SlideShare une entreprise Scribd logo
1  sur  44
Télécharger pour lire hors ligne
Etat des lieux et enjeux liés
au RGPD
1
RGPD
2
Règlement Général
pour la Protection des Données
Aussi appelé GDPR en Anglais.
Données personnelles
3
● prénom, nom,
● date de naissance,
● genre,
● adresse physique,
4
Données personnelles
génériques
● adresse IP,
● photo,
● posts sur réseaux
sociaux
● données de santé,
● origines raciales ou ethniques,
● sexualité,
● opinions politiques,
● croyances religieuses
5
Données personnelles
sensibles
● ADN,
● empreintes digitales,
● données issues de reconnaissance faciale et
de la rétine
6
Données personnelles
biométriques
Personally Identifiable Information (PII)
7
8
Personally Identifiable
Information
Une information qui peut servir à reconnaitre un
individu ou à l’identifier dans un certain contexte
(ex : vos données de localisation sur Google
Maps).
Consentement de l’individu
9
Le GDPR vise à redonner le pouvoir et la libre
utilisation des données aux individus.
10
Le consentement est
primordial
Avoir le choix de ne pas communiquer ses
données, sans subir de préjudices (toutefois
l’utilisateur peut ne plus avoir accès au service
ou à l’intégralité du service).
11
Choix
Le but de la récolte des données doit être
mentionné explicitement à l’utilisateur (ex : “vos
données seront utilisées pour l’envoi de
newsletter”).
12
But explicite
Son consentement doit être intelligible par une
“action déclarative” de sa part, sans ambiguïté
(ex : Je suis d’accord pour que mes données
soient réutilisées pour…)
13
Consentement explicite
L’utilisateur peut accéder à tout moment à ses
données.
14
Transparence
15
Réversibilité du
consentement
L’utilisateur peut retirer son consentement à tout
moment et réclamer la suppression de ses
données s’il le souhaite.
Les acteurs du RGPD
16
De nouveaux acteurs vont arriver avec le RGPD :
● Le “Data Controller”
● Le “Data Processor”
● Le “Data Protection Officer”
● Le “Data Protection Authority”
17
18
Data Controller
C’est l’organisation qui collecte et devient
responsable de la donnée collectée vis-à-vis de la
CNIL.
C’est vous !
19
Data Processor
C’est le sous-traitant qui collecte les données
pour le compte du “Data Controller”.
Vous êtes concerné si vous avez des clients B2B
et que vous traitez des données personnelles
pour leurs comptes.
Data Protection Officer
20
C’est la personne désignée au sein du “Data
Controller” afin de réguler et monitorer
l’utilisation des données personnelles.
21
Data Protection
Authority
C’est l’autorité nationale en charge de la mise en
place et du respect du RGPD, à savoir la CNIL en
France, le CNPD au Luxembourg, la XX en Suisse
et la YY en Belgique.
En tant qu’entreprise, suis-je concerné ?
22
Sont concernés, toutes les entreprises qui :
❏ commercialisent des produits et services au sein de l’UE
❏ possèdent des bureaux en zone UE
❏ développent des sites internet et applications mobiles
disponibles dans des langues de la zone UE
❏ affichent des prix de vente en devises de l’UE
❏ possèdent des noms de domaine provenant de l’UE
Un critère coché et le RGPD s’applique.
23
La réglementation est obligatoire si l’entreprise :
❏ récolte et gère régulièrement des données clients
❏ a plus de 250 salariés
❏ manipule des données clients pour le compte de clients
B2B (de plus de 250 personnes)
❏ récolte et gère des données sensibles et biométriques
❏ récolte des données qui pourraient mettre en danger les
droits et libertés des individus
Un critère coché et le RGPD s’applique.
24
Impact sur le “Product Management”
25
Le RGPD appliqués au Product Management :
● “Protection by Design”
● “Privacy by default”
26
27
“Protection by Design”
Chaque nouvelle fonctionnalité traitant des
données personnelles ou permettant d’en traiter
doit garantir dès sa conception et lors de chaque
utilisation, le plus haut niveau possible de
protection des données.
28
“Privacy by default”
Passage du “Big Data” avec la récolte maximale
de données à la “Data Minimisation”. Les données
personnelles récoltées doivent donc être
