SlideShare une entreprise Scribd logo
Règlement Général
sur la Protection des Données
(RGPD)
Janvier 2018 – V.1
Par aYaline
Comprendre pour se mettre en conformité
#1 Sensibilisation
aYaline
Sommaire
▪ Qu’est-ce que le RGPD ?
▪ Les grands principes
▪ Démarche de conformité
▪ Des outils pour se lancer
▪ Se faire accompagner
RGPD : Comprendre et se mettre en conformité2
aYaline
Sommaire (rappel)
▪ Qu’est-ce que le RGPD ?
▪ Les grands principes
▪ Démarche de conformité
▪ Des outils pour se lancer
▪ Se faire accompagner
RGPD : Comprendre et se mettre en conformité3
aYaline
Qu’est-ce que le RGPD ?
▪ En quelques mots
▪ Définitions essentielles
▪ Objectifs, genèse et dates-clés
▪ Concepts novateurs
▪ De profonds changements
▪ 25 mai 2018
▪ Des opportunités
RGPD : Comprendre et se mettre en conformité4
aYaline
En quelques mots
Le RGPD, officiellement nommé Règlement (UE) 2016/679, est un texte
réglementaire publié par le Parlement européen et le Conseil le 27 avril
2016.
Il vise à protéger les personnes physiques, résidant dans l’Union
européenne, à l'égard du traitement de leurs données à caractère
personnel et garantir la libre circulation de ces données.
Tout le monde est concerné. Toutes les entreprises, collectivités,
associations, etc., quelle que soit leur taille, ont l’obligation de se mettre
en conformité au RGPD.
Le RGPD s’appliquera le 25 mai 2018 dans tous les États membres de
l’Union européenne.
RGPD : Comprendre et se mettre en conformité5
aYaline
Définitions essentielles (1/3)
Données à caractère personnel : toute information se rapportant à une
personne physique identifiée ou identifiable, directement ou
indirectement.
Identification directe ou indirecte par :
▪ Un nom, un numéro d'identification, des données de localisation, un
identifiant en ligne…
▪ Un ou plusieurs éléments spécifiques propres à son identité physique,
physiologique, génétique, psychique, économique, culturelle ou
sociale.
RGPD : Comprendre et se mettre en conformité6
aYaline
Définitions essentielles (2/3)
Traitement : toute opération ou tout ensemble d'opérations effectuées ou
non à l'aide de procédés automatisés et appliquées à des données ou des
ensembles de données à caractère personnel.
Exemples de traitement :
▪ Collecte, enregistrement, organisation, structuration, conservation,
adaptation ou modification, extraction, consultation, utilisation…
▪ Communication par transmission, diffusion ou toute autre forme de
mise à disposition, rapprochement ou interconnexion, limitation,
effacement ou destruction.
RGPD : Comprendre et se mettre en conformité7
aYaline
Définitions essentielles (3/3)
Fichier : tout ensemble structuré de données à caractère personnel
accessibles selon des critères déterminés, que cet ensemble soit
centralisé, décentralisé ou réparti de manière fonctionnelle ou
géographique.
Responsable du traitement : la personne physique ou morale, l'autorité
publique, le service ou un autre organisme qui, seul ou conjointement
avec d'autres, détermine les finalités et les moyens du traitement.
Sous-traitant : la personne physique ou morale, l'autorité publique, le
service ou un autre organisme qui traite des données à caractère
personnel pour le compte du responsable du traitement.
RGPD : Comprendre et se mettre en conformité8
aYaline
Pourquoi le RGPD ?
Depuis une décennie :
▪ Explosion du nombre de plateformes digitales, app mobiles, objets
connectés, etc. et des applications de big data, profilage, retargeting,
analyse comportementale, personnalisation, achat automatisé, etc.
▪ Qui, à outrance pour la plupart, collectent, traitent, stockent,
partagent, transmettent des données personnelles.
L’Union européenne se devait de réformer profondément le droit pour
faire face aux exploitations abusives.
Avec le règlement général sur la protection des données (RGPD),
l’Europe s'est dotée d’un arsenal moderne de défense de la vie privée.
RGPD : Comprendre et se mettre en conformité9
aYaline
Objectifs
▪ Large extension des droits des personnes physiques à maîtriser et
reprendre le contrôle de leurs données personnelles.
▪ Responsabilisation totale des acteurs privés et publics quant aux
traitements de données personnelles.
▪ Renforcement des pouvoirs de l’autorité de contrôle de chaque État
membre (la CNIL en France).
▪ Harmonisation des politiques et des pratiques de traitement des
données personnelles au sein de l’Europe.
▪ Collaboration accrue entre les autorités de contrôle des États
membres de l’Union européenne.
RGPD : Comprendre et se mettre en conformité10
aYaline
Genèse
RGPD, un long processus de maturation :
▪ 4 années d’âpres négociations à partir de janvier 2012.
▪ Près de 4 000 amendements.
▪ Un texte constitué de 173 considérants et 99 articles.
▪ Adopté le 8 avril 2016 par le Conseil de l’Europe puis le 16 avril 2016
par le Parlement européen.
▪ Entré en vigueur le 24 mai 2016.
▪ S’appliquera le 25 mai 2018.
RGPD : Comprendre et se mettre en conformité11
aYaline
Dates-clés
RGPD : Comprendre et se mettre en conformité12
Règlement
(UE)2016/679 du
27 avril 2016
Publication au
JOUE le
4 mai 2016
Entrée en
vigueur le
24 mai 2016
Entrée en
application le
25 mai 2018
aYaline
Règlements, directives, lois
RGPD : Comprendre et se mettre en conformité13
LOIINFORMATIQUEETLIBERTES
Loi n° 78-17 du 6 janvier 1978
relative à l’informatique, aux fichiers et aux libertés Directive 1995/46/CE du 24 octobre 1995
relative à la protection des personnes physiques à l’égard du
traitement des données à caractère personnel et à la libre
circulation de ces donnéesLoi n° 2004-801 du 6 août 2004
relative à la protection des personnes physiques à l'égard des
traitements de données à caractère personnel et modifiant la loi
n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et
aux libertés
Directive 2002/58/CE du 12 juillet 2002
relative au traitement des données à caractère personnel et à la
protection de la vie privée dans le secteur des communications
électroniques
Règlement (UE) 2016/679 du 27 avril 2016
relatif à la protection des personnes physiques à l'égard du
traitement des données à caractère personnel et à la libre
circulation de ces données, et abrogeant la directive 95/46/CE
Directive (UE) 2016/680 du 27 avril 2016
relative à la protection des personnes physiques à l'égard du
traitement des données à caractère personnel en matière pénale
Projet de loi du 13 décembre 2017
relatif à la protection des données personnelles
Projet de règlement ePrivacy
Dans un souci d’intelligibilité et de lisibilité, l’architecture
de la loi Informatique et Libertés restera en vigueur.
aYaline
Concepts novateurs
Le RGPD introduit trois grandes nouveautés impliquant un important
changement culturel dans la protection au quotidien des données à
caractère personnel :
▪ Accountability (« rendre des comptes ») : logique de responsabilisation
reposant sur l’auto-contrôle des mesures prises pour garantir la
conformité des traitements de données et la prouver.
▪ Privacy by Design : prise en compte de la protection de la vie privée
dès la conception d’un service ou d’un produit.
▪ Privacy by Default (étroitement lié au Privacy by Design) : principe de
protection des données au plus haut niveau possible par défaut.
RGPD : Comprendre et se mettre en conformité14
aYaline
De profonds changements (1/3)
RGPD : Comprendre et se mettre en conformité15
AVANT LE RGPD MAINTENANT
Principesrenforcés
Déclaration des
traitements auprès
de la CNIL
Finalité
Pertinence
Conservation
Droits
Sécurité
RGPD
Documentation interne
et auto-contrôle
ACCOUNTABILITY
PRIVACY BY DESIGN
PRIVACY BY DEFAULT
Finalité
Pertinence
Conservation
Droits
Sécurité
Loi
Informatique
et Libertés
aYaline
De profonds changements (2/3)
Cas concret : conception d’un simulateur de crédit en ligne
RGPD : Comprendre et se mettre en conformité16
Proposer un calculateur de mensualités de crédit à partir
de données telles que : apport, revenus, durée du prêt,
etc.
Donner la possibilité d’être recontacté par mail ou par
téléphone.
Transmettre une offre de crédit par mail au demandeur.
Besoin
Élaboration des spécifications fonctionnelles et
techniques INCLUANT :
Conception « RGPD Compliant »
PRIVACY BY DESIGN : obtention d’un consentement clair,
termes des conditions d’utilisation, minimisation des
données personnelles, durée de conservation et
suppression des données personnelles, etc.
PRIVACY BY DEFAULT : sécurisation du protocole (https),
chiffrement des données personnelles en base, etc.
ACCOUNTABILITY : explication et documentation du
traitement.
A - Spécifications
aYaline
De profonds changements (3/3)
Cas concret : conception d’un simulateur de crédit en ligne
RGPD : Comprendre et se mettre en conformité17
Prise en compte par son équipe du Privay by Design, du
Privacy by Default et de l’Accountability.
Sélection des sous-traitants et partenaires en mesure de
garantir le respect des principes du RGPD.
Établissement ou révision des contrats avec les sous-
traitants et clients pour être en phase avec les
obligations issues du RGPD.
Enregistrement, explication et documentation du
traitement dans le registre des traitements de
l’organisme.
Responsable du traitement Sous-traitant
B - Acteurs
Prise en compte par son équipe du Privay by Design, du
Privacy by Default et de l’Accountability.
Établissement ou révision des contrats avec le
responsable du traitement pour être en phase avec les
obligations issues du RGPD.
Enregistrement, explication et documentation du
traitement dans le registre des traitements du sous-
traitant dans le cas d’une délégation de service (registre
de sous-traitance).
aYaline
Des répercussions énormes
DES ACTIVITÉS EN DANGER :
Publicité programmatique : achat d’espaces
publicitaires, mise en place des campagnes et diffusion
réalisés de manière automatisée.
Monétisation (third party) ou partagées (second party)
entre d’innombrables prestataires à des fins
publicitaires.
Agrégation et monétisation de données de provenances
variées.
RGPD : Comprendre et se mettre en conformité18
DES ENGAGEMENTS FORTS À GRANDE ÉCHELLE :
GAFA : politique, guide et outils par Google, nouveaux
principes de confidentialité de Facebook, d’Amazon…
Facebook ouvre un nouveau centre de confidentialité au
niveau global qui rassemble en un seul endroit les principaux
