Tout ce que vous avez voulu savoir sur le RGPD

1. T O U T SAV O I R E T C O M P R E N D R E
L E R E G L E M E N T G E N E R A L SU R L A
P R O T E C T I O N D E S D O N N E E S ( R G P D )

2. 1. UNE RÉGLEMENTATIONAMBITIEUSE
2. DÉFINITIONS
3. PRINCIPES GÉNÉRAUX
4. MISE EN ŒUVRE
5. QUI SOMMES-NOUS
SOM M AI RE
S O M M A IRE

3. Le Règlement européen sur la protection des données à caractère personnel
est entré en vigueur avec une date d’application différée au mois de Mai 2018.
(Règlement 2016/679/UE du 27 04 2016)
Sanctions financières en cas de non-respect des nouvelles dispositions :
AmendeAdministrative pouvants’élever à 20 Millions d’Euros
Ou , pour une entreprise, pouvantaller jusqu’à 4%du chiffre d’affaires
Annuel mondial total de l’exercice précédent.
IN T R O DU CTIO N

4. Date de mise en application
IN T R O DU CTIO N

5. 1 . U N E R E G L EM ENTATIO N
A M B IT IEU SE

6. Reconnaissance de la valeur et de l’importance des données personnelles
SANS REMISE EN CAUSE de la capacité pour les entreprises
à capter et utiliser certaines données personnelles de leurs interlocuteurs
U N E R E G L E MENTAT ION A M B IT IEUSE

7. Le RGPD s’impose à toutes les entreprises qui exercent leur activité en Europe
ou qui ont des activités commerciales avec des citoyens de l’U.E.
Il n’y a pas nécessité de transposition en droit national.
U N E R E G L E MENTAT ION A M B IT IEUSE

8. • Un texte au lieu de 28
• Des autorités de contrôle qui restent nationales ( en France : LA CNIL )
• Un groupede travail dit « G29 » (Groupe de travail Article 29) qui regroupe les
autorités de contrôle nationales et la commission
• Ce groupede travail : émet des avis et assure la coopération entre les « CNIL »
U N E R E G L E MENTAT ION A M B IT IEUSE

9. 2 objectifs principaux :
1. Protéger les droits des citoyens et des salariés
Encadrement de l’utilisation des données personnelles
2. Réduire les barrières
Echanges de données facilitées par un cadre commun
U N E R E G L E MENTAT ION A M B IT IEUSE

10. Les Sondages reflètent une prise de conscience progressive des entreprises
Mais un règlement perçu avec crainte…
69% des entreprises se disent « non préparées »
20% craignent pour leur Business
U N E R E G L E MENTAT ION A M B IT IEUSE …
. . . M A IS D IF F ICIL E A C E R N ER

11. 2 . D E F IN ITION S

12. Personne
Une personne physiqueidentifiée ou une personne physiquequi peut être identifiée,
directement ou indirectement, par des moyens raisonnablement susceptibles d’être
utilisés par le responsable du traitement ou par toute autre personne physiqueou
morale (sous traitant), notamment par référence à un Numéro d’identification, à des
données de localisation, à un identifiant en Ligne ou à un ou plusieurs éléments
spécifiques propres à son identité Physique, psychologique, génétique, psychique,
économique, culturelle ou sociale.
D E F IN ITIO NS

13. Donnée À Caractère Personnel
Toute information se rapportant à une personne concernée
D E F IN ITIO NS
=

14. Traitement de Données à Caractère Personnel
Toute opération ou ensemble d’opérations effectuée(s)ou non à
l’aide de procédés automatisés, et appliquée(s) à des données à
caractère personnel, telle(s) que la collecte, l’enregistrement,
l’organisation, la structuration, la conservation, l’adaptation ou
la modification, l’extraction, la consultation, l’utilisation, la
communication par transmission, diffusion ou toute autre
forme de mise à disposition, le rapprochement ou
l’interconnexion, ainsi que l’effacement ou la destruction.
D E F IN ITIO NS