adéquates, pertinentes et limitées uniquement
aux besoins du business de l’entreprise.
Les questions à se poser (1/3)
❏ Qui récolte les données ?
❏ Qui est le “Data Controller” ?
❏ Qui est le “Data Processor” ?
❏ Quelle est la liste des données récupérées ?
❏ Les données récupérées sont-elles proportionnées par
rapport à l’utilisation finale ?
❏ De quelles données ai-je réellement & strictement besoin
?
❏ A quoi chaque donnée va-t-elle servir ?29
Les questions à se poser (2/3)
❏ Où sont stockées les données ?
❏ Combien de temps seront-elles stockées ?
❏ Quelles sont les données stockées ?
❏ Les personnes dont on récupère des données sont-elles
informées ? Ont-elles donné leur consentement ?
❏ De quelle façon les utilisateurs vont consentir au
traitement de leurs informations personnelles ?
30
31
Les questions à se poser (3/3)
❏ Comment les personnes peuvent accéder à leurs
données, les modifier, les exporter ou les supprimer ?
❏ Comment et quand les données sont-elles rafraichies ?
❏ Qui accède aux données ?
❏ A quels profils d’utilisateurs sont destinées les données
traitées ?
❏ Des sociétés externes ont-elles également accès aux
données ? Si oui, dans quels pays ?
Mise en conformité RGPD
en 6 étapes
32
Désigner un chef d’orchestre qui exercera une
mission d’information, de conseil et de contrôle
en interne : le délégué à la protection des
données (DPD, ou DPO en anglais).
33
/1 Désigner un pilote
34
/2 Cartographier
Recenser de façon précise vos traitements de
données personnelles. L'élaboration d'un registre
des traitements vous permet de faire le point.
35
/3 Prioriser
Identifier les actions à mener pour vous
conformer aux obligations. Prioriser ces actions
au regard des risques que font peser vos
traitements sur les droits et les libertés des
personnes concernées.
/4 Gérer les risques
36
Pour chaque traitement de données personnelles
impliquant un risque élevé pour les droits et
libertés des personnes concernées = une analyse
d'impact sur la protection des données (PIA).
Imaginer l’ensemble des événements qui peuvent
survenir au cours de la vie d’un traitement.
37
/5 Organiser
38
/6 Documenter
Constituer et regrouper la documentation
nécessaire. Les actions et documents réalisés à
chaque étape doivent être ré-examinés et
actualisés régulièrement pour assurer une
protection des données en continu.
Liste d’actions concrètes (1/2)
❏ Nommer un “Data Protection Officer”
❏ Tenir un registre numérique actualisé de tous les
traitements de données personnelles
❏ Préconiser le chiffrement ou la pseudonymisation des
données les plus sensibles
❏ Mettre en conformité les formulaires à destination des
clients pour récupérer leur consentement sur l’utilisation
de leurs données personnelles pour un usage précis
39
Liste d’actions concrètes (2/2)
❏ Demander la mise en conformité des sous-traitants
❏ Mettre à jour les contrats des sous-traitants
❏ Mettre en place une charte de bonnes pratiques de
l’utilisation des données personnelles à destination des
collaborateurs
❏ Mettre en place une procédure d’escalade auprès de la
CNIL et une communication de crise et d’informations en
cas de violation de données personnelles
40
Liste d’actions concrètes (3/3)
❏ Montrer sa “bonne foi” en mettant en place un mapping
des données récupérées et traitées (= registre numérique)
et surtout
❏ Se montrer coopératif en cas de contrôle par la CNIL
❏ Faire un Privacy Impact Assessment (PIA)
❏ Modifier vos CGU/CGV et mentions légales en intégrant
un “Privacy Policies” en conséquence
❏ Idéalement stocker les données en zone UE
41
A propos de l’auteur
42
En tant que "Solution Provider" j'ai
une approche pragmatique de votre
métier. Je privilégie les solutions
concrètes permettant une mise en
place rapide sous forme
d'itérations. Enthousiaste je
mobilise vos équipes vers un
objectif commun.
● Mentorat de dirigeant
● Due Diligence technique
● Accompagnement au
changement
Pierre
Ammeloot
Directeur Technique
Indépendant
43
44
@Pierre_A
pierre@ammeloot.fr
pierre.ammeloot.fr

