2. @Sncdmulticanal
Nathalie Phan Place, Secrétaire Général, Sncd
Mickaël Saillant, Trésorier, Sncd
Directeur, France Adresses
Éric Huignard, Co Président, Sncd
Président, HSK Partners
Bruno Florence, Co Président, Sncd
Dirigeant, Florence Consultant
Ouverture
3. 3
Les temps forts de la création du RGPD
@Sncdmulticanal
Supports d’intervention
Extraits du documentaire « Democracy : la ruée vers les datas »
4. 4
Adoption
@Sncdmulticanal
Le 12 mars 2014, le Parlement européen a adopté en
séance plénière la résolution sur la protection des
données avec 95 % de « OUI »
Le 15 décembre 2015, le Parlement et le Conseil
s’entendent sur un texte de loi commun
Le nouveau règlement européen sur la protection des
données est adopté le 27 avril 2016. Il est en vigueur
depuis le 24 mai 2016 et entrera en application le 25 mai
2018
5. Point à date – Lignes directrices du G29
Lignes directrices définitivement adoptées
Autorités chef de file
DPO
Droit à la portabilité
Étude d’impact sur la vie privée
Profilage
Violations des données
Sanctions
Lignes directrices soumises à consultation ou en cours de rédaction
définitive
Consentement
Transparence
Transferts internationaux de données
@Sncdmulticanal
6. Point à date – Loi I&L
Projet de loi d’adaptation de la loi Informatique & Libertés au GDPR
Déposé le 13 décembre 2017 à l’Assemblée nationale
Examen en commission puis en séance publique courant janvier-début février 2018
Adoption par l’Assemblée nationale le 13 février 2018
Quelques points majeurs (texte adopté par l’Assemblée)
Renforcement des pouvoirs de contrôle de la CNIL et rôle de médiation
En cas de non-conformité d’un traitement, possibilité d’astreinte financière en plus de
l’injonction prononcée par la CNIL (jusqu’à 100 000 € par jour)
Possibilité d’information individuelle des personnes concernées par une violation de
données
Possibilité de communication publique des mises en demeure
Abaissement de l’âge de la majorité numérique à 15 ans
Réparation des préjudices matériels et moraux dans le cadre d’actions de groupe
Suppression du droit à la portabilité tel que prévu par la loi pour une République
numérique
Les prochaines étapes
Examen du texte par le Sénat dans le cadre de la procédure accélérée. Adoption
définitive du texte prévue avant le 25 mai 2018
Ordonnance visant à réécrire la loi Informatique & Libertés à venir au 2nd semestre 2018
@Sncdmulticanal
7. À quelques mois de l'échéance du 25 mai 2018, les
principales étapes de mise en conformité et les attentes de la
CNIL
Ingrid Nkouenjin, Juriste au Service des CIL, CNIL
Conférence
@Sncdmulticanal
8. La protection des données personnelles à
l’heure du RGPD
SNCD 14 février 2018 8
SNCD 14 février 2018
9. Plan de la présentation
1. Comment se préparer ?
2. Les nouveaux droits des personnes
3. Les responsabilités des acteurs
4. Les outils de la conformité
SNCD 14 février 2018 9
10. 4321 5 6
Comment se préparer ?
SNCD 14 février 2018 10
CartographierDésigner
un pilote
Prioriser Gérer
les risques
Organiser Documenter
11. Axes de
conformité
Durée de conservation
Limitée – gestion de l’archivage
Sécurité
Logique – Physique
Droits des personnes
Information, accès, opposition,
rectification…
Finalité
Déterminée- Explicite -
Légitime
Sous-traitants
Relation encadrée par
contrat
Données
Adéquates – pertinentes – non
excessives …
Destinataires
Identifiés
Comment vérifier la conformité de ses traitements ?
Licéité
Identifier le fondement du
traitement
SNCD 14 février 2018 11
15. 15
Responsabilité conjointe des RT
(Ré)introduction de la notion de responsables
conjoints du traitement
.
Détermination commune des finalités et
moyens d’un même traitement
Définition de leurs obligations respectives par
voie d’accord
Exercice des droits des personnes à l’égard et à
l’encontre de chacun d’eux
SNCD 14 février 2018
16. 16
Responsabilité spécifique des ST
Contrat conforme à l’article 28 du RGPD
(voir guide ST de la CNIL)
.
Elargissement des obligations du ST vis-à-vis
du RT
Obligations propres du ST
(délégué, registre)
Responsabilité propre du ST
SNCD 14 février 2018
17. SNCD 14 février 2018 17
RT, DPD, personnes
concernées, sous-traitants,
métier, RSSI ou
informatique
Acteurs
Traitements impliquant des risques
élevés, sauf exception
Traitement
Avant la mise en œuvre du
traitement
Temporalité
Evaluation d’un traitement
et de gestion des risques
associés
Objectif & enjeux
Consultation de la Cnil
Communiquer à autrui
(vecteur de confiance)
Communication
Description, nécessité et
proportionnalité, risques,
mesures ; et des critères
détaillés
Processus10M€ ou 2% du chiffre
d’affaires mondial
Sanction
DPIA
18. La violations de données
SNCD 14 février 2018 18
VIOLATION
DE
DONNEES
. DESTRUCTION
PERTE
ALTERATION
DIVULGATION
ACCES NON AUT.