15. Responsable du Traitement
La personne physique ou morale, l’autorité publique, le service ou tout autre organisme
qui, seul ou conjointement avec d’autres, détermine les finalités, les conditions et les
moyens du traitement de données à caractère personnel.
D E F IN ITIO NS

16. Sous-Traitant
La personne physique ou morale, l’autorité publique, le service ou tout autre
organisme qui traite des données à caractère personnel pourle compte du
responsable du traitement.
D E F IN ITIO NS

17. 3 . P R IN C IPES G E N E RAU X

18. Points Clés
• Transparence
• Limitation des finalités
• Minimisation des données
• Exactitude des données
• Limitation de la conservation des données
• Sécurité, intégrité et confidentialité des données
P R IN C IPES G E N ERA UX

19. Principe d’Accountability (Clé de Voute du RGPD)
Vousdevez être en mesure de démontrer que vousêtes en Conformité
• Privacy by Design / Privacy by Default
• Registre des activités
• Analyse d’impact
P R IN C IPES G E N ERA UX

20. Le Traitement doit être LICITE
La Personne a consenti au traitement.
Le traitement est nécessaire :
• A l’exécution du contrat
• Pour respecter une obligation légale
• A la sauvegarde des intérêts vitaux de la personne
• Aux fins des intérêts légitimes poursuivis par le responsable du traitement
(notion de balance des intérêts)
P R IN C IPES G E N ERA UX

21. Le CONSENTEMENT
Doit être donnépar un acte positif et clair par lequel la personne
concernée manifeste de façon libre, spécifique, éclairée et univoque
son accord au traitement des données.
P R IN C IPES G E N ERA UX

22. Le CONSENTEMENT
• Le responsable du traitement doit prouver le consentement
• Le consentement peut être retiré
• Les enfants de moins de 13 ans ne peuvent donnerleur consentement
• Pour certains types de données, un consentement spécial est exigé :
Race ou Ethnie, OpinionsPolitiques, Religion ou Croyances,
Données génétiques, Données relatives à la santé, À la vie Sexuelle,
Condamnationspénales ou Mesures de Sûreté
P R IN C IPES G E N ERA UX

23. 4 . M IS E E N ΠU V R E

24. • Mettre en place un registre des traitements
• Formaliser l’Analyse d’impact
• Nommer Un DPO : Data Protection Officer
• Disposer du consentement des personnes
• Rendre claire et transparente l’utilisation des données
• Pouvoirnotifier en 72h une faille de sécurité
• Assurer la capacité à corriger, supprimer, rendre portable les données
• Contrôler les sous-traitants (co-responsables / Cadre Contractuel)
• Privacy by design / Privacy by default
M IS E E N Œ U V R E : L E S P O IN T S C L É S
Les Points Clés de départ

25. Registre des activités ou registre des traitements
Les Traitements mis en œuvre doivent être répertoriés dans un registre
des activités de traitement.
Ce registre doit être mis à jour régulièrement, au fur et à mesure de la mise
en œuvre des traitements ou de la modification de traitements existants.
Il doit être tenu sous forme écrite, y compris sous forme électronique.
Il doit également être mis à disposition de l’autorité de contrôle en cas de
demande de cette dernière.
M IS E E N Œ U V R E : L E S P O IN T S C L É S

26. Analyse d’Impact
Lorsqu’un Traitement est susceptible d’engendrer un risque élevé pour les droits et
libertés des personnes, alors une analyse d’impact des opérations de traitement sur
la protection des données à caractère personnel doit être effectuée afin de
déterminer les mesures appropriées à prendre afin de démontrer que le traitement
des données respecte le règlement.
Le Règlement liste certains traitements soumis d’office à une telle analyse.
Les autorités de contrôle peuvent publier une liste des types d’opérations
qui devront également y être soumise.
M IS E E N Œ U V R E : L E S P O IN T S C L É S