paramètres liés à la protection de données personnelles.
Et beaucoup d’autres du fait champ d'action extraterritorial
du RGPD (critère d’établissement – organisme établi dans un
des États membres de l’Union européenne - et critère de
ciblage – visant les résidents européens -).
DE NOUVEAUX SERVICES ET ACTEURS :
Plateforme de gestion de contentement telle que ForgeRock Identity Platform : 1re plateforme de gestion des
identités conçue pour le partage de données et de consentement des clients.
aYaline
25 mai 2018
Tous les organismes, privés ou publics, devront s’être engagés dans une
démarche de conformité au RGPD et avoir franchi une première marche
dès le 25 mai 2018, dans toutes ses dimensions :
▪ Organisationnelle : délégué à la protection des données, procédures,
registre des traitements…
▪ Juridique : contrat avec ses fournisseurs et sous-traitants, analyse des
risques…
▪ Technique : traitements de données, sécurisation…
RGPD : Comprendre et se mettre en conformité19
aYaline
Incitations à la mise en conformité
▪ Coercitives : amendes administratives pouvant s’élever jusqu’à 20
millions d’€ ou jusqu’4% du chiffre d’affaires annuel mondial, le
montant le plus élevé étant retenu.
▪ Créatives : nouveaux services, positionnement concurrentiel.
Mais surtout par la pression des résidents européens !
82% des consommateurs européens ont l’intention de faire valoir leurs
droits à partir du 25 mai 2018 (source : enquête de Pegasystems auprès de
7 000 personnes ~ janvier 2018).
RGPD : Comprendre et se mettre en conformité20
aYaline
Des opportunités
Le RGPD peut être un levier efficace de transformation numérique, tout
en se mettant en conformité, au niveau :
▪ Concurrentiel : gagner en capital confiance vis-à-vis de ses clients,
partenaires, sous-traitants et collaborateurs.
▪ Organisationnel : optimiser la gouvernance des traitements et des
données, mettre en place de bonnes pratiques, impliquer tous les
collaborateurs.
▪ Technique : rationnaliser les ressources informatiques de traitement,
de stockage, sécuriser le système d’information.
RGPD : Comprendre et se mettre en conformité21
aYaline
Sommaire (rappel)
▪ Qu’est-ce que le RGPD ?
▪ Les grands principes
▪ Démarche de conformité
▪ Des outils pour se lancer
▪ Se faire accompagner
RGPD : Comprendre et se mettre en conformité22
aYaline
Les grands principes
▪ Consentement
▪ Transparence
▪ Droits des personnes
▪ Responsabilité
RGPD : Comprendre et se mettre en conformité23
aYaline
Consentement
Le RGPD renforce considérablement la notion de consentement.
▪ Toute personne physique doit rester libre dans ses choix.
▪ Le consentement doit être demandé de façon éclairée.
▪ Il doit être accordé par un acte positif clair qui ne souffre d’aucune
ambiguïté.
▪ Il concerne un ou plusieurs traitements à finalité spécifique.
▪ Il doit pouvoir être retiré aussi simplement qu’il a été donné.
▪ Le responsable du traitement doit être en mesure de prouver le recueil
du consentement dans le cas d’un contrôle de la CNIL.
RGPD : Comprendre et se mettre en conformité24
aYaline
Transparence
Le principe-clé de transparence de la finalité des traitements est
étroitement lié à celui de consentement dans la mesure où il le rend
possible de manière explicite et éclairé.
▪ Le RGPD vient renforcer la règle de transparence par l’ajout de
nouvelles mentions obligatoires adaptées précisément au contexte et à
la finalité de la collecte de données personnelles.
▪ Les responsables de traitements doivent informer clairement et
univoquement les personnes physiques sur la ou les finalités du
traitement de leurs données personnelles et sur leurs droits.
▪ Ces informations doivent être communiquées de façon intelligible et
concise, accessibles à tous.
RGPD : Comprendre et se mettre en conformité25
aYaline
Droits des personnes
L’un des buts de la réforme européenne est d’octroyer davantage de
contrôle et de visibilité aux résidents européens grâce à un ensemble de
droits dont certains sont nouveaux :
RGPD : Comprendre et se mettre en conformité26
▪ Droit à l’information.
▪ Droit d’accès.
▪ Droit de rectification.
▪ Droit d’effacement ou « droit à
l’oubli ».
▪ Droit à la limitation du traitement.
▪ Obligation de notification du
responsable.
▪ Droit à la portabilité des données.
▪ Droit d’opposition.
▪ Droit de ne pas être soumis à une
décision individuelle automatisée.
▪ Droit à la communication d’une
violation de données à caractère
personnel.
aYaline
Responsabilité
En passant d’un système déclaratif (cf. déclaration à la CNIL pratiquée
jusqu’à maintenant) à un système d’auto-contrôle, le RGPD confère aux
organismes privés et publics une totale responsabilité.
RGPD : Comprendre et se mettre en conformité27
▪ Délégué à la protection des données
(Data Protection Officer : DPO).
▪ Organisation et de pratiques
garantissant la protection de données
personnelles.
▪ Dispositif contractuel renforcé.
▪ Encadrement de ses sous-traitants et
partenaires.
▪ Pratique des concepts de Privacy by
design et Privacy by default.
▪ Tenue d’un registre des traitements
de données personnel.
▪ Notification des violations de sécurité
(data breach) dans les 72h.
▪ Pouvoir démontrer le respect des
règles relatives à la protection des
données.
aYaline
Sommaire (rappel)
▪ Qu’est-ce que le RGPD ?
▪ Les grands principes
▪ Démarche de conformité
▪ Des outils pour se lancer
▪ Se faire accompagner
RGPD : Comprendre et se mettre en conformité28
aYaline
Démarche de conformité
▪ Pourquoi une démarche ?
▪ Désigner un pilote
▪ Cartographier les traitements
▪ Prioriser la mise en conformité
▪ Gérer les risques
▪ Organiser les procédures internes
▪ Documenter la conformité
▪ Vers la certification
RGPD : Comprendre et se mettre en conformité29
aYaline
Pourquoi une démarche ?
A l’instar d’une démarche qualité, la mise en conformité au RGPD et son
maintien dans le temps nécessitent une approche structurante à l’échelle
de tout l’organisme, en prise avec son écosystème (partenaires, sous-
traitants).
Travail de longue haleine, la mise en œuvre d’une telle démarche est
indispensable pour être en mesure de rendre des comptes (cf. concept
d’Accountability), c’est-à-dire pouvoir démontrer à tout moment que les
traitements des données personnelles sont conformes au RGPD.
La CNIL, autorité de contrôle du RGPD pour la France, préconise une
démarche en 6 étapes que nous recommandons de suivre.
RGPD : Comprendre et se mettre en conformité30
aYaline
Désigner un pilote (étape n°1)
La première étape sur le chemin de la mise en conformité est de désigner
un délégué à la protection des données (ou DPO pour Data Protection
Officer). Ses principales missions sont :
▪ Piloter la gouvernance des données personnelles de l’organisme.
▪ Sensibiliser, informer et vérifier en interne le respect du RGPD.
▪ Être force de conseil et de proposition en matière de traitement des
données personnelles.
▪ Collaborer avec les partenaires et sous-traitants.
▪ Coopérer avec l’autorité de contrôle (la CNIL en France).
RGPD : Comprendre et se mettre en conformité31
Source : CNIL
aYaline
Cartographier les traitements (étape n°2)
Une fois le pilote (DPO) désigné, l’étape suivante consiste à repérer et cataloguer de
façon précise tous les traitements de données personnelles effectués par les différents
services de l’organisme.
RGPD : Comprendre et se mettre en conformité32
▪ Traitements de données personnelles.
▪ Catégories de données personnelles.
▪ Finalité principale des traitements.
▪ Flux de données (origine,
destination).
▪ Acteurs en jeu (services internes,
sous-traitants…).
▪ Qui ?
▪ Quoi ?
▪ Pourquoi ?
▪ Où ?
▪ Jusqu’à quand ?
▪ Comment ?
INVENTAIRE EXHAUSTIF
QUESTIONS À SE POSER
Registre des traitements
Source : CNIL
aYaline
Prioriser la mise en conformité (étape n°3)
Un plan d’actions est à établir en fonction des priorités de mise en conformité des
traitements cartographiés dans le registre. La priorisation des traitements s’effectuera
au regard des risques qu’ils font peser sur la vie privée des personnes.
RGPD : Comprendre et se mettre en conformité33
▪ Collecte et traitement des seules
données personnelles nécessaires.
▪ Identification de la base juridique sur
laquelle s’appuie le traitement.
▪ Révision des mentions d’information
obligatoires.
▪ Revue du contrat des sous-traitants
(clause de sécurité, confidentialité,
protection des données
personnelles).
▪ Modalités d’exercice des droits des
personnes.
▪ Vérification des mesures de sécurité.
POINTS DE VIGILANCE
Source : CNIL
aYaline
Gérer les risques (étape n°4)
Une étude d’impact sur la vie privée (EIVP) ou privacy impact assessment (PIA) doit être
menée pour les traitements de données personnelles susceptibles d’engendrer des
risques élevés pour les droits et libertés des personnes.
RGPD : Comprendre et se mettre en conformité34
1. Évaluation ou notation.
2. Décision automatisée avec effet juridique ou effet similaire
significatif.
3. Surveillance systématique.
4. Données sensibles ou données à caractère hautement
personnel.
5. Données personnelles traitées à grande échelle.
6. Croisement d’ensembles de données.
7. Données concernant des personnes vulnérables.
8. Usage innovant ou application de nouvelles solutions
technologiques ou organisationnelles.
9. Exclusion du bénéfice d’un droit, d’un service ou contrat.
▪ Description du traitement étudié et
de ses finalités.
▪ Évaluation de la nécessité et de la
proportionnalité des opérations de
traitement au regard des finalités.
▪ Évaluation des risques pour les droits
et libertés des personnes concernées.
ÉTUDE D’IMPACT9 CRITÈRES D’ANALYSE
2 critères
Source : CNIL
aYaline
Organiser les procédures internes (étape n°5)
Gérer au quotidien les événements liés à la protection des données personnelles (data
breach, demande de rectification, changement de prestataire, etc.) nécessite des
procédures internes rigoureuses. Il s’agit principalement de :
▪ Prendre en compte la protection des données personnelles dès la conception d’un
traitement (concepts de Privacy by design et de Privacy by default).
▪ Sensibiliser et organiser la circulation de l’information au sein des services de
l’organisme.
▪ Traiter les réclamations et les demandes des personnes concernées quand à l’exercice
