SlideShare une entreprise Scribd logo

RGPD : impacts et guide pratique pour les sous-traitants

Kiwi Backup
Kiwi Backup

Ce webinar s’adresse à tous à tous ceux qui les sous-traitants qui sont concernés par le RGPD : prestataires de services informatiques, intégrateurs de logiciels sociétés de sécurité informatique, agences de marketing ou de communication, ...

Internet
1  sur  40
Télécharger pour lire hors ligne
RGPD Impacts et guide pratique pour les sous-traitants
Retrouvez un sondage en ligne : RGPD et sous-traitance 2 Durant ce webinar des questions vous seront posées. • Connectez vous à menti.com • Rentrez le code : 243773
Sommaire • Qu’est-ce que le RGPD ? • Êtes-vous sous-traitant au sens du RGPD ? • Quelles sont les obligations du sous-traitant ? • Comment se préparer au RGPD ? • Zoom sur Kiwi Backup RGPD et sous-traitance 3
Partie 1 Qu’est-ce que le RGPD ? RGPD et sous-traitance 4
Petit rappel historique • 1995 : l’Europe adopte la Directive sur la protection des données • Directive = 28 lois différentes, 1 pour chaque pays membre • Lois inadaptées aujourd’hui • 2016 : Règlement européen RGPD • 25.05.2018 : mise en application RGPD RGPD et sous-traitance 5
RGPD en bref Sanctions : 10 millions d’euros ou 2 % du CA annuel 20 millions d’euros ou 4 % du CA annuel Sont concernés : entreprises établies dans l’UE ou traitant des informations concernant des résidents européens Responsabilise l’ensemble des acteurs traitant ces données Renforce les droits des résidents européens sur leurs données RGPD : Règlement Général sur la Protection des Données
Qu’est ce qu’une donnée personnelle ? 7 Droits afférents : • Consentement éclairé • Accès • Correction • Suppression et droit à l’oubli • Portabilité des données
4 piliers du RGPD • Transparence  confiance • Responsabilité • Nouveaux droits pour les consommateurs • Notification obligatoire des violations de données RGPD et sous-traitance 8
Partie 2 Êtes-vous sous-traitant au sens du RGPD ? RGPD et sous-traitance 9
Quelles responsabilités ? RGPD et sous-traitance 10 Jusqu’au 25 mai A partir du 25 mai Les obligations de la loi informatiques et libertés ne s’imposent qu’au responsable de traitement Le sous-traitant sera impliqué dans le traitement des données personnelles et sera soumis à des obligations spécifiques  Notion de co-responsabilité
Qu’est ce qu’un sous-traitant ? RGPD et sous-traitance 11 • Prestataires de service • Intégrateurs • ESN (ex SSII) • Agences sécurité informatique • Agences marketing et com’ • Editeurs de logiciels • Fabricants de matériels
Sous-traitant ou responsable de traitement ? RGPD et sous-traitance 12 Pourquoi ? Comment ? Responsable du traitement Détermination de la finalité et des moyens Traitements internes (ex : gestion du personnel)
Et si la frontière est mince ? RGPD et sous-traitance 13 • Niveau d’autonomie du prestataire ? • Degré de surveillance de la prestation par le client • Niveau d’expertise du prestataire dans le domaine • Prestataire connu des utilisateurs finaux (transparence) Analyse d’un faisceau d’indices :
Partie 3 Quelles sont les obligations du sous-traitant ? RGPD et sous-traitance 14
Principe général Lorsque vous intervenez en tant que sous-traitant dans la mise en œuvre d’un traitement de données personnelles, vous devez offrir à votre client « des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée » (article 28 du règlement européen). Extrait du Règlement européen sur la protection des données personnelles - Guide du sous-traitant - Edition septembre 2017 - CNIL 15
Obligation 1 : Transparence et traçabilité Contrat précisant les obligations de chaque partie Instructions écrites pour tout traitement sur les données Autorisation écrite pour faire appel à un sous-traitant Réalisation de documentation pour démontrer le respect de vos obligations et pour permettre la réalisation d’audits Mise en place d’un registre qui recense vos clients et décrit les traitements effectués
Obligation 2 : Privacy by design Privacy by default Protection des données intégrée dès la conception Haut niveau de protection des données garanti par défaut (finalité, étendue, durée de conservation, accès aux données)
Obligation 2 : exemples • de permettre à votre client de paramétrer par défaut et a minima la collecte de données et ne pas rendre techniquement obligatoire le renseignement d’un champ facultatif • de ne collecter que les données strictement nécessaires à la finalité du traitement (minimisation des données) • de purger automatiquement et sélectivement les données d’une base active à l’issue d’une certaine durée • de gérer des habilitations et droits d’accès informatiques « donnée par donnée » ou sur demande des personnes concernées (pour les réseaux sociaux par exemple)
Obligation 3 : Garantir la sécurité des données traitées Obligation de confidentialité pour vos salariés Notification de toute violation de données Niveau de sécurité adapté aux risques Suppression des données en fin de traitement
Obligation 4 : Assistance, alerte et conseil Aide apportée au client pour garantir le respect des obligations en matière de sécurité du traitement, de notification de violation de données et d’analyse d’impact relative à la protection des données Aide apportée au client lorsqu’une personne exerce ses droits (accès, rectification, effacement, portabilité, opposition, …) Information du client si ses instructions constituent une violation des règles en matière de protection des données
