Le document présente une vue d'ensemble sur le RGPD (Règlement Général sur la Protection des Données) et son impact sur diverses organisations, en insistant sur le fait que toutes gèrent des données personnelles. Il souligne les défis que rencontrent les petites structures face à la conformité et offre des conseils pratiques pour établir un dossier RGPD, tout en abordant les principes et sanctions du règlement. En soulignant l'importance de la documentation et des bonnes pratiques, le texte vise à rassurer les acteurs concernés sur leur capacité à se conformer aux exigences du RGPD.

2. Jacques Folon, Ph.D.
CEO & Founder GDPRfolder.eu
DPO
Professeur ICHEC
Me. de Conf. Université de Liège
Prof. inv. Université Saint Louis – ESC Rennes
Keynote speaker
Derniers livres publiés
50 nuances de liberté
Le printemps numérique
Internet et vie privée, faut-il avoir peur?
jacques@gdprfolder.eu
linkedin.com/in/folon
+ 32 475 98 21 15
IFC STRATEGIE DIGITALE

3. Question de départ
Quelle organisation ou indépendant ou pme ou
asbl ou organisation publique n’est pas concernée
par le RGPD

4. https://gdprfolder.eu
© 2018 GDPRFOLDER.EU SPRL All Rights Reserved.
Tout le monde est concerné !
Tout le monde a des clients, des employés, des prospects,
des membres
ASBL

5. www.companyname.com
© 2016 Ultime PowerPoint. All Rights Reserved.
5Toute organisation ou profession libérale
gère des données à caractère personnel !
Une donnée personnelle est
toute information se rapportant à une
personne physique identifiée ou identifiable
(ci-après dénommée «personne concernée»);
est réputée être une «personne physique
identifiable» une personne physique qui peut
être identifiée, directement ou indirectement,
notamment par référence à un identifiant, tel
qu'un nom, un numéro d'identification, des
données de localisation, un identifiant en ligne,
ou à un ou plusieurs éléments spécifiques
propres à son identité physique, physiologique,
génétique, psychique, économique, culturelle

6. https://gdprfolder.eu
© 2018 GDPRFOLDER.EU SPRL All Rights Reserved.
Personnel Prospects
ContactsUtilisateurs de
vos services
Les personnes dont vous gérez les données

8. RAPPEL

9. DELIVRABLE : LE DOSSIER GDPR
• REGISTRE DE TRAITEMENT
• PLAN DE SECURITE
• POLITIQUE D'ARCHIVAGE
• IAM
• DECISIONS PRISES
• CONTRATS SOUS-TRAITANCE
• FORMATIONS
• BEST PRACTICES INTERNES
• CC 81
• Data breaches
• Droits d’accès
• Site internet
• Aspects RH
• Un exemple gdprfolder.eu

10. Facilité : un questionnaire didactique et rédigé en
vocabulaire simple

11. Dossier GDPR
Vous pouvez démontrer en un clic les mesures prises
en imprimant le dossier gdpr mis à jouer en permanence

12. Commençons par
vous rassurer

13. RASSUREZ-VOUS !
VOUS N'ETES PAS EN RETARD PAR
RAPPORT AU GDPR.
VOUS AVEZ 25 ANS DE RETARD PAR
RAPPORT À LA LOI DE 1992 !!!

14. www.companyname.com
© 2016 Ultime PowerPoint. All Rights Reserved.
Il n’y avait pas de splution pour les indépendants, les PME, les ASBL
Les Petites organisations:
les oubliés du RGPD ?
Les consultants
sont trop chers
Les solutions
en ligne sont
trop complexes
Les solutions
informatiques
sont trop
techniques
Le vocabulaire
est
incompréhensi
ble

15. Vous devez
être capable
de
démontrer
que vous
êtes en
règle par
rapport au
RGPD

16. LE GDPR
LA RUEE VERS L'OR DE CONSULTANTS,
D'AVOCATS, DE SPECIALISTES EN SECURITE,…
ATTENTION AUX
"CERTIFICATION GDPR"
ELLES N'EXISTENT PAS (ENCORE)