de leurs droits.
▪ Notifier les violations de données à l’autorité de contrôle et aux personnes
concernées.
RGPD : Comprendre et se mettre en conformité35
Source : CNIL
aYaline
Documenter la conformité (étape n°6)
Le nouveau concept d’Accountability (« rendre des comptes », c’est-à-
dire prouver sa conformité au RGPD) oblige à constituer une
documentation complète qui sera opposable à un contrôle de la CNIL.
RGPD : Comprendre et se mettre en conformité36
▪ Registre des traitements.
▪ Analyses d’impact sur la
protection des données
(PIA).
▪ Encadrement des transferts
de données hors de l'Union
européenne.
TRAITEMENT DE DONNÉES INFORMATION DES PERSONNES CONTRATS
▪ Mentions obligatoires
d’information des personnes.
▪ Modèles de recueil du
consentement des personnes
concernées.
▪ Procédures mises en place
pour l'exercice des droits.
▪ Contrats avec les sous-
traitants.
▪ Procédures internes en cas
de violations de données.
▪ Preuves que les personnes
concernées par un
traitement ont donné leur
consentement.
Source : CNIL
aYaline
Vers la certification
Le RGPD est l’enjeu de conformité de l’année 2018. Une démarche de
certification par un organisme agréé est sans aucun doute une bonne
solution structurante pour se mettre en conformité au RGPD.
RGPD : Comprendre et se mettre en conformité37
CERTIFICATIONS SPÉCIFIQUES
▪ AFNOR : AFAQ Protection des
données personnelles.
▪ BUREAU VERITAS :
Certification de personnes
pour les DPO (délégué à la
protection des données).
L’article 42 du
RGPD prévoit
explicitement
la certification
par tierce
partie.
ET AUSSI…
▪ ISO/IEC 27001 : management de la
sécurité de l’information.
▪ ANSSI : certification Critères
Communs (CC) et/ou certification de
Sécurité de Premier Niveau (CSPN).
▪ CNIL : label Gouvernance RGPD.
aYaline
Sommaire (rappel)
▪ Qu’est-ce que le RGPD ?
▪ Les grands principes
▪ Démarche de conformité
▪ Des outils pour se lancer
▪ Se faire accompagner
RGPD : Comprendre et se mettre en conformité38
aYaline
Des outils pour se lancer
▪ Pourquoi des outils ?
▪ Sensibilisation
▪ Auto-diagnostic
▪ Registre des traitements
▪ Plateforme PIA
▪ Espace documentaire
RGPD : Comprendre et se mettre en conformité39
aYaline
Pourquoi des outils ?
Avant de choisir peut-être une solution logicielle du marché dédiée au RGPD, souvent
onéreuse, il est important d’effectuer un tour d’horizon de l’utilisation des données
personnelles au sein de son organisme par des ateliers de sensibilisation et
d’information, puis de structurer la démarche à l’aide d’outils simples.
RGPD : Comprendre et se mettre en conformité40
Sensibilisation
RGPD à 360°
Études de cas
Applications à son
contexte
Sensibilisation
Information
RGPD à 360°
Études de cas
Applications à son
contexte
Auto-
diagnostic
Niveau de maturité
au RGPD
Effort à fournir
Identifier les
priorités
Sensibilisation
Information
RGPD à 360°
Études de cas
Applications à son
contexte
Registre des
traitements
Inventaire et
qualification des
traitements
Sous-traitants
Plan d’actions
Plateforme PIA
Étude d’impact
Analyse des risques
Demande d’avis
à la CNIL
Espace
documentaire
Modèles de mention
Notifications et
demandes
Contrats
aYaline
Sensibilisation
Afin de sensibiliser efficacement tous les collaborateurs de l’organisme, il
est indispensable de disposer d’informations précises collectées auprès des
acteurs de référence et synthétisées pour une présentation intelligible,
adaptée au contexte de chacun.
▪ Support de sensibilisation des dirigeants et de l’ensemble des
collaborateurs.
▪ Support de formation contenant un volet pour chaque thématique
principale (organisation, juridique, technique).
▪ Études de cas pour comprendre concrètement les répercussions du
RGPD.
▪ Présentation d’applications pratiques du RGPD dans son domaine.
RGPD : Comprendre et se mettre en conformité41
aYaline
Auto-diagnostic
Les modules d’auto-diagnostic, se présentant sous forme de
questionnaires avec calcul de score, ont pour objectif d’évaluer le
niveau de maturité de son organisme par rapport à la conformité au RGPD
sur les plans juridique, organisationnel et technique. Ils sont très utiles
également pour mesurer l’effort à fournir pour se mettre en
conformité.
▪ Auto-diagnostic juridique (désignation d’un DPO, respect des droits des
personnes, collecte et conservation des données, PIA, etc.).
▪ Auto-diagnostic organisationnel (gouvernance, procédures, etc.).
▪ Auto-diagnostic technique (habilitations, gestion des incidents, etc.).
RGPD : Comprendre et se mettre en conformité42
aYaline
Registre des traitements
Le registre des traitements est un élément central dans la
documentation de la conformité au RGPD. Il est indispensable pour
prouver sa conformité en cas de contrôle. Il est constitué de plusieurs
modules complémentaires :
▪ Cartographie « carte mentale » (recensement rapide des traitements).
▪ Liste des traitements (qualification synthétique de l’ensemble des
traitements).
▪ Base des traitements décrits en détail (fiches de registre sur le modèle
recommandé par la CNIL).
▪ Liste des catégories de traitement (en cas de sous-traitance).
▪ Base des preuves de consentement.
RGPD : Comprendre et se mettre en conformité43
aYaline
Plateforme PIA
L’analyse d’impact est une obligation dans certains cas de traitement (à
grande échelle, données sensibles, croisement de données…). Disposer
d’un outil pour procéder de façon méthodique à l'analyse d'impact sur
la protection des données (PIA) apporte des bénéfices considérables.
▪ Logiciel libre (sous licence GPL v3, conçu par la CNIL)
d’accompagnement à la conduite d'une analyse d'impact, didactique
avec des références aux articles du RGPD très utiles pour comprendre
le contexte légal de la démarche.
▪ Partage des rapports d’analyse au sein de son organisme et avec ses
partenaires (extranet mis en place par aYaline).
▪ Rapports d’analyse exportables pour stockage dans l’espace de
documentation.
RGPD : Comprendre et se mettre en conformité44
aYaline
Espace documentaire
La mise en conformité au RGPD et son maintien reposent sur un ensemble de procédures
et de documents de référence, accessibles au sein de l’organisme en fonction des
habilitations.
▪ Analyses d’impact sur la protection des données (PIA).
▪ Encadrement des transferts de données hors de l'Union européenne.
▪ Mentions obligatoires d’information des personnes.
▪ Modèles de recueil du consentement des personnes concernées.
▪ Procédures mises en place pour l'exercice des droits.
▪ Contrats avec les sous-traitants.
▪ Procédures internes en cas de violations de données.
▪ Preuves que les personnes concernées par un traitement ont donné leur
consentement.
RGPD : Comprendre et se mettre en conformité45
aYaline
Sommaire (rappel)
▪ Qu’est-ce que le RGPD ?
▪ Les grands principes
▪ Démarche de conformité
▪ Des outils pour se lancer
▪ Se faire accompagner
RGPD : Comprendre et se mettre en conformité46
aYaline
Se faire accompagner
▪ Qui sommes-nous ?
▪ Une approche méthodique et outillée
▪ Nous vous accompagnons
▪ Notre offre de services
▪ Nous contacter
RGPD : Comprendre et se mettre en conformité47
aYaline
Qui sommes-nous ?
aYaline est une agence digitale spécialisée depuis 1995 dans les solutions open source
pour développer des dispositifs Web & mobiles d'envergure.
RGPD : Comprendre et se mettre en conformité48
aYaline
Une approche méthodique et outillée
Se conformer aux grands principes du RGPD
requiert une approche méthodique et outillée,
sous la responsabilité d’un délégué à la protection
des données personnelles (DPO), impliquant tous les
départements ou services de l’entreprise, de la
collectivité ou de l’administration.
L’investissement nécessaire pour cette mise en
conformité est porteur de progrès parce qu'il répond
à une exigence croissante des personnes, internautes
en particulier, d’utiliser leurs données à bon escient
et de manière transparente et d’en assurer la
protection.
RGPD : Comprendre et se mettre en conformité49
aYaline
Nous vous accompagnons
Comme tout professionnel, privé ou
public, nous - AYALINE - entreprenons
notre projet de mise en conformité avec
le RGDP afin d’être prêts le 25 mai
2018, date d’application du règlement
européen.
Ce faisant, nous souhaitons vous faire
bénéficier de notre retour d’expérience
assortie d’une offre de services dans le
but de vous accompagner de façon
pragmatique et progressive dans la
prise en compte du RGPD.
RGPD : Comprendre et se mettre en conformité50
aYaline
Notre offre de services
RGPD : Comprendre et se mettre en conformité51
SENSIBILISATION ET FORMATION
Comprendre les principes moteurs du RGPD et leurs
implications au quotidien, cartographier les
traitements de données personnelles, établir les
priorités de mise en conformité, analyser les impacts
et prendre en main la plateforme PIA.
MÉTHODES & OUTILS
Interpréter les articles du RGPD, connaître et mettre
en pratique les recommandations de la CNIL (autorité
de contrôle), dérouler les étapes de préparation,
choisir les outils appropriés à son contexte.
PLATEFORME D’ANALYSE D’IMPACT
Disposer d’une plateforme pour procéder à l'analyse
d'impact sur la protection des données (PIA) qui est
un volet majeur du RGPD, partager les rapports au
sein de son organisme et avec ses partenaires
(extranet).
DÉVELOPPEMENTS ADAPTATIFS
Identifier les zones à risques de vos applications web
vis-à-vis des exigences du RGPD, étudier les impacts
fonctionnels et/ou techniques, développer les
adaptations, assurer leur maintenance.
ASSISTANCE ET CONSEIL
Vous accompagner tout au long de votre projet de
mise en conformité avec le RGPD, répondre au
quotidien à vos questions, être force de proposition,
vous mettre en relation avec des interlocuteurs
spécialisés (juristes...) si nécessaire.
aYaline
Nous contacter
Vous souhaitez en savoir plus sur notre offre de services RGPD ?
Vous avez un besoin d’accompagnement sur-mesure ?
N’hésitez pas à nous en parler.
RGPD : Comprendre et se mettre en conformité52
Personne à contacter :
Mathis Guille
Consultant
mguille@ayaline.com
Mob. : 06 10 07 42 35
Ou via le formulaire de contact : https://goo.gl/JCvtjE
AYALINE
4, allée des Frères Montgolfier
86360 Chasseneuil-du-Poitou
[Poitiers-Futuroscope]
www.ayaline.com
contact@ayaline.com
Tél. : 05 49 41 46 00

