SlideShare une entreprise Scribd logo
Conformité RGPD
Construire	le	futur	de	la	sécurité	des	données,	un	avantage	concurrentiel
Avec une politique
adaptée et les
dispositions légales
2016 2020
€300 Md €729 Md
6.1
millions
d’emploi
10.3
millions
d’emploi
PIB PIB1,99 3,74%%
Source	:	IDC	Europeean	Data	Market	Study
Le Marché Européen de la donnée
La	confiance	numérique Valeur	économique	de	la	donnée
Valeur	des	produits	et	services	
de	la	données
72% des internautes
estiment qu’on leur
demande encore trop de
données
255 000 en 2016
50 milliards d’euros en 2016
359 000 en 2020
111 milliards en 2020
Source	:	IDC	Europeean	Data	Market	Study
Le Marché de la donnée
20%
15%
15%
10%
10%
10%
5%
5%
5%5%
50%
Part
Exercice des droits
Pilotage du programme
Privacy By Design
Politiques, directives et organisation
Information des personnes et consentement
Encadrement des transferts
Communication, formation, sensibilisation
Amélioration des mesures de sécurité
Registre et principes associés
Contrôles et Audit
10 CHANTIERS RGPD
QUI CONCENTRENT
LES
INVESTISSEMENTS...
Répartition du budget
par chantier
ASSURANCE
+ de 40 Business Units
Près de 300 acteurs
sollicités Pilotage en
central par 4 ETP
BANQUE
~ 50 entités
Plus de 250 acteurs
sollicités Pilotage en
central par 3 ETP
Source	:	Wavestone
Programme RGPD en chiffres
§ Le	renforcement	de	mesures	destinées	à	
augmenter	le	niveau	de	protection	des	
individus
Analyse Marché
§ Des	innovations	technologiques	de	plus	
en	plus	rapides	et	disruptives	
nécessitant	une	remise	en	cause	
fréquente	des	processus	et	des	outils	
de	l’entreprise
§ Une	internationalisation	des	échanges	plus	
marquée	qu’auparavant,	qui	nécessite	la	prise	
en	compte	de	règles	juridiques	plus	
nombreuses	et	parfois,	difficilement	(voire	
non)	compatibles	entre	elles
Les défis numériques de l’UE
Solvency IIUDIBCBS 239 Meaningful Use
Nov.	2012
L'agrégation	des	
données	de	
risque
Sept.	2013
Identifier	les	
instruments	
médicaux
Nov.	2009
Le	Bâle	II
Des	assurances
Fonds	Propres
Début	2011
Programme	
d’incitation	
financière	EHR
Mécanismes	de	conformité	pouvant	s’interfacer	avec	la	RGPD
GDPR
Mai	2016
La	protection	des	
données	
personnelles
La convergence conformité
§ GVA veut garantir à tous ces clients que se
conformer aux exigences de cette nouvelle
règlementation apporte un avantage
concurrentiel aux, secteurs publiques,
grands comptes et PME
§ Cette nouvelle offre, est un puissant moyen
d’élargir les fondations économiques,
culturelles et sociétales autour d’une
démarche innovante et originale
§ Bâtir une filière d’excellence EXQUALIBUR,
Excellence qualité au bureau et devenir
ainsi l’acteur de confiance de la protection
des données
Objectif de l’offre
RGPD
GDPR
Génération	de	revenues
§ Amandes	de	2%		ou	4%	sur	le	CA	Global	
§ Impact	sur	l’Image
§ Exigences	règlementaires
§ Protection	renforcée
§ Gestion	des	traitements	stratégiques
§ Accélérateur	pour	le	cloud
§ Accélérateur	pour	la	sécurité	et	la	
conformité
Fidélisation	à	la	marque	et	exploration	de	données	pour	l'amélioration	du	service	à	la	clientèle	et	l'exploitation	des	données
Valeur ajoutée commerciale
§ Pour réaliser ce projet de
mise en conformité́ GDPR
dans
les temps, quelles actions
prioritaires retenez-vous ?
§Au plan organisationnel,
comment abordez-vous la
mise en conformité́ GDPR ?
§Précisément, en tant que
RSSI, quels choix avez-vous
adopté pour réaliser la mise
en conformité́ avec l’esprit
des textes du GDPR ?
§Quelle approche proposez-
vous pour aborder la
problématique liée à la
définition des données à
caractère personnel au sein du
Groupe et de l’ensemble de ses
sociétés ?§A l’issue de ce diagnostic
réalisé, avez- vous pu réfléchir
à différents points dont la
capitalisation de l’existant ?
Sondage métier RGPD
Aucune	donnée	à	caractère	
personnel	n'est	collectée	au-
delà	du	strict	minimum	
nécessaire	à	chaque	finalité	du	
traitement
Aucune	donnée	à	caractère	
personnel	n'est	conservée	au-
delà	du	strict	minimum	
nécessaire	à	chaque	finalité	du	
traitement
Aucune	donnée	à	caractère	
personnel	n'est	traitée	au-delà	
du	strict	nécessaire	de	la	
finalité	du	traitement
Aucune	donnée	à	caractère	
personnel	n'est	divulguée	à	des	
tiers	commerciaux
Aucune	donnée	à	personnel	
n’est	vendue	ou	louée	à	des	
tiers
Aucune	donnée	à	caractère	
personnel	n'est	conservée	sans	
encryption
Data Matrix
Framework
Avant	de	commencer	
la	mise	en	conformité	
voici	les	questions	
standards	à	se	poser
Analyse des écarts
CNIL / GDPR
Questions
clés à poser
Data Centric
§ Organisation adaptée
§ La GDPR prévoit pour tout organisme publique et entreprise
de plus de 250 salariés, la désignation d’un délégué
§ Collaboration transversale
§ Métiers, Développeurs, Analystes, Juristes, DSI
§ Déclinaison du programme aux tiers
§ Les sous-traitants pourront être tenus co-responsables
§ Déployer la politique et les procédures
§ Le dispositif repose sur un ensemble de règles de
conformité claires qui nécessites des procédures
adaptées` et partagées au sein de l’organisation, mais
également connues et contrôlées pour s’assurer de leur
application
Méthodes et approches
Ayants	droits Champs	/	Obligations Framework
* Lorsque	le	traitement	repose	sur	le	
consentement	comme	base	pour	le	
traitement	légal,	ce	consentement	doit	être	
donné	gratuitement,	sans	ambiguïté,	informé,	
spécifique,	séparable	d'autres	documents	et	
facile	à	révoquer
* Droits	existants:
- Droit	d’accès
- Droit	d'objection
- Droit	de	rectification
* Nouveaux	droits:
- Droit	d'effacer
- Droit	de	restreindre	le	traitement
- Droit	à	la	portabilité	des	données
- Droit	de	ne	pas	être	soumis	à	la	prise	de	
décision	automatisée
* La	confidentialité	des	données	doit	être	
prise	en	compte	dans	tous	les	projets,	
produits,	services,	processus,	systèmes,	etc.	
dès	la	phase	de	développement	et	pendant	
tout	le	cycle	de	vie
* Le	contrôleur	doit	effectuer	PIA	si	le	
traitement	est	susceptible	de	causer	un	risque	
élevé	aux	droits	et	libertés	des	individus
* Mesures	de	sécurité
* Identification	des	infractions	de	données,	
analyse	de	risque	et	plan	d'intervention
* Notification	aux	autorités	de	protection	
des	données,	mais	aussi	à	l'individu	affecté	si	
un	risque	élevé	pour	les	droits	et	libertés	est	
impliqué
* Des	informations	complètes	et	claires	sur	
le	traitement	doivent	être	fournies	par	les	
contrôleurs	aux	particuliers
* Assurer	et	démontrer	la	conformité	avec	le	
GDPR	à	tout	moment	(responsabilisation)
* Mettre	en	place	une	gouvernance	claire,	y	
compris	la	nomination	d’un	agent	de	
protection	des	données	(DPD/DPO)	et	mettre	
en	place	un	cadre	approprié	de	surveillance	
de	la	conformité
* Conserver	les	registres	du	traitement
* La	GDPR	s’applique	aux	traitements	de	
données	à	caractère	personnel	concernant	un	
Etat	membre	de	l’union	par	les	organisations	
dans	et	en	dehors	de	l’UE
* Aucun	transfert	de	données	personnelles	
en	dehors	de	l’UE,	à	moins	que	certaines	
conditions	ne	soient	remplies	ou	que	des	
mécanismes	soient	utilisés	(BCR)
* Les	contrôleurs	doivent	inclure	dans	leurs	
contrats	la	liste	élargie	de	leurs	sous-traitants
* Certains	aspects	du	GDPR	sont	maintenant	
directement	applicables	aux	sous-traitants
*	Le	règlement	s’applique	au	traitement	
Données	CP*,	automaisé,	en	parie,	ou	non	
automaisé	contenues	ou	appelées	à	figurer	
dans	un	fichier.
DCP*	Données	à	caractère	personnel
Les piliers de la RGPD
Du	bon	sens
Une méthodologie basée sur
les suggestions matures de la
CNIL
Analyse de	l’existant
Mener un état des lieux de ses
clients au travers d’un
questionnaire
Sur	mesures
Ajuster son dispositif conseil
en fonction des résultats de
l’analyse de l’existant
Une compétence
Formaliser son offre de service au
travers d’une démarche, d’une
méthode (cadre et outils) et sa
politique de servuction
Les points clés de la démarches
Obligations
Etablir	les	registres
Assurer	une	gouvernance	
des	données	(Audit,	
