l'entrée en vigueur du GDPR?
Comment se préparer à l'entrée en vigueur du GDPR?
Bénédicte Losdyck
 
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
Guillaume VALCIN  - Livre Blanc RGPD - GDPR White Paper Guillaume VALCIN  - Livre Blanc RGPD - GDPR White Paper
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
Guillaume Valcin
 
RGPD et e-santé: transformer les obligations en opportunité
RGPD et e-santé: transformer les obligations en opportunitéRGPD et e-santé: transformer les obligations en opportunité
RGPD et e-santé: transformer les obligations en opportunité
PierreDesmarais6
 
Contrat de sous-traitance - GDPR
Contrat de sous-traitance - GDPRContrat de sous-traitance - GDPR
Contrat de sous-traitance - GDPR
Technofutur TIC
 
[Infographie] Le RGPD - en bref
[Infographie] Le RGPD - en bref[Infographie] Le RGPD - en bref
[Infographie] Le RGPD - en bref
Thinkmarket
 

Similaire à GDPR Roadshow Business Decision Eolas - Grenoble 2017 (20)

Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?
Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?
Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?
 
Adetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketingAdetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketing
 
Les points clés du GDPR ppt
Les points clés du GDPR ppt Les points clés du GDPR ppt
Les points clés du GDPR ppt
 
Les points clés du gdpr ppt
Les points clés du gdpr ppt Les points clés du gdpr ppt
Les points clés du gdpr ppt
 
La solution externalisée pour les TPE ppt
La solution externalisée pour les TPE  pptLa solution externalisée pour les TPE  ppt
La solution externalisée pour les TPE ppt
 
Les points clés du GDPR
Les points clés du GDPRLes points clés du GDPR
Les points clés du GDPR
 
Comment se mettre en conformité avec le GDPR ?
Comment se mettre en conformité avec le GDPR ?Comment se mettre en conformité avec le GDPR ?
Comment se mettre en conformité avec le GDPR ?
 
Règlement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UERèglement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UE
 
Etapes Pratiques Pour La Mise En Conformité Au GDPR avec Talend
Etapes Pratiques Pour La Mise En Conformité Au GDPR avec TalendEtapes Pratiques Pour La Mise En Conformité Au GDPR avec Talend
Etapes Pratiques Pour La Mise En Conformité Au GDPR avec Talend
 
E comm et rgpd
E comm et rgpdE comm et rgpd
E comm et rgpd
 
Rgpd presentation
Rgpd presentationRgpd presentation
Rgpd presentation
 
La solution GDPR externalisée pour les tpe ppt
La solution GDPR externalisée pour les tpe  pptLa solution GDPR externalisée pour les tpe  ppt
La solution GDPR externalisée pour les tpe ppt
 
Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018
 
Atelier RGPD ANDRH 27.03.18
Atelier RGPD ANDRH 27.03.18Atelier RGPD ANDRH 27.03.18
Atelier RGPD ANDRH 27.03.18
 
Ti region cloud_computing_vsiveton
Ti region cloud_computing_vsivetonTi region cloud_computing_vsiveton
Ti region cloud_computing_vsiveton
 
Comment se préparer à l'entrée en vigueur du GDPR?
Comment se préparer à l'entrée en vigueur du GDPR?Comment se préparer à l'entrée en vigueur du GDPR?
Comment se préparer à l'entrée en vigueur du GDPR?
 
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
Guillaume VALCIN  - Livre Blanc RGPD - GDPR White Paper Guillaume VALCIN  - Livre Blanc RGPD - GDPR White Paper
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
 
RGPD et e-santé: transformer les obligations en opportunité
RGPD et e-santé: transformer les obligations en opportunitéRGPD et e-santé: transformer les obligations en opportunité
RGPD et e-santé: transformer les obligations en opportunité
 
Contrat de sous-traitance - GDPR
Contrat de sous-traitance - GDPRContrat de sous-traitance - GDPR
Contrat de sous-traitance - GDPR
 
[Infographie] Le RGPD - en bref
[Infographie] Le RGPD - en bref[Infographie] Le RGPD - en bref
[Infographie] Le RGPD - en bref
 