18. 18
A.LE GDPR CA FAIT PEUR
B.LE GDPR C'EST (PAS BEAUCOUP) DU
DROIT
C.LE GDPR C'EST COMPLIQUE
D.LE GDPR CA PEUT ETRE POSITIF
E.CONTEXTE DU GDPR
F.LES 12 GRANDS PRINCIPES
G.CONCLUSION: LE DOSSIER GDPR

19. A. LE GDPR CA FAIT PEUR

20. A. LE GDPR CA FAIT PEUR: class action possible

21. LE GDPR CA FAIT PEUR

24. Les amendes
• Maximum 4% CA Annuel mondial
• 20 Millions €
• Quelques exemples:
• Google 50 millions
• Hôpital portugais 480.000€
• Autriche 4.800 caméra de surveillance

25. B. LE GDPR C'EST (PAS BEAUCOUP) DU DROIT
DROIT
CONTRAT SOUS-TRAITANTS
PRIVACY POLICIES
RH (CONFIDENTIALITÉ-CODE DE CONDUITE)
INFORMATIQUE
PRIVACY BY DESIGN/DEFAULT
SECURITE DE L'INFORMATION
IAM
CODE DE CONDUITE ICT
DOCUMENTATION DES PROGRAMMES
DROIT D'ACCES
DROIT A L'OUBLI
CC81
ORGANISATION
ANALYSE DE RISQUES
ARCHIVAGE DIGITAL
GESTION DE PROJET
CHANGE MANAGEMENT
REGISTRE DE TRAITEMENT
COMMUNICATION DE CRISE (DATA BREACH)
FORMATION

26. CODES DE CONDUITES ET CERTIFICATIONS
26

27. C. LE GDPR C'EST COMPLIQUÉ !
"RÉGLEMENTATIONSSSSS" !

28. C. LE GDPR C'EST COMPLIQUE !
ON COMMENCE PAR QUOI ?
1/ANALYSE PRÉALABLE
2/PLAN D'ACTIONS DE MISE EN
CONFORMITÉ

29. D.Comment on fait?
UNE MÉTHODO QUI A FAIT SES PREUVES

30. COMMENT ON FAIT?

31. LE GDPR CA PEUT ETRE POSITIF
MEILLEURE CONNAISSANCE
DES PROCESSUS INTERNES

32. E. CONTEXTE
32

35. PRINCIPAL
CONTEXTE:
MEDIA
SOCIAUX

36. The person
who took
the photo
is a real
friend
3
6

37. privacy ?????
3
7
http://www.fieldhousemedia.net/wp-content/uploads/2013/03/fb-privacy.jpg

38. 38SOURCE: http://mattmckeon.com/facebook-privacy/

39. 3
9

40. 4
0

41. 4
1

42. 4
2

43. 4
3

44. 4
4

45. 4
5
EN 2018

46. From Big Brother to Big Other

47. VOLS & PERTES DE DONNÉES

48. VOLS & PERTES DE DONNÉES

49. C'EST UNE VRAIE MENACE !

50. Objectif du GDPR

51. territoire
concerné

52. En deux mots…
52
• Le GDPR est un règlement européen
concernant la protection des données
personnelles
• Il s'impose aux entreprises et au secteur
public

53. 53
MAY 2018

54. RAPPEL QUELQUES DEFINITIONS…
54

55. UNE DONNÉE PERSONNELLE ?
55
toute information se rapportant à une personne physique identifiée ou
identifiable (ci-après dénommée «personne concernée»);
est réputée être une «personne physique identifiable» une personne physique
qui peut être identifiée, directement ou indirectement, notamment par
référence à un identifiant, tel qu'un nom, un numéro d'identification, des
données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments
spécifiques propres à son identité physique, physiologique, génétique,
psychique, économique, culturelle