Contenu connexe

Tendances

GDPR training
GDPR training GDPR training
GDPR training ASL
 
GDPR Basics - General Data Protection Regulation
GDPR Basics - General Data Protection RegulationGDPR Basics - General Data Protection Regulation
GDPR Basics - General Data Protection RegulationVicky Dallas
 
Tietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussaTietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussaHarto Pönkä
 
Tietosuoja opetustoimessa
Tietosuoja opetustoimessaTietosuoja opetustoimessa
Tietosuoja opetustoimessaHarto Pönkä
 
Tietosuoja ja luvat arjen varhaiskasvatustyössä
Tietosuoja ja luvat arjen varhaiskasvatustyössäTietosuoja ja luvat arjen varhaiskasvatustyössä
Tietosuoja ja luvat arjen varhaiskasvatustyössäHarto Pönkä
 
Preparing for GDPR: General Data Protection Regulation - Stakeholder Presenta...
Preparing for GDPR: General Data Protection Regulation - Stakeholder Presenta...Preparing for GDPR: General Data Protection Regulation - Stakeholder Presenta...
Preparing for GDPR: General Data Protection Regulation - Stakeholder Presenta...Qualsys Ltd
 
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutuksetDigiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutuksetHarto Pönkä
 
General Data Protection Regulations (GDPR): Do you understand it and are you ...
General Data Protection Regulations (GDPR): Do you understand it and are you ...General Data Protection Regulations (GDPR): Do you understand it and are you ...
General Data Protection Regulations (GDPR): Do you understand it and are you ...Cvent
 
Tietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässäTietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässäHarto Pönkä
 
Kuvaaminen oppilaitoksissa
Kuvaaminen oppilaitoksissaKuvaaminen oppilaitoksissa
Kuvaaminen oppilaitoksissaHarto Pönkä
 
GDPR Introduction and overview
GDPR Introduction and overviewGDPR Introduction and overview
GDPR Introduction and overviewJane Lambert
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaHarto Pönkä
 
GDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessaGDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessaHarto Pönkä
 
Henkilötiedot ja tietosuoja (GDPR)
Henkilötiedot ja tietosuoja (GDPR)Henkilötiedot ja tietosuoja (GDPR)
Henkilötiedot ja tietosuoja (GDPR)Harto Pönkä
 
Tietosuoja kunnan viestinnässä ja asiakaspalvelussa
Tietosuoja kunnan viestinnässä ja asiakaspalvelussaTietosuoja kunnan viestinnässä ja asiakaspalvelussa
Tietosuoja kunnan viestinnässä ja asiakaspalvelussaHarto Pönkä
 

Tendances (20)

GDPR training
GDPR training GDPR training
GDPR training
 
GDPR Basics - General Data Protection Regulation
GDPR Basics - General Data Protection RegulationGDPR Basics - General Data Protection Regulation
GDPR Basics - General Data Protection Regulation
 
Tietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussaTietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussa
 
Data protection
Data protectionData protection
Data protection
 
Gdpr presentation
Gdpr presentationGdpr presentation
Gdpr presentation
 
Tietosuoja opetustoimessa
Tietosuoja opetustoimessaTietosuoja opetustoimessa
Tietosuoja opetustoimessa
 
General Data Protection Regulation
General Data Protection RegulationGeneral Data Protection Regulation
General Data Protection Regulation
 
Tietosuoja ja luvat arjen varhaiskasvatustyössä
Tietosuoja ja luvat arjen varhaiskasvatustyössäTietosuoja ja luvat arjen varhaiskasvatustyössä
Tietosuoja ja luvat arjen varhaiskasvatustyössä
 
Preparing for GDPR: General Data Protection Regulation - Stakeholder Presenta...
Preparing for GDPR: General Data Protection Regulation - Stakeholder Presenta...Preparing for GDPR: General Data Protection Regulation - Stakeholder Presenta...
Preparing for GDPR: General Data Protection Regulation - Stakeholder Presenta...
 
