SlideShare une entreprise Scribd logo
RGPD
Impacts et guide pratique pour les sous-traitants
Retrouvez un sondage en ligne :
RGPD et sous-traitance 2
Durant ce webinar des
questions vous seront
posées.
• Connectez vous à menti.com
• Rentrez le code : 243773
Sommaire
• Qu’est-ce que le RGPD ?
• Êtes-vous sous-traitant au sens du RGPD ?
• Quelles sont les obligations du sous-traitant ?
• Comment se préparer au RGPD ?
• Zoom sur Kiwi Backup
RGPD et sous-traitance 3
Partie 1
Qu’est-ce que le RGPD ?
RGPD et sous-traitance 4
Petit rappel
historique
• 1995 : l’Europe adopte la
Directive sur la protection des
données
• Directive = 28 lois différentes,
1 pour chaque pays membre
• Lois inadaptées aujourd’hui
• 2016 : Règlement européen
RGPD
• 25.05.2018 : mise en
application RGPD
RGPD et sous-traitance 5
RGPD en
bref
Sanctions :
10 millions d’euros ou 2 % du CA
annuel
20 millions d’euros ou 4 % du CA
annuel
Sont concernés : entreprises établies dans l’UE ou traitant
des informations concernant des résidents européens
Responsabilise l’ensemble des acteurs traitant ces données
Renforce les droits des résidents européens sur leurs
données
RGPD : Règlement Général sur la Protection des Données
Qu’est ce qu’une
donnée personnelle ?
7
Droits afférents :
• Consentement éclairé
• Accès
• Correction
• Suppression et droit à l’oubli
• Portabilité des données
4 piliers du
RGPD
• Transparence  confiance
• Responsabilité
• Nouveaux droits pour les
consommateurs
• Notification obligatoire des
violations de données
RGPD et sous-traitance 8
Partie 2
Êtes-vous sous-traitant au sens du RGPD ?
RGPD et sous-traitance 9
Quelles
responsabilités ?
RGPD et sous-traitance 10
Jusqu’au 25 mai A partir du 25 mai
Les obligations de la loi informatiques
et libertés ne s’imposent qu’au
responsable de traitement
Le sous-traitant sera impliqué dans le
traitement des données personnelles
et sera soumis à des obligations
spécifiques
 Notion de co-responsabilité
Qu’est ce qu’un sous-traitant ?
RGPD et sous-traitance 11
• Prestataires de
service
• Intégrateurs
• ESN (ex SSII)
• Agences sécurité
informatique
• Agences marketing
et com’
• Editeurs de logiciels
• Fabricants de
matériels
Sous-traitant ou responsable de
traitement ?
RGPD et sous-traitance 12
Pourquoi ?
Comment ?
Responsable du traitement
Détermination de la finalité et des moyens Traitements internes (ex : gestion du personnel)
Et si la frontière
est mince ?
RGPD et sous-traitance 13
• Niveau d’autonomie du
prestataire ?
• Degré de surveillance de la
prestation par le client
• Niveau d’expertise du
prestataire dans le domaine
• Prestataire connu des
utilisateurs finaux
(transparence)
Analyse d’un faisceau d’indices :
Partie 3
Quelles sont les obligations du sous-traitant ?
RGPD et sous-traitance 14
Principe général
Lorsque vous intervenez en tant que
sous-traitant dans la mise en œuvre
d’un traitement de données
personnelles, vous devez offrir à votre
client « des garanties suffisantes
quant à la mise en œuvre de mesures
techniques et organisationnelles
appropriées de manière à ce que le
traitement réponde aux exigences du
présent règlement et garantisse la
protection des droits de la personne
concernée » (article 28 du règlement
européen).
Extrait du Règlement européen sur la
protection des données personnelles -
Guide du sous-traitant - Edition
septembre 2017 - CNIL
15
Obligation 1 :
Transparence
et traçabilité
Contrat précisant
les obligations de
chaque partie
Instructions écrites
pour tout
traitement sur les
données
Autorisation écrite
pour faire appel à
un sous-traitant
Réalisation de
documentation pour
démontrer le respect de vos
obligations et pour
permettre la réalisation
d’audits
Mise en place d’un
registre qui recense
vos clients et décrit les
traitements effectués
Obligation 2 :
Privacy by
design
Privacy by
default
Protection des données intégrée dès la conception
Haut niveau de protection des données garanti
par défaut (finalité, étendue, durée de
conservation, accès aux données)
Obligation 2 :
exemples
• de permettre à votre client de paramétrer par défaut et
a minima la collecte de données et ne pas rendre
techniquement obligatoire le renseignement d’un
champ facultatif
• de ne collecter que les données strictement nécessaires
à la finalité du traitement (minimisation des données)
• de purger automatiquement et sélectivement les
données d’une base active à l’issue d’une certaine durée
• de gérer des habilitations et droits d’accès informatiques
« donnée par donnée » ou sur demande des personnes
concernées (pour les réseaux sociaux par exemple)
Obligation 3 :
Garantir la
sécurité des
données
traitées
Obligation de confidentialité
pour vos salariés
Notification de toute
violation de données
Niveau de sécurité adapté
aux risques
Suppression des données en
fin de traitement
Obligation
4 :
Assistance,
alerte et
conseil
Aide apportée au client pour garantir le respect des
obligations en matière de sécurité du traitement, de
notification de violation de données et d’analyse
d’impact relative à la protection des données
Aide apportée au client lorsqu’une personne exerce
ses droits (accès, rectification, effacement,
portabilité, opposition, …)
Information du client si ses instructions constituent
une violation des règles en matière de protection
des données
Partie 4
Comment se préparer au RGPD ?
RGPD et sous-traitance 21