Partie 4 Comment se préparer au RGPD ? RGPD et sous-traitance 21
Devez-vous désigner un DPO ? La désignation est obligatoire dans trois cas précis : RGPD et sous-traitance 22 La désignation d’un DPO est recommandée car elle permet de disposer d’un expert chargé de la mise en œuvre concrète et du pilotage de la conformité au règlement européen. Autorité ou organisme public Données sensibles (pénales ou de santé) Traitements à grande échelle
Missions du DPO : RGPD et sous-traitance 23 • Informer et conseiller le responsable de traitement • Contrôler le respect du RGPD • Coopérer avec la CNIL • Déterminer les finalités et les moyens de traitement des données à caractère personnel
Analysez et révisez vos contrats Vos contrats définissent-ils : • L’objet et la durée des prestations ? • La finalité du traitement ? • Les types de données traitées ? • Les catégories de personnes concernées ? • Les droits et les obligations des parties ? RGPD et sous-traitance 24 Exemples de clauses
Exemple de clauses RGPD et sous-traitance 25 I. Objet Les présentes clauses ont pour objet de définir les conditions dans lesquelles le sous-traitant s’engage à effectuer pour le compte du responsable de traitement les opérations de traitement de données à caractère personnel définies ci- après. Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le règlement européen sur la protection des données »). III. Durée du contrat Le présent contrat entre en vigueur à compter du […] pour une durée de […]. 13. Délégué à la protection des données Le sous-traitant communique au responsable de traitement le nom et les coordonnées de son délégué à la protection des données, s’il en a désigné un conformément à l’article 37 du règlement européen sur la protection des données
Elaborez un registre des traitements • Lister les traitements effectués sur des données personnelles • Déterminer les catégories de données • Définir les objectifs des traitements (sauvegarde, envoi emailing, gestion du personnel,…) • Lister les acteurs, y compris les sous-traitants • Déterminer les flux de données RGPD et sous-traitance 26
Mettez en place un plan d’action de mise en conformité Pour tous les traitements jugés à risque : • Quels risques potentiels ? (cf PIA) • Quel contexte pour le traitement ? Finalité ? Fonctionnement ? • Evaluation des risques (vraisemblance, gravité, impacts potentiels,…) • Mesures mises en place avec pilote et délai de réalisation • Analyse des risques résiduels • Mise en place d’un plan d’action complémentaire RGPD et sous-traitance 27 Télécharger l’outil PIA de la CNIL
Méthode PIA (Privacy Impact Assessment) RGPD et sous-traitance 28 Source : CNIL
Sous-traitant de 2e niveau ? 1. Autorisation écrite obligatoire • Spécifique • Générale 2. Obligations héritées par le nouveau sous-traitant 3. Responsabilité finale du 1er sous- traitant quoi qu’il arrive RGPD et sous-traitance 29
En synthèse (1/2) • Nommez un DPO • Mettez en place vos registres des traitements (1 pour les traitements effectués pour vos clients, 1 pour vos propres traitements internes) • Mettez en place le plan d’action de mise en conformité notamment pour éviter toute violation de données • Documentez toutes les actions entreprises pour répondre au règlement RGPD et sous-traitance 30
En synthèse (2/2) • Vérifiez vos contrats et faites- les évoluer avec l’aide d’un juriste • Mettez en place des procédures de communication avec vos donneurs d’ordres (instructions écrites) • Revalidez toutes vos bases de données marketing auprès des personnes concernées RGPD et sous-traitance 31
Sources • https://www.cnil.fr/fr/reglement-europeen-sur-la- protection-des-donnees-un-guide-pour- accompagner-les-sous-traitants • https://www.cnil.fr/fr/reglement-europeen- protection-donnees/chapitre4#Article28 • https://www.cnil.fr/sites/default/files/atoms/files/ 171002_fiche_risque_fr_cmjk.pdf RGPD et sous-traitance 32
Partie 5 Zoom sur Kiwi Backup RGPD et sous-traitance 33
Conformité de Kiwi Backup vis-à-vis du RGPD • Refonte complète des conditions générales de vente • Obligation de confidentialité pour tous les salariés Kiwi Backup • Chiffrement des données lors du transfert et du stockage • Hébergement des données chez OVH France (données classiques et de santé) • Les restaurations de données de santé sont sécurisées par une double authentification • Historique long (90 jours) • Réception de notifications par mail (alertes/synthèses) • Logs par machine accessibles via l’interface d’administration • Pas de portabilité mais 3 mois de conservation permettent de reconstruire l’historique des sauvegardes chez un confrère sans risque de perte de données • Suppression complète des données 3 mois après la cessation de contrat RGPD et sous-traitance 34 https://www.cnil.fr/sites/default/files/atoms/files/cnil_guide_securite_personnelle.pdf
Interface utilisateur RGPD et sous-traitance 35
Interface utilisateur RGPD et sous-traitance 36
Connexion à l’interface d’administration RGPD et sous-traitance 37 Accès à l’interface d’administration sécurisé par un ID/mot de passe personnalisé
Tableau de bord RGPD et sous-traitance 38
Contrats enregistrés dans un espace RGPD et sous-traitance 39
Contact  03 89 333 888  stephanie@kiwi-backup.com  www.kiwi-backup.com https://www.facebook.com/kiwib ackup 4 0