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutuksetDigiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
 
What about GDPR?
What about GDPR?What about GDPR?
What about GDPR?
 
General Data Protection Regulations (GDPR): Do you understand it and are you ...
General Data Protection Regulations (GDPR): Do you understand it and are you ...General Data Protection Regulations (GDPR): Do you understand it and are you ...
General Data Protection Regulations (GDPR): Do you understand it and are you ...
 
Tietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässäTietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässä
 
Kuvaaminen oppilaitoksissa
Kuvaaminen oppilaitoksissaKuvaaminen oppilaitoksissa
Kuvaaminen oppilaitoksissa
 
GDPR Introduction and overview
GDPR Introduction and overviewGDPR Introduction and overview
GDPR Introduction and overview
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessa
 
GDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessaGDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessa
 
Henkilötiedot ja tietosuoja (GDPR)
Henkilötiedot ja tietosuoja (GDPR)Henkilötiedot ja tietosuoja (GDPR)
Henkilötiedot ja tietosuoja (GDPR)
 
GDPR: Key Article Overview
GDPR: Key Article OverviewGDPR: Key Article Overview
GDPR: Key Article Overview
 
Tietosuoja kunnan viestinnässä ja asiakaspalvelussa
Tietosuoja kunnan viestinnässä ja asiakaspalvelussaTietosuoja kunnan viestinnässä ja asiakaspalvelussa
Tietosuoja kunnan viestinnässä ja asiakaspalvelussa
 

Similaire à Présentation RGPD/GDPR 2018

TwinPeek RGPD Meetup 201903
TwinPeek RGPD Meetup 201903TwinPeek RGPD Meetup 201903
TwinPeek RGPD Meetup 201903Herve Blanc
 
Adetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketingAdetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketingLuc-Marie AUGAGNEUR
 
SÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPDSÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPDTelecomValley
 
Sécurité, GDPR : vos données ont de la valeur
Sécurité, GDPR : vos données ont de la valeur Sécurité, GDPR : vos données ont de la valeur
Sécurité, GDPR : vos données ont de la valeur Geeks Anonymes
 
GDPR, tous concernés ! Le Règlement Général de la Protection des Donnée en un...
GDPR, tous concernés ! Le Règlement Général de la Protection des Donnée en un...GDPR, tous concernés ! Le Règlement Général de la Protection des Donnée en un...
GDPR, tous concernés ! Le Règlement Général de la Protection des Donnée en un...EnjoyDigitAll by BNP Paribas
 
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra PartnersJedha Bootcamp
 
presentation_rgpd_062018.pptx
presentation_rgpd_062018.pptxpresentation_rgpd_062018.pptx
presentation_rgpd_062018.pptxSidiAbdallah1
 
Atelier 8 - RGPD - Conférence Thierry Preel 2019
Atelier 8 - RGPD - Conférence Thierry Preel 2019Atelier 8 - RGPD - Conférence Thierry Preel 2019
Atelier 8 - RGPD - Conférence Thierry Preel 2019Tarn Tourisme
 
Présentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnellesPrésentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnellesMarseille Innovation
 
Protection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentielProtection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentielPierre MASSOT
 
Règlement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UERèglement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UEPECB
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesTerface
 
earlegal #5 - Comment protéger l’investissement de mon entreprise dans un pro...
earlegal #5 - Comment protéger l’investissement de mon entreprise dans un pro...earlegal #5 - Comment protéger l’investissement de mon entreprise dans un pro...
earlegal #5 - Comment protéger l’investissement de mon entreprise dans un pro...Lexing - Belgium
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATAISACA Chapitre de Québec
 