56. TRAITEMENT DE DONNEES
56
. toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de
procédés automatisés et appliquées à des données ou des ensembles de données à
caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la
structuration, la conservation, l'adaptation ou la modification, l'extraction, la
consultation, l'utilisation, la communication par transmission, la diffusion ou
toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la
limitation, l'effacement ou la destruction;

57. RESPONSABLE DE TRAITEMENT
57
. la personne physique ou morale, l'autorité publique, le service ou un autre organisme
qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du
traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le
droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être
désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le
droit de l'Union ou par le droit d'un État membre;

58. SOUS-TRAITANT
58
. la personne physique ou morale, l'autorité publique, le service ou un autre
organisme qui traite des données à caractère personnel pour le compte du
responsable du traitement;

59. VIOLATION DE DONNEES
59
une violation de la sécurité entraînant, de manière accidentelle ou illicite, la
destruction, la perte, l'altération, la divulgation non autorisée de données à
caractère personnel transmises, conservées ou traitées d'une autre manière, ou
l'accès non autorisé à de telles données;
CONSÉQUENCES:
NOTIFICATION PUBLIQUE !!

60. GDPR ET SECURITÉ

61. F. Les 12 grands principes du GDPR
61
1. Responsabilité - « accountability »
2. Droit de la personne concernée (client, employé, citoyen)
3. Privacy by design
4. Sécurité des données
5. Notification des vols/pertes de données
6. Sanctions importantes
7. Gestion des accès aux données (IAM)
8. Licéité des traitements (réglementation ou consentement)
9. Registre des traitements
10.Analyse de risques et PIA
11.Formation
12.Data privacy officer

62. 1/ RESPONSABILITÉ
62

63. RESPONSABILITÉ

64. PRINCIPALE TÂCHE
DO-CU-MEN-TA-TION

65. EN PRATIQUE:
L'APD débarque suite à une plainte, une
dénonciation, d'un consommateur, d'un
concurrent…
Que faites-vous?
Que pouvez-vous leur montrer?
Qu'avez-vous préparé?
Comment se préparer?
Quel type de plainte?
Quid vol de données?
…
c'est ça l'accountability

67. 2. DROIT DE LA PERSONNE CONCERNEE

69. 2/ DROIT DE LA PERSONNE
69
TRANSPARENCE
INFORMATIONS LORS DE LA COLLECTE
DROIT D'ACCES
DROIT DE RECTIFICATION
DROIT A L'EFFACEMENT
DROIT A LA LIMITATION DU TRAITEMENT
PORTABILITE
DROIT D'OPPOSITION AU PROFILAGE

70. Ca a l'air simple…
Droits d'accès à… tout
Depuis longtemps
Dans toutes les bases de données
Preuve du consentement
De tout ce qui dépend du RDT
Imaginez un ministère, un annonceur multi-marques
et donc
nécessité de programmes de détection
de développement
ou pas…
analyse de risques

71. RIGHT TO ACCESS

72. DROIT A L'OUBLI, VRAIMENT ?

73. PRIVACY POLICY OR REGULATION OR …

74. CONSENTEMENT
74
«consentement» de la personne concernée, toute manifestation de
volonté, libre, spécifique, éclairée et univoque par laquelle la
personne concernée accepte, par une déclaration ou par un acte
positif clair, que des données à caractère personnel la concernant
fassent l'objet d'un traitement;
NB: IL FAUT GARDER LA PREUVE DU CONSENTEMENT
IL N’Y A PAS QUE LE CONSENTEMENT !