Recommandé

Exercice de la médecine du travail en Algerie.
Exercice de la médecine du travail en Algerie.Exercice de la médecine du travail en Algerie.
Exercice de la médecine du travail en Algerie.
Abdelmalek Nezzal
 
Les marché des TIC en algérie
Les marché des TIC en algérieLes marché des TIC en algérie
Les marché des TIC en algérie
MédafCO - Développement
 
Gestion du patrimoine
Gestion du patrimoineGestion du patrimoine
Gestion du patrimoine
Pasteur_Tunis
 
101230874-Comptabilite-Generale - Copie.pdf
101230874-Comptabilite-Generale - Copie.pdf101230874-Comptabilite-Generale - Copie.pdf
101230874-Comptabilite-Generale - Copie.pdf
achraf649228
 
Mes bonnes résolutions cybersécurité pour 2024
Mes bonnes résolutions cybersécurité pour 2024Mes bonnes résolutions cybersécurité pour 2024
Mes bonnes résolutions cybersécurité pour 2024
Lisa Lombardi
 
Etude sur la veille stratégique en Tunisie.
Etude sur la veille stratégique en Tunisie.Etude sur la veille stratégique en Tunisie.
Etude sur la veille stratégique en Tunisie.
Mariem SELLAMI
 
Droit des obligations et des contrats
Droit des obligations et des contratsDroit des obligations et des contrats
Droit des obligations et des contrats94Nada
 
Slides 2040-reassurance
Slides 2040-reassuranceSlides 2040-reassurance
Slides 2040-reassuranceArthur Charpentier
 

Recommandé

Exercice de la médecine du travail en Algerie.
Exercice de la médecine du travail en Algerie.Exercice de la médecine du travail en Algerie.
Exercice de la médecine du travail en Algerie.
Abdelmalek Nezzal
 
Les marché des TIC en algérie
Les marché des TIC en algérieLes marché des TIC en algérie
Les marché des TIC en algérie
MédafCO - Développement
 
Gestion du patrimoine
Gestion du patrimoineGestion du patrimoine
Gestion du patrimoine
Pasteur_Tunis
 
101230874-Comptabilite-Generale - Copie.pdf
101230874-Comptabilite-Generale - Copie.pdf101230874-Comptabilite-Generale - Copie.pdf
101230874-Comptabilite-Generale - Copie.pdf
achraf649228
 
Mes bonnes résolutions cybersécurité pour 2024
Mes bonnes résolutions cybersécurité pour 2024Mes bonnes résolutions cybersécurité pour 2024
Mes bonnes résolutions cybersécurité pour 2024
Lisa Lombardi
 
Etude sur la veille stratégique en Tunisie.
Etude sur la veille stratégique en Tunisie.Etude sur la veille stratégique en Tunisie.
Etude sur la veille stratégique en Tunisie.
Mariem SELLAMI
 
Droit des obligations et des contrats
Droit des obligations et des contratsDroit des obligations et des contrats
Droit des obligations et des contrats94Nada
 
Slides 2040-reassurance
Slides 2040-reassuranceSlides 2040-reassurance
Slides 2040-reassuranceArthur Charpentier
 
Cours d'assurances sociales CNAS/CNR ALGERIE
Cours d'assurances sociales CNAS/CNR ALGERIECours d'assurances sociales CNAS/CNR ALGERIE
Cours d'assurances sociales CNAS/CNR ALGERIE
Abdelhak ZAIM
 
Formation des membres de la CPHS " Accidents de travail et maladie profession...
Formation des membres de la CPHS " Accidents de travail et maladie profession...Formation des membres de la CPHS " Accidents de travail et maladie profession...
Formation des membres de la CPHS " Accidents de travail et maladie profession...
hammani bachir
 
Veille réglementaire HSE/SST / HAMMANI BACHIR FORMATEUR HSE 0670255402
Veille réglementaire HSE/SST / HAMMANI BACHIR FORMATEUR HSE 0670255402Veille réglementaire HSE/SST / HAMMANI BACHIR FORMATEUR HSE 0670255402
Veille réglementaire HSE/SST / HAMMANI BACHIR FORMATEUR HSE 0670255402
hammani bachir
 
RISQUES DANS LE BATIMENT.PPT
RISQUES DANS LE BATIMENT.PPTRISQUES DANS LE BATIMENT.PPT
RISQUES DANS LE BATIMENT.PPT
WaTaib
 
Création d'entreprise au maroc
Création d'entreprise au marocCréation d'entreprise au maroc
Création d'entreprise au marocAllaeddine Makhlouk
 
Ergonomie
Ergonomie Ergonomie
Ergonomie badr zaimi
 
- Drt social ppt (1)
- Drt social ppt (1) - Drt social ppt (1)
- Drt social ppt (1)
SOUIYATE Mostafa
 
Maladies professionnelles en Europe et en ALgérie
Maladies professionnelles en Europe et en ALgérieMaladies professionnelles en Europe et en ALgérie
Maladies professionnelles en Europe et en ALgérie
Abdelmalek Nezzal
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
eGov Innovation Center
 
Briefing hse, minutes sécurité rapport d'observation 1
Briefing hse, minutes sécurité rapport d'observation 1Briefing hse, minutes sécurité rapport d'observation 1
Briefing hse, minutes sécurité rapport d'observation 1
hammani bachir
 
Risque industriel canevas plan d'intervention interne
Risque industriel canevas plan d'intervention interne Risque industriel canevas plan d'intervention interne
Risque industriel canevas plan d'intervention interne
OUADA Yazid
 
Briefing hse, minutes sécurité..pre job
Briefing hse, minutes sécurité..pre jobBriefing hse, minutes sécurité..pre job
Briefing hse, minutes sécurité..pre job
hammani bachir
 
LES RISQUES LIES AUX OPERATIONS DE SOUDAGE
LES RISQUES LIES AUX OPERATIONS DE SOUDAGELES RISQUES LIES AUX OPERATIONS DE SOUDAGE
LES RISQUES LIES AUX OPERATIONS DE SOUDAGE
chokri SOLTANI
 
REGLEMENT INTERIEUR DE LA CPHS projet hammani
REGLEMENT INTERIEUR DE LA CPHS projet hammaniREGLEMENT INTERIEUR DE LA CPHS projet hammani
REGLEMENT INTERIEUR DE LA CPHS projet hammani
hammani bachir
 
Support de cours Droit ENCG.pdf
Support de cours Droit ENCG.pdfSupport de cours Droit ENCG.pdf
Support de cours Droit ENCG.pdf
KARI186244
 
La propriété intellectuelle : La Propriété industrielle, Droits d’auteurs et ...
La propriété intellectuelle : La Propriété industrielle, Droits d’auteurs et ...La propriété intellectuelle : La Propriété industrielle, Droits d’auteurs et ...
La propriété intellectuelle : La Propriété industrielle, Droits d’auteurs et ...
Mohcine Boudanes
 
moulage
moulagemoulage
moulage
Rafael Nadal
 
l’information financière et le rôle de l’AMMC dans la lutte contre la fraude ...
l’information financière et le rôle de l’AMMC dans la lutte contre la fraude ...l’information financière et le rôle de l’AMMC dans la lutte contre la fraude ...
l’information financière et le rôle de l’AMMC dans la lutte contre la fraude ...
HaddadMaryame
 
