Registre des traitements, Privacy by design, désignation d'un DPO… A quelques semaines de la mise en place du RGPD, quelques réponses simples à des questions qui le sont moins!
2. Le Règlement Général pour la Protection
des Données (RGPD, ou GDPR en anglais)
est une nouvelle réglementation
qui vise à uniformiser la législation
européenne en matière de
protection des données personnelles.
RGPD, GDPR,
de quoi parlons-nous ?
3. • Renforcer les droits des
personnes, notamment par la création
d’un droit à la portabilité des données
personnelles et de dispositions propres
aux personnes mineures
• Crédibiliser la régulation grâce à une
coopération renforcée entre les autorités
de protection des données
Un triple objectif à l’échelle européenne :
• Responsabiliser les entreprises et
acteurs traitant des données
Pourquoi un nouveau
règlement ?
4. Quels risques
en cas de non-conformité ?
Jusqu’à 4 % du chiffre d’affaires
annuel mondial sur un total maximum
pouvant atteindre 20 millions d’euros
A qui s’adresse-t-il ?
Le RGPD concerne
toutes les entreprises mondiales
traitant des données
de citoyens européens
Pour quand dois-je être prêt?
25 mai 2018
Qui ? Quand ? Quoi ?
5. Donnée personnelle
Toute information relative à une personne
physique (salarié, client, prospect, tiers….)
identifiée ou pouvant l’être de manière
directe ou indirecte (Numéro de sécurité
sociale, numéro d’immatriculation, téléphone,
photo...)
Il s’agit ainsi de toute donnée permettant
de créer une forme de discrimination
envers une personne
Donnée personnelle « sensible »
Tout information faisant référence à:
• l’origine raciale ou ethnique
• aux opinions politiques, philosophiques ou
religieuses
• l’appartenance syndicale
• la santé
• l’orientation sexuelle Source CNIL
Qu’entend-t-on par
« donnée
personnelle » ?
6. Principe qui impose aux entreprises de
garantir le plus haut niveau possible
de protection des données
dès la conception
d’un projet lié à la manipulation de données
personnelles
Le Privacy by Design est basé sur sept principes
• Conception de mesures préventives et proactives
• Protection par défaut (Privacy by default)
• Prise en compte des règles sur la protection de la vie privée
dans la conception des produits et durant leur utilisation
• Protection optimale et intégrale
• Assurer la sécurité tout au long de la conservation des
données
• Visibilité et transparence
• Respect de la vie privée des usagers et/ou des cibles du
service
Qu’est-ce-que le
principe de
« Privacy
by design » ?
1
2
3
4
5
6
7
7. Que signifie tenir un
registre des
traitements ?
Le RGPD impose de nombreuses nouvelles
obligations, dont l’obligation de tenir un
registre des traitements.
Ce registre peut être consulté à tout
moment par la CNIL et doit comporter les
informations suivantes :
Comment ?
Quand ?
Où ?
Pourquoi ?
Quoi ?
Qui ? Informations sur le responsable du traitement
Cartographie des données traitées
Finalités de la collecte des données
Lieu où les données sont hébergées
Combien de temps les données seront
conservées
Mesures de sécurité mises en œuvre pour
limiter les risques
8. Successeur naturel du CIL, le Délégué à la
protection des données (DPO) a pour mission
de superviser le respect de la conformité
au RPGD.
Cette fonction est obligatoire pour les
entreprises traitant des données
personnelles
• Profil juridique et data
• Indépendant: absent d’engagement et d’intérêt
dans des projets relatifs au traitement de la
donnée
• Selon le volume des données traitées, la taille et
le secteur de l’entreprise, il est:
• Internalisé (juriste, auditeur…) ou externalisé
• Temps plein ou partiel
• Bonne connaissance des opérations de
traitement des données et du SI
• Capacité à communiquer afin d’informer les
collaborateurs et les sous-traitants en matière de
protection des données
CARTE D’IDENTITÉ du DPO
Nommer un DPO,
est-ce obligatoire ?
9. • que les prestataires et sous-traitants
qui manipulent des données sont
conformes à la réglementation
• que les données de contacts inactifs
depuis plus de 3 ans sont supprimées
ou exclues
Le Responsable Marketing
est tenu de s’assurer:
En tant que
Responsable Marketing,
en quoi ce règlement
m’impacte-t-il ?
10. En tant que
Responsable Marketing,
en quoi ce règlement
m’impacte-t-il ?
• Toute nouvelle campagne avec formulaire
doit posséder des cases à cocher pour
attester du consentement
• En emailing, les liens de désabonnement
sont obligatoires
En BtoC
• L’opt-in devient obligatoire
• L’opt-in passif (cases pré-cochées) devient
interdit
En BtoB
• Les données à caractère public sont
exclues (adresse siège social, effectifs, CA…)
En particulier, pour les actions Digitales
11. Vous souhaitez
en savoir plus
sur notre offre RGPD?
Contactez-nous!
Florence VAGUER
Directrice Business Consulting
fvaguer@velvetconsulting.com
64 RUE LA BOETIE
75008 PARIS FRANCE
T: +33 (0)1 53 34 68 56
www.velvetconsulting.com
Velvet vous accompagne
et vous propose une solution complète
pour assurer votre
mise en conformité RGPD
Cartographie &
traitement des
données et processus
Recommandations
& Plan d’actions
Maintien de la mise en
conformité
Pilotage de projet
tout au long de la
mise en conformité