27. Nommer Un DPO : Data Protection Officer
La nomination d’un DPO est fortement recommandée dans toutes les
entreprises, et pour les sous-traitants.
Elle est OBLIGATOIRE dans les cas suivants :
• S’ils appartiennent au secteur public
• Si leur activité principale les amène à réaliser un suivi régulier et
systématique des personnes à grande échelle
• Si leur activité principale les amène à traiter (à grande échelle) des
données dites « particulières » ou relatives à des condamnations pénales
ou à des infractions
M IS E E N Œ U V R E : L E S P O IN T S C L É S

28. Un DPO peut être Interne ou Externe.
Un DPO dépend de la Direction Générale uniquement.
Sa fonction est régie par les principes fondamentaux suivants :
• Indépendance absolue
• Absence de conflit d’intérêt, notamment en fonction de ses fonctions
ou de son rattachement hiérarchique
• Secret Professionnel
M IS E E N Œ U V R E : L E S P O IN T S C L É S
Nommer Un DPO : Data Protection Officer

29. Privacy by design / Privacy by default
Privacy by design :
Consiste en la nécessité de prendre les mesures appropriées pourtenir compte
de la protection des données dans les projets depuis leur origine, et de s’assurer
de la conformité des produits et services proposés aux dispositions
« Informatique et Libertés » tout au long de leur cycle de vie.
Elaboration d’une Méthodologie et d’un cahier des charges …
Privacy by default :
Consiste à prendre les mesures techniques et organisationnelles appropriées pour
garantir que par défaut seules les données qui sont nécessaires au regard de
la finalité spécifique du traitement sont collectées et utilisées.
M IS E E N Œ U V R E : L E S P O IN T S C L É S

30. 1/ Partager les enjeux au sein de la Direction Générale
Les Directions concernées :
Direction Générale (Responsable du DPO)
Direction Juridique
Direction Marketing / Commerciale / Communication
Direction des Ressources Humaines
Direction des Systèmes d’Information
M IS E E N Œ U V R E : P O U R C O M M E NCE R…

31. 2/ Impulser une dynamique autour de ce sujet et mettre l’organisationenmouvement
3/ Déterminer un cadrage duprojet et de son planning de mise en œuvre
4/ Initier un Audit et une Etude d’impact sur la protectiondes données
5/ Structurer l’approche et construire une stratégiede mise en place de processus fiables
M IS E E N Œ U V R E : P O U R C O M M E NCE R…

32. C O N C LU SION

33. Au delà de la nécessité d’être en conformité avec la loi,
l’enjeu de l’entreprise est d’améliorer sa performance client :
• Avec une mise en conformité progressive
• Dans un processus d’amélioration continu
• Pour optimiser la collecte et la valorisation des données des clients
P O U R C O N C LUR E

34. P O U R C O N C LUR E

35. 5 . Q U I S O M M ES -N OUS ?

36. PARISHANGHAI est une agence de communicationglobale, avecune forte appétence
pour le digital.
Notre expertise est axée surla création de concepts originaux, le design créatif et
les développements techniques complexes, afin d'offrir à nos clients la meilleure solution
possible pour toucher leurs publics.
Nous aimons imaginer des conceptsinnovants, élaborés sur mesure pourchacun de
nos clients.
L’A G E N CE

37. J U L I E N D E L U B A C
D I R E C T E U R G E N E R A L
01 44 54 33 21
julien.delubac@parishanghai.fr
N O T R E É Q U I P E D E C O N SU LTA N T S,
E X P E RT S E N M A R K E T I N G D E S D O N N É E S,
E ST À V O T R E É C O U T E E T À V O T R E D I SP O SI T I O N
C A R O L I N E P I E L
D I R E C T R I C E D E
C L I E N T E L E
01 86 95 03 69
caroline.piel@parishanghai.fr