Contenu connexe

Tendances

Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
Alghajati
 
Tietosuoja opetuksessa
Tietosuoja opetuksessaTietosuoja opetuksessa
Tietosuoja opetuksessa
Harto Pönkä
 
Big data
Big dataBig data
La Protection des données personnelles : enjeux et perspectives
La Protection des données personnelles : enjeux et perspectivesLa Protection des données personnelles : enjeux et perspectives
La Protection des données personnelles : enjeux et perspectives
Marc Guichard
 
Diaporama GED-SAE
Diaporama GED-SAEDiaporama GED-SAE
Diaporama GED-SAE
inforoutes
 
Le dossier RGPD
Le dossier RGPDLe dossier RGPD
Big data
Big dataBig data
Big data
Karima GHALI
 
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
African Cyber Security Summit
 
Histoire du big data
Histoire du big dataHistoire du big data
Histoire du big data
Emily Sionniere
 
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptxearlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
Lexing - Belgium
 
La Big Data et ses applications
La Big Data et ses applicationsLa Big Data et ses applications
La Big Data et ses applications
Affinity Engine
 
Etude sur le Big Data
Etude sur le Big DataEtude sur le Big Data
Etude sur le Big Data
Nexialog Consulting
 
Introduction à la BIG DATA et l'Intelligence Artificielle
Introduction à la BIG DATA et l'Intelligence ArtificielleIntroduction à la BIG DATA et l'Intelligence Artificielle
Introduction à la BIG DATA et l'Intelligence Artificielle
Medhi Corneille Famibelle*
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail  de la mission audit de la sécurité des SIProgramme de travail  de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SI
Ammar Sassi
 
GDPR training
GDPR training GDPR training
GDPR training
ASL
 
Chapitre 1 SI Définitions & Conceptions.pptx
Chapitre 1 SI Définitions & Conceptions.pptxChapitre 1 SI Définitions & Conceptions.pptx
Chapitre 1 SI Définitions & Conceptions.pptx
Lilia Hedfi-Khayati
 
Veille technologique : méthode et outils
Veille technologique : méthode et outilsVeille technologique : méthode et outils
Veille technologique : méthode et outilsM-Colette Fauré
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pas
Alghajati
 
Travail collaboratif et outils du web
Travail collaboratif et outils du webTravail collaboratif et outils du web
Travail collaboratif et outils du web
Clément Dussarps
 

Tendances (20)

Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
 
Tietosuoja opetuksessa
Tietosuoja opetuksessaTietosuoja opetuksessa
Tietosuoja opetuksessa
 
Big data
Big dataBig data
Big data
 
La Protection des données personnelles : enjeux et perspectives
La Protection des données personnelles : enjeux et perspectivesLa Protection des données personnelles : enjeux et perspectives
La Protection des données personnelles : enjeux et perspectives
 
Diaporama GED-SAE
Diaporama GED-SAEDiaporama GED-SAE
Diaporama GED-SAE
 
Le dossier RGPD
Le dossier RGPDLe dossier RGPD
Le dossier RGPD
 
Big data
Big dataBig data
Big data
 
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
 
Histoire du big data
Histoire du big dataHistoire du big data
Histoire du big data
 
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptxearlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
 
La Big Data et ses applications
La Big Data et ses applicationsLa Big Data et ses applications
La Big Data et ses applications
 
Etude sur le Big Data
Etude sur le Big DataEtude sur le Big Data
Etude sur le Big Data
 