Processus	et	contrôle)	par	un	
DPO,	Démontrer	la	mise	en	
conformité	n ’importe	quand
Privacy	By	design
La	confidentialité	des	
données	doit	être	prise	en	
compte	dans	tous	les	projets,	
produits,	services,	processus,	
systèmes,	etc.	dès	la	phase	
de	développement	et	
pendant	tout	le	cycle	de	vie
DPIA
Le	contrôleur	doit	effectuer	
une	analyse	du	risque	
encouru	sur	le	traitement	est	
susceptible	de	causer	un	
risque	élevé	au	regard	des	
droits	et	libertés	des	
personnes
Approche canonique
Obligations	(DPO)DPIA	- EIVPPrivacy	By	design
Désigner	un	Délégué
Etablir	les	registres	et	
cartographier	les	traitements
Constituer et regrouper la
documentation nécessaire
Recueil du consentement
Informations	et	Notifications
Accomplir	les	modalités	de	
transferts	hors	UE,	Règles	
Internes,	Audit	et	Contrôles
Evaluer	la	conformité
Description	du	contexte	du	
traitement
Mesures	de	nature	
règlementaire	et	préventive
Etude	des	atteintes	potentielles	
(Source,	Scenarios,	Menaces,	
Réduction)
Validation	(Objectif,	Plan,	
Formalisme)
Organisation	(projets,	Processus,	IT)
Maitrise	des	données	(Stockage,	
Anonymisation,	Demandes,…)	
en	environnement	de	
développement,	Qualification,	
Production
Gestion	des	Incidents	(DB,	..)
Bonnes	Pratiques
Gestion	des	tiers
Big Data,	Architectures
Approche Modélisée
L’approche en 6 étapes - CNIL
Par	Guillaume	VALCIN	– Aout	2017	– DRAFT	– Non	Validé
Avant
Désigner	un	Pilote
Cartographier	systèmes
Prioriser	les	actions
Gérer	les	risques
Organiser	la	conformité
Documenter
Pour mesurer concrètement l’impact de la GDPR commencez par recenser
l’ensemble de vos traitement de données, élaborer un registre des traitements
A partir du registre, identifier les actions pour vous conformer aux obligations,
prioriser ces actions au regard des risques que font peser vos traitements
Pour chacun des traitements comportant des risques jugés élevés vous devez
procéder à une analyse d’impact sur la protection des données
Mettre en place les processus internes qui garantissent la prise en compte de la
protection des données à tout moment
Pour prouver la conformité, vous devez constituer et regrouper la
documentation nécessaire, les documents doivent être contrôlés et réactualisés
Le DPD/DPO, remplace le CIL, responsable de l’accompagnement et du
contrôle interne de la protection des données
Méthode
Désigner	un	Pilote
Le DPD/DPO, remplace le CIL, responsable de
l’accompagnement et du contrôle interne de la protection
des données
Vous avez désigné un pilote au sein de votre structure chargé de
mettre en œuvre la conformité (lettre de mission) en lui affectant les
ressources nécessaires
Vous lui avez affecté les moyens humains et financiers nécessaires
pour mettre en œuvre ses missions
CNIL,	la	méthode,	Les	jalons	clés	du	succès	
Vous avez rencontré les entités qui traitent de données personnelles
Vous avez établi la liste des traitements par finalité
Vous avez identifié tous les acteurs
Vous connaissez tous les flux et les unités de stockage et combien de temps
elles sont conservées
Pour mesurer concrètement l’impact de la GDPR
commencez par recenser l’ensemble de vos traitement
de données, élaborer un registre des traitements
Cartographier	
systèmes
A partir du registre, identifier les actions pour vous conformer aux
obligations, prioriser ces actions au regard des risques que font
peser vos traitements
Prioriser	les	
actions
Vous avez mis en place les premières mesures pour protéger les
personnes contre vos traitements et identifié les traitements à risque
(PbD)
Etapes
Vous avez désigné un pilote au sein de votre structure chargé de
mettre en œuvre la conformité (lettre de mission) en lui affectant les
ressources nécessaires
Vous lui avez affecté les moyens humains et financiers nécessaires
pour mettre en œuvre ses missions
CNIL,	la	méthode,	Les	jalons	clés	du	succès	
Votre documentation démontre que vous respectez les
obligations prévues par le règlement général de la protection
des données
Votre documentation démontre que vous respectez les
obligations prévues par le règlement général de la
protection des données
Gérer	les	risques
Pour chacun des traitements comportant des risques jugés élevés vous
devez procéder à une analyse d’impact sur la protection des données
Organiser	la	
conformité
Mettre en place les processus internes qui garantissent la prise
en compte de la protection des données à tout moment
Documenter
Pour prouver la conformité, vous devez constituer et regrouper la
documentation nécessaire, les documents doivent être contrôlés et
réactualisés
Etapes
Prendre	en	compte	: la	protection	des	données	dès	la	conception	d’une	application	
ou	d’un	traitement	(minimisation,	cookies,	durée	de	conservation,	mentions	légales,	
recueil	du	consentement,	CIDT,	responsabiliser	des	acteurs	dans	la	mise	en	œuvre
Sensibiliser :	prévoir	un	plan	de	sensibilisation,	formation,	acculturation	sur	la	
politique	et	les	usages	de	la	protection	des	données
Traiter :	Les	demandes	des	personnes	concernées	(droit	d’accès,	d’opposition,	de	
portabilité,	d’altération,	retrait	du	consentement)
Anticiper	: les	violations	des	droits	et	libertés	des	personnes,	prévoir	dans	certains	
cas	une	notification	dans	les	72	heures,	auprès	des	autorités	et	des	personnes	
concernées
Organiser les processus
Les	documents	sur	vos	traitements
Le	registre	des	traitements
Les	Analyses	d’impact	(DPIA)
Les	procédures	d’encadrement	des	données
Les	documents	relatifs	aux	personnes
Les	mentions	légales
Les	modèles	de	recueil	de	consentement
Les	procédures	mises	en	place	pour	
l’exercice	des	droits	des	personnes
Les	documents	relatifs	aux	responsabilités
Les	contrats	avec	les	sous-traitants
Les	procédures	internes	en	cas	d’incident
La	preuve	des	consentements
ASSISTANCE
TECHNIQUE
ASSISTANCE
TECHNIQUE
ASSISTANCE
TECHNIQUE
SYNACK
EN	DIRECT
CABINET
PARTENAIRE
CABINET
PARTENAIRE
Documenter
Traitement des	données
• Le	registre	de	traitement	des	
données
• Les	analyses	d’impact	sur	la	
protection	des	données
• L’encadrement	des	transferts
Information	des	personnes
• Les	mentions	d’information
• Les	modèles	de	recueil	du	
consentement	des	personnes	
concernées
• Les	procédures	mises	en	place	
pour	l’exercice	des	droits
Traitement des	données
• Le	registre	de	traitement	des	
données
• Les	analyses	d’impact	sur	la	
protection	des	données
• L’encadrement	des	transferts
Information	des	personnes
• Les	mentions	d’information
• Les	modèles	de	recueil	du	
consentement	des	personnes	
concernées
• Les	procédures	mises	en	place	
pour	l’exercice	des	droits
Les	contrats	qui	définissent	les	rôles	
et	les	responsabilités	des	acteurs
• Les	contrats	avec	les	sous-
traitants
• Les	procédures	internes	en	cas	de	
violation	des	données
• Les	preuves	que	les	personnes	
concernées	ont	donné	leur	
consentement
Livrables
Pour	que	votre	conformité	se	déroule	bien,	n’en	faites	pas	tout	un	film	
GDPR MOVIE
Evaluation	de	La	Mise	en	Conformité	GDPR
catégorie Périmètre Sous-Périmètre Très	élevé Elevé Moyen intermédiaire Faible Score
Gouvernance
répondre
Assurance	(gestion	des	enregistrements	de	données	personnelles	et	
sécurité)
Répondre	aux	personnes	concernées
Répondre	et	signaler	un	litige	/	une	enquête	réglementaire
Inventaire
Modèles	de	traitement	de	données
Inventaire	des	données	personnelles	/	Sensibles
Inventaire	des	Systèmes	et	applications	
politique
Gestion	des	politique
Protection	des	données	personnelles
Gestion	des	enregistrements
Architecture Intégration	du	Privacy	By	default	/	By	Design
Obligations Cartographie	des	flux
Responsabilité	(Accountability)
GRC
DPIA	(Analyse	d’impact	sur	les	données,	groupe	de	données,	et	
traitements
Analyse	des	risques	et	
remédiation
Programme	Analyse	des	écarts	(GAP	Analysis)
Très	élevé Elevé Moyen intermédiaire Faible Score
Traitement et gestion du cycle de vie de
la donnée
consentement
Structure	et	Management	des	consentements