Devez-vous désigner un DPO ?
La désignation est obligatoire dans trois cas précis :
RGPD et sous-traitance 22
La désignation d’un DPO est recommandée car elle permet de disposer d’un
expert chargé de la mise en œuvre concrète et du pilotage de la conformité au
règlement européen.
Autorité ou
organisme public
Données sensibles
(pénales ou de santé)
Traitements à
grande échelle
Missions du DPO :
RGPD et sous-traitance 23
• Informer et
conseiller le
responsable de
traitement
• Contrôler le
respect du RGPD
• Coopérer avec la
CNIL
• Déterminer les
finalités et les
moyens de
traitement des
données à
caractère personnel
Analysez et révisez vos contrats
Vos contrats définissent-ils :
• L’objet et la durée des prestations ?
• La finalité du traitement ?
• Les types de données traitées ?
• Les catégories de personnes concernées ?
• Les droits et les obligations des parties ?
RGPD et sous-traitance 24
Exemples de clauses
Exemple de clauses
RGPD et sous-traitance 25
I. Objet
Les présentes clauses ont pour objet de définir les conditions dans lesquelles le sous-traitant s’engage à effectuer pour
le compte du responsable de traitement les opérations de traitement de données à caractère personnel définies ci-
après.
Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur
applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement
européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le règlement européen sur la
protection des données »).
III. Durée du contrat
Le présent contrat entre en vigueur à compter du […] pour une durée de […].
13. Délégué à la protection des données
Le sous-traitant communique au responsable de traitement le nom et les coordonnées de son délégué à la protection
des données, s’il en a désigné un conformément à l’article 37 du règlement européen sur la protection des données
Elaborez un registre des
traitements
• Lister les traitements effectués sur des données personnelles
• Déterminer les catégories de données
• Définir les objectifs des traitements (sauvegarde, envoi emailing, gestion du
personnel,…)
• Lister les acteurs, y compris les sous-traitants
• Déterminer les flux de données
RGPD et sous-traitance 26
Mettez en place un plan d’action
de mise en conformité
Pour tous les traitements jugés à risque :
• Quels risques potentiels ? (cf PIA)
• Quel contexte pour le traitement ? Finalité ?
Fonctionnement ?
• Evaluation des risques (vraisemblance, gravité, impacts
potentiels,…)
• Mesures mises en place avec pilote et délai de réalisation
• Analyse des risques résiduels
• Mise en place d’un plan d’action complémentaire
RGPD et sous-traitance 27
Télécharger l’outil PIA de la CNIL
Méthode PIA (Privacy Impact Assessment)
RGPD et sous-traitance 28
Source : CNIL
Sous-traitant de
2e niveau ?
1. Autorisation écrite obligatoire
• Spécifique
• Générale
2. Obligations héritées par le nouveau
sous-traitant
3. Responsabilité finale du 1er sous-
traitant quoi qu’il arrive
RGPD et sous-traitance 29
En synthèse (1/2)
• Nommez un DPO
• Mettez en place vos registres
des traitements (1 pour les
traitements effectués pour
vos clients, 1 pour vos propres
traitements internes)
• Mettez en place le plan
d’action de mise en
conformité notamment pour
éviter toute violation de
données
• Documentez toutes les
actions entreprises pour
répondre au règlement
RGPD et sous-traitance 30
En synthèse (2/2)
• Vérifiez vos contrats et faites-
les évoluer avec l’aide d’un
juriste
• Mettez en place des
procédures de
communication avec vos
donneurs d’ordres
(instructions écrites)
• Revalidez toutes vos bases de
données marketing auprès
des personnes concernées
RGPD et sous-traitance 31
Sources
• https://www.cnil.fr/fr/reglement-europeen-sur-la-
protection-des-donnees-un-guide-pour-
accompagner-les-sous-traitants
• https://www.cnil.fr/fr/reglement-europeen-
protection-donnees/chapitre4#Article28
• https://www.cnil.fr/sites/default/files/atoms/files/
171002_fiche_risque_fr_cmjk.pdf
RGPD et sous-traitance 32
Partie 5
Zoom sur Kiwi Backup
RGPD et sous-traitance 33
Conformité de Kiwi Backup vis-à-vis du RGPD
• Refonte complète des conditions générales de vente
• Obligation de confidentialité pour tous les salariés Kiwi Backup
• Chiffrement des données lors du transfert et du stockage
• Hébergement des données chez OVH France (données classiques
et de santé)
• Les restaurations de données de santé sont sécurisées par une
double authentification
• Historique long (90 jours)
• Réception de notifications par mail (alertes/synthèses)
• Logs par machine accessibles via l’interface d’administration
• Pas de portabilité mais 3 mois de conservation permettent de
reconstruire l’historique des sauvegardes chez un confrère sans
risque de perte de données
• Suppression complète des données 3 mois après la cessation de
contrat
RGPD et sous-traitance 34
https://www.cnil.fr/sites/default/files/atoms/files/cnil_guide_securite_personnelle.pdf
Interface utilisateur
RGPD et sous-traitance 35
Interface utilisateur
RGPD et sous-traitance 36
Connexion à l’interface d’administration
RGPD et sous-traitance 37
Accès à l’interface
d’administration sécurisé par un
ID/mot de passe personnalisé
Tableau de bord
RGPD et sous-traitance 38
Contrats enregistrés dans un espace
RGPD et sous-traitance 39
Contact
 03 89 333 888
 stephanie@kiwi-backup.com
 www.kiwi-backup.com
https://www.facebook.com/kiwib
ackup
4
0