Intentionnell
e
19. 19
Sanctions et voies de recours
Accountability
• Champ d’application élargi
• Nouvelles modalités décisionnelles
• Critères d’appréciation précisés pour le prononcé des amendes
• Niveau de sanction renforcé
Sanctions contre les organismes
• Réclamation auprès de l’autorité de contrôle
• Recours juridictionnel contre un RT et/ou ST
• Action de groupe
Voies de recours pour les personnes
SNCD 14 février 2018
25. De l'annonce du GDPR à sa mise en œuvre : témoignage au
cœur du PMU
Vincent Godinot, Délégué gouvernance et protection
des données, PMU
Conférence
@Sncdmulticanal
27. Table ronde Annonceurs/Prestataires
@Sncdmulticanal
Responsabilité
du responsable
de traitement
Responsabilité
du
sous-traitant
Vis-à-vis de la
CNIL
(sanctions +)
Vis-à-vis des
personnes
concernées
Un encadrement strict de la
relation contractuelle
• Contrat écrit normé
• Transparence
• Traçabilité
• Garanties concrètes
• Conseil et alerte
Nouvelles obligations concernent
les responsables de traitement et
les sous-traitants
28. Annonceurs et prestataires : une collaboration revue et
augmentée à l'aune du GDPR
Vincent Godinot, Délégué gouvernance et protection des
données, PMU
Jonathan Laloum, Directeur Adjoint du Développement
Commercial, Groupe Diffusion Plus
Marc Levieils, Associé et Responsable du Service Contrats et
Valorisation, Cabinet Regimbeau
Ingrid Nkouenjin, Juriste au Service des CIL, CNIL
Géraldine Proust, EU Affairs Manager, Fedma
Animé par Nathalie Phan Place, Secrétaire Général, Sncd
Table ronde Annonceurs/Prestataires
@Sncdmulticanal
29. Révision des process, nouveaux outils, nouvelles offres… la
révolution GDPR en marche chez les prestataires
Cathy Andrau, DGA, Mediapost Local
Sarah Benguigui, Adjoint au CIL, Groupe La Poste
Hervé CADEAU, Directeur Technique et Sécurité SI/DPO,
GROUPE HOPPS
Jonathan Laloum, Directeur Adjoint du Développement
Commercial, Groupe Diffusion Plus
Guillaume Le Friant, Directeur associé, Message Business
Nathalie Quinette, Présidente, Predictys
Carine Vincent, Directrice, Ediis AID
Animé par Bruno FLORENCE, Co Président, Sncd
Témoignages Prestataires
@Sncdmulticanal
30. 30
Contexte RGPD –Diffusion Plus
Un objectif de convergence sur l’ensemble de nos
métiers
Courrier : 50% Marketing / 50% gestion
Digital : Marketing Services et Dématérialisation
Regroupement postal
Opérateur
postal
historique
Une démarche compliance sur l’ensemble de la chaîne y
compris l’aval
Co-construction pour un nouveau rapport de
responsabilité avec nos collaborateurs et nos
clients
Une démarche « phygital » :
fichiers informatiques en amont
production courrier en aval
@Sncdmulticanal
31. 31
Nos objectifs d’accountability
Satisfaire les exigences de responsabilisation du sous-
traitant
▪ Prendre les mesures organisationnelles et techniques nécessaires
▪ Maîtriser les instructions du client (formalisation et validation)
▪ Mettre en place une démarche (privacy by design)
▪ Sensibiliser les équipes (formation continue des managers
jusqu’aux opérateurs)
Apporter de la transparence sur les traitements
▪ Maîtriser la chaîne de sous-traitance et informer le Client de tout
changement
▪ Tracer et prouver l’ensemble des mouvements de données
Collaborer avec le DPO du client
▪ Aligner le contenu des registres
▪ Gérer les demandes d’exercice de droits des personnes concernées
▪ Contribuer à l’évaluation des risques
1
2
3
2017 : démarrage de la démarche conformité RGPD
@Sncdmulticanal
32. 32
Notre feuille de route
Cartographie
des traitements
Création du
registre
Organisation
Sensibilisation
et formation
Révision des
contrats RT-ST,
ST-ST
Rédaction ou
mise à jour des
procédures
Audit et actions
correctives
Privacy by design
EIVP
Gestion des
réclamations
Notification
violation de
données
Conformité RGPD mai 2018
Politiques
interne et externe
de Protection des
données
T4-2017T3-2017 T1-2018 T2-2018
@Sncdmulticanal
33. 33
Des instances de gouvernance partagées
Des instances de gouvernance partagées dédiées à la chaîne de
protection des données
@Sncdmulticanal
35. 35
Perspective Mai 2018
Un enjeu compliance sur
l’ensemble de la chaîne
courrier depuis la préparation
des messages jusqu’au dépôt
en B.A.L
Un besoin de conserver son
agilité
Proposer aussi une démarche
« Privacy by design » sur le
média courrier
Une opportunité de volumes dans les mois à venir
▪ gestion des opt-in/opt-
out y compris via le
média courrier
▪ Investissement en
amont (automatisation
chaîne de traitements)
@Sncdmulticanal
37. 37
Message Business et la protection des données
personnelles
Dans notre ADN depuis 2006
Sécurisation des données, hébergé en
France / UE
Militant d’un marketing responsable
Charte interne et sensibilisation des
équipes
Des fonctionnalités dédiées
Sécurisation des accès, gestion des droits
utilisateurs, Droit à l’oubli, Portabilité,
Gestion du Do Not Track…
@Sncdmulticanal
38. 38
Message Business et le RGDP
Amendements des CGV
« Instruction documentée »
Durée de conservation
Sous-traitance
Coordonnées du DPD
Engagements de mise en œuvre
Accompagner !