Visite des chantiers et ouvrages
Visite des chantiers et ouvrages Visite des chantiers et ouvrages
Visite des chantiers et ouvrages
hammani bachir
 
Cadre législatif et réglementaire HSE
Cadre législatif et réglementaire HSE Cadre législatif et réglementaire HSE
Cadre législatif et réglementaire HSE
hammani bachir
 
Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...
Claranet
 
Comment atteindre la conformité au RGPD
Comment atteindre la conformité au RGPDComment atteindre la conformité au RGPD
Comment atteindre la conformité au RGPD
Forums financiers de Wallonie
 

Contenu connexe

Tendances

Cours d'assurances sociales CNAS/CNR ALGERIE
Cours d'assurances sociales CNAS/CNR ALGERIECours d'assurances sociales CNAS/CNR ALGERIE
Cours d'assurances sociales CNAS/CNR ALGERIE
Abdelhak ZAIM
 
Formation des membres de la CPHS " Accidents de travail et maladie profession...
Formation des membres de la CPHS " Accidents de travail et maladie profession...Formation des membres de la CPHS " Accidents de travail et maladie profession...
Formation des membres de la CPHS " Accidents de travail et maladie profession...
hammani bachir
 
Veille réglementaire HSE/SST / HAMMANI BACHIR FORMATEUR HSE 0670255402
Veille réglementaire HSE/SST / HAMMANI BACHIR FORMATEUR HSE 0670255402Veille réglementaire HSE/SST / HAMMANI BACHIR FORMATEUR HSE 0670255402
Veille réglementaire HSE/SST / HAMMANI BACHIR FORMATEUR HSE 0670255402
hammani bachir
 
RISQUES DANS LE BATIMENT.PPT
RISQUES DANS LE BATIMENT.PPTRISQUES DANS LE BATIMENT.PPT
RISQUES DANS LE BATIMENT.PPT
WaTaib
 
- Drt social ppt (1)
- Drt social ppt (1) - Drt social ppt (1)
- Drt social ppt (1)
SOUIYATE Mostafa
 
Maladies professionnelles en Europe et en ALgérie
Maladies professionnelles en Europe et en ALgérieMaladies professionnelles en Europe et en ALgérie
Maladies professionnelles en Europe et en ALgérie
Abdelmalek Nezzal
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
eGov Innovation Center
 
Briefing hse, minutes sécurité rapport d'observation 1
Briefing hse, minutes sécurité rapport d'observation 1Briefing hse, minutes sécurité rapport d'observation 1
Briefing hse, minutes sécurité rapport d'observation 1
hammani bachir
 
Risque industriel canevas plan d'intervention interne
Risque industriel canevas plan d'intervention interne Risque industriel canevas plan d'intervention interne
Risque industriel canevas plan d'intervention interne
OUADA Yazid
 
Briefing hse, minutes sécurité..pre job
Briefing hse, minutes sécurité..pre jobBriefing hse, minutes sécurité..pre job
Briefing hse, minutes sécurité..pre job
hammani bachir
 
LES RISQUES LIES AUX OPERATIONS DE SOUDAGE
LES RISQUES LIES AUX OPERATIONS DE SOUDAGELES RISQUES LIES AUX OPERATIONS DE SOUDAGE
LES RISQUES LIES AUX OPERATIONS DE SOUDAGE
chokri SOLTANI
 
REGLEMENT INTERIEUR DE LA CPHS projet hammani
REGLEMENT INTERIEUR DE LA CPHS projet hammaniREGLEMENT INTERIEUR DE LA CPHS projet hammani
REGLEMENT INTERIEUR DE LA CPHS projet hammani
hammani bachir
 
Support de cours Droit ENCG.pdf
Support de cours Droit ENCG.pdfSupport de cours Droit ENCG.pdf
Support de cours Droit ENCG.pdf
KARI186244
 
La propriété intellectuelle : La Propriété industrielle, Droits d’auteurs et ...
La propriété intellectuelle : La Propriété industrielle, Droits d’auteurs et ...La propriété intellectuelle : La Propriété industrielle, Droits d’auteurs et ...
La propriété intellectuelle : La Propriété industrielle, Droits d’auteurs et ...
Mohcine Boudanes
 
moulage
moulagemoulage
moulage
Rafael Nadal
 
l’information financière et le rôle de l’AMMC dans la lutte contre la fraude ...
l’information financière et le rôle de l’AMMC dans la lutte contre la fraude ...l’information financière et le rôle de l’AMMC dans la lutte contre la fraude ...
l’information financière et le rôle de l’AMMC dans la lutte contre la fraude ...
HaddadMaryame
 
Visite des chantiers et ouvrages
Visite des chantiers et ouvrages Visite des chantiers et ouvrages
Visite des chantiers et ouvrages
hammani bachir
 
Cadre législatif et réglementaire HSE
Cadre législatif et réglementaire HSE Cadre législatif et réglementaire HSE
Cadre législatif et réglementaire HSE
hammani bachir
 

Tendances (20)

Cours d'assurances sociales CNAS/CNR ALGERIE
Cours d'assurances sociales CNAS/CNR ALGERIECours d'assurances sociales CNAS/CNR ALGERIE
Cours d'assurances sociales CNAS/CNR ALGERIE
 
Formation des membres de la CPHS " Accidents de travail et maladie profession...
Formation des membres de la CPHS " Accidents de travail et maladie profession...Formation des membres de la CPHS " Accidents de travail et maladie profession...
Formation des membres de la CPHS " Accidents de travail et maladie profession...
 