Contenu connexe

Tendances

Droit du travail
Droit du travailDroit du travail
Droit du travailzigfried92
 
Formation temps de travail Algerie
Formation temps de travail AlgerieFormation temps de travail Algerie
Formation temps de travail AlgerieAbdelhak ZAIM
 
Varhaiskasvatuksen julkaisuluvat ja tietosuoja somessa
Varhaiskasvatuksen julkaisuluvat ja tietosuoja somessaVarhaiskasvatuksen julkaisuluvat ja tietosuoja somessa
Varhaiskasvatuksen julkaisuluvat ja tietosuoja somessaHarto Pönkä
 
Rencontres débats fdsa 04022017-contentieux social
Rencontres débats fdsa 04022017-contentieux socialRencontres débats fdsa 04022017-contentieux social
Rencontres débats fdsa 04022017-contentieux socialAbdelhak ZAIM
 
les aspects juridiques et pratiques du congé annuel-.pdf
les aspects juridiques et pratiques du congé annuel-.pdfles aspects juridiques et pratiques du congé annuel-.pdf
les aspects juridiques et pratiques du congé annuel-.pdfssuser96a7321
 
Exercice surete
  Exercice surete  Exercice surete
Exercice sureteRabah HELAL
 
Tietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussaTietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussaHarto Pönkä
 
COMMENT TROUVER UN STAGE?
COMMENT TROUVER UN STAGE?COMMENT TROUVER UN STAGE?
COMMENT TROUVER UN STAGE?Laura Bitton
 
Verkko- ja somepalvelujen datan keruu ja algoritmien toiminta
Verkko- ja somepalvelujen datan keruu ja algoritmien toimintaVerkko- ja somepalvelujen datan keruu ja algoritmien toiminta
Verkko- ja somepalvelujen datan keruu ja algoritmien toimintaHarto Pönkä
 
Trop chaud pour travailler
Trop chaud pour travaillerTrop chaud pour travailler
Trop chaud pour travaillerBernard Legros
 
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinotInformaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinotHarto Pönkä
 
earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection d...
earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection d...earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection d...
earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection d...Lexing - Belgium
 
Recrutement 2.0; nouvelles méthodes et nouveaux métiers
Recrutement 2.0; nouvelles méthodes et nouveaux métiersRecrutement 2.0; nouvelles méthodes et nouveaux métiers
Recrutement 2.0; nouvelles méthodes et nouveaux métiersBaptiste Defrent
 
RGPD / GDPR : Principes, Démarche, Outils
RGPD / GDPR : Principes, Démarche, OutilsRGPD / GDPR : Principes, Démarche, Outils
RGPD / GDPR : Principes, Démarche, OutilsaYaline
 
EPI et (anti)CHUTE // EN 795 - code du Bien-Être
EPI et (anti)CHUTE // EN 795 - code du Bien-ÊtreEPI et (anti)CHUTE // EN 795 - code du Bien-Être
EPI et (anti)CHUTE // EN 795 - code du Bien-ÊtreBernard Legros
 
Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimuksetKäsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimuksetHarto Pönkä
 
DSGVO – Veränderungen und Folgen für den Hochschulbereich (Slides Prof. Dr. T...
DSGVO – Veränderungen und Folgen für den Hochschulbereich (Slides Prof. Dr. T...DSGVO – Veränderungen und Folgen für den Hochschulbereich (Slides Prof. Dr. T...
DSGVO – Veränderungen und Folgen für den Hochschulbereich (Slides Prof. Dr. T...e-teaching.org
 