Obtention	de	la	méthodologie	et	de	la	couverture
Cartographie	et	Traitements
Découverte	des	données
Précision
Limitation	des	objectifs	du	traitement
Minimisation	des	données
Transformation	/	Transfert
Pseudonymisation/Anonymisation
Limitation	du	stockage
Contrôle	du	transfert	/	BCR
Use / Share Licéité	:	traitement	légal	et	transparent
Base	Légale	du	traitement	des	données
Exigences	contractuelles
Archivage Gestion	de	la	retention	des	données
Gestionde	l’archivage
Droits des individus Droits	des	individus
Gestion des
enregistrements
Gestion des enregistrements pour les données personnelles
Cartographie des flux de données
Gestion des enregistrements pour les traitements de données
personnelles
Très	 élévé Elevé Moyen intermédiaire Faible Score
Sécurité Notifications Notification pour les autorités de régulation (CNIL)
Notification pour les individus impactés
Sécurité des données Encryption de données / Pseudonymisation
Sécurité des données (Serveur, Unité de stockage, …)
Gestion des clées de chiffrement
Maturité et plan d’actions
Maturité
Preuve
+
Contrôle	des	mesures	
juridiques	et	
techniques
labellisation	
Protection	de	la	vie	
privée	+	Codes	de	
conduite
+
Certification
Intégration	des	DCP	
dans	les	projets
(Privacy	By	Design)
+
+	EIVP/DPIA
+	Privacy	By	Design
respect	des	droits	de	
la	PC
+
Plan	d'assurance	
Sécurité
+
Adjonction	d'outils	SSI
(Security	By	Default)
Registre	de	traitement	
des	données
Politique	et	Cadre	de	
gouvernance
Faible Moyenne
Pratique	de	Base	prise	
en	compte	par	
l'organisme
Forte
Pratique	de	base	mise	
en	œuvre	de	façon	
partielle
Pratique	inexistante
Processus	défini,	
décrit,	adapté	à	
l'organisme,	
généralisé	et	bien	
compris	par	le	
management	et	par	
les	exécutants
Processus	coordonné	
et	contrôlé	à	l'aide	
d'indicateurs	
permettant	de	
corriger	les	défauts
1 2 3 4 5
Mai	- 2018Temps
Sensibilisation,	Formation,	Directions,	Métiers
+
Utilisateurs,	Nomination	du	Chef	de	Projet,	CIL/DPO
CONNAISSANCE
Périmètre
Responsabilité
Gestion	de	risque
Coût
Votre S.I. possède de nombreux composants technologiques complexes,
dont beaucoup possèdent les architectures de sécurité propriétaires. Une
connaissance spécialisée de chaque composant est nécessaire pour
garantir une sécurité de sécurité adéquate des systèmes et des
applications
Votre S.I. est seulement aussi fort que son composant le plus faible. Focus
a toujours été sur l'instance / client productif, mais il doit maintenant être
étendu à une dimension holistique pour fournir une plate-forme résiliente
et sécurisée pour le traitement des données personnelles.
Décider quels risques doivent être atténués et Comment est souvent
artisanal - décision en temps utile sur le déploiement de notre outils
publié chaque mois qui affecte le le S.I. et comment prioriser les activités
d'assainissement.
L'automatisation de l'évaluation de l'ensemble du S.I. est coûteuse. Sans
automatisation, il devra être évalué régulièrement, laissant ainsi la brèche
de l’erreur humaine.
Défis techniques
Conformité
Contrôle
efficace
Automatisation
Population
Processus
Technologie
Gouvernance	de	confidentialité	des	données	– Briques	principales	et	facilitateurs
Pour	assurer	une	conformité	durable,	les	projets	de	gestion	d'identification	et	d'accès	devraient	se	
concentrer	sur	les	trois	dimensions:	personnes,	processus	et	technologie
Gouvernance
de	la	vie	privée
Politiques,	normes	et	stratégie	de	sécurité
Technologies
Processus	du	
cycle	de	vie	des	
données	privées
Gestion	des	
accès	et	
administration	
des	Processus
Processus	de	
gestion	de	la	
sécurité
Démontre Affecte
Supporté
par
Fait	
appliquer
Appuie
agit
Le	modèle	de	gouvernance	soutien	les	changements	et	l'application	des	politiques	et	contribue	à	accélérer	
l'adoption	de	contrôles	adéquats	et	efficaces
Implémentation RGPD
Outils
Outils
Outils
Outils
Outils
Outils
Outils
Outils
Outils
Outils
Outils
Outils
Outils
Gouvernance,	politiques,	règles	et	documentation
Sécurité	opérationnelle
Minimisation	des	données
Protection	opérationnelle	des	données
Surveillance	des	activités	liées	aux	données
Gestion	des		incidents	et	des	violations
RTBF	/	Gestion	des	consentements
Brouillage	:	Anonymisation	et/ou	Masquage
Chiffrement	des	données
Stockage	/	Suppression	/	Archivage
Transfer	/	Modification	/	Restitution
Applications
Infrastructures	et	périphériques
Revues	d’architecture
Entrepôts	de	données
Données	structurées
Données	non	structurées
Outils
Outils
Outils
Outils
Outils
Mise	en	conformité
RGPD
GAP	ANALYSIS
T0	RGPD
Processus	métiers
Consentements
Protection	des	données
Accountability
Privacy	By	Default
Inventaire/Registre
Couche	gouvernance
Politiques
Métadonnées
Gestion	de	la	conformité
Couche	Gestion	des	
données
Gestion	des	
informations	sur	le	cycle	
de	vie
Couche		conformité	&	Sécu
Sécurité	et	Vie	Privée
Informations	légales
Gestions	des	droits		
individus
Politique	de	
gouvernance
Gouvernance	des	
données
Découverte	des	
données	et	
classification
Accès	au	données Brouillage
IAM
Filtrage
De	contenu
Surveillance
Sur	les	données	
stockées	en	base	et	
sur	les	répertoires
Vulnérabilités
BD,	Apps,	Infra
Réponse	à
Incident
Gestion	des	
incidents
Reporting
AC/CO
Droits
DCP
LEG
PbD
Données
Sensibles
RSSI,	DPO,	CPO
Conformité
Juridique
AC	:	Accountability ;	CO	:	Conformité	;	DCP	:	Données	à	caractère	personnel	;	LEG	:	Légal	;	PbD :	Privacy	By	Design
DBA/AdminUtilisateur
RGDP en pratique
Information
Governance
catalog
Information
Analyzer
Identify
Governance
Intelligence
Application
Scanner
§ Etat	des	lieux	des	pratiques
§ Connaitre	les	couts	et	les	objectifs
§ Privacy	By	Design	:	Mesures	existantes
§ Evaluation	des	impacts	
DPIA
§ Définir	les	priorités	+	paralléliser	
les	tâches	+	tâches	manquantes
Phase	1 :	analyse	préalable
Etude	d’opportunité
Etat	des	lieux
Etudes	des	options	(politique	et	périmètre)
Phase	2	:	Mise	ne	place	de	la	structure	de	base
Gouvernance	de	la	sécurité
Documentation
Audit	Interne	et	suivi	des	actions
Formation	et	sensibilisation
Indicateurs	
Phase	3	:	Mise	ne	place	des	processus
Appréciation	des	risques
Mise	à	jour	des	mesures	existantes
Ajout	de	mesures	manquantes
Revue
Phase	4	:	Démarrage
Revue
Préparation	de	l’audit
Audit	à	blanc
Plan	de	remédiation
Dépendances
§ Privacy	By	Design	:	Nouvelles	mesures
Time Line
Cycle de vie PDP
DPD/DPO
Chargé	de	
piloter	la	mise	
en	conformité	
des	traitements	
DCP*
Destinataire
Chargé	de	
recevoir	une	
communication	
des	DCP
Ayants
Droits
Directement	
concerné	par	les	
données	traitées	
et	couvert	par	
des	droits
Responsable
Commandite	les	
traitements	de	
DCP
Sous-Traitant
Met	à	disposition	
tout	ou	partie	des	
moyens	de	
traitements	DCP
Autorités
Chargé	du	
contrôle	de	
conformité	et	des	
pénalités	ou	
sanctions
Qui	intervient	dans	
la	conformité	RGDP	?
RGPD
GDPR
Les acteurs de la RGPD
Surveillance	et	Enregistrement
Email
Applications
Périphériques
Réseaux
Cloud	/	Big Data
Où	sont	localisés	les	DCP Traitement Où	vont	ces	données Politique	applicable
Nécessité	de	suivre	les	données	personnelles	tout	au	long	du	cycle	de	vie	- à	la	fois	en	repos	(stockage)	et	en	mouvement	(utilisation)
Alerte
•	Détection
Notifier
•	Conscience
Rapide
•	Intention
Chiffrer
•	Protection
Bloc
•	Protection
Masque
•	Dois	savoir
Données	non	
structurées
•	Lire
•	Écrire
•	Copier	/	coller	•	
Déplacer
•	Impression
•	Brûler
•	Télécharger
Données	structurées
•	Voir
•	Modifier	•	
Supprimer	•	Extraire
Découverte
•	Ordinateurs	de	bureau	
•	Serveurs
•	Stockage
Classification
•	Etiquetage
Contenu
•	Similitude	
•	Mot-clé	
•	Dictionnaire
Contexte
•	Serveur
•	Application
•	Type	de	fichier
•	Utilisateur
L’enchainement
de la classification des données
Indice Libellé Données
4 Secret
Informations	nominatives :	
- Informations	de	santé :	pathologie,	antécédents	familiaux,	observation	médicale,
- situations	ou	comportements	à	risques