Veille réglementaire HSE/SST / HAMMANI BACHIR FORMATEUR HSE 0670255402
Veille réglementaire HSE/SST / HAMMANI BACHIR FORMATEUR HSE 0670255402Veille réglementaire HSE/SST / HAMMANI BACHIR FORMATEUR HSE 0670255402
Veille réglementaire HSE/SST / HAMMANI BACHIR FORMATEUR HSE 0670255402
 
RISQUES DANS LE BATIMENT.PPT
RISQUES DANS LE BATIMENT.PPTRISQUES DANS LE BATIMENT.PPT
RISQUES DANS LE BATIMENT.PPT
 
Création d'entreprise au maroc
Création d'entreprise au marocCréation d'entreprise au maroc
Création d'entreprise au maroc
 
Ergonomie
Ergonomie Ergonomie
Ergonomie
 
- Drt social ppt (1)
- Drt social ppt (1) - Drt social ppt (1)
- Drt social ppt (1)
 
Maladies professionnelles en Europe et en ALgérie
Maladies professionnelles en Europe et en ALgérieMaladies professionnelles en Europe et en ALgérie
Maladies professionnelles en Europe et en ALgérie
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
 
Briefing hse, minutes sécurité rapport d'observation 1
Briefing hse, minutes sécurité rapport d'observation 1Briefing hse, minutes sécurité rapport d'observation 1
Briefing hse, minutes sécurité rapport d'observation 1
 
Risque industriel canevas plan d'intervention interne
Risque industriel canevas plan d'intervention interne Risque industriel canevas plan d'intervention interne
Risque industriel canevas plan d'intervention interne
 
Briefing hse, minutes sécurité..pre job
Briefing hse, minutes sécurité..pre jobBriefing hse, minutes sécurité..pre job
Briefing hse, minutes sécurité..pre job
 
LES RISQUES LIES AUX OPERATIONS DE SOUDAGE
LES RISQUES LIES AUX OPERATIONS DE SOUDAGELES RISQUES LIES AUX OPERATIONS DE SOUDAGE
LES RISQUES LIES AUX OPERATIONS DE SOUDAGE
 
REGLEMENT INTERIEUR DE LA CPHS projet hammani
REGLEMENT INTERIEUR DE LA CPHS projet hammaniREGLEMENT INTERIEUR DE LA CPHS projet hammani
REGLEMENT INTERIEUR DE LA CPHS projet hammani
 
Support de cours Droit ENCG.pdf
Support de cours Droit ENCG.pdfSupport de cours Droit ENCG.pdf
Support de cours Droit ENCG.pdf
 
La propriété intellectuelle : La Propriété industrielle, Droits d’auteurs et ...
La propriété intellectuelle : La Propriété industrielle, Droits d’auteurs et ...La propriété intellectuelle : La Propriété industrielle, Droits d’auteurs et ...
La propriété intellectuelle : La Propriété industrielle, Droits d’auteurs et ...
 
moulage
moulagemoulage
moulage
 
l’information financière et le rôle de l’AMMC dans la lutte contre la fraude ...
l’information financière et le rôle de l’AMMC dans la lutte contre la fraude ...l’information financière et le rôle de l’AMMC dans la lutte contre la fraude ...
l’information financière et le rôle de l’AMMC dans la lutte contre la fraude ...
 
Visite des chantiers et ouvrages
Visite des chantiers et ouvrages Visite des chantiers et ouvrages
Visite des chantiers et ouvrages
 
Cadre législatif et réglementaire HSE
Cadre législatif et réglementaire HSE Cadre législatif et réglementaire HSE
Cadre législatif et réglementaire HSE
 

Similaire à RGPD : impacts et guide pratique pour les sous-traitants

Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...
Claranet
 
Comment atteindre la conformité au RGPD
Comment atteindre la conformité au RGPDComment atteindre la conformité au RGPD
Comment atteindre la conformité au RGPD
Forums financiers de Wallonie
 
Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !
Philippe Mignen
 
Adetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketingAdetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketing
Luc-Marie AUGAGNEUR
 
presentation_rgpd_062018.pptx
presentation_rgpd_062018.pptxpresentation_rgpd_062018.pptx
presentation_rgpd_062018.pptx
SidiAbdallah1
 
Les points clés du GDPR
Les points clés du GDPRLes points clés du GDPR
Les points clés du GDPR
Martin Dupuy
 
Gdpr presentation
Gdpr presentationGdpr presentation
Gdpr presentation
Gaetan Karre
 
Les points clés du gdpr ppt
Les points clés du gdpr ppt Les points clés du gdpr ppt
Les points clés du gdpr ppt
Jeanny LUCAS
 
Les points clés du GDPR ppt
Les points clés du GDPR ppt Les points clés du GDPR ppt
Les points clés du GDPR ppt
Jeanny LUCAS
 
Atelier RGPD ANDRH 27.03.18
Atelier RGPD ANDRH 27.03.18Atelier RGPD ANDRH 27.03.18
Atelier RGPD ANDRH 27.03.18
Andrea MARTELLETTI
 
Contrat de sous-traitance - GDPR
Contrat de sous-traitance - GDPRContrat de sous-traitance - GDPR
Contrat de sous-traitance - GDPR
Technofutur TIC
 
Règlement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UERèglement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UE
PECB
 
27/04/17 Séminaire Données Personnelles
27/04/17 Séminaire Données Personnelles27/04/17 Séminaire Données Personnelles
27/04/17 Séminaire Données Personnelles
Soft Computing
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis Nystek
Pascal ALIX
 
20171221-5 jni-rgpd
20171221-5 jni-rgpd20171221-5 jni-rgpd
20171221-5 jni-rgpd
ASIP Santé
 
Le RGPD, véritable opportunité vers la gouvernance de l’information
Le RGPD, véritable opportunité vers la gouvernance de l’informationLe RGPD, véritable opportunité vers la gouvernance de l’information
Le RGPD, véritable opportunité vers la gouvernance de l’information
PECB
 
Gestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsGestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligations
Claranet
 
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
Medialibs
 
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
Boris Clément
 
AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18
AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18
AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18
Cap'Com
 

Similaire à RGPD : impacts et guide pratique pour les sous-traitants (20)

Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...
 
Comment atteindre la conformité au RGPD
Comment atteindre la conformité au RGPDComment atteindre la conformité au RGPD
Comment atteindre la conformité au RGPD
 
Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !
 
Adetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketingAdetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketing
 
presentation_rgpd_062018.pptx
presentation_rgpd_062018.pptxpresentation_rgpd_062018.pptx
presentation_rgpd_062018.pptx
 
Les points clés du GDPR
Les points clés du GDPRLes points clés du GDPR
Les points clés du GDPR
 
Gdpr presentation
Gdpr presentationGdpr presentation
Gdpr presentation
 
Les points clés du gdpr ppt
Les points clés du gdpr ppt Les points clés du gdpr ppt
Les points clés du gdpr ppt
 
Les points clés du GDPR ppt
Les points clés du GDPR ppt Les points clés du GDPR ppt
Les points clés du GDPR ppt
 
Atelier RGPD ANDRH 27.03.18
Atelier RGPD ANDRH 27.03.18Atelier RGPD ANDRH 27.03.18
Atelier RGPD ANDRH 27.03.18
 
Contrat de sous-traitance - GDPR
Contrat de sous-traitance - GDPRContrat de sous-traitance - GDPR
Contrat de sous-traitance - GDPR
 
Règlement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UERèglement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UE
 
27/04/17 Séminaire Données Personnelles
27/04/17 Séminaire Données Personnelles27/04/17 Séminaire Données Personnelles
27/04/17 Séminaire Données Personnelles
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis Nystek
 
20171221-5 jni-rgpd
20171221-5 jni-rgpd20171221-5 jni-rgpd
20171221-5 jni-rgpd
 
Le RGPD, véritable opportunité vers la gouvernance de l’information
Le RGPD, véritable opportunité vers la gouvernance de l’informationLe RGPD, véritable opportunité vers la gouvernance de l’information
Le RGPD, véritable opportunité vers la gouvernance de l’information
 
Gestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsGestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligations
 
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
 
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
 
AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18
AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18
AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18
 

Plus de Kiwi Backup

QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...
QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...
QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...
Kiwi Backup
 
Webinar : comment lutter contre les ransomwares
Webinar : comment lutter contre les ransomwaresWebinar : comment lutter contre les ransomwares
Webinar : comment lutter contre les ransomwares
Kiwi Backup
 
Présentation docker et kubernetes
Présentation docker et kubernetesPrésentation docker et kubernetes
Présentation docker et kubernetes
Kiwi Backup
 
Support reglement donnees de sante
Support reglement donnees de santeSupport reglement donnees de sante
Support reglement donnees de sante
Kiwi Backup
 
Infographie : RGPD et sous-traitance
Infographie : RGPD et sous-traitance Infographie : RGPD et sous-traitance
Infographie : RGPD et sous-traitance
Kiwi Backup
 
Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?
Kiwi Backup
 
Spectre et Meltdown : quels impacts pour vous et vos clients ?
Spectre et Meltdown : quels impacts pour vous et vos clients ?Spectre et Meltdown : quels impacts pour vous et vos clients ?
Spectre et Meltdown : quels impacts pour vous et vos clients ?
Kiwi Backup
 
Présentation Kiwi Santé - sauvegarde données de santé
Présentation Kiwi Santé - sauvegarde données de santéPrésentation Kiwi Santé - sauvegarde données de santé
Présentation Kiwi Santé - sauvegarde données de santé
Kiwi Backup
 
Sauvegarde de données de santé
Sauvegarde de données de santéSauvegarde de données de santé
Sauvegarde de données de santé
Kiwi Backup
 
Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?
Kiwi Backup
 
Bonnes pratiques pour sécuriser un serveur Linux
Bonnes pratiques pour sécuriser un serveur LinuxBonnes pratiques pour sécuriser un serveur Linux
Bonnes pratiques pour sécuriser un serveur Linux
Kiwi Backup
 
Protéger son site web des cyber-attaques
Protéger son site web des cyber-attaquesProtéger son site web des cyber-attaques
Protéger son site web des cyber-attaques
Kiwi Backup
 
Comment se protéger de locky et petya
Comment se protéger de locky et petyaComment se protéger de locky et petya
Comment se protéger de locky et petya
Kiwi Backup
 
Manuel utilisateur Kiwi Backup V3
Manuel utilisateur Kiwi Backup V3Manuel utilisateur Kiwi Backup V3
Manuel utilisateur Kiwi Backup V3
Kiwi Backup
 
Manuel d'administration Kiwi Backup V3
Manuel d'administration Kiwi Backup V3Manuel d'administration Kiwi Backup V3
Manuel d'administration Kiwi Backup V3
Kiwi Backup
 
Sauvegarde et Archivage de données : conseils à suivre et pièges à éviter...
Sauvegarde et Archivage de données : conseils à suivre et pièges à éviter...Sauvegarde et Archivage de données : conseils à suivre et pièges à éviter...
Sauvegarde et Archivage de données : conseils à suivre et pièges à éviter...
Kiwi Backup
 

Plus de Kiwi Backup (16)

QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...
QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...
QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...
 
Webinar : comment lutter contre les ransomwares
Webinar : comment lutter contre les ransomwaresWebinar : comment lutter contre les ransomwares
Webinar : comment lutter contre les ransomwares
 
Présentation docker et kubernetes
Présentation docker et kubernetesPrésentation docker et kubernetes
Présentation docker et kubernetes
 
Support reglement donnees de sante
Support reglement donnees de santeSupport reglement donnees de sante
Support reglement donnees de sante
 
Infographie : RGPD et sous-traitance
Infographie : RGPD et sous-traitance Infographie : RGPD et sous-traitance
Infographie : RGPD et sous-traitance
 
Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?
 
Spectre et Meltdown : quels impacts pour vous et vos clients ?
Spectre et Meltdown : quels impacts pour vous et vos clients ?Spectre et Meltdown : quels impacts pour vous et vos clients ?
Spectre et Meltdown : quels impacts pour vous et vos clients ?
 