Mémoire de fin d'études de Bérengère Simon et Nathalie Schäfer, décembre 2011
Mémoire de fin d'études de Bérengère Simon et Nathalie Schäfer, décembre 2011Mémoire de fin d'études de Bérengère Simon et Nathalie Schäfer, décembre 2011
Mémoire de fin d'études de Bérengère Simon et Nathalie Schäfer, décembre 2011Nunalik - Catherine Ertzscheid
 

Tendances (20)

Droit du travail
Droit du travailDroit du travail
Droit du travail
 
Formation temps de travail Algerie
Formation temps de travail AlgerieFormation temps de travail Algerie
Formation temps de travail Algerie
 
Varhaiskasvatuksen julkaisuluvat ja tietosuoja somessa
Varhaiskasvatuksen julkaisuluvat ja tietosuoja somessaVarhaiskasvatuksen julkaisuluvat ja tietosuoja somessa
Varhaiskasvatuksen julkaisuluvat ja tietosuoja somessa
 
Rencontres débats fdsa 04022017-contentieux social
Rencontres débats fdsa 04022017-contentieux socialRencontres débats fdsa 04022017-contentieux social
Rencontres débats fdsa 04022017-contentieux social
 
Droit du travail
Droit du travailDroit du travail
Droit du travail
 
les aspects juridiques et pratiques du congé annuel-.pdf
les aspects juridiques et pratiques du congé annuel-.pdfles aspects juridiques et pratiques du congé annuel-.pdf
les aspects juridiques et pratiques du congé annuel-.pdf
 
Exercice surete
  Exercice surete  Exercice surete
Exercice surete
 
Tietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussaTietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussa
 
COMMENT TROUVER UN STAGE?
COMMENT TROUVER UN STAGE?COMMENT TROUVER UN STAGE?
COMMENT TROUVER UN STAGE?
 
Verkko- ja somepalvelujen datan keruu ja algoritmien toiminta
Verkko- ja somepalvelujen datan keruu ja algoritmien toimintaVerkko- ja somepalvelujen datan keruu ja algoritmien toiminta
Verkko- ja somepalvelujen datan keruu ja algoritmien toiminta
 
Trop chaud pour travailler
Trop chaud pour travaillerTrop chaud pour travailler
Trop chaud pour travailler
 
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinotInformaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
 
earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection d...
earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection d...earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection d...
earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection d...
 
Discrimination au travail
Discrimination au travailDiscrimination au travail
Discrimination au travail
 
Recrutement 2.0; nouvelles méthodes et nouveaux métiers
Recrutement 2.0; nouvelles méthodes et nouveaux métiersRecrutement 2.0; nouvelles méthodes et nouveaux métiers
Recrutement 2.0; nouvelles méthodes et nouveaux métiers
 
RGPD / GDPR : Principes, Démarche, Outils
RGPD / GDPR : Principes, Démarche, OutilsRGPD / GDPR : Principes, Démarche, Outils
RGPD / GDPR : Principes, Démarche, Outils
 
EPI et (anti)CHUTE // EN 795 - code du Bien-Être
EPI et (anti)CHUTE // EN 795 - code du Bien-ÊtreEPI et (anti)CHUTE // EN 795 - code du Bien-Être
EPI et (anti)CHUTE // EN 795 - code du Bien-Être
 
Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimuksetKäsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset
 
DSGVO – Veränderungen und Folgen für den Hochschulbereich (Slides Prof. Dr. T...
DSGVO – Veränderungen und Folgen für den Hochschulbereich (Slides Prof. Dr. T...DSGVO – Veränderungen und Folgen für den Hochschulbereich (Slides Prof. Dr. T...
DSGVO – Veränderungen und Folgen für den Hochschulbereich (Slides Prof. Dr. T...
 
Mémoire de fin d'études de Bérengère Simon et Nathalie Schäfer, décembre 2011
Mémoire de fin d'études de Bérengère Simon et Nathalie Schäfer, décembre 2011Mémoire de fin d'études de Bérengère Simon et Nathalie Schäfer, décembre 2011
Mémoire de fin d'études de Bérengère Simon et Nathalie Schäfer, décembre 2011
 

Similaire à RGPD : impacts et guide pratique pour les sous-traitants

Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...Claranet
 
Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Philippe Mignen
 
Adetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketingAdetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketingLuc-Marie AUGAGNEUR
 
presentation_rgpd_062018.pptx
presentation_rgpd_062018.pptxpresentation_rgpd_062018.pptx
presentation_rgpd_062018.pptxSidiAbdallah1
 
Les points clés du GDPR
Les points clés du GDPRLes points clés du GDPR
Les points clés du GDPRMartin Dupuy
 