- Informations	relatives	aux	infractions,	condamnations	ou	mesures	de	sûreté	(infractions,	condamnations,	mesures	de	sécurité)
- Informations	relatives	à	des	suspicions	de	fraudes	ou	d’infractions
- Origines	raciales	ou	ethniques,	opinions	politiques,	philosophiques,	religieuses,	appartenances	syndicales	des	personnes,	la	vie	sexuelle
Informations	non	nominatives :
- Informations	liées	à	l’organisation	et	à	la	stratégie	de	l’organisme,	dont	la	révélation	aurait	un	impact	négatif	sur	la	conduite	de	ses	missions
- Informations	liées	aux	mécanismes	de	fraudes	et	aux	failles	ou	vulnérabilités	de	sécurité,	dont	la	révélation	pourrait	être	exploitée	pour	nuire	aux	
missions	de	l’organisme
3 Confidentiel
Toute	information	nominative	ne	rentrant	pas	dans	la	classe	« secret »	et	notamment :
- NIR,	Etat-civil,	identité,	données	d’identification	(nom,	prénom,	adresse,	photographie,	date,	lieu	de	naissance),
- Appréciation	sur	les	difficultés	sociales	des	personnes
- Informations	d’ordre	économique	et	financière	(revenus,	situation	financière)
- Vie	personnelle :	habitude	de	vie,	situation	familiale	et	sociale
- Vie	professionnelle :	CV,	Situation	professionnelle,	Scolarité,	formation,	Distinction
- Informations	biométriques :	contour	de	la	main,	empreintes	digitales,	réseaux	veineux,	iris	de	l’œil,	reconnaissance	faciale,	reconnaissance	vocale,	
autre	procédé
2 Restreint
- Données	de	localisation	(déplacement,	données	GPS,	GSM,	etc)	par	satellite,	par	téléphone	mobile	ou	autre
(adresse	IP,	logs,	etc)
- Identifiants	des	terminaux,	Identifiants	de	connexions,	Information	d’horodatage…
- procédures,	description	de	processus,	instructions,	Intranet
- enregistrements	non	nominatifs	(dates,	heures,	actions,	états,	etc.)
- informations	personnelles	que	le	salarié	a	identifié	explicitement	comme	telles	dans	le	système	d’information	- Données	de	connexion
1 Public Informations	ayant	vocation	à	être	publiées :	éditoriaux,	publication	Extranet,	statistiques	publiables,	campagnes	de	communication,	etc.
Cartographie des DCP
Attributs Acteurs
Conformité Juriste Risque Data Officer Data	Domain	Manager SSI
Evaluation	des	impacts
Réglementaire	&	Juridique C C I A R
Financier C C I A R
Métier C I CA R
Médiatique C C I CA R
Evaluation	des	impacts	pour	l’individu
Préjudice	potentiel C I A R
Caractère	identifiant C C R A
Evaluation	des	impacts	en	terme	de	fraude	(pour	la	banque	ou	l’individu)
Sensible	Fraude C I A R
RACI de la classification
R :	Responsible (réalise) A :	Accountable (responsable) C :	Consulted (consulté) I :	Informed (informé)
Des acteurs additionnels peuvent dans certains cas être impliqués pour traiter notamment des spécificités propres à certaines classes de
données
Trois évènements peuvent induire le déclenchement de la procédure de classification :
1. l’identification d’une donnée pertinente dans le cadre d’un projet ou d’une revue
2. lors de l’alimentation de nouvelles données au sein du dictionnaire des données de la
gouvernance data management,
3. lors d’une évolution du contexte règlementaire RGPD/GDPR
Déclenchement de la
classification
le déclenchement de la procédure intervenant sur la classification :
1. Contrôle annuel organiser avec les acteurs de la classification, contrôle par échantillon,
du niveau de sensibilité des attributs des nouvelles données.
La formule ci-dessus synthétise l’ensemble des attributs nécessaires à la classification sécurité des
données.
• Sensible à la fraude (SF)
Attributs relatifs aux impacts
Attributs relatifs à l’impact pour l’individu
Impacts sur l’activité (IA)
• Impacts financiers (IF)
• Impacts médiatiques (IM)
• Impacts juridiques/réglementaires (IJR)
• Préjudice potentiel client (PP)
• Caractère identifiant (CI)
Attribut relatif à la fraude
Impact vie
Privée
Classification sécurité
=
MAX (IA, IF, IM, IJR)
Avec: IJR ≥ Impact vie
privé
Attributs DPIA des données
Classification des données à l’unité ou pour un groupe de donnée, les règles suivantes s’appliquent :
1 - La classification d’une donnée à l’unité s’établit au travers de l’attribut
« Classification Sécurité » dans le dictionnaire de données chapeau du SI.
Cet attribut reflète ainsi le niveau de sensibilité d’une donnée quelques que soit le volume (nombre
d’occurrence) et peut être utilisé en l’état.
2 - La classification d’un groupe de données est par défaut équivalent à l’attribut « Classification
Sécurité » le plus élevé, sauf si :
- cas 1 - ce groupe contient une donnée susceptible d’induire un préjudice potentiel important
(respectivement maximal) pour l’individu associée à une donnée à caractère identifiant fort (ex : nom
prénom, courriel, IBAN), alors cet ensemble sera considéré comme confidentiel (respectivement secret) ;
- cas 2 - ce groupe contient plus d’une donnée «sensibles». Il convient alors de se référer à la liste de
groupes de données spécifiques constituée sur la base de scénarios.
Classification des données
Faible Modéré Sérieux Extrême
Financier x	≤	50KE 50KE	<	x	≤	250KE 250KE	<	x	≤	1ME x	>	1ME
Médiatique Pas	d’impact
Impact	local	de	faible	
amplitude
Impact	régional	ou	national	
limité
Retentissement	national	ou	
international
Commercial
Impact	interne	sans	
visibilité	externe
Faible	impact	clientèle	et	
visibilité	externe
Visibilité	externe	importante	
ou	non-respect	d’obligations	
contractuelles
Interruption	d’activité	
significative
Réglementaire	et	
juridique
Pas	d’impact
Pas	de	risque	pénal.	Autres	
risques	limités
Risque	pénal	limité.	Risque	
de	sanctions	réglementaires
Risque	pénal	de	grande	
ampleur.	Risque	de	retrait	
d’agrément
Matrice de risque
Si les objectifs de sécurité ne sont pas atteints, l’estimation du préjudice sur chaque critère CIDT
s’exprime suivant la matrice de risque présentée ci-dessous :
Caractère	identifiant	(cf.	V-C)	®
Niveau	1 Niveau	2 Niveau	3 Niveau	4
←	Préjudice	potentiel	(c.f.	V-D)	
Négligeable 1	- Faible 1	- Faible 2	- Modéré 2	- Modéré
Limité 1	- Faible 1	- Faible 2	- Modéré 2	- Modéré
Important 1	- Faible 2	- Modéré 3	- Sérieux 3	- Sérieux
Maximale 2	- Modéré 3	- Sérieux 4	- Extrême 4	- Extrême
La matrice ci-dessous, issue et adaptée de l’outillage proposé par la
CNIL, permet d’estimer les impacts pour une personne physique
dans le cadre d’une divulgation de ses données personnelles.
Commission Nationale Informatique & Liberté : https://www.cnil.fr/fr/etude-dimpacts-sur-la-vie-privee-suivez-la-methode-de-la-cnil
Analyse d’impact CNIL
Niveau Description Définition Exemples
4
Donnée	identifiant	directement	un	
individu	ou	indirectement	au	
moyen	des	annuaires	/	références	
publics
Les	données	qui	permettent	d’identifier	
directement	un	individu	ou	indirectement	
en	croisant	avec	un	annuaire	public
Nom	prénom	/	courriel	/	adresse
Numéro	de	téléphone	/	adresse	
IP
3
Donnée	identifiant	indirectement	
un	individu	au	moyen	des	
informations	croisées	avec	des	
fichiers	tiers
Les	données	qui	permettent	d’identifier	un	
individu	en	croisant	avec	un	fichier	tiers
L’IBAN	ou	le	numéro	de	carte	
bancaire	sont	des	numéros	
utilisés	par	beaucoup	
d’entreprises
2
Donnée	identifiant	indirectement	
un	individu	au	moyen	des	
références	internes
Les	données	qui	permettent	d’identifier	un	
individu	en	croisant	avec	un	fichier	interne
Identifiant	RP,	le	numéro	
identifiant	télématique,	et	plus	
généralement	tout	identifiant	
désignant	un	individu
1
Donnée	« attachée »	à	un	individu	
et	n’identifiant	pas	l’individu
Les	données	attachées	à	un	individu	mais	
qui	ne	permettent	pas	à	elles	seules,	
d’identifier	un	individu.	Par	contre,	
plusieurs	données	de	ce	type	associées	
peuvent	identifier	un	individu.
Date	de	naissance,	le	sexe,	le	
nombre	d’enfants,	le	code	postal
0
Donnée	« non	attachée »	à	un	
individu
Toutes	les	autres	données.	Ce	sont	les	
données	non	attachées	à	un	individu,	qui	
ne	permettent	en	aucun	cas	d’identifier	un	
individu.
Cours	de	bourse
Modèle	de	contrat
Adresse	d’une	agence