Similaire à Présentation RGPD/GDPR 2018 (20)

TwinPeek RGPD Meetup 201903
TwinPeek RGPD Meetup 201903TwinPeek RGPD Meetup 201903
TwinPeek RGPD Meetup 201903
 
Adetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketingAdetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketing
 
SÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPDSÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPD
 
Sécurité, GDPR : vos données ont de la valeur
Sécurité, GDPR : vos données ont de la valeur Sécurité, GDPR : vos données ont de la valeur
Sécurité, GDPR : vos données ont de la valeur
 
Rgpd
RgpdRgpd
Rgpd
 
GDPR, tous concernés ! Le Règlement Général de la Protection des Donnée en un...
GDPR, tous concernés ! Le Règlement Général de la Protection des Donnée en un...GDPR, tous concernés ! Le Règlement Général de la Protection des Donnée en un...
GDPR, tous concernés ! Le Règlement Général de la Protection des Donnée en un...
 
Le RGPD
Le RGPD Le RGPD
Le RGPD
 
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
 
Workshop CNIL
Workshop CNILWorkshop CNIL
Workshop CNIL
 
presentation_rgpd_062018.pptx
presentation_rgpd_062018.pptxpresentation_rgpd_062018.pptx
presentation_rgpd_062018.pptx
 
Atelier 8 - RGPD - Conférence Thierry Preel 2019
Atelier 8 - RGPD - Conférence Thierry Preel 2019Atelier 8 - RGPD - Conférence Thierry Preel 2019
Atelier 8 - RGPD - Conférence Thierry Preel 2019
 
Présentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnellesPrésentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnelles
 
ISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPDISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPD
 
ISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPDISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPD
 
Protection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentielProtection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentiel
 
Règlement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UERèglement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UE
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des Données
 
Obligations RGPD : Comment-agir ?
Obligations RGPD : Comment-agir ?Obligations RGPD : Comment-agir ?
Obligations RGPD : Comment-agir ?
 
earlegal #5 - Comment protéger l’investissement de mon entreprise dans un pro...
earlegal #5 - Comment protéger l’investissement de mon entreprise dans un pro...earlegal #5 - Comment protéger l’investissement de mon entreprise dans un pro...
earlegal #5 - Comment protéger l’investissement de mon entreprise dans un pro...
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATA
 

Plus de Pierre Ammeloot

Présentation Marketing Automation 2017
Présentation Marketing Automation 2017Présentation Marketing Automation 2017
Présentation Marketing Automation 2017Pierre Ammeloot
 
La révolution ChatBot ou comment dompter Messenger Platform
La révolution ChatBot ou comment dompter Messenger PlatformLa révolution ChatBot ou comment dompter Messenger Platform
La révolution ChatBot ou comment dompter Messenger PlatformPierre Ammeloot
 
Conférence web marketing automation à WebInAlps 2015 - Grenoble
Conférence web marketing automation à WebInAlps 2015 - GrenobleConférence web marketing automation à WebInAlps 2015 - Grenoble
Conférence web marketing automation à WebInAlps 2015 - GrenoblePierre Ammeloot
 
Conférence - facteurs clés de succès pour implémenter une organisation hom...
Conférence - facteurs clés de succès pour implémenter une organisation hom...Conférence - facteurs clés de succès pour implémenter une organisation hom...
Conférence - facteurs clés de succès pour implémenter une organisation hom...Pierre Ammeloot
 
Cours SEO débutant Polycom Lausanne
Cours SEO débutant Polycom LausanneCours SEO débutant Polycom Lausanne
Cours SEO débutant Polycom LausannePierre Ammeloot
 
Cours technologie web débutant CREA Digital 2 - 10/2013
Cours technologie web débutant CREA Digital 2 - 10/2013Cours technologie web débutant CREA Digital 2 - 10/2013
Cours technologie web débutant CREA Digital 2 - 10/2013Pierre Ammeloot
 