Accompagner !
Accompagner !
@Sncdmulticanal
39. 39
Message Business et le RGPD
(Ré)assurer nos clients et leurs
contacts
« Privacy friendly »
@Sncdmulticanal
42. 42
Activités sensibles RGPD
- Insights
- Audit & Nettoyage des bases de nos clients
- Data Appending
- en données de contact, âge, CSP…
- en typologie
- Acquisition : collecte de prospects
- Lead generation par emailing (base mutualisée et éditeurs
externes)
- Lead generation via autres sites (comparateurs, sites
spécialisés…)
@Sncdmulticanal
43. 43
RGPD : impact sur Predictys
Mise en place d’une équipe en charge du projet
Choix d’un DPO avocat spécialisé NTIC
Cartographie des bases et traitements
Mise en place d’un plan d’actions :
- Fournisseurs de Bases :
Contrôle de la collecte et avenant mentionnant leurs responsabilités
- Données :
Renforcement sécurité informatique (stockage, accès aux CDP…)
Documentation du plan d’actions en cas de violation de la base
- Internautes :
Modifications des mentions légales, information sur l’utilisation des données,
documentation des plaintes et demandes de modifications
- Clients :
Information DPO et engagements
- Employés
@Sncdmulticanal
44. 44
Impact Fournisseurs de bases
Contrôle strict de toutes les sources :
- Provenance
- Consentement des utilisateurs
- Information de l’utilisation des données collectées
- Gestion des droits des utilisateurs
=> Quantités d’adresses diminuées mais qualité augmentée :
meilleur routage et meilleur taux de conversion
@Sncdmulticanal
45. 45
Impact clients
Rassurer les clients en communiquant sur notre
avancement de mise en conformité :
Transmission des coordonnées du DPO & information
sur ses compétences d’avocat spécialisé
Réponses rapides en cas de question à ce sujet
Objectif : obtenir le certificat/label de conformité RGPD
dès qu’il existera
@Sncdmulticanal
46. 46
Opportunités
Accompagnement sur la mise en conformité
Réactivation de profils dormants
Audit de la base client
Recueil des consentements des internautes
avant mise en application de la loi
Aide à la conformité
Audit des sites (CGV / CGU, opt-in landing page…)
Information des clients : réalisation campagne email ou postale
pour informer des nouvelles CGV / CGU
Audit et mise en place du processus de gestion des droits des
personnes
@Sncdmulticanal
47. 47
Présentation Ediis AID
La business Unit Non Profit du groupe Ediis
Une niche sectorielle : le Fundraising
27 clients actifs dont :
@Sncdmulticanal
48. 48
Présentation Ediis AID
9 activités & 5 plateformes techniques
interconnectées
16 millions de contacts
hébergés
+ 101 millions de transactions
financières historisées
+ 690 millions de traces
marketing historisées
Etc.
1 grande chance : nous sommes notre propre hébergeur
@Sncdmulticanal
49. 49
Comment avons-nous abordé le sujet ?
Création d’un groupe de travail dans le cadre
de notre club utilisateurs
• Sensibiliser nos clients
• Définir des règles de
gestion communes pour
mutualiser les
développements
• Unir nos forces
• Evaluer les coûts
OBJECTIFS
• Charge plus importante
• Complexe à mettre en
place, interprétations
différentes, brouillage e-
Privacy
• Créer une tête de réseau
• ….
REALISATION
@Sncdmulticanal
50. 50
Comment transformer la contrainte en opportunité ?
• Gage de confiance pour les
donateurs
• Information de votre mise en
conformité
• Harmonisation des pratiques entre
les acteurs
• Compréhension de la circulation
des flux et des impacts
• Maintien des procédures à jour
(association et prestataire)
• Réappropriation du pilotage du
traitement
• Rééquilibrage de la relation
partenariale association /
prestataire
• Responsabilisation…
Clients
• Accompagnement / confiance
client = Fidélisation
• Axes de différentiation
supplémentaires/concurrents
• Communication/Animation de
petits déjeuners = plus de visibilité
• Mise en avant de nos métiers
souvent peu reconnus/agence de
communication qui travaille plus
sur la stratégie
• Business complémentaire :
développement, nettoyage des
bases, création de bases
anonymisées, campagnes
automatisées…
Ediis Aid
@Sncdmulticanal