Niveau de criticité des données
Caractère	identifiant
d’une	donnée	(PDP)
Négligeable Limitée Importante Maximale
Les	individus	concernés	ne	seront	pas	
impactées	ou	pourraient	connaître	quelques
désagréments,	qu’elles	surmonteront	sans	
difficulté.
Les	individus	concernés
pourraient	connaître	des	désagréments	
significatifs,	qu’elles	pourront	surmonter	
malgré	quelques	difficultés.
Les	individus	concernés	pourraient	connaître	
des	conséquences	significatives,	qu’elles	
devraient	pouvoir
surmonter,	mais	avec	des	difficultés	réelles	et	
significatives.
Les	individus	concernés
pourraient	connaître	des	conséquences	
significatives,	voire	irrémédiables,	qu’elles	
pourraient	ne	pas	surmonter.
Matrice d’impact CNIL
V-D	- Matrice	d’évaluation	du	préjudice	potentiel	pour	un	individu
Une	estimation	précise	du	niveau	de	préjudice	peut	s’avérer	dans	certain	cas	plus	complexe	et	la	définition	
seule	peut	ne	pas	être	suffisante.	Afin	d’analyse	plus	finement	le	préjudice	pour	l’individu,	la	CNIL	préconise	la	
prise	en	compte	des	impacts	corporels,	matériels	et	moraux	selon	les	trois	matrices	suivantes	:	
Cette matrice est proposée par la CNIL et permet d’évaluer le préjudice potentiel pour l’individu en cas de défaut
de protection des données qui lui sont rattachées :
Négligeable Limitée Importante Maximale
- Absence	de	prise	en	charge
adéquate	d’une	personne	non	autonome	(mineur,	
personne	sous	tutelle)
- Absence	de	prise	en	charge	adéquate	d’une	personne	non	
autonome	(mineur,	personne	sous	tutelle)
- Affection	physique	mineure	(ex.	:	maladie	bénigne	suite	au	
non-respect	de	contre-indications)
- Absence	de	prise	en	charge	causant	un	préjudice	minime	
mais	réel	(ex	:	handicap)
- Diffamation	donnant	lieu	à	des	représailles	physiques	ou	
psychiques.
- Affection	physique	grave	causant	un	préjudice	à	long
terme	(ex.	:	aggravation	de	l’état	de	santé	suite	à	une	
mauvaise	prise	en	charge,	ou	au	non-respect	de	contre-
indications)
- Altération	de	l’intégrité	corporelle	par	exemple	à	la	suite	
d’une	agression,	d’un	accident	domestique,	de	travail,	etc.
- Affection	physique	de	longue	durée	ou	permanente	(ex.	:	
suite	au	non-respect	d’une	contre-indication)
- Décès	(ex.	:	meurtre,	suicide,
accident	mortel)
- Altération	définitive	de
l’intégrité	physique
Négligeable Limitée Importante Maximale
- Simple	contrariété	par	rapport	à	l’information	reçue	ou	
demandée
- Peur	de	perdre	le	contrôle	de	ses	données
- Sentiment	d’atteinte	à	la	vie	privée	sans	préjudice	réel	ni
objectif	(ex	:	intrusion	commerciale)
- Perte	de	temps	pour	paramétrer	ses	données
- Non-respect	de	la	liberté	d’aller	et	venir	en	ligne	du	fait	du	
refus	d’accès	à	un	site	commercial	(ex	:	alcool	du	fait	d’un	
âge	erroné)
- Refus	de	continuer	à	utiliser	les	systèmes	d’information
(whistleblowing,	réseaux	sociaux)
- Affection	psychologique	mineure	mais	objective	
(diffamation,	réputation)
- Difficultés	relationnelles	avec
l’entourage	personnel	ou	professionnel	(ex.	:	image,	
réputation	ternie,	perte	de
reconnaissance)
- Sentiment	d’atteinte	à	la	vie	privée	sans	préjudice	
irrémédiable
- Intimidation	sur	les	réseaux	sociaux
- Affection	psychologique	grave	(ex.	:	dépression,	
développement	d’une	phobie)
- Sentiment	d’atteinte	à	la	vie	privée	et	de	préjudice	
irrémédiable
- Sentiment	de	vulnérabilité	à	la	suite	d’une	assignation	en	
justice
- Sentiment	d’atteinte	aux	droits	fondamentaux	(ex.	:	
discrimination,	liberté	d’expression)
- Victime	de	chantage
- Cyberbullying	et	harcèlement	moral	
- Affection	psychologique	de
longue	durée	ou	permanente
- Sanction	pénale
- Enlèvement
- Perte	de	lien	familial
- Impossibilité	d’ester	en	justice
- Changement	de	statut	administratif	et	/	ou	perte	
d’autonomie	juridique	(tutelle)
Matrice d’impact CNIL
Evaluation	du	préjudice	corporel
Evaluation	du	préjudice	Moral
Négligeable Limitée Importante Maximale
- Perte	de	temps	pour	réitérer	des	démarches	ou	pour	
attendre	de	les	réaliser
- Réception	de	courriers	non
sollicités	(ex.	:	spams)
- Réutilisation	de	données	publiées	sur	des	sites	Internet	à	
des	fins	de	publicité	ciblée	(information	des	réseaux	sociaux	
réutilisation	pour	un	mailing	papier)
- Publicité	ciblée	pour	des	produits	de	consommation	
courants.
- Paiements	non	prévus	(ex.	:
amendes	attribuées	de	manière
erronée),	frais	supplémentaires
(ex.	:	agios,	frais	d’avocat),	défauts	de	paiement
- Refus	d’accès	à	des	services
administratifs	ou	prestations
commerciales
- Opportunités	de	confort	perdues	(ex.	:	annulation	de	
loisirs,	d’achats,	de	vacances,	fermeture	d’un	compte	en	
ligne)
- Promotion	professionnelle	manquée	
- Compte	à	des	services	en	ligne	bloqué	(ex.	:	jeux,	
administration)
- Réception	de	courriers	ciblés	non	sollicités	susceptible	de	
nuire	à	la	réputation	des	personnes	concernées
- Élévation	de	coûts	(ex.	:
augmentation	du	prix	d’assurance)
- Données	non	mises	à	jour	(ex.	:	poste	antérieurement	
occupé)
- Traitement	de	données	erronées	créant	par	exemple	des	
dysfonctionnements	de	comptes	(bancaires,	clients,	auprès	
d’organismes	sociaux,	etc.)
- Publicité	ciblée	en	ligne	sur	un	aspect	vie	privée	que	la	
personne	souhaitait	garder	confidentiel	(ex	:	publicité	
grossesse,	traitement	pharmaceutique)
- Profilage	imprécis	ou	abusif
- Difficultés	financières	non	temporaires	(ex.	:	obligation	de	
contracter	un	prêt)
- Opportunités	ciblées,	uniques	et	non	récurrentes,	perdues	
(ex.	:	prêt	immobilier,	refus	d’études,	de	stages	ou	d’emploi,	
interdiction	d’examen)
- Interdiction	bancaire
- Dégradation	de	biens
- Perte	de	logement
- Perte	d’emploi
- Séparation	ou	divorce
- Perte	financière	à	la	suite	d’une	escroquerie	(ex.	:	après	
une	tentative	de	phishing)
- Bloqué	à	l’étranger
- Perte	de	données	clientèle
- Péril	financier
- Dettes	importantes
- Impossibilité	de	travailler
- Impossibilité	de	se	reloger
- Perte	de	preuves	dans	le	cadre	d’un	contentieux
- Perte	d’accès	à	une	infrastructure	vitale	(eau,	électricité)
Matrice d’impact CNIL
Evaluation	du	préjudice	Materiel
IDM	:		Rôles	et	autorisations
IAM	:	Gestion	des	accès	GRC
Brouillage	et	chiffrement	
Violation	des	données
Surveillance	des	données
Comment	s'assurer	que	les	informations	
personnelles	et	l'information	système	
sont	correctement	protégées?
Il	existe	plusieurs	façons	qui	peuvent	
conduire	à	accéder	aux	données	
personnelles	dans	un	environnement	
applicatif,	outre	l'accès	transactionnel	de	
l'application.	Nous	nous	assurons	de	les	
vérifier	tous	....
Complexité sur les données
Cadre	Organisationnel Cadre	IT	&	Sécurité Cadre	Juridique
ü Classification	des	
données
ü Privacy	By	Design	Init
ü Evaluation	des	impacts
ü Procédures	de	
notification
ü Mentions	légales
ü Gestion	du	consentement
ü Transfrontalier
ü Licéité	&	PII/DFS
ü DPO	&	Registre
ü Politiques	&	Exigences
ü Gouvernance/Pilotage
ü Communication/Edu
Gestion IT de la RGPD
Cadre	IT	&	Sécurité
DPIA	Toolbox
Architecture	Toolbox
Data	Management	Toolbox
ü Classification	des	
données
ü Privacy	By	Design	Init
ü Evaluation	des	impacts
ü Procédures	de	
notification
Notification	Toolbox
Data	Processing	Toolbox
La RGPD dans la sécurité
Gestion	des	patrimoines
ü Recenser
ü Identifier
ü Protéger
ü Réagir
Data	Centric	Security
Centre	de	réponse	aux	
incidents
Gestion	des	risques
Centre	de	sécurité	
Opérationnel
Expertise
Métiers,	Conformité,	Juristes,	Sécurité
Découverte		de	données	et	
classification
Hiérarchiser,	Evaluer	les	risques
Mettre	en	œuvre	les	mesures
Documentation	:	Cartographie,	
Formalisme,	Recommandations	d’Audit,	
Recommandations	du	contrôle	interne
Anticiper	une	violation
Réagir	face	à	une	violation
La boite à outils PDP
*PDP	:	Protection	des	données
Etude	d’impact	
sur	la	vie	privée
Définition	des	
mesures	
techniques	
(chiffrement,	
Anonymisation,	
masquage,…)	
Approbation	du	
PIA	par	le	DPO	
et	Spécification	
des	exigences
Révision	de	
l’architecture	
vie	privée
Documentation	sur	
les	finalités,	étendue	