Cours SEO / Référencement Naturel - août 2013
Cours SEO / Référencement Naturel - août 2013Cours SEO / Référencement Naturel - août 2013
Cours SEO / Référencement Naturel - août 2013Pierre Ammeloot
 
Formation Clévacances Rhône-Alpes - Juillet 2010
Formation Clévacances Rhône-Alpes - Juillet 2010Formation Clévacances Rhône-Alpes - Juillet 2010
Formation Clévacances Rhône-Alpes - Juillet 2010Pierre Ammeloot
 

Plus de Pierre Ammeloot (8)

Présentation Marketing Automation 2017
Présentation Marketing Automation 2017Présentation Marketing Automation 2017
Présentation Marketing Automation 2017
 
La révolution ChatBot ou comment dompter Messenger Platform
La révolution ChatBot ou comment dompter Messenger PlatformLa révolution ChatBot ou comment dompter Messenger Platform
La révolution ChatBot ou comment dompter Messenger Platform
 
Conférence web marketing automation à WebInAlps 2015 - Grenoble
Conférence web marketing automation à WebInAlps 2015 - GrenobleConférence web marketing automation à WebInAlps 2015 - Grenoble
Conférence web marketing automation à WebInAlps 2015 - Grenoble
 
Conférence - facteurs clés de succès pour implémenter une organisation hom...
Conférence - facteurs clés de succès pour implémenter une organisation hom...Conférence - facteurs clés de succès pour implémenter une organisation hom...
Conférence - facteurs clés de succès pour implémenter une organisation hom...
 
Cours SEO débutant Polycom Lausanne
Cours SEO débutant Polycom LausanneCours SEO débutant Polycom Lausanne
Cours SEO débutant Polycom Lausanne
 
Cours technologie web débutant CREA Digital 2 - 10/2013
Cours technologie web débutant CREA Digital 2 - 10/2013Cours technologie web débutant CREA Digital 2 - 10/2013
Cours technologie web débutant CREA Digital 2 - 10/2013
 
Cours SEO / Référencement Naturel - août 2013
Cours SEO / Référencement Naturel - août 2013Cours SEO / Référencement Naturel - août 2013
Cours SEO / Référencement Naturel - août 2013
 
Formation Clévacances Rhône-Alpes - Juillet 2010
Formation Clévacances Rhône-Alpes - Juillet 2010Formation Clévacances Rhône-Alpes - Juillet 2010
Formation Clévacances Rhône-Alpes - Juillet 2010
 