75. Un clic et c'est un contrat
attention vous devez garder la
preuve du contrat
QQ principes des T&C on line

79. Trouver le bon conseiller pour vos Conditions
générales de vente et privacy policy !

80. 3/ PRIVACY BY DESIGN
80

81. CONTEXTE

84. L’ESSENTIEL C’EST LA
DOCUMENTATION !
LES INFORMATICIENS
ADORENT ÇA !

85. PRIVACY
BY
DESIGN
8
5

86. PROACTIVE NOT REACTIVE
CE N’EST PAS QUAND LA MAISON BRULE
QU’IL FAUT SE DEMANDER OU EST
L’EXTINCTEUR
IL FAUT PREVENTIVEMENT PENSER AUX
MESURES DE SECURITE ET DE
PROTECTION DES DONNÉES

87. PRIVACY BY DEFAULT
LA PERSONNE CONCERNÉE NE DOIT RIEN
FAIRE, LES MESURES DE SECURITE ET DE
PROTECTION ONT ÉTÉ PRISES
ANTICIPATIVEMENT

88. EMBED IN DESIGN
LA PROTECTION DES DONNÉES
PERSONNELLES DOIT ÊTRE INTÉGRÉE DANS
LE DESIGN, LES PROCESS, LES
OPERATIONS, L’INFRASTRUCTURE SANS
DIMINUER LES POSSIBILITÉS D’USAGE DE LA
PERSONNE CONCERNÉE

89. FULL FONCTIONALITY:
POSITIVE SUM NOT ZERO SUM
IL EST POSSIBLE D’AVOIR LA SECURITE
ET
LA PROTECTION DE LA VIE PRIVÉE
IL NE DOIT PAS Y AVOIR DE CHOIX

90. END TO END SECURITY & PRIVACY
DURANT TOUTE LA DUREE DE VIE
DES DONNEES
COLLECTE
UTILISATION
MISE A
DISPOSITION
CONSERVATION
DESTRUCTION

91. VISIBILITY & TRANSPARENCY
VOUS DEVEZ ETRE CAPABLE DE
DEMONTRER AUX AUTORITES DE
CONTROLE QUE VOUS
RESPECTEZ LE RGPD ET QUE
VOUS TENEZ VOS PROMESSES

92. RESPECT USER PRIVACY
ET DONC RESPECTER
DROIT DACCÈS,…
TRANSPARENCE
LICÉITÉ…

95. PRIVACY BY DESIGN: PERTE DE TEMPS?

96. NO THERE ARE SOME BENEFITS

97. WHAT DOES IT MEANS ?
IT IS FROM THE START TO THE END OF THE PROCESS

98. C’EST UN PROCESSUS ITÉRATIF

99. LA QUALITÉ DES DONNÉES EST IMPORTANTE

100. LA DURÉE DE VIE COMPLÈTE DES DONNÉES

101. 1.CREATE
OR

102. EQUILIBRE A TROUVER

103. LICÉITÉ

104. CONSENTEMENT ET PREUVE

105. Si pas de consentement ou de licéité…

106. DONNÉES SENSIBLES
IF THENOR

107. PRIVACY IMPACT
ASSESMENT

108. 2.STORE
• SECURITY
• ENCRYPTION
• AUTHENTICATION
• AVAILABILITY
• CONFIDENTIALITY
• IAM

109. 3. USE

110. 4. SHARE

111. 4. SHARE

112. 5.ARCHIVE

113. 6. DESTROY

114. Ca a l'air simple…
Droits d'accès à… tout
Depuis longtemps
Dans toutes les bases de données
Preuve du consentement
De tout ce qui dépend du RDT
Imaginez un ministère, un annonceur multi-marques
et donc
nécessité de programmes de détection
de développement
ou pas…
analyse de risques

115. INFORMATION LIFECYCLE

116. 4/SECURITE DE L'INFORMATION
11
6

118. LE MAILLON FAIBLE

120. SECURITE
EXTERNE

122. QUELLES SONT LES MENACES?

123. ÊTES VOUS CAPABLE
D'IDENTIFIER
LES FUITES ?