du	traitement,	
stockage,	exigences	
d'accessibilité
Enregistrement	
des	
évènements
Réévaluation	
continue	du	
traitement
Le	processus	de	
gestion	du	
changement	
comprend	
l'évaluation	de	la	
sécurité	et	la	
signature
Test fonctionnel
de sécurité de
pré-production
Évaluation	de	la	
sécurité	post-
production
Traitement	
de	gestion	
des	correctifs
Métriques	
et	rapports
Signature	de	
sécurité	
fonctionnelle	par	
sécurité	
responsable
Planning	&	
exigences
Design	&	
Architecture
Recette
TMA
Production MaintenanceDéveloppement
Privacy By design
Protection standard
Sécurité	
Applicative
Privacy	by	
Design
La SDLC Privacy by Design
Chaine	de	création	de	valeur
Des	données
Collection
transmission
Préparation
Stockage
L'information	est	soumise	par	
les	utilisateurs,	fournis	par	des	
organismes	publics,	captée	sur	
le	Web	à	l'aide	de	courtiers	de	
données,	capturés	par	des	
sondes...
Utilisation	du	réseau	de	
télécommunications	ou	de	
fournisseur	de	services	de	téléphonie	
mobile
dans	des	centres	de	données	
localisées	ou	utilisant	des	
services	cloud
Testez	et	vérifiez	l'exactitude;	
intégration	dans	un	ensemble	
unique	de	données	intelligibles
grande	analyse	de	données:	analyse	statistique,	visualisation	et	autres	techniques	de	reporting	et	d'analyse,	y	compris	la	
construction	automatisée	de	modèles	analytiques	connus	sous	le	nom	de	machine	learning
La chaine de valeur
des données
Classification
DPIA
Registre
Identification
Authentification
Habilitation
Traçabilité
Masquage
Contrôle Chiffrement
Brouillage
Nettoyage	logs
Nettoyage	SGBD
Limitation
Eliminer	les	textes	clairs
Contrôle	:	export,	dump,	reporting
*Brouillage:	
Masquage,	Pseudonymisation
anonymisation,	Tokenisation
*Limitation:	
Eliminer	
Les	données
pas	nécessaires
Classification
Licéité
Justification
Création
Traitement
Sauvegarde
Partage/Transfert
Archivage
Suppression
Scanner
Marquer
Classifier
Analyse
Protection	Client
Limitation
Dépendances
Relations
Monitoring
Le cycle de vie PDP
Assurer la protection des données
Brouillage	des	données
Mise	à	l’épreuve	des	
données	brouilléesDonnées	de	production
Anonymisation
Pseudonymisation
Encryption
Inintelligible
Intelligible
Indéchiffrable
IPP
DFS
Confidentielle
Configurations Journalisation
Conditions des
journaux
Console
Des journaux
Base	de	données
Des	logs	enregistrés
Suivi	des	données
Défis	des	clients:
•	Conformité	aux	règles	de	confidentialité	des	données
•	Conformité	aux	normes	de	l'industrie
•	Surveiller	l'accès	aux	données	classifiées,	par	exemple	
Informations	sur	les	actifs	de	l'entreprise	ou	les	données	
sur	les	salaires
•	Comment	surveiller	les	actions	des	utilisateurs	sur	un	
besoin	de	savoir-faire
•	Comment	gérer	les	journaux	de	données?
La gestion des logs
Pas	de	risque	
pour	les	droits	
et	libertés
Risque	pour	les	
droits	et	
libertés
Risques	élevés	
pour	les	droits	
et	libbertés
Documentation	interne	
&	Devoir	pour	le	sous-
traitant	d’aviser	le	
responsable
Notifier	
Les	autorités
Notifier	
l’ayant	droit
En	cours
- Délai	(max	72h)
- Peut	être	en	
plusieurs	phases
Sans	délai
1)	Faits	entourant	la	
violation
(2)	Effets
(3)	Actions	correctives
(1)	Nature	de	la	violation	
(catégories	et	nombres	de	
personnes	concernées	et	dossiers	
concernés
(2)	Coordonnées	DPO
(3)	Conséquences	de	la	violation
(4)	Actions	correctives
(1)	Nature	de	la	violation
(2)	Coordonnées	DPO
(3)	Conséquences	de	la	
violation	(4)	Mesures	
correctives
Violation
De	données
Déclencheur Obligations Limites Contenu
La gestion des violations
Quoi
Quand
Retrait
Enregistrements
§ Particulièrement	donné,	spécifique,	informé	et	sans	ambiguïté
§ Action	positive	de	l'individu
§ Ne	peut	pas	être	impliqué
§ Un	consentement	clairement	distinctif	lorsqu'il	est	donné	par	une	déclaration	écrite	qui
§ Concerne	d'autres	questions
§ Des	règles	spécifiques	s'appliquent	aux	enfants
§ Dans	une	forme	intelligible	et	facilement	accessible	avec	un	langage	clair	et	clair
Peut	être	donné	sous	la	forme	d'une	déclaration	écrite	(manuelle	ou	électronique)	ou	dans	une	action	claire	affirmative:
§ Téléchargement	d'une	application
§ Passer	à	un	nouvel	écran	pendant	un	voyage	client	numérique
§ Lors	d'une	identification	biométrique	sur	un	smartphone
§ En	répondant	"OUI"	au	téléphone	ou	en	cochant	une	case
§ Mélanger	le	consentement	avec	l'acceptation	des	termes	généraux
§ Mélanger	le	consentement	à	l'exécution	du	service
§ Silence,	boîtes	pré-cochées	ou	inactivité
Avant	le	traitement	des	données
§ Les	individus	doivent	être	informés	de	leur	droit	de	se	retirer	à	tout	moment
§ Le	retrait	du	consentement	doit	être	aussi	simple	que	le	consentement
§ Le	retrait	n'affecte	pas	la	licéité	du	traitement	fondé	sur	le	consentement	avant	le	retrait
Les	contrôleurs	de	données	doivent	conserver	les	consignes	de	tous	les	consentements	obtenus	/	retirés	de	façon	continue	
(par	exemple	les	journaux	pour	le	consentement	électronique,	le	consentement	personnel,	le	script	téléphonique,	etc.)
Le Consentement
Le DPO, le référent RGPD/PDP
Par	Guillaume	VALCIN	– Aout	2017
Je viens d’un endroit ou si vous voyez un serpent, vous le tuez.
Chez Général Motors si vous voyez un serpent, la première chose à faire
et d’engager un spécialiste en serpent – H. Ross PEROT
Avez-vous	besoin	d’un	DPO	?
• Ce	n'est	pas	toujours	obligatoire.	Cela	dépend	du	type	et	de	la	
quantité	de	données	que	vous	collectez,	que	le	traitement	soit	votre	
activité	principale	et	si	vous	le	faites	à	grande	échelle.
Vous	êtes	une	autorité	publique	ou	un	organisme	Public
Entreprise	de	moins	de	250	salariés
Traitement	exigeant	un	suivi	régulier	et	systématique	a	grande	échelle	de	données	sensibles	
Traitement	exigeant	un	suivi	régulier	et	systématique	a	grande	échelle	des	personnes	
concernées
OUI
OUI
NON
OUI
Le marché des profils
Data Scientist Chief Data Officier Chief Technologie Officer
1 2 3
67% 16% 13%
Des	recherches
Informer	/	Sensibiliser
Animer	le	cadre	légal
Responsabiliser	/	Alerter
Analyser/Investiguer
Auditer/Contrôler
Documenter/	Prouver
Arbitrer	/	Communiquer
Rapporter	/	Présenter
Veiller	avec	la	CNPD
Savoir	faire
Positionnement	
hiérarchique
Assurer	son	
implication
Fournir	les	ressources	
nécessaires
Facilité	l’accès	aux	
données
Formation	continue
Intégration Conflit	d’intérêt
Secret	Professionnel
Master	PDP
Droit	numérique
Gestion	des	risques
PDP	(CNIL/EU95)
Savoir
Aucun	Diplôme
Faire	Savoir
Technologies	IT
Savoir	Etre
Métier
Indépendance
Objectivité	/Probité
Intégrité	/	résistanceReporter	/	Notifier
Conseiller
Anatomie DPO AFCDP
Communiquer
Animer	un	réseau
Informer/Conseiller
Coopérer	avec	les	CNPD
Aux	juristes
Contrôler	la	conformité
Conseiller	les	DPIA
Missions
Positionnement	
efficace
Assurer	son	
implication
Pas	responsable
En	cas		d’échec
Facilité	l’accès	aux	
traitements<
Dans	un	état	membre
Connaissance	activité
Expertise	législations
Protection	des		données
Savoir
Aucun	Diplôme
Faire	Savoir
Maitrise	des	traitements
Savoir	Etre
IT	&	Sécurité
Indépendance
implication
Aux	Experts	(IT/COM)
Traducteur
Direction
Fournir	les	ressources
IndépendanceAccès	aux	traitements
Conflit	d’intérêt
Facilité	l’accès	aux	
Données
Formulaire	en	ligne
Le	25	mai	2018
réaliser l’inventaire des traitements
évaluer ses pratiques et mettre en place des procédures
identifier les risques
établir une politique de protection des données personnelles
sensibiliser les opérationnels et la direction
Protection
Anatomie DPO CNIL
DPO 2017
Technique
Juridique
Communication
Organisation
30%
20%
40%
10%
Paysage des CIL en France :
§ profil technique à 47%,
§ profil juridique à 19%
§ profil administratif à 10%
Information	:
Anatomie DPO
Contacter GVA
<
Adresse
Nos	bureaux
40	bis	rue	du	Pdt
Wilson
Informations
GVA	Conseil
A	la	croisée	de	la	
sécurité
d'aujourd'hui	et	
de	demain
Contact
07	70	48	53	28
Guillaume.valcin@laposte.net
Fin
Construire	le	futur	de	la	sécurité	des	données,	un	avantage	concurrentiel