Introduction à la BIG DATA et l'Intelligence Artificielle
Introduction à la BIG DATA et l'Intelligence ArtificielleIntroduction à la BIG DATA et l'Intelligence Artificielle
Introduction à la BIG DATA et l'Intelligence Artificielle
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail  de la mission audit de la sécurité des SIProgramme de travail  de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SI
 
Les outils gratuits sur internet
Les outils gratuits sur internetLes outils gratuits sur internet
Les outils gratuits sur internet
 
GDPR training
GDPR training GDPR training
GDPR training
 
Chapitre 1 SI Définitions & Conceptions.pptx
Chapitre 1 SI Définitions & Conceptions.pptxChapitre 1 SI Définitions & Conceptions.pptx
Chapitre 1 SI Définitions & Conceptions.pptx
 
Veille technologique : méthode et outils
Veille technologique : méthode et outilsVeille technologique : méthode et outils
Veille technologique : méthode et outils
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pas
 
Travail collaboratif et outils du web
Travail collaboratif et outils du webTravail collaboratif et outils du web
Travail collaboratif et outils du web
 

Similaire à RGPD / GDPR : Principes, Démarche, Outils

Rapport annuelannexes 2018
Rapport annuelannexes 2018Rapport annuelannexes 2018
Rapport annuelannexes 2018
Paperjam_redaction
 
Comment se mettre en conformité avec le GDPR ?
Comment se mettre en conformité avec le GDPR ?Comment se mettre en conformité avec le GDPR ?
Comment se mettre en conformité avec le GDPR ?
Pramana
 
RGPD
RGPDRGPD
AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18
AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18
AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18
Cap'Com
 
[Infographie] Le RGPD - en bref
[Infographie] Le RGPD - en bref[Infographie] Le RGPD - en bref
[Infographie] Le RGPD - en bref
Thinkmarket
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis Nystek
Pascal ALIX
 
Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !
Philippe Mignen
 
#LOVEDATADAY : la présentation de l'événement !
#LOVEDATADAY : la présentation de l'événement !#LOVEDATADAY : la présentation de l'événement !
#LOVEDATADAY : la présentation de l'événement !
Contact SNCD
 
GDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico LégauxGDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico Légaux
Yves Gattegno
 
BAROMÈTRE RGPD
BAROMÈTRE RGPDBAROMÈTRE RGPD
BAROMÈTRE RGPD
Converteo
 
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
ASIP Santé
 
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
Jedha Bootcamp
 
GDPR / RGPD - Livre Blanc - Aion Solutions
GDPR / RGPD - Livre Blanc - Aion SolutionsGDPR / RGPD - Livre Blanc - Aion Solutions
GDPR / RGPD - Livre Blanc - Aion Solutions
Aïon Solutions
 
Rgpd sensibilisation fc vf
Rgpd sensibilisation fc vfRgpd sensibilisation fc vf
Rgpd sensibilisation fc vf
MostafaAITMEHDI
 
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
Medialibs
 
Matinée Micropole GDPR
Matinée Micropole GDPRMatinée Micropole GDPR
Matinée Micropole GDPR
Micropole Group
 
"Take the L.E.A.D." l'offre globale de Sedona
"Take the L.E.A.D." l'offre globale de Sedona"Take the L.E.A.D." l'offre globale de Sedona
"Take the L.E.A.D." l'offre globale de Sedona
Agence West
 
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
Boris Clément
 
Présentation GDPR - Business & Decision
Présentation GDPR - Business & DecisionPrésentation GDPR - Business & Decision
Présentation GDPR - Business & Decision
Business & Decision
 
Impact du RGPD dans la formation et l'e-learning
Impact du RGPD dans la formation et l'e-learningImpact du RGPD dans la formation et l'e-learning
Impact du RGPD dans la formation et l'e-learning
Leslie HUIN
 

Similaire à RGPD / GDPR : Principes, Démarche, Outils (20)

Rapport annuelannexes 2018
Rapport annuelannexes 2018Rapport annuelannexes 2018
Rapport annuelannexes 2018
 
Comment se mettre en conformité avec le GDPR ?
Comment se mettre en conformité avec le GDPR ?Comment se mettre en conformité avec le GDPR ?
Comment se mettre en conformité avec le GDPR ?
 
RGPD
RGPDRGPD
RGPD
 
AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18
AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18
AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18
 
[Infographie] Le RGPD - en bref
[Infographie] Le RGPD - en bref[Infographie] Le RGPD - en bref
[Infographie] Le RGPD - en bref
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis Nystek
 
Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !
 
#LOVEDATADAY : la présentation de l'événement !
#LOVEDATADAY : la présentation de l'événement !#LOVEDATADAY : la présentation de l'événement !
#LOVEDATADAY : la présentation de l'événement !
 
GDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico LégauxGDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico Légaux
 
BAROMÈTRE RGPD
BAROMÈTRE RGPDBAROMÈTRE RGPD
BAROMÈTRE RGPD
 
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
 
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
 
GDPR / RGPD - Livre Blanc - Aion Solutions
GDPR / RGPD - Livre Blanc - Aion SolutionsGDPR / RGPD - Livre Blanc - Aion Solutions
GDPR / RGPD - Livre Blanc - Aion Solutions
 
Rgpd sensibilisation fc vf
Rgpd sensibilisation fc vfRgpd sensibilisation fc vf
Rgpd sensibilisation fc vf
 
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
 
Matinée Micropole GDPR
Matinée Micropole GDPRMatinée Micropole GDPR
Matinée Micropole GDPR
 
"Take the L.E.A.D." l'offre globale de Sedona
"Take the L.E.A.D." l'offre globale de Sedona"Take the L.E.A.D." l'offre globale de Sedona
"Take the L.E.A.D." l'offre globale de Sedona
 
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
 
Présentation GDPR - Business & Decision
Présentation GDPR - Business & DecisionPrésentation GDPR - Business & Decision
Présentation GDPR - Business & Decision
 
Impact du RGPD dans la formation et l'e-learning
Impact du RGPD dans la formation et l'e-learningImpact du RGPD dans la formation et l'e-learning
Impact du RGPD dans la formation et l'e-learning
 