Les points clés du GDPR ppt
Les points clés du GDPR ppt Les points clés du GDPR ppt
Les points clés du GDPR ppt Jeanny LUCAS
 
Les points clés du gdpr ppt
Les points clés du gdpr ppt Les points clés du gdpr ppt
Les points clés du gdpr ppt Jeanny LUCAS
 
Contrat de sous-traitance - GDPR
Contrat de sous-traitance - GDPRContrat de sous-traitance - GDPR
Contrat de sous-traitance - GDPRTechnofutur TIC
 
Règlement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UERèglement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UEPECB
 
27/04/17 Séminaire Données Personnelles
27/04/17 Séminaire Données Personnelles27/04/17 Séminaire Données Personnelles
27/04/17 Séminaire Données PersonnellesSoft Computing
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekPascal ALIX
 
20171221-5 jni-rgpd
20171221-5 jni-rgpd20171221-5 jni-rgpd
20171221-5 jni-rgpdASIP Santé
 
Le RGPD, véritable opportunité vers la gouvernance de l’information
Le RGPD, véritable opportunité vers la gouvernance de l’informationLe RGPD, véritable opportunité vers la gouvernance de l’information
Le RGPD, véritable opportunité vers la gouvernance de l’informationPECB
 
Gestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsGestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsClaranet
 
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...Medialibs
 
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?Boris Clément
 
AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18
AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18
AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18Cap'Com
 

Similaire à RGPD : impacts et guide pratique pour les sous-traitants (20)

Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...
 
Comment atteindre la conformité au RGPD
Comment atteindre la conformité au RGPDComment atteindre la conformité au RGPD
Comment atteindre la conformité au RGPD
 
Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !
 
Adetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketingAdetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketing
 
presentation_rgpd_062018.pptx
presentation_rgpd_062018.pptxpresentation_rgpd_062018.pptx
presentation_rgpd_062018.pptx
 
Les points clés du GDPR
Les points clés du GDPRLes points clés du GDPR
Les points clés du GDPR
 
Gdpr presentation
Gdpr   presentationGdpr   presentation
Gdpr presentation
 
Les points clés du GDPR ppt
Les points clés du GDPR ppt Les points clés du GDPR ppt
Les points clés du GDPR ppt
 
Les points clés du gdpr ppt
Les points clés du gdpr ppt Les points clés du gdpr ppt
Les points clés du gdpr ppt
 
Atelier RGPD ANDRH 27.03.18
Atelier RGPD ANDRH 27.03.18Atelier RGPD ANDRH 27.03.18
Atelier RGPD ANDRH 27.03.18
 
Contrat de sous-traitance - GDPR
Contrat de sous-traitance - GDPRContrat de sous-traitance - GDPR
Contrat de sous-traitance - GDPR
 
Règlement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UERèglement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UE
 
27/04/17 Séminaire Données Personnelles
27/04/17 Séminaire Données Personnelles27/04/17 Séminaire Données Personnelles
27/04/17 Séminaire Données Personnelles
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis Nystek
 
20171221-5 jni-rgpd
20171221-5 jni-rgpd20171221-5 jni-rgpd
20171221-5 jni-rgpd
 
Le RGPD, véritable opportunité vers la gouvernance de l’information
Le RGPD, véritable opportunité vers la gouvernance de l’informationLe RGPD, véritable opportunité vers la gouvernance de l’information
Le RGPD, véritable opportunité vers la gouvernance de l’information
 
Gestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsGestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligations
 
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
 
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
 
AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18
AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18
AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18
 

Plus de Kiwi Backup

QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...
QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...
QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...Kiwi Backup
 
Webinar : comment lutter contre les ransomwares
Webinar : comment lutter contre les ransomwaresWebinar : comment lutter contre les ransomwares
Webinar : comment lutter contre les ransomwaresKiwi Backup
 
Présentation docker et kubernetes
Présentation docker et kubernetesPrésentation docker et kubernetes
Présentation docker et kubernetesKiwi Backup
 
Support reglement donnees de sante
Support reglement donnees de santeSupport reglement donnees de sante
Support reglement donnees de santeKiwi Backup
 
Infographie : RGPD et sous-traitance
Infographie : RGPD et sous-traitance Infographie : RGPD et sous-traitance
Infographie : RGPD et sous-traitance Kiwi Backup
 
Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Kiwi Backup
 
Spectre et Meltdown : quels impacts pour vous et vos clients ?
Spectre et Meltdown : quels impacts pour vous et vos clients ?Spectre et Meltdown : quels impacts pour vous et vos clients ?
Spectre et Meltdown : quels impacts pour vous et vos clients ?Kiwi Backup
 
Présentation Kiwi Santé - sauvegarde données de santé
Présentation Kiwi Santé - sauvegarde données de santéPrésentation Kiwi Santé - sauvegarde données de santé
Présentation Kiwi Santé - sauvegarde données de santéKiwi Backup
 