Contenu connexe

Tendances

[Infographie] Le RGPD - en bref
[Infographie] Le RGPD - en bref[Infographie] Le RGPD - en bref
[Infographie] Le RGPD - en bref
Thinkmarket
 
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
cedric delberghe
 
Comprendre le RGPD
Comprendre le RGPDComprendre le RGPD
Comprendre le RGPD
Nuageo
 
Données personnelles et SI - GDPR
Données personnelles et SI - GDPRDonnées personnelles et SI - GDPR
Données personnelles et SI - GDPR
Antoine Vigneron
 
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
Eloquant
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis Nystek
Pascal ALIX
 
Le GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaLe GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - Diaporama
Jean-Michel Tyszka
 
Le GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - DocumentLe GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - Document
Jean-Michel Tyszka
 
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Niji
 
Rgpd
RgpdRgpd
Rgpd
OhWeb Sas
 
Gdpr presentation
Gdpr   presentationGdpr   presentation
Gdpr presentation
Gaetan Karre
 
GDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico LégauxGDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico Légaux
Yves Gattegno
 
Présentation GDPR - Business & Decision
Présentation GDPR - Business & DecisionPrésentation GDPR - Business & Decision
Présentation GDPR - Business & Decision
Business & Decision
 
Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018
Pierre Ammeloot
 
RGPD / GDPR : Principes, Démarche, Outils
RGPD / GDPR : Principes, Démarche, OutilsRGPD / GDPR : Principes, Démarche, Outils
RGPD / GDPR : Principes, Démarche, Outils
aYaline
 
Enjeux du RGPD pour les PME
Enjeux du RGPD pour les PMEEnjeux du RGPD pour les PME
Enjeux du RGPD pour les PME
Fred Gerdil
 
RGPD : Quels impacts pour vos actions marketing ?
RGPD : Quels impacts pour vos actions marketing ?RGPD : Quels impacts pour vos actions marketing ?
RGPD : Quels impacts pour vos actions marketing ?
EmailStrategie
 
Présentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnellesPrésentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnelles
Marseille Innovation
 
Protection de la vie privée
Protection de la vie privée Protection de la vie privée
Protection de la vie privée
Prof. Jacques Folon (Ph.D)
 
earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...
Lexing - Belgium
 

Tendances (20)

[Infographie] Le RGPD - en bref
[Infographie] Le RGPD - en bref[Infographie] Le RGPD - en bref
[Infographie] Le RGPD - en bref
 
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
 
Comprendre le RGPD
Comprendre le RGPDComprendre le RGPD
Comprendre le RGPD
 
Données personnelles et SI - GDPR
Données personnelles et SI - GDPRDonnées personnelles et SI - GDPR
Données personnelles et SI - GDPR
 
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis Nystek
 
Le GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaLe GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - Diaporama
 
Le GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - DocumentLe GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - Document
 
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
 
Rgpd
RgpdRgpd
Rgpd
 
Gdpr presentation
Gdpr   presentationGdpr   presentation
Gdpr presentation
 
GDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico LégauxGDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico Légaux
 
Présentation GDPR - Business & Decision
Présentation GDPR - Business & DecisionPrésentation GDPR - Business & Decision
Présentation GDPR - Business & Decision
 
Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018
 
RGPD / GDPR : Principes, Démarche, Outils
RGPD / GDPR : Principes, Démarche, OutilsRGPD / GDPR : Principes, Démarche, Outils
RGPD / GDPR : Principes, Démarche, Outils
 
Enjeux du RGPD pour les PME
Enjeux du RGPD pour les PMEEnjeux du RGPD pour les PME
Enjeux du RGPD pour les PME
 
RGPD : Quels impacts pour vos actions marketing ?
RGPD : Quels impacts pour vos actions marketing ?RGPD : Quels impacts pour vos actions marketing ?
RGPD : Quels impacts pour vos actions marketing ?
 
Présentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnellesPrésentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnelles
 
Protection de la vie privée
Protection de la vie privée Protection de la vie privée
Protection de la vie privée
 
earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...
 

Similaire à Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper 2

Matinée Micropole GDPR
Matinée Micropole GDPRMatinée Micropole GDPR
Matinée Micropole GDPR
Micropole Group
 
Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...
Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...
Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...
Mailjet
 
Valorisez votre business grâce au Big Data - Mois du numérique 2017
Valorisez votre business grâce au Big Data - Mois du numérique 2017Valorisez votre business grâce au Big Data - Mois du numérique 2017
Valorisez votre business grâce au Big Data - Mois du numérique 2017
Cyril Marsaud
 
27/04/17 Séminaire Données Personnelles
27/04/17 Séminaire Données Personnelles27/04/17 Séminaire Données Personnelles
27/04/17 Séminaire Données Personnelles
Soft Computing
 
"Take the L.E.A.D." l'offre globale de Sedona
"Take the L.E.A.D." l'offre globale de Sedona"Take the L.E.A.D." l'offre globale de Sedona
"Take the L.E.A.D." l'offre globale de Sedona
Agence West
 
Track technologique gérer les risques et la conformité
Track technologique gérer les risques et la conformitéTrack technologique gérer les risques et la conformité
Track technologique gérer les risques et la conformité
Veritas Technologies LLC
 
Rgpd
RgpdRgpd
Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?
Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?
Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?
Sollan France
 
Le RGPD, véritable opportunité vers la gouvernance de l’information
Le RGPD, véritable opportunité vers la gouvernance de l’informationLe RGPD, véritable opportunité vers la gouvernance de l’information
Le RGPD, véritable opportunité vers la gouvernance de l’information
PECB
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATA
ISACA Chapitre de Québec
 
Mailjet BigData - RGPD : les actions IT pour assurer la protection des données
Mailjet BigData - RGPD : les actions IT pour assurer la protection des donnéesMailjet BigData - RGPD : les actions IT pour assurer la protection des données
Mailjet BigData - RGPD : les actions IT pour assurer la protection des données
Mailjet
 
BAROMÈTRE RGPD
BAROMÈTRE RGPDBAROMÈTRE RGPD
BAROMÈTRE RGPD
Converteo
 
CWIN17 Paris / L'enjeu et la démarche GDPR pour l'entreprise
CWIN17 Paris / L'enjeu et la démarche GDPR pour l'entrepriseCWIN17 Paris / L'enjeu et la démarche GDPR pour l'entreprise
CWIN17 Paris / L'enjeu et la démarche GDPR pour l'entreprise
Capgemini
 
Évènement 01 Business - GDPR, confiance et confidentialité des données, défi ...
Évènement 01 Business - GDPR, confiance et confidentialité des données, défi ...Évènement 01 Business - GDPR, confiance et confidentialité des données, défi ...
Évènement 01 Business - GDPR, confiance et confidentialité des données, défi ...
Leonard Moustacchis
 
Comment ACCESS GROUP se prépare à la réglementation GDPR/RGPD ?
Comment ACCESS GROUP se prépare à la réglementation GDPR/RGPD ?Comment ACCESS GROUP se prépare à la réglementation GDPR/RGPD ?
Comment ACCESS GROUP se prépare à la réglementation GDPR/RGPD ?
ACCESS Group
 
Big Data: quelle valeur pour l'entreprise
Big Data: quelle valeur pour l'entrepriseBig Data: quelle valeur pour l'entreprise
Big Data: quelle valeur pour l'entreprise
Genève Lab
 
Ageris privacy 2016
Ageris privacy 2016Ageris privacy 2016
Ageris privacy 2016
Thierry RAMARD
 
Datafirst Conférence DataCar Digital pour les Concessionnaires Automobiles
Datafirst Conférence DataCar Digital pour les Concessionnaires AutomobilesDatafirst Conférence DataCar Digital pour les Concessionnaires Automobiles
Datafirst Conférence DataCar Digital pour les Concessionnaires Automobiles
Gemma Kingstree
 
Gouvernance des données - Pourquoi démarrer une gouvernance des données agile ?
Gouvernance des données - Pourquoi démarrer une gouvernance des données agile ?Gouvernance des données - Pourquoi démarrer une gouvernance des données agile ?
Gouvernance des données - Pourquoi démarrer une gouvernance des données agile ?
Zeenea
 
Privacy by Design
Privacy by DesignPrivacy by Design
Privacy by Design
EnjoyDigitAll by BNP Paribas
 

Similaire à Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper 2 (20)

Matinée Micropole GDPR
Matinée Micropole GDPRMatinée Micropole GDPR
Matinée Micropole GDPR
 
Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...
Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...
Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...
 
Valorisez votre business grâce au Big Data - Mois du numérique 2017
Valorisez votre business grâce au Big Data - Mois du numérique 2017Valorisez votre business grâce au Big Data - Mois du numérique 2017
Valorisez votre business grâce au Big Data - Mois du numérique 2017
 
27/04/17 Séminaire Données Personnelles
27/04/17 Séminaire Données Personnelles27/04/17 Séminaire Données Personnelles
27/04/17 Séminaire Données Personnelles
 
"Take the L.E.A.D." l'offre globale de Sedona
"Take the L.E.A.D." l'offre globale de Sedona"Take the L.E.A.D." l'offre globale de Sedona
"Take the L.E.A.D." l'offre globale de Sedona
 
Track technologique gérer les risques et la conformité
Track technologique gérer les risques et la conformitéTrack technologique gérer les risques et la conformité
Track technologique gérer les risques et la conformité
 
Rgpd
RgpdRgpd
Rgpd
 
Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?
Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?
Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?
 
Le RGPD, véritable opportunité vers la gouvernance de l’information
Le RGPD, véritable opportunité vers la gouvernance de l’informationLe RGPD, véritable opportunité vers la gouvernance de l’information
Le RGPD, véritable opportunité vers la gouvernance de l’information
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATA
 
Mailjet BigData - RGPD : les actions IT pour assurer la protection des données
Mailjet BigData - RGPD : les actions IT pour assurer la protection des donnéesMailjet BigData - RGPD : les actions IT pour assurer la protection des données
Mailjet BigData - RGPD : les actions IT pour assurer la protection des données
 
BAROMÈTRE RGPD
BAROMÈTRE RGPDBAROMÈTRE RGPD
BAROMÈTRE RGPD
 
CWIN17 Paris / L'enjeu et la démarche GDPR pour l'entreprise
CWIN17 Paris / L'enjeu et la démarche GDPR pour l'entrepriseCWIN17 Paris / L'enjeu et la démarche GDPR pour l'entreprise
CWIN17 Paris / L'enjeu et la démarche GDPR pour l'entreprise
 
Évènement 01 Business - GDPR, confiance et confidentialité des données, défi ...
Évènement 01 Business - GDPR, confiance et confidentialité des données, défi ...Évènement 01 Business - GDPR, confiance et confidentialité des données, défi ...
Évènement 01 Business - GDPR, confiance et confidentialité des données, défi ...
 
Comment ACCESS GROUP se prépare à la réglementation GDPR/RGPD ?
Comment ACCESS GROUP se prépare à la réglementation GDPR/RGPD ?Comment ACCESS GROUP se prépare à la réglementation GDPR/RGPD ?
Comment ACCESS GROUP se prépare à la réglementation GDPR/RGPD ?
 
Big Data: quelle valeur pour l'entreprise
Big Data: quelle valeur pour l'entrepriseBig Data: quelle valeur pour l'entreprise
Big Data: quelle valeur pour l'entreprise
 
Ageris privacy 2016
Ageris privacy 2016Ageris privacy 2016
Ageris privacy 2016
 
Datafirst Conférence DataCar Digital pour les Concessionnaires Automobiles
Datafirst Conférence DataCar Digital pour les Concessionnaires AutomobilesDatafirst Conférence DataCar Digital pour les Concessionnaires Automobiles
Datafirst Conférence DataCar Digital pour les Concessionnaires Automobiles
 
Gouvernance des données - Pourquoi démarrer une gouvernance des données agile ?
Gouvernance des données - Pourquoi démarrer une gouvernance des données agile ?Gouvernance des données - Pourquoi démarrer une gouvernance des données agile ?
Gouvernance des données - Pourquoi démarrer une gouvernance des données agile ?
 
Privacy by Design
Privacy by DesignPrivacy by Design
Privacy by Design
 

Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper 2