GDPR Roadshow Business Decision Eolas - Grenoble 2017

  • 1. Propriété EOLAS + confidentiel Propriété EOLAS – Document confidentiel GDPR, INFOGÉRANCE ET CLOUD
  • 2. 2L’exigence digitale Propriété EOLAS + confidentiel Règlement général sur la protection des données Une contrainte… « … la recherche du Bien Commun passe par la construction d’institutions visant à concilier l’intérêt individuel et l’intérêt général. » Jean Tirole Prix Nobel d’Économie 2014. Membre de l’Académie des Sciences Morales et Politiques. Mais aussi la protection du « Bien Commun » ?
  • 3. 3L’exigence digitale Propriété EOLAS + confidentiel Concrètement, la GDPR?
  • 4. 4L’exigence digitale Propriété EOLAS + confidentiel Situation : ●  Hébergement « On Premise » ou « cloud de 1ère génération » ●  Géré par la DSI interne ●  Sauvegarde sur bande, 1 fois par semaine. ●  Les bandes mises dans un coffre Cas d’usage 1 – Equipes Internes / OnPremise Vos engagements GDPR : ●  La disponibilité en cas d’incident ●  La perte de données (depuis la dernière sauvegarde) ●  La confidentialité (Vs Gestion des droits du personnel interne) ●  Traçabilité ●  Surveillance, Alerte et Notification interne/externe
  • 5. 5L’exigence digitale Propriété EOLAS + confidentiel Situation : ●  Hébergement Cloud Public localisé en Europe. ●  Hébergeur présentant toutes les garanties GDPR ●  Prestataire infogérance externe ●  Pilotage du prestataire par la DSI Cas d’usage 2 – Equipes Internes / IAAS Vos engagements GDPR ●  Le prestataire et ses process sont fiables et compatibles GDPR ●  Votre environnement et données sont en sureté (Vs extérieur ET les autres clients de vos prestataires) ●  La disponibilité de votre plateforme en cas d’incident est maitrisée ●  Une politique de sauvegarde efficiente est en place (pour limiter la perte de données) ●  Le processus d’alerte & notification est en place et validé régulièrement
  • 6. 6L’exigence digitale Propriété EOLAS + confidentiel Situation : ●  Solution SaaS ou Paas fournie par un éditeur ayant pignon sur rue ●  Solution directement gérée par les équipes métier (marketing, communication, …) Cas d’usage 3 – Equipes Métier / SAAS Vos engagements GDPR ●  Vous maitrisez toujours vos données et métadonnées. ‒  Vous appartiennent elles toujours ? ‒  Quel accès l’éditeur permet à vos données et métadonnées ? ‒  Vous savez où elles sont stockées? ●  Les engagements contractuels de votre fournisseurs SaaS ‒  Y en a-t-il ? ‒  Ces engagements sont ils compatibles avec les vôtres ? ‒  Modification en cas d’évolution légale ? ●  La chaîne d’escalade et d’alerte est maitrisée ? Testée ?
  • 7. 7L’exigence digitale Propriété EOLAS + confidentiel Zoom sur les contrats de sous-traitance ●  Le sous-traitant : ‒  Doit présenter des garanties suffisantes et des mesures techniques et organisationnelles. ‒  Doit prendre des engagements contractuels forts par rapports aux garanties ●  Responsabilités : ‒  Même en l’absence d’un contrat signé, les sous-traitants seront désormais partiellement responsables des traitements de données qu’ils mettent en œuvre pour le compte d’une entreprise tierce ‒  Les sous-traitants pourront donc être audités voire sanctionnés en cas de non-respect du GDPR ●  Obligations : ‒  Tenir un registre des traitements de données effectués pour le compte du Client ‒  Mettre en œuvre les procédures et les mesures de sécurité nécessaires et être en mesure d’informer le responsable de traitement en cas de violation de la sécurité. ‒  Être en mesure de contester les instructions du Client lorsqu’elles sont contraires à la loi ‒  Ne sous-traiter à un autre sous-traitant qu’avec le consentement ou selon les cas, l’information préalable du responsable de traitement
  • 8. 8L’exigence digitale Propriété EOLAS + confidentiel La GDPR à l’épreuve des frontières ●  La GDPR : ‒  Remplace la Directive 95/46/CE ‒  S’applique aux 28 états membres ‒  Le Royaume-Uni a confirmé l’application de GDPR malgré le BREXIT ‒  S'appliquera aux sociétés non-européennes qui ciblent les résidents de l'UE par le profilage ou proposent des biens et services à des résidents européens ●  Les pays « compatibles » selon la GDPR ‒  La désignation des pays tiers (ou territoires / secteurs), qui fournissent un niveau adéquat de protection des données ‒  Un mécanisme d'examen périodique, au moins tous les quatre ans. La Commission va surveiller de manière continue la situation ‒  La GDPR envisage expressément la possibilité d'une abrogation, d'une modification ou d'une suspension de la décision d'adéquation ●  Les « BCR » (Binding Corporate Rules) ‒  Règles internes pour les groupes internationaux régissant les transferts internes au groupe ‒  Critères uniformes avec Approbation nécessaire par les autorités compétentes
  • 9. 9L’exigence digitale Propriété EOLAS + confidentiel La GDPR Vs Patriot Act ●  Pensez « Cloud Souverain » ! Soumis aux lois françaises Obligatoire pour les collectivités locales «les collectivités françaises devront impérativement passer par des prestataires situés sur le territoire français pour stocker et traiter les données dans le cloud » √ La meilleure des protections contre les opérations « d’intelligence économique » ●  Tous les pays ont des lois qui permettent aux autorités judiciaires d’accéder aux données ●  Un hébergement en Europe par une société soumise au droit Européen est une meilleure assurance de respect de la GDPR. Les autorités US n’ont pas obligation de se conformer au Droit Européen
  • 10. 10L’exigence digitale Propriété EOLAS + confidentiel Synthèse N’oubliez pas que : ●  Vous êtes toujours responsable des données que vous collectez ●  Vous devez prouver que vous, et vos prestataires, respectent la GDPR de bout en bout. Les étapes : ●  Prenez connaissance du lieu où sont hébergées vos données et de la confiance envers votre prestataire, ses équipes, la loi du pays… ●  Suivez le cheminement des données pendant le cycle de vie du processus et assurez vous qu'il est sécurisé en tous points ●  Validez la gestion des risques en place tout au long de la chaine de traitement et les procédures de notification ●  Validez la politique de contrôle d'accès, physique et logique (qui peut accéder à vos données et dans quelles circonstances…)
  • 11. 11L’exigence digitale Propriété EOLAS + confidentiel En conclusion Comparer les offres n’est plus seulement une nécessité. Choisir un sous-traitant de qualité devient une obligation.
  • 12. Propriété EOLAS + confidentiel Eolas groupe Business & Decision Grenoble – Paris www.eolas.fr @BD_Eolas MERCI . Pascal Fouque @BD_Eolas pascal.fouque@businessdecision.com