124. Concrètement ca veut dire quoi?

126. Ne pas oublier
Plan de sécurité de l'information
Archivage
Destruction des données
ISO 2700X
audit de sécurité
Test de pénétration, …

127. 86
La sécurité des données
personnelles est une obligation
légale…

128. MENACES ?

129. Final tips

130. DERNIERS CONSEILS

134. Encryption + in transit encryption !

135. Mobile device management

136. Processors & subcontractors

137. VÉRIFIER LES DIVERGENCES

138. 5/ NOTIFICATION DES VOLS/PERTES
138

139. Préparer la communication de crise
1/ dans quels cas doit-on prévenir l'APD?
2/ Si on prévient l'APD et après?

140. 6/ SANCTIONS
140

141. 7/ Identity Access Management
(GESTION DES ACCÈS)
14
1

142. GESTION DES PROFILS
NEED TO HAVE ACCESS !!
La question qui tue:
puis-je voir votre procédure de gestion des profils et la documentation quant aux besoins d'accès?

143. 8. LICEITE
CONSENTEMENT (ET PREUVE)

144. Consentement pour quelle finalité ?
Privacy policy?
Preuve du consentement?

145. Cookies

148. VOUS AVEZ UNE BASE DE DONNEES
MAIS POUVEZ-VOUS PROUVER QUE VOUS
AVEZ LES CONSENTEMENTS?

149. DONNEES PUBLIQUES ?

150. 9/ REGISTRE DES TRAITEMENTS
150

152. UNE FICHE BIEN UTILE
NOM ET COORDONNEES DU RESPONSABLE DE
TRAITEMENT
FINALITES DU TRAITEMENT
CATÉGORIES DE PERSONNES CONCERNEES
CATEGORIE DE DESTINATAIRES
PAYS TIERS
DELAIS D'EFFACEMENT
MESURES DE SECURITE TECHNIQUES ET
ORGANISATIONELLES

153. MÉTHODOLOGIE
Proof Of Concept
RDT ou SST ?
Attention=> log de non conformité
lien vers les consentement, les décisions,
les sources
Le registre sert à se défendre !

154. 10/ ANALYSE DE RISQUES /PIA
154

155. Quand ?
Utile même si pas indispensable
Permet de se poser les bonnes
questions
Bon sens

156. 11/ FORMATIONS
156

158. 12/ DATA PRIVACY OFFICER
158

160. 4 missions différentes !!
GDPR Sécurité de l’information
Conseil Data Privacy Officer (DPO) Information Security Advisor
(ISA)
Mise en œuvre Chef de projet GDPR ou
correspondant GDPR dans les
divers départements
Responsable de la sécurité des
systèmes d’information (RSSI)

162. DELIVRABLE : LE DOSSIER GDPR
• REGISTRE DE TRAITEMENT
• PLAN DE SECURITE
• POLITIQUE D'ARCHIVAGE
• IAM
• DECISIONS PRISES
• CONTRATS SOUS-TRAITANCE
• FORMATIONS
• BEST PRACTICES INTERNES
• CC 81

163. Facilité : un questionnaire didactique et rédigé en
vocabulaire simple

164. Dossier GDPR
Vous pouvez démontrer en un clic les mesures prises
en imprimant le dossier gdpr mis à jouer en permanence

166. https://gdprfolder.eu
© 2018 GDPRFOLDER.EU SPRL All Rights Reserved.
02
03
04
05
01
NOUVELLES LOIS BELGES
JURISPRUDENCE NATIONALE ET
EUROPÉENNE
NOUVELLES PROCÉDURES
ADLINISTRATIVES
RECOMMANDATIONS DES AUTORITÉS DE
PROTECTION DES DONNÉES
NOUVELLES DIRECTIVES EUROPÉENNES
Mises à jour permanentes
Le GDPR n’en finit pas d’évoluer !

167. Documents juridiques
• PRIVACY POLICY
• CONTRAT DE SOUS-TRAITANCE
• CLAUSES DE CONFIDENTIALITÉ
• CHARTE INFORMATIQUE
• DÉCISIONS INTERNES
167

169. Créez en
quelques
heures votre
dossier

170. RAPPEL

172. BONNE CHANCE A TOUS