RGPD / GDPR : Principes, Démarche, Outils

  • 1. Règlement Général sur la Protection des Données (RGPD) Janvier 2018 – V.1 Par aYaline Comprendre pour se mettre en conformité #1 Sensibilisation
  • 2. aYaline Sommaire ▪ Qu’est-ce que le RGPD ? ▪ Les grands principes ▪ Démarche de conformité ▪ Des outils pour se lancer ▪ Se faire accompagner RGPD : Comprendre et se mettre en conformité2
  • 3. aYaline Sommaire (rappel) ▪ Qu’est-ce que le RGPD ? ▪ Les grands principes ▪ Démarche de conformité ▪ Des outils pour se lancer ▪ Se faire accompagner RGPD : Comprendre et se mettre en conformité3
  • 4. aYaline Qu’est-ce que le RGPD ? ▪ En quelques mots ▪ Définitions essentielles ▪ Objectifs, genèse et dates-clés ▪ Concepts novateurs ▪ De profonds changements ▪ 25 mai 2018 ▪ Des opportunités RGPD : Comprendre et se mettre en conformité4
  • 5. aYaline En quelques mots Le RGPD, officiellement nommé Règlement (UE) 2016/679, est un texte réglementaire publié par le Parlement européen et le Conseil le 27 avril 2016. Il vise à protéger les personnes physiques, résidant dans l’Union européenne, à l'égard du traitement de leurs données à caractère personnel et garantir la libre circulation de ces données. Tout le monde est concerné. Toutes les entreprises, collectivités, associations, etc., quelle que soit leur taille, ont l’obligation de se mettre en conformité au RGPD. Le RGPD s’appliquera le 25 mai 2018 dans tous les États membres de l’Union européenne. RGPD : Comprendre et se mettre en conformité5
  • 6. aYaline Définitions essentielles (1/3) Données à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement. Identification directe ou indirecte par : ▪ Un nom, un numéro d'identification, des données de localisation, un identifiant en ligne… ▪ Un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. RGPD : Comprendre et se mettre en conformité6
  • 7. aYaline Définitions essentielles (2/3) Traitement : toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel. Exemples de traitement : ▪ Collecte, enregistrement, organisation, structuration, conservation, adaptation ou modification, extraction, consultation, utilisation… ▪ Communication par transmission, diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, limitation, effacement ou destruction. RGPD : Comprendre et se mettre en conformité7
  • 8. aYaline Définitions essentielles (3/3) Fichier : tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique. Responsable du traitement : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement. Sous-traitant : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement. RGPD : Comprendre et se mettre en conformité8
  • 9. aYaline Pourquoi le RGPD ? Depuis une décennie : ▪ Explosion du nombre de plateformes digitales, app mobiles, objets connectés, etc. et des applications de big data, profilage, retargeting, analyse comportementale, personnalisation, achat automatisé, etc. ▪ Qui, à outrance pour la plupart, collectent, traitent, stockent, partagent, transmettent des données personnelles. L’Union européenne se devait de réformer profondément le droit pour faire face aux exploitations abusives. Avec le règlement général sur la protection des données (RGPD), l’Europe s'est dotée d’un arsenal moderne de défense de la vie privée. RGPD : Comprendre et se mettre en conformité9
  • 10. aYaline Objectifs ▪ Large extension des droits des personnes physiques à maîtriser et reprendre le contrôle de leurs données personnelles. ▪ Responsabilisation totale des acteurs privés et publics quant aux traitements de données personnelles. ▪ Renforcement des pouvoirs de l’autorité de contrôle de chaque État membre (la CNIL en France). ▪ Harmonisation des politiques et des pratiques de traitement des données personnelles au sein de l’Europe. ▪ Collaboration accrue entre les autorités de contrôle des États membres de l’Union européenne. RGPD : Comprendre et se mettre en conformité10
  • 11. aYaline Genèse RGPD, un long processus de maturation : ▪ 4 années d’âpres négociations à partir de janvier 2012. ▪ Près de 4 000 amendements. ▪ Un texte constitué de 173 considérants et 99 articles. ▪ Adopté le 8 avril 2016 par le Conseil de l’Europe puis le 16 avril 2016 par le Parlement européen. ▪ Entré en vigueur le 24 mai 2016. ▪ S’appliquera le 25 mai 2018. RGPD : Comprendre et se mettre en conformité11
  • 12. aYaline Dates-clés RGPD : Comprendre et se mettre en conformité12 Règlement (UE)2016/679 du 27 avril 2016 Publication au JOUE le 4 mai 2016 Entrée en vigueur le 24 mai 2016 Entrée en application le 25 mai 2018
  • 13. aYaline Règlements, directives, lois RGPD : Comprendre et se mettre en conformité13 LOIINFORMATIQUEETLIBERTES Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés Directive 1995/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces donnéesLoi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés Directive 2002/58/CE du 12 juillet 2002 relative au traitement des données à caractère personnel et à la protection de la vie privée dans le secteur des communications électroniques Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE Directive (UE) 2016/680 du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale Projet de loi du 13 décembre 2017 relatif à la protection des données personnelles Projet de règlement ePrivacy Dans un souci d’intelligibilité et de lisibilité, l’architecture de la loi Informatique et Libertés restera en vigueur.
  • 14. aYaline Concepts novateurs Le RGPD introduit trois grandes nouveautés impliquant un important changement culturel dans la protection au quotidien des données à caractère personnel : ▪ Accountability (« rendre des comptes ») : logique de responsabilisation reposant sur l’auto-contrôle des mesures prises pour garantir la conformité des traitements de données et la prouver. ▪ Privacy by Design : prise en compte de la protection de la vie privée dès la conception d’un service ou d’un produit. ▪ Privacy by Default (étroitement lié au Privacy by Design) : principe de protection des données au plus haut niveau possible par défaut. RGPD : Comprendre et se mettre en conformité14
  • 15. aYaline De profonds changements (1/3) RGPD : Comprendre et se mettre en conformité15 AVANT LE RGPD MAINTENANT Principesrenforcés Déclaration des traitements auprès de la CNIL Finalité Pertinence Conservation Droits Sécurité RGPD Documentation interne et auto-contrôle ACCOUNTABILITY PRIVACY BY DESIGN PRIVACY BY DEFAULT Finalité Pertinence Conservation Droits Sécurité Loi Informatique et Libertés
  • 16. aYaline De profonds changements (2/3) Cas concret : conception d’un simulateur de crédit en ligne RGPD : Comprendre et se mettre en conformité16 Proposer un calculateur de mensualités de crédit à partir de données telles que : apport, revenus, durée du prêt, etc. Donner la possibilité d’être recontacté par mail ou par téléphone. Transmettre une offre de crédit par mail au demandeur. Besoin Élaboration des spécifications fonctionnelles et techniques INCLUANT : Conception « RGPD Compliant » PRIVACY BY DESIGN : obtention d’un consentement clair, termes des conditions d’utilisation, minimisation des données personnelles, durée de conservation et suppression des données personnelles, etc. PRIVACY BY DEFAULT : sécurisation du protocole (https), chiffrement des données personnelles en base, etc. ACCOUNTABILITY : explication et documentation du traitement. A - Spécifications
  • 17. aYaline De profonds changements (3/3) Cas concret : conception d’un simulateur de crédit en ligne RGPD : Comprendre et se mettre en conformité17 Prise en compte par son équipe du Privay by Design, du Privacy by Default et de l’Accountability. Sélection des sous-traitants et partenaires en mesure de garantir le respect des principes du RGPD. Établissement ou révision des contrats avec les sous- traitants et clients pour être en phase avec les obligations issues du RGPD. Enregistrement, explication et documentation du traitement dans le registre des traitements de l’organisme. Responsable du traitement Sous-traitant B - Acteurs Prise en compte par son équipe du Privay by Design, du Privacy by Default et de l’Accountability. Établissement ou révision des contrats avec le responsable du traitement pour être en phase avec les obligations issues du RGPD. Enregistrement, explication et documentation du traitement dans le registre des traitements du sous- traitant dans le cas d’une délégation de service (registre de sous-traitance).
  • 18. aYaline Des répercussions énormes DES ACTIVITÉS EN DANGER : Publicité programmatique : achat d’espaces publicitaires, mise en place des campagnes et diffusion réalisés de manière automatisée. Monétisation (third party) ou partagées (second party) entre d’innombrables prestataires à des fins publicitaires. Agrégation et monétisation de données de provenances variées. RGPD : Comprendre et se mettre en conformité18 DES ENGAGEMENTS FORTS À GRANDE ÉCHELLE : GAFA : politique, guide et outils par Google, nouveaux principes de confidentialité de Facebook, d’Amazon… Facebook ouvre un nouveau centre de confidentialité au niveau global qui rassemble en un seul endroit les principaux paramètres liés à la protection de données personnelles. Et beaucoup d’autres du fait champ d'action extraterritorial du RGPD (critère d’établissement – organisme établi dans un des États membres de l’Union européenne - et critère de ciblage – visant les résidents européens -). DE NOUVEAUX SERVICES ET ACTEURS : Plateforme de gestion de contentement telle que ForgeRock Identity Platform : 1re plateforme de gestion des identités conçue pour le partage de données et de consentement des clients.
  • 19. aYaline 25 mai 2018 Tous les organismes, privés ou publics, devront s’être engagés dans une démarche de conformité au RGPD et avoir franchi une première marche dès le 25 mai 2018, dans toutes ses dimensions : ▪ Organisationnelle : délégué à la protection des données, procédures, registre des traitements… ▪ Juridique : contrat avec ses fournisseurs et sous-traitants, analyse des risques… ▪ Technique : traitements de données, sécurisation… RGPD : Comprendre et se mettre en conformité19