Présentation RGPD/GDPR 2018

  • 1. Etat des lieux et enjeux liés au RGPD 1
  • 2. RGPD 2 Règlement Général pour la Protection des Données Aussi appelé GDPR en Anglais.
  • 4. ● prénom, nom, ● date de naissance, ● genre, ● adresse physique, 4 Données personnelles génériques ● adresse IP, ● photo, ● posts sur réseaux sociaux
  • 5. ● données de santé, ● origines raciales ou ethniques, ● sexualité, ● opinions politiques, ● croyances religieuses 5 Données personnelles sensibles
  • 6. ● ADN, ● empreintes digitales, ● données issues de reconnaissance faciale et de la rétine 6 Données personnelles biométriques
  • 8. 8 Personally Identifiable Information Une information qui peut servir à reconnaitre un individu ou à l’identifier dans un certain contexte (ex : vos données de localisation sur Google Maps).
  • 10. Le GDPR vise à redonner le pouvoir et la libre utilisation des données aux individus. 10 Le consentement est primordial
  • 11. Avoir le choix de ne pas communiquer ses données, sans subir de préjudices (toutefois l’utilisateur peut ne plus avoir accès au service ou à l’intégralité du service). 11 Choix
  • 12. Le but de la récolte des données doit être mentionné explicitement à l’utilisateur (ex : “vos données seront utilisées pour l’envoi de newsletter”). 12 But explicite
  • 13. Son consentement doit être intelligible par une “action déclarative” de sa part, sans ambiguïté (ex : Je suis d’accord pour que mes données soient réutilisées pour…) 13 Consentement explicite
  • 14. L’utilisateur peut accéder à tout moment à ses données. 14 Transparence
  • 15. 15 Réversibilité du consentement L’utilisateur peut retirer son consentement à tout moment et réclamer la suppression de ses données s’il le souhaite.
  • 16. Les acteurs du RGPD 16
  • 17. De nouveaux acteurs vont arriver avec le RGPD : ● Le “Data Controller” ● Le “Data Processor” ● Le “Data Protection Officer” ● Le “Data Protection Authority” 17
  • 18. 18 Data Controller C’est l’organisation qui collecte et devient responsable de la donnée collectée vis-à-vis de la CNIL. C’est vous !
  • 19. 19 Data Processor C’est le sous-traitant qui collecte les données pour le compte du “Data Controller”. Vous êtes concerné si vous avez des clients B2B et que vous traitez des données personnelles pour leurs comptes.
  • 20. Data Protection Officer 20 C’est la personne désignée au sein du “Data Controller” afin de réguler et monitorer l’utilisation des données personnelles.
  • 21. 21 Data Protection Authority C’est l’autorité nationale en charge de la mise en place et du respect du RGPD, à savoir la CNIL en France, le CNPD au Luxembourg, la XX en Suisse et la YY en Belgique.
  • 22. En tant qu’entreprise, suis-je concerné ? 22
  • 23. Sont concernés, toutes les entreprises qui : ❏ commercialisent des produits et services au sein de l’UE ❏ possèdent des bureaux en zone UE ❏ développent des sites internet et applications mobiles disponibles dans des langues de la zone UE ❏ affichent des prix de vente en devises de l’UE ❏ possèdent des noms de domaine provenant de l’UE Un critère coché et le RGPD s’applique. 23
  • 24. La réglementation est obligatoire si l’entreprise : ❏ récolte et gère régulièrement des données clients ❏ a plus de 250 salariés ❏ manipule des données clients pour le compte de clients B2B (de plus de 250 personnes) ❏ récolte et gère des données sensibles et biométriques ❏ récolte des données qui pourraient mettre en danger les droits et libertés des individus Un critère coché et le RGPD s’applique. 24
  • 25. Impact sur le “Product Management” 25
  • 26. Le RGPD appliqués au Product Management : ● “Protection by Design” ● “Privacy by default” 26
  • 27. 27 “Protection by Design” Chaque nouvelle fonctionnalité traitant des données personnelles ou permettant d’en traiter doit garantir dès sa conception et lors de chaque utilisation, le plus haut niveau possible de protection des données.
  • 28. 28 “Privacy by default” Passage du “Big Data” avec la récolte maximale de données à la “Data Minimisation”. Les données personnelles récoltées doivent donc être adéquates, pertinentes et limitées uniquement aux besoins du business de l’entreprise.
  • 29. Les questions à se poser (1/3) ❏ Qui récolte les données ? ❏ Qui est le “Data Controller” ? ❏ Qui est le “Data Processor” ? ❏ Quelle est la liste des données récupérées ? ❏ Les données récupérées sont-elles proportionnées par rapport à l’utilisation finale ? ❏ De quelles données ai-je réellement & strictement besoin ? ❏ A quoi chaque donnée va-t-elle servir ?29