Sauvegarde de données de santé
Sauvegarde de données de santéSauvegarde de données de santé
Sauvegarde de données de santéKiwi Backup
 
Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?Kiwi Backup
 
Bonnes pratiques pour sécuriser un serveur Linux
Bonnes pratiques pour sécuriser un serveur LinuxBonnes pratiques pour sécuriser un serveur Linux
Bonnes pratiques pour sécuriser un serveur LinuxKiwi Backup
 
Protéger son site web des cyber-attaques
Protéger son site web des cyber-attaquesProtéger son site web des cyber-attaques
Protéger son site web des cyber-attaquesKiwi Backup
 
Comment se protéger de locky et petya
Comment se protéger de locky et petyaComment se protéger de locky et petya
Comment se protéger de locky et petyaKiwi Backup
 
Manuel utilisateur Kiwi Backup V3
Manuel utilisateur Kiwi Backup V3Manuel utilisateur Kiwi Backup V3
Manuel utilisateur Kiwi Backup V3Kiwi Backup
 
Manuel d'administration Kiwi Backup V3
Manuel d'administration Kiwi Backup V3Manuel d'administration Kiwi Backup V3
Manuel d'administration Kiwi Backup V3Kiwi Backup
 
Sauvegarde et Archivage de données : conseils à suivre et pièges à éviter...
Sauvegarde et Archivage de données : conseils à suivre et pièges à éviter...Sauvegarde et Archivage de données : conseils à suivre et pièges à éviter...
Sauvegarde et Archivage de données : conseils à suivre et pièges à éviter...Kiwi Backup
 

Plus de Kiwi Backup (16)

QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...
QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...
QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...
 
Webinar : comment lutter contre les ransomwares
Webinar : comment lutter contre les ransomwaresWebinar : comment lutter contre les ransomwares
Webinar : comment lutter contre les ransomwares
 
Présentation docker et kubernetes
Présentation docker et kubernetesPrésentation docker et kubernetes
Présentation docker et kubernetes
 
Support reglement donnees de sante
Support reglement donnees de santeSupport reglement donnees de sante
Support reglement donnees de sante
 
Infographie : RGPD et sous-traitance
Infographie : RGPD et sous-traitance Infographie : RGPD et sous-traitance
Infographie : RGPD et sous-traitance
 
Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?
 
Spectre et Meltdown : quels impacts pour vous et vos clients ?
Spectre et Meltdown : quels impacts pour vous et vos clients ?Spectre et Meltdown : quels impacts pour vous et vos clients ?
Spectre et Meltdown : quels impacts pour vous et vos clients ?
 
Présentation Kiwi Santé - sauvegarde données de santé
Présentation Kiwi Santé - sauvegarde données de santéPrésentation Kiwi Santé - sauvegarde données de santé
Présentation Kiwi Santé - sauvegarde données de santé
 
Sauvegarde de données de santé
Sauvegarde de données de santéSauvegarde de données de santé
Sauvegarde de données de santé
 
Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?
 
Bonnes pratiques pour sécuriser un serveur Linux
Bonnes pratiques pour sécuriser un serveur LinuxBonnes pratiques pour sécuriser un serveur Linux
Bonnes pratiques pour sécuriser un serveur Linux
 
Protéger son site web des cyber-attaques
Protéger son site web des cyber-attaquesProtéger son site web des cyber-attaques
Protéger son site web des cyber-attaques
 
Comment se protéger de locky et petya
Comment se protéger de locky et petyaComment se protéger de locky et petya
Comment se protéger de locky et petya
 
Manuel utilisateur Kiwi Backup V3
Manuel utilisateur Kiwi Backup V3Manuel utilisateur Kiwi Backup V3
Manuel utilisateur Kiwi Backup V3
 
Manuel d'administration Kiwi Backup V3
Manuel d'administration Kiwi Backup V3Manuel d'administration Kiwi Backup V3
Manuel d'administration Kiwi Backup V3
 
Sauvegarde et Archivage de données : conseils à suivre et pièges à éviter...
Sauvegarde et Archivage de données : conseils à suivre et pièges à éviter...Sauvegarde et Archivage de données : conseils à suivre et pièges à éviter...
Sauvegarde et Archivage de données : conseils à suivre et pièges à éviter...
 