  • 20. aYaline Incitations à la mise en conformité ▪ Coercitives : amendes administratives pouvant s’élever jusqu’à 20 millions d’€ ou jusqu’4% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. ▪ Créatives : nouveaux services, positionnement concurrentiel. Mais surtout par la pression des résidents européens ! 82% des consommateurs européens ont l’intention de faire valoir leurs droits à partir du 25 mai 2018 (source : enquête de Pegasystems auprès de 7 000 personnes ~ janvier 2018). RGPD : Comprendre et se mettre en conformité20
  • 21. aYaline Des opportunités Le RGPD peut être un levier efficace de transformation numérique, tout en se mettant en conformité, au niveau : ▪ Concurrentiel : gagner en capital confiance vis-à-vis de ses clients, partenaires, sous-traitants et collaborateurs. ▪ Organisationnel : optimiser la gouvernance des traitements et des données, mettre en place de bonnes pratiques, impliquer tous les collaborateurs. ▪ Technique : rationnaliser les ressources informatiques de traitement, de stockage, sécuriser le système d’information. RGPD : Comprendre et se mettre en conformité21
  • 22. aYaline Sommaire (rappel) ▪ Qu’est-ce que le RGPD ? ▪ Les grands principes ▪ Démarche de conformité ▪ Des outils pour se lancer ▪ Se faire accompagner RGPD : Comprendre et se mettre en conformité22
  • 23. aYaline Les grands principes ▪ Consentement ▪ Transparence ▪ Droits des personnes ▪ Responsabilité RGPD : Comprendre et se mettre en conformité23
  • 24. aYaline Consentement Le RGPD renforce considérablement la notion de consentement. ▪ Toute personne physique doit rester libre dans ses choix. ▪ Le consentement doit être demandé de façon éclairée. ▪ Il doit être accordé par un acte positif clair qui ne souffre d’aucune ambiguïté. ▪ Il concerne un ou plusieurs traitements à finalité spécifique. ▪ Il doit pouvoir être retiré aussi simplement qu’il a été donné. ▪ Le responsable du traitement doit être en mesure de prouver le recueil du consentement dans le cas d’un contrôle de la CNIL. RGPD : Comprendre et se mettre en conformité24
  • 25. aYaline Transparence Le principe-clé de transparence de la finalité des traitements est étroitement lié à celui de consentement dans la mesure où il le rend possible de manière explicite et éclairé. ▪ Le RGPD vient renforcer la règle de transparence par l’ajout de nouvelles mentions obligatoires adaptées précisément au contexte et à la finalité de la collecte de données personnelles. ▪ Les responsables de traitements doivent informer clairement et univoquement les personnes physiques sur la ou les finalités du traitement de leurs données personnelles et sur leurs droits. ▪ Ces informations doivent être communiquées de façon intelligible et concise, accessibles à tous. RGPD : Comprendre et se mettre en conformité25
  • 26. aYaline Droits des personnes L’un des buts de la réforme européenne est d’octroyer davantage de contrôle et de visibilité aux résidents européens grâce à un ensemble de droits dont certains sont nouveaux : RGPD : Comprendre et se mettre en conformité26 ▪ Droit à l’information. ▪ Droit d’accès. ▪ Droit de rectification. ▪ Droit d’effacement ou « droit à l’oubli ». ▪ Droit à la limitation du traitement. ▪ Obligation de notification du responsable. ▪ Droit à la portabilité des données. ▪ Droit d’opposition. ▪ Droit de ne pas être soumis à une décision individuelle automatisée. ▪ Droit à la communication d’une violation de données à caractère personnel.
  • 27. aYaline Responsabilité En passant d’un système déclaratif (cf. déclaration à la CNIL pratiquée jusqu’à maintenant) à un système d’auto-contrôle, le RGPD confère aux organismes privés et publics une totale responsabilité. RGPD : Comprendre et se mettre en conformité27 ▪ Délégué à la protection des données (Data Protection Officer : DPO). ▪ Organisation et de pratiques garantissant la protection de données personnelles. ▪ Dispositif contractuel renforcé. ▪ Encadrement de ses sous-traitants et partenaires. ▪ Pratique des concepts de Privacy by design et Privacy by default. ▪ Tenue d’un registre des traitements de données personnel. ▪ Notification des violations de sécurité (data breach) dans les 72h. ▪ Pouvoir démontrer le respect des règles relatives à la protection des données.
  • 28. aYaline Sommaire (rappel) ▪ Qu’est-ce que le RGPD ? ▪ Les grands principes ▪ Démarche de conformité ▪ Des outils pour se lancer ▪ Se faire accompagner RGPD : Comprendre et se mettre en conformité28
  • 29. aYaline Démarche de conformité ▪ Pourquoi une démarche ? ▪ Désigner un pilote ▪ Cartographier les traitements ▪ Prioriser la mise en conformité ▪ Gérer les risques ▪ Organiser les procédures internes ▪ Documenter la conformité ▪ Vers la certification RGPD : Comprendre et se mettre en conformité29
  • 30. aYaline Pourquoi une démarche ? A l’instar d’une démarche qualité, la mise en conformité au RGPD et son maintien dans le temps nécessitent une approche structurante à l’échelle de tout l’organisme, en prise avec son écosystème (partenaires, sous- traitants). Travail de longue haleine, la mise en œuvre d’une telle démarche est indispensable pour être en mesure de rendre des comptes (cf. concept d’Accountability), c’est-à-dire pouvoir démontrer à tout moment que les traitements des données personnelles sont conformes au RGPD. La CNIL, autorité de contrôle du RGPD pour la France, préconise une démarche en 6 étapes que nous recommandons de suivre. RGPD : Comprendre et se mettre en conformité30
  • 31. aYaline Désigner un pilote (étape n°1) La première étape sur le chemin de la mise en conformité est de désigner un délégué à la protection des données (ou DPO pour Data Protection Officer). Ses principales missions sont : ▪ Piloter la gouvernance des données personnelles de l’organisme. ▪ Sensibiliser, informer et vérifier en interne le respect du RGPD. ▪ Être force de conseil et de proposition en matière de traitement des données personnelles. ▪ Collaborer avec les partenaires et sous-traitants. ▪ Coopérer avec l’autorité de contrôle (la CNIL en France). RGPD : Comprendre et se mettre en conformité31 Source : CNIL
  • 32. aYaline Cartographier les traitements (étape n°2) Une fois le pilote (DPO) désigné, l’étape suivante consiste à repérer et cataloguer de façon précise tous les traitements de données personnelles effectués par les différents services de l’organisme. RGPD : Comprendre et se mettre en conformité32 ▪ Traitements de données personnelles. ▪ Catégories de données personnelles. ▪ Finalité principale des traitements. ▪ Flux de données (origine, destination). ▪ Acteurs en jeu (services internes, sous-traitants…). ▪ Qui ? ▪ Quoi ? ▪ Pourquoi ? ▪ Où ? ▪ Jusqu’à quand ? ▪ Comment ? INVENTAIRE EXHAUSTIF QUESTIONS À SE POSER Registre des traitements Source : CNIL
  • 33. aYaline Prioriser la mise en conformité (étape n°3) Un plan d’actions est à établir en fonction des priorités de mise en conformité des traitements cartographiés dans le registre. La priorisation des traitements s’effectuera au regard des risques qu’ils font peser sur la vie privée des personnes. RGPD : Comprendre et se mettre en conformité33 ▪ Collecte et traitement des seules données personnelles nécessaires. ▪ Identification de la base juridique sur laquelle s’appuie le traitement. ▪ Révision des mentions d’information obligatoires. ▪ Revue du contrat des sous-traitants (clause de sécurité, confidentialité, protection des données personnelles). ▪ Modalités d’exercice des droits des personnes. ▪ Vérification des mesures de sécurité. POINTS DE VIGILANCE Source : CNIL
  • 34. aYaline Gérer les risques (étape n°4) Une étude d’impact sur la vie privée (EIVP) ou privacy impact assessment (PIA) doit être menée pour les traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes. RGPD : Comprendre et se mettre en conformité34 1. Évaluation ou notation. 2. Décision automatisée avec effet juridique ou effet similaire significatif. 3. Surveillance systématique. 4. Données sensibles ou données à caractère hautement personnel. 5. Données personnelles traitées à grande échelle. 6. Croisement d’ensembles de données. 7. Données concernant des personnes vulnérables. 8. Usage innovant ou application de nouvelles solutions technologiques ou organisationnelles. 9. Exclusion du bénéfice d’un droit, d’un service ou contrat. ▪ Description du traitement étudié et de ses finalités. ▪ Évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités. ▪ Évaluation des risques pour les droits et libertés des personnes concernées. ÉTUDE D’IMPACT9 CRITÈRES D’ANALYSE 2 critères Source : CNIL
  • 35. aYaline Organiser les procédures internes (étape n°5) Gérer au quotidien les événements liés à la protection des données personnelles (data breach, demande de rectification, changement de prestataire, etc.) nécessite des procédures internes rigoureuses. Il s’agit principalement de : ▪ Prendre en compte la protection des données personnelles dès la conception d’un traitement (concepts de Privacy by design et de Privacy by default). ▪ Sensibiliser et organiser la circulation de l’information au sein des services de l’organisme. ▪ Traiter les réclamations et les demandes des personnes concernées quand à l’exercice de leurs droits. ▪ Notifier les violations de données à l’autorité de contrôle et aux personnes concernées. RGPD : Comprendre et se mettre en conformité35 Source : CNIL