  • 30. Les questions à se poser (2/3) ❏ Où sont stockées les données ? ❏ Combien de temps seront-elles stockées ? ❏ Quelles sont les données stockées ? ❏ Les personnes dont on récupère des données sont-elles informées ? Ont-elles donné leur consentement ? ❏ De quelle façon les utilisateurs vont consentir au traitement de leurs informations personnelles ? 30
  • 31. 31 Les questions à se poser (3/3) ❏ Comment les personnes peuvent accéder à leurs données, les modifier, les exporter ou les supprimer ? ❏ Comment et quand les données sont-elles rafraichies ? ❏ Qui accède aux données ? ❏ A quels profils d’utilisateurs sont destinées les données traitées ? ❏ Des sociétés externes ont-elles également accès aux données ? Si oui, dans quels pays ?
  • 32. Mise en conformité RGPD en 6 étapes 32
  • 33. Désigner un chef d’orchestre qui exercera une mission d’information, de conseil et de contrôle en interne : le délégué à la protection des données (DPD, ou DPO en anglais). 33 /1 Désigner un pilote
  • 34. 34 /2 Cartographier Recenser de façon précise vos traitements de données personnelles. L'élaboration d'un registre des traitements vous permet de faire le point.
  • 35. 35 /3 Prioriser Identifier les actions à mener pour vous conformer aux obligations. Prioriser ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées.
  • 36. /4 Gérer les risques 36 Pour chaque traitement de données personnelles impliquant un risque élevé pour les droits et libertés des personnes concernées = une analyse d'impact sur la protection des données (PIA).
  • 37. Imaginer l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement. 37 /5 Organiser
  • 38. 38 /6 Documenter Constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être ré-examinés et actualisés régulièrement pour assurer une protection des données en continu.
  • 39. Liste d’actions concrètes (1/2) ❏ Nommer un “Data Protection Officer” ❏ Tenir un registre numérique actualisé de tous les traitements de données personnelles ❏ Préconiser le chiffrement ou la pseudonymisation des données les plus sensibles ❏ Mettre en conformité les formulaires à destination des clients pour récupérer leur consentement sur l’utilisation de leurs données personnelles pour un usage précis 39
  • 40. Liste d’actions concrètes (2/2) ❏ Demander la mise en conformité des sous-traitants ❏ Mettre à jour les contrats des sous-traitants ❏ Mettre en place une charte de bonnes pratiques de l’utilisation des données personnelles à destination des collaborateurs ❏ Mettre en place une procédure d’escalade auprès de la CNIL et une communication de crise et d’informations en cas de violation de données personnelles 40
  • 41. Liste d’actions concrètes (3/3) ❏ Montrer sa “bonne foi” en mettant en place un mapping des données récupérées et traitées (= registre numérique) et surtout ❏ Se montrer coopératif en cas de contrôle par la CNIL ❏ Faire un Privacy Impact Assessment (PIA) ❏ Modifier vos CGU/CGV et mentions légales en intégrant un “Privacy Policies” en conséquence ❏ Idéalement stocker les données en zone UE 41
  • 42. A propos de l’auteur 42
  • 43. En tant que "Solution Provider" j'ai une approche pragmatique de votre métier. Je privilégie les solutions concrètes permettant une mise en place rapide sous forme d'itérations. Enthousiaste je mobilise vos équipes vers un objectif commun. ● Mentorat de dirigeant ● Due Diligence technique ● Accompagnement au changement Pierre Ammeloot Directeur Technique Indépendant 43

Notes de l'éditeur

  1. Commençons par définir ce qu’est une données personnelle.
  2. Commençons par définir ce qu’est une données personnelle.
  3. Commençons par définir ce qu’est une données personnelle.
  4. Le registre doit être consultable consultable à tout moment en cas de contrôle de la CNIL mais aussi de la part de vos clients (si vous êtes “data-processors”).
  5. Il est soumis aux mêmes obligations de conformité au GDPR.
  6. Les questions à se poser à la conception de son produit ou de nouvelles fonctionnalités
  7. Le registre doit être consultable consultable à tout moment en cas de contrôle de la CNIL mais aussi de la part de vos clients (si vous êtes “data-processors”).
  8. Source : CNIL
  9. (ex : faille de sécurité, gestion des demande de rectification ou d’accès, modification des données collectées, changement de prestataire).
  10. Utile en cas de contrôle de la CNIL
  11. Le registre doit être consultable à tout moment en cas de contrôle de la CNIL mais aussi de la part de vos clients (si vous êtes “data-processors”).