RGPD : impacts et guide pratique pour les sous-traitants

  • 1. RGPD Impacts et guide pratique pour les sous-traitants
  • 2. Retrouvez un sondage en ligne : RGPD et sous-traitance 2 Durant ce webinar des questions vous seront posées. • Connectez vous à menti.com • Rentrez le code : 243773
  • 3. Sommaire • Qu’est-ce que le RGPD ? • Êtes-vous sous-traitant au sens du RGPD ? • Quelles sont les obligations du sous-traitant ? • Comment se préparer au RGPD ? • Zoom sur Kiwi Backup RGPD et sous-traitance 3
  • 4. Partie 1 Qu’est-ce que le RGPD ? RGPD et sous-traitance 4
  • 5. Petit rappel historique • 1995 : l’Europe adopte la Directive sur la protection des données • Directive = 28 lois différentes, 1 pour chaque pays membre • Lois inadaptées aujourd’hui • 2016 : Règlement européen RGPD • 25.05.2018 : mise en application RGPD RGPD et sous-traitance 5
  • 6. RGPD en bref Sanctions : 10 millions d’euros ou 2 % du CA annuel 20 millions d’euros ou 4 % du CA annuel Sont concernés : entreprises établies dans l’UE ou traitant des informations concernant des résidents européens Responsabilise l’ensemble des acteurs traitant ces données Renforce les droits des résidents européens sur leurs données RGPD : Règlement Général sur la Protection des Données
  • 7. Qu’est ce qu’une donnée personnelle ? 7 Droits afférents : • Consentement éclairé • Accès • Correction • Suppression et droit à l’oubli • Portabilité des données
  • 8. 4 piliers du RGPD • Transparence  confiance • Responsabilité • Nouveaux droits pour les consommateurs • Notification obligatoire des violations de données RGPD et sous-traitance 8
  • 9. Partie 2 Êtes-vous sous-traitant au sens du RGPD ? RGPD et sous-traitance 9
  • 10. Quelles responsabilités ? RGPD et sous-traitance 10 Jusqu’au 25 mai A partir du 25 mai Les obligations de la loi informatiques et libertés ne s’imposent qu’au responsable de traitement Le sous-traitant sera impliqué dans le traitement des données personnelles et sera soumis à des obligations spécifiques  Notion de co-responsabilité
  • 11. Qu’est ce qu’un sous-traitant ? RGPD et sous-traitance 11 • Prestataires de service • Intégrateurs • ESN (ex SSII) • Agences sécurité informatique • Agences marketing et com’ • Editeurs de logiciels • Fabricants de matériels
  • 12. Sous-traitant ou responsable de traitement ? RGPD et sous-traitance 12 Pourquoi ? Comment ? Responsable du traitement Détermination de la finalité et des moyens Traitements internes (ex : gestion du personnel)
  • 13. Et si la frontière est mince ? RGPD et sous-traitance 13 • Niveau d’autonomie du prestataire ? • Degré de surveillance de la prestation par le client • Niveau d’expertise du prestataire dans le domaine • Prestataire connu des utilisateurs finaux (transparence) Analyse d’un faisceau d’indices :
  • 14. Partie 3 Quelles sont les obligations du sous-traitant ? RGPD et sous-traitance 14
  • 15. Principe général Lorsque vous intervenez en tant que sous-traitant dans la mise en œuvre d’un traitement de données personnelles, vous devez offrir à votre client « des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée » (article 28 du règlement européen). Extrait du Règlement européen sur la protection des données personnelles - Guide du sous-traitant - Edition septembre 2017 - CNIL 15
  • 16. Obligation 1 : Transparence et traçabilité Contrat précisant les obligations de chaque partie Instructions écrites pour tout traitement sur les données Autorisation écrite pour faire appel à un sous-traitant Réalisation de documentation pour démontrer le respect de vos obligations et pour permettre la réalisation d’audits Mise en place d’un registre qui recense vos clients et décrit les traitements effectués
  • 17. Obligation 2 : Privacy by design Privacy by default Protection des données intégrée dès la conception Haut niveau de protection des données garanti par défaut (finalité, étendue, durée de conservation, accès aux données)
  • 18. Obligation 2 : exemples • de permettre à votre client de paramétrer par défaut et a minima la collecte de données et ne pas rendre techniquement obligatoire le renseignement d’un champ facultatif • de ne collecter que les données strictement nécessaires à la finalité du traitement (minimisation des données) • de purger automatiquement et sélectivement les données d’une base active à l’issue d’une certaine durée • de gérer des habilitations et droits d’accès informatiques « donnée par donnée » ou sur demande des personnes concernées (pour les réseaux sociaux par exemple)
  • 19. Obligation 3 : Garantir la sécurité des données traitées Obligation de confidentialité pour vos salariés Notification de toute violation de données Niveau de sécurité adapté aux risques Suppression des données en fin de traitement
  • 20. Obligation 4 : Assistance, alerte et conseil Aide apportée au client pour garantir le respect des obligations en matière de sécurité du traitement, de notification de violation de données et d’analyse d’impact relative à la protection des données Aide apportée au client lorsqu’une personne exerce ses droits (accès, rectification, effacement, portabilité, opposition, …) Information du client si ses instructions constituent une violation des règles en matière de protection des données