  • 36. aYaline Documenter la conformité (étape n°6) Le nouveau concept d’Accountability (« rendre des comptes », c’est-à- dire prouver sa conformité au RGPD) oblige à constituer une documentation complète qui sera opposable à un contrôle de la CNIL. RGPD : Comprendre et se mettre en conformité36 ▪ Registre des traitements. ▪ Analyses d’impact sur la protection des données (PIA). ▪ Encadrement des transferts de données hors de l'Union européenne. TRAITEMENT DE DONNÉES INFORMATION DES PERSONNES CONTRATS ▪ Mentions obligatoires d’information des personnes. ▪ Modèles de recueil du consentement des personnes concernées. ▪ Procédures mises en place pour l'exercice des droits. ▪ Contrats avec les sous- traitants. ▪ Procédures internes en cas de violations de données. ▪ Preuves que les personnes concernées par un traitement ont donné leur consentement. Source : CNIL
  • 37. aYaline Vers la certification Le RGPD est l’enjeu de conformité de l’année 2018. Une démarche de certification par un organisme agréé est sans aucun doute une bonne solution structurante pour se mettre en conformité au RGPD. RGPD : Comprendre et se mettre en conformité37 CERTIFICATIONS SPÉCIFIQUES ▪ AFNOR : AFAQ Protection des données personnelles. ▪ BUREAU VERITAS : Certification de personnes pour les DPO (délégué à la protection des données). L’article 42 du RGPD prévoit explicitement la certification par tierce partie. ET AUSSI… ▪ ISO/IEC 27001 : management de la sécurité de l’information. ▪ ANSSI : certification Critères Communs (CC) et/ou certification de Sécurité de Premier Niveau (CSPN). ▪ CNIL : label Gouvernance RGPD.
  • 38. aYaline Sommaire (rappel) ▪ Qu’est-ce que le RGPD ? ▪ Les grands principes ▪ Démarche de conformité ▪ Des outils pour se lancer ▪ Se faire accompagner RGPD : Comprendre et se mettre en conformité38
  • 39. aYaline Des outils pour se lancer ▪ Pourquoi des outils ? ▪ Sensibilisation ▪ Auto-diagnostic ▪ Registre des traitements ▪ Plateforme PIA ▪ Espace documentaire RGPD : Comprendre et se mettre en conformité39
  • 40. aYaline Pourquoi des outils ? Avant de choisir peut-être une solution logicielle du marché dédiée au RGPD, souvent onéreuse, il est important d’effectuer un tour d’horizon de l’utilisation des données personnelles au sein de son organisme par des ateliers de sensibilisation et d’information, puis de structurer la démarche à l’aide d’outils simples. RGPD : Comprendre et se mettre en conformité40 Sensibilisation RGPD à 360° Études de cas Applications à son contexte Sensibilisation Information RGPD à 360° Études de cas Applications à son contexte Auto- diagnostic Niveau de maturité au RGPD Effort à fournir Identifier les priorités Sensibilisation Information RGPD à 360° Études de cas Applications à son contexte Registre des traitements Inventaire et qualification des traitements Sous-traitants Plan d’actions Plateforme PIA Étude d’impact Analyse des risques Demande d’avis à la CNIL Espace documentaire Modèles de mention Notifications et demandes Contrats
  • 41. aYaline Sensibilisation Afin de sensibiliser efficacement tous les collaborateurs de l’organisme, il est indispensable de disposer d’informations précises collectées auprès des acteurs de référence et synthétisées pour une présentation intelligible, adaptée au contexte de chacun. ▪ Support de sensibilisation des dirigeants et de l’ensemble des collaborateurs. ▪ Support de formation contenant un volet pour chaque thématique principale (organisation, juridique, technique). ▪ Études de cas pour comprendre concrètement les répercussions du RGPD. ▪ Présentation d’applications pratiques du RGPD dans son domaine. RGPD : Comprendre et se mettre en conformité41
  • 42. aYaline Auto-diagnostic Les modules d’auto-diagnostic, se présentant sous forme de questionnaires avec calcul de score, ont pour objectif d’évaluer le niveau de maturité de son organisme par rapport à la conformité au RGPD sur les plans juridique, organisationnel et technique. Ils sont très utiles également pour mesurer l’effort à fournir pour se mettre en conformité. ▪ Auto-diagnostic juridique (désignation d’un DPO, respect des droits des personnes, collecte et conservation des données, PIA, etc.). ▪ Auto-diagnostic organisationnel (gouvernance, procédures, etc.). ▪ Auto-diagnostic technique (habilitations, gestion des incidents, etc.). RGPD : Comprendre et se mettre en conformité42
  • 43. aYaline Registre des traitements Le registre des traitements est un élément central dans la documentation de la conformité au RGPD. Il est indispensable pour prouver sa conformité en cas de contrôle. Il est constitué de plusieurs modules complémentaires : ▪ Cartographie « carte mentale » (recensement rapide des traitements). ▪ Liste des traitements (qualification synthétique de l’ensemble des traitements). ▪ Base des traitements décrits en détail (fiches de registre sur le modèle recommandé par la CNIL). ▪ Liste des catégories de traitement (en cas de sous-traitance). ▪ Base des preuves de consentement. RGPD : Comprendre et se mettre en conformité43
  • 44. aYaline Plateforme PIA L’analyse d’impact est une obligation dans certains cas de traitement (à grande échelle, données sensibles, croisement de données…). Disposer d’un outil pour procéder de façon méthodique à l'analyse d'impact sur la protection des données (PIA) apporte des bénéfices considérables. ▪ Logiciel libre (sous licence GPL v3, conçu par la CNIL) d’accompagnement à la conduite d'une analyse d'impact, didactique avec des références aux articles du RGPD très utiles pour comprendre le contexte légal de la démarche. ▪ Partage des rapports d’analyse au sein de son organisme et avec ses partenaires (extranet mis en place par aYaline). ▪ Rapports d’analyse exportables pour stockage dans l’espace de documentation. RGPD : Comprendre et se mettre en conformité44
  • 45. aYaline Espace documentaire La mise en conformité au RGPD et son maintien reposent sur un ensemble de procédures et de documents de référence, accessibles au sein de l’organisme en fonction des habilitations. ▪ Analyses d’impact sur la protection des données (PIA). ▪ Encadrement des transferts de données hors de l'Union européenne. ▪ Mentions obligatoires d’information des personnes. ▪ Modèles de recueil du consentement des personnes concernées. ▪ Procédures mises en place pour l'exercice des droits. ▪ Contrats avec les sous-traitants. ▪ Procédures internes en cas de violations de données. ▪ Preuves que les personnes concernées par un traitement ont donné leur consentement. RGPD : Comprendre et se mettre en conformité45
  • 46. aYaline Sommaire (rappel) ▪ Qu’est-ce que le RGPD ? ▪ Les grands principes ▪ Démarche de conformité ▪ Des outils pour se lancer ▪ Se faire accompagner RGPD : Comprendre et se mettre en conformité46
  • 47. aYaline Se faire accompagner ▪ Qui sommes-nous ? ▪ Une approche méthodique et outillée ▪ Nous vous accompagnons ▪ Notre offre de services ▪ Nous contacter RGPD : Comprendre et se mettre en conformité47
  • 48. aYaline Qui sommes-nous ? aYaline est une agence digitale spécialisée depuis 1995 dans les solutions open source pour développer des dispositifs Web & mobiles d'envergure. RGPD : Comprendre et se mettre en conformité48
  • 49. aYaline Une approche méthodique et outillée Se conformer aux grands principes du RGPD requiert une approche méthodique et outillée, sous la responsabilité d’un délégué à la protection des données personnelles (DPO), impliquant tous les départements ou services de l’entreprise, de la collectivité ou de l’administration. L’investissement nécessaire pour cette mise en conformité est porteur de progrès parce qu'il répond à une exigence croissante des personnes, internautes en particulier, d’utiliser leurs données à bon escient et de manière transparente et d’en assurer la protection. RGPD : Comprendre et se mettre en conformité49
  • 50. aYaline Nous vous accompagnons Comme tout professionnel, privé ou public, nous - AYALINE - entreprenons notre projet de mise en conformité avec le RGDP afin d’être prêts le 25 mai 2018, date d’application du règlement européen. Ce faisant, nous souhaitons vous faire bénéficier de notre retour d’expérience assortie d’une offre de services dans le but de vous accompagner de façon pragmatique et progressive dans la prise en compte du RGPD. RGPD : Comprendre et se mettre en conformité50
  • 51. aYaline Notre offre de services RGPD : Comprendre et se mettre en conformité51 SENSIBILISATION ET FORMATION Comprendre les principes moteurs du RGPD et leurs implications au quotidien, cartographier les traitements de données personnelles, établir les priorités de mise en conformité, analyser les impacts et prendre en main la plateforme PIA. MÉTHODES & OUTILS Interpréter les articles du RGPD, connaître et mettre en pratique les recommandations de la CNIL (autorité de contrôle), dérouler les étapes de préparation, choisir les outils appropriés à son contexte. PLATEFORME D’ANALYSE D’IMPACT Disposer d’une plateforme pour procéder à l'analyse d'impact sur la protection des données (PIA) qui est un volet majeur du RGPD, partager les rapports au sein de son organisme et avec ses partenaires (extranet). DÉVELOPPEMENTS ADAPTATIFS Identifier les zones à risques de vos applications web vis-à-vis des exigences du RGPD, étudier les impacts fonctionnels et/ou techniques, développer les adaptations, assurer leur maintenance. ASSISTANCE ET CONSEIL Vous accompagner tout au long de votre projet de mise en conformité avec le RGPD, répondre au quotidien à vos questions, être force de proposition, vous mettre en relation avec des interlocuteurs spécialisés (juristes...) si nécessaire.
  • 52. aYaline Nous contacter Vous souhaitez en savoir plus sur notre offre de services RGPD ? Vous avez un besoin d’accompagnement sur-mesure ? N’hésitez pas à nous en parler. RGPD : Comprendre et se mettre en conformité52 Personne à contacter : Mathis Guille Consultant mguille@ayaline.com Mob. : 06 10 07 42 35 Ou via le formulaire de contact : https://goo.gl/JCvtjE AYALINE 4, allée des Frères Montgolfier 86360 Chasseneuil-du-Poitou [Poitiers-Futuroscope] www.ayaline.com contact@ayaline.com Tél. : 05 49 41 46 00