Présentation Kiwi Santé - sauvegarde données de santé
Présentation Kiwi Santé - sauvegarde données de santéPrésentation Kiwi Santé - sauvegarde données de santé
Présentation Kiwi Santé - sauvegarde données de santé
 
Sauvegarde de données de santé
Sauvegarde de données de santéSauvegarde de données de santé
Sauvegarde de données de santé
 
Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?
 
Bonnes pratiques pour sécuriser un serveur Linux
Bonnes pratiques pour sécuriser un serveur LinuxBonnes pratiques pour sécuriser un serveur Linux
Bonnes pratiques pour sécuriser un serveur Linux
 
Protéger son site web des cyber-attaques
Protéger son site web des cyber-attaquesProtéger son site web des cyber-attaques
Protéger son site web des cyber-attaques
 
Comment se protéger de locky et petya
Comment se protéger de locky et petyaComment se protéger de locky et petya
Comment se protéger de locky et petya
 
Manuel utilisateur Kiwi Backup V3
Manuel utilisateur Kiwi Backup V3Manuel utilisateur Kiwi Backup V3
Manuel utilisateur Kiwi Backup V3
 
Manuel d'administration Kiwi Backup V3
Manuel d'administration Kiwi Backup V3Manuel d'administration Kiwi Backup V3
Manuel d'administration Kiwi Backup V3
 
Sauvegarde et Archivage de données : conseils à suivre et pièges à éviter...
Sauvegarde et Archivage de données : conseils à suivre et pièges à éviter...Sauvegarde et Archivage de données : conseils à suivre et pièges à éviter...
Sauvegarde et Archivage de données : conseils à suivre et pièges à éviter...
 