  • 21. Partie 4 Comment se préparer au RGPD ? RGPD et sous-traitance 21
  • 22. Devez-vous désigner un DPO ? La désignation est obligatoire dans trois cas précis : RGPD et sous-traitance 22 La désignation d’un DPO est recommandée car elle permet de disposer d’un expert chargé de la mise en œuvre concrète et du pilotage de la conformité au règlement européen. Autorité ou organisme public Données sensibles (pénales ou de santé) Traitements à grande échelle
  • 23. Missions du DPO : RGPD et sous-traitance 23 • Informer et conseiller le responsable de traitement • Contrôler le respect du RGPD • Coopérer avec la CNIL • Déterminer les finalités et les moyens de traitement des données à caractère personnel
  • 24. Analysez et révisez vos contrats Vos contrats définissent-ils : • L’objet et la durée des prestations ? • La finalité du traitement ? • Les types de données traitées ? • Les catégories de personnes concernées ? • Les droits et les obligations des parties ? RGPD et sous-traitance 24 Exemples de clauses
  • 25. Exemple de clauses RGPD et sous-traitance 25 I. Objet Les présentes clauses ont pour objet de définir les conditions dans lesquelles le sous-traitant s’engage à effectuer pour le compte du responsable de traitement les opérations de traitement de données à caractère personnel définies ci- après. Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le règlement européen sur la protection des données »). III. Durée du contrat Le présent contrat entre en vigueur à compter du […] pour une durée de […]. 13. Délégué à la protection des données Le sous-traitant communique au responsable de traitement le nom et les coordonnées de son délégué à la protection des données, s’il en a désigné un conformément à l’article 37 du règlement européen sur la protection des données
  • 26. Elaborez un registre des traitements • Lister les traitements effectués sur des données personnelles • Déterminer les catégories de données • Définir les objectifs des traitements (sauvegarde, envoi emailing, gestion du personnel,…) • Lister les acteurs, y compris les sous-traitants • Déterminer les flux de données RGPD et sous-traitance 26
  • 27. Mettez en place un plan d’action de mise en conformité Pour tous les traitements jugés à risque : • Quels risques potentiels ? (cf PIA) • Quel contexte pour le traitement ? Finalité ? Fonctionnement ? • Evaluation des risques (vraisemblance, gravité, impacts potentiels,…) • Mesures mises en place avec pilote et délai de réalisation • Analyse des risques résiduels • Mise en place d’un plan d’action complémentaire RGPD et sous-traitance 27 Télécharger l’outil PIA de la CNIL
  • 28. Méthode PIA (Privacy Impact Assessment) RGPD et sous-traitance 28 Source : CNIL
  • 29. Sous-traitant de 2e niveau ? 1. Autorisation écrite obligatoire • Spécifique • Générale 2. Obligations héritées par le nouveau sous-traitant 3. Responsabilité finale du 1er sous- traitant quoi qu’il arrive RGPD et sous-traitance 29
  • 30. En synthèse (1/2) • Nommez un DPO • Mettez en place vos registres des traitements (1 pour les traitements effectués pour vos clients, 1 pour vos propres traitements internes) • Mettez en place le plan d’action de mise en conformité notamment pour éviter toute violation de données • Documentez toutes les actions entreprises pour répondre au règlement RGPD et sous-traitance 30
  • 31. En synthèse (2/2) • Vérifiez vos contrats et faites- les évoluer avec l’aide d’un juriste • Mettez en place des procédures de communication avec vos donneurs d’ordres (instructions écrites) • Revalidez toutes vos bases de données marketing auprès des personnes concernées RGPD et sous-traitance 31
  • 33. Partie 5 Zoom sur Kiwi Backup RGPD et sous-traitance 33
  • 34. Conformité de Kiwi Backup vis-à-vis du RGPD • Refonte complète des conditions générales de vente • Obligation de confidentialité pour tous les salariés Kiwi Backup • Chiffrement des données lors du transfert et du stockage • Hébergement des données chez OVH France (données classiques et de santé) • Les restaurations de données de santé sont sécurisées par une double authentification • Historique long (90 jours) • Réception de notifications par mail (alertes/synthèses) • Logs par machine accessibles via l’interface d’administration • Pas de portabilité mais 3 mois de conservation permettent de reconstruire l’historique des sauvegardes chez un confrère sans risque de perte de données • Suppression complète des données 3 mois après la cessation de contrat RGPD et sous-traitance 34 https://www.cnil.fr/sites/default/files/atoms/files/cnil_guide_securite_personnelle.pdf
  • 35. Interface utilisateur RGPD et sous-traitance 35
  • 36. Interface utilisateur RGPD et sous-traitance 36
  • 37. Connexion à l’interface d’administration RGPD et sous-traitance 37 Accès à l’interface d’administration sécurisé par un ID/mot de passe personnalisé
  • 38. Tableau de bord RGPD et sous-traitance 38
  • 39. Contrats enregistrés dans un espace RGPD et sous-traitance 39
  • 40. Contact  03 89 333 888  stephanie@kiwi-backup.com  www.kiwi-backup.com https://www.facebook.com/kiwib ackup 4 0