RGPD : impacts et guide pratique pour les sous-traitants

  • 1. RGPD Impacts et guide pratique pour les sous-traitants
  • 2. Retrouvez un sondage en ligne : RGPD et sous-traitance 2 Durant ce webinar des questions vous seront posées. • Connectez vous à menti.com • Rentrez le code : 243773
  • 3. Sommaire • Qu’est-ce que le RGPD ? • Êtes-vous sous-traitant au sens du RGPD ? • Quelles sont les obligations du sous-traitant ? • Comment se préparer au RGPD ? • Zoom sur Kiwi Backup RGPD et sous-traitance 3
  • 4. Partie 1 Qu’est-ce que le RGPD ? RGPD et sous-traitance 4
  • 5. Petit rappel historique • 1995 : l’Europe adopte la Directive sur la protection des données • Directive = 28 lois différentes, 1 pour chaque pays membre • Lois inadaptées aujourd’hui • 2016 : Règlement européen RGPD • 25.05.2018 : mise en application RGPD RGPD et sous-traitance 5
  • 6. RGPD en bref Sanctions : 10 millions d’euros ou 2 % du CA annuel 20 millions d’euros ou 4 % du CA annuel Sont concernés : entreprises établies dans l’UE ou traitant des informations concernant des résidents européens Responsabilise l’ensemble des acteurs traitant ces données Renforce les droits des résidents européens sur leurs données RGPD : Règlement Général sur la Protection des Données
  • 7. Qu’est ce qu’une donnée personnelle ? 7 Droits afférents : • Consentement éclairé • Accès • Correction • Suppression et droit à l’oubli • Portabilité des données
  • 8. 4 piliers du RGPD • Transparence  confiance • Responsabilité • Nouveaux droits pour les consommateurs • Notification obligatoire des violations de données RGPD et sous-traitance 8
  • 9. Partie 2 Êtes-vous sous-traitant au sens du RGPD ? RGPD et sous-traitance 9
  • 10. Quelles responsabilités ? RGPD et sous-traitance 10 Jusqu’au 25 mai A partir du 25 mai Les obligations de la loi informatiques et libertés ne s’imposent qu’au responsable de traitement Le sous-traitant sera impliqué dans le traitement des données personnelles et sera soumis à des obligations spécifiques  Notion de co-responsabilité
  • 11. Qu’est ce qu’un sous-traitant ? RGPD et sous-traitance 11 • Prestataires de service • Intégrateurs • ESN (ex SSII) • Agences sécurité informatique • Agences marketing et com’ • Editeurs de logiciels • Fabricants de matériels
  • 12. Sous-traitant ou responsable de traitement ? RGPD et sous-traitance 12 Pourquoi ? Comment ? Responsable du traitement Détermination de la finalité et des moyens Traitements internes (ex : gestion du personnel)
  • 13. Et si la frontière est mince ? RGPD et sous-traitance 13 • Niveau d’autonomie du prestataire ? • Degré de surveillance de la prestation par le client • Niveau d’expertise du prestataire dans le domaine • Prestataire connu des utilisateurs finaux (transparence) Analyse d’un faisceau d’indices :
  • 14. Partie 3 Quelles sont les obligations du sous-traitant ? RGPD et sous-traitance 14
  • 15. Principe général Lorsque vous intervenez en tant que sous-traitant dans la mise en œuvre d’un traitement de données personnelles, vous devez offrir à votre client « des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée » (article 28 du règlement européen). Extrait du Règlement européen sur la protection des données personnelles - Guide du sous-traitant - Edition septembre 2017 - CNIL 15
  • 16. Obligation 1 : Transparence et traçabilité Contrat précisant les obligations de chaque partie Instructions écrites pour tout traitement sur les données Autorisation écrite pour faire appel à un sous-traitant Réalisation de documentation pour démontrer le respect de vos obligations et pour permettre la réalisation d’audits Mise en place d’un registre qui recense vos clients et décrit les traitements effectués
  • 17. Obligation 2 : Privacy by design Privacy by default Protection des données intégrée dès la conception Haut niveau de protection des données garanti par défaut (finalité, étendue, durée de conservation, accès aux données)
  • 18. Obligation 2 : exemples • de permettre à votre client de paramétrer par défaut et a minima la collecte de données et ne pas rendre techniquement obligatoire le renseignement d’un champ facultatif • de ne collecter que les données strictement nécessaires à la finalité du traitement (minimisation des données) • de purger automatiquement et sélectivement les données d’une base active à l’issue d’une certaine durée • de gérer des habilitations et droits d’accès informatiques « donnée par donnée » ou sur demande des personnes concernées (pour les réseaux sociaux par exemple)
  • 19. Obligation 3 : Garantir la sécurité des données traitées Obligation de confidentialité pour vos salariés Notification de toute violation de données Niveau de sécurité adapté aux risques Suppression des données en fin de traitement
  • 20. Obligation 4 : Assistance, alerte et conseil Aide apportée au client pour garantir le respect des obligations en matière de sécurité du traitement, de notification de violation de données et d’analyse d’impact relative à la protection des données Aide apportée au client lorsqu’une personne exerce ses droits (accès, rectification, effacement, portabilité, opposition, …) Information du client si ses instructions constituent une violation des règles en matière de protection des données
  • 21. Partie 4 Comment se préparer au RGPD ? RGPD et sous-traitance 21
  • 22. Devez-vous désigner un DPO ? La désignation est obligatoire dans trois cas précis : RGPD et sous-traitance 22 La désignation d’un DPO est recommandée car elle permet de disposer d’un expert chargé de la mise en œuvre concrète et du pilotage de la conformité au règlement européen. Autorité ou organisme public Données sensibles (pénales ou de santé) Traitements à grande échelle
  • 23. Missions du DPO : RGPD et sous-traitance 23 • Informer et conseiller le responsable de traitement • Contrôler le respect du RGPD • Coopérer avec la CNIL • Déterminer les finalités et les moyens de traitement des données à caractère personnel
  • 24. Analysez et révisez vos contrats Vos contrats définissent-ils : • L’objet et la durée des prestations ? • La finalité du traitement ? • Les types de données traitées ? • Les catégories de personnes concernées ? • Les droits et les obligations des parties ? RGPD et sous-traitance 24 Exemples de clauses
  • 25. Exemple de clauses RGPD et sous-traitance 25 I. Objet Les présentes clauses ont pour objet de définir les conditions dans lesquelles le sous-traitant s’engage à effectuer pour le compte du responsable de traitement les opérations de traitement de données à caractère personnel définies ci- après. Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le règlement européen sur la protection des données »). III. Durée du contrat Le présent contrat entre en vigueur à compter du […] pour une durée de […]. 13. Délégué à la protection des données Le sous-traitant communique au responsable de traitement le nom et les coordonnées de son délégué à la protection des données, s’il en a désigné un conformément à l’article 37 du règlement européen sur la protection des données
  • 26. Elaborez un registre des traitements • Lister les traitements effectués sur des données personnelles • Déterminer les catégories de données • Définir les objectifs des traitements (sauvegarde, envoi emailing, gestion du personnel,…) • Lister les acteurs, y compris les sous-traitants • Déterminer les flux de données RGPD et sous-traitance 26
  • 27. Mettez en place un plan d’action de mise en conformité Pour tous les traitements jugés à risque : • Quels risques potentiels ? (cf PIA) • Quel contexte pour le traitement ? Finalité ? Fonctionnement ? • Evaluation des risques (vraisemblance, gravité, impacts potentiels,…) • Mesures mises en place avec pilote et délai de réalisation • Analyse des risques résiduels • Mise en place d’un plan d’action complémentaire RGPD et sous-traitance 27 Télécharger l’outil PIA de la CNIL
  • 28. Méthode PIA (Privacy Impact Assessment) RGPD et sous-traitance 28 Source : CNIL
  • 29. Sous-traitant de 2e niveau ? 1. Autorisation écrite obligatoire • Spécifique • Générale 2. Obligations héritées par le nouveau sous-traitant 3. Responsabilité finale du 1er sous- traitant quoi qu’il arrive RGPD et sous-traitance 29
  • 30. En synthèse (1/2) • Nommez un DPO • Mettez en place vos registres des traitements (1 pour les traitements effectués pour vos clients, 1 pour vos propres traitements internes) • Mettez en place le plan d’action de mise en conformité notamment pour éviter toute violation de données • Documentez toutes les actions entreprises pour répondre au règlement RGPD et sous-traitance 30
  • 31. En synthèse (2/2) • Vérifiez vos contrats et faites- les évoluer avec l’aide d’un juriste • Mettez en place des procédures de communication avec vos donneurs d’ordres (instructions écrites) • Revalidez toutes vos bases de données marketing auprès des personnes concernées RGPD et sous-traitance 31
  • 33. Partie 5 Zoom sur Kiwi Backup RGPD et sous-traitance 33
  • 34. Conformité de Kiwi Backup vis-à-vis du RGPD • Refonte complète des conditions générales de vente • Obligation de confidentialité pour tous les salariés Kiwi Backup • Chiffrement des données lors du transfert et du stockage • Hébergement des données chez OVH France (données classiques et de santé) • Les restaurations de données de santé sont sécurisées par une double authentification • Historique long (90 jours) • Réception de notifications par mail (alertes/synthèses) • Logs par machine accessibles via l’interface d’administration • Pas de portabilité mais 3 mois de conservation permettent de reconstruire l’historique des sauvegardes chez un confrère sans risque de perte de données • Suppression complète des données 3 mois après la cessation de contrat RGPD et sous-traitance 34 https://www.cnil.fr/sites/default/files/atoms/files/cnil_guide_securite_personnelle.pdf
  • 35. Interface utilisateur RGPD et sous-traitance 35
  • 36. Interface utilisateur RGPD et sous-traitance 36
  • 37. Connexion à l’interface d’administration RGPD et sous-traitance 37 Accès à l’interface d’administration sécurisé par un ID/mot de passe personnalisé
  • 38. Tableau de bord RGPD et sous-traitance 38
  • 39. Contrats enregistrés dans un espace RGPD et sous-traitance 39
  • 40. Contact  03 89 333 888  stephanie@kiwi-backup.com  www.kiwi-backup.com https://www.facebook.com/kiwib ackup 4 0