Le document traite de la conformité des entreprises françaises au RGPD, mettant l'accent sur l'importance de structurer et de protéger les données personnelles. Il souligne la nécessité d'un projet dédié pour évaluer et prioriser les actions à mener, ainsi que les outils disponibles pour faciliter la mise en œuvre de la réglementation. Enfin, il propose une approche pragmatique pour l'engagement et le suivi des mesures de conformité.

1. Prendre les mesures
nécessaires pour être en
conformité avec le RGPD

2. Page 2 – © Keley - Confidentiel –
GDPR
ou RGPD
Règlement Général sur la Protection des
Données,
en vigueur à partir du 25 mai 2018

3. Page 3 – © Keley - Confidentiel –

4. Page 4 – © Keley - Confidentiel –

5. Page 5 – © Keley - Confidentiel –
M. C

6. Page 6 – © Keley - Confidentiel –
Communication
/ Promotion
@
SMS
Courier
Call
Traitement des Données Utilisation des Données
Qualité
Enrichissement
Predictif
Ciblage
Structure
Outils et
applications
Collecte
des
données
Actions
personnalisées
Optimisation
CRM
CDP
DMP
ERP
Publicité
/ Contenu
Web
Display
SEM

7. Page 7 – © Keley - Confidentiel –
« Une formidable opportunité
de consacrer enfin des
ressources pour organiser et
structurer nos données »
« Cela va également
bouleverser les modèles
économiques et les
stratégies marketing »
« Projet au long cours, à déployer
et maintenir dans le temps. »
« Un manque de sensibilisation
au niveau du management
opérationnel. »
« De nouvelles mesures et
actions à entreprendre »
« Beaucoup de
difficultés à l'avenir »
« Nécessite une équipe projet
dédiée et la disponibilité des
interlocuteurs »
Keley-Data réalise une étude pour évaluer l'état d'engagement des entreprises
françaises sur la mise en conformité RGPD.
Vous pouvez y participer : http://bit.ly/rgpd2017

8. Page 8 – © Keley - Confidentiel –
… et maintenant ?
On passe à l’action avec pragmatisme et efficacité :
> Vision à 360° des données :
> Cartographie des Données à Caractère Personnel
> Reprise des bénéfices attendus
> Découpage en contextes d’étude d’impact sur la vie privée ou PIA
> Evaluation des risques et des mesures par contexte
> Définition du Minimum Défendable
> Evaluation de l’ Enjeu et de l’ Accessibilité
=> Priorisation des actions
> Mise en place d’outils pour accélérer et pérenniser le plan
… dans un objectif d’amélioration continue

9. Page 9 – © Keley - Confidentiel –

10. Page 10 – © Keley - Confidentiel –
10
Vision
Métier
Vision
Usage
Vision SI
Vision
Qualité
Les différents axes pour une vision 360°
Définition des données
existantes pour chaque métier :
que signifie un client pour le
marketing, pour les achats ?
Recueil des usages faits des
données, fréquence et
apports respectifs ?
Description des parcours des
données dans les différents
environnements SI
Listing des règles établies
impactant les données et
de leur respect
360 °

11. Page 11 – © Keley - Confidentiel –
… sans perdre de vue les bénéfices attendus
> La mise en conformité au RGPD constitue une formidable opportunité pour les
entreprises sur différents axes pour :
Image
Instaurer ou restaurer la confiance des tiers de l’entreprise dans
la gestion des données personnelles
Juridique Préparer la « responsabilité́ numérique de l’entreprise »
IT
Sécuriser et assainir les traitements et le stockage de la
donnée
Métier Augmenter la valorisation de la data et son monitoring
RH
Responsabiliser les acteurs de l’entreprise sur la question des
données personnelles

12. Page 12 – © Keley - Confidentiel –

13. Page 13 – © Keley - Confidentiel –
Qualification d’un contexte
> Un contexte d’étude comprend un ou plusieurs traitements portant sur une
source de données et ayant une finalité déterminée
Description générale d'un Contexte
Informations générales
Etude d'impact
Date de l'analyse ex: 01/10/2017 Analyste Prénom Nom Fonctiondel'analyste ex : Data manager
Informations générales sur le contexte
Typede projet ex : Nettoyage des adresses postales Finalité/ Objectif ex: communication parcourrier Typede traitement ex : Normalisationpostale
Personnes concernées ex : clients Nombred'individu(estimation) ex : 2 000 000 Nombred'informationpar individu ex: 10
Base / Application concernée ex: Base de porteurde carte de fidélitéResponsabledetraitement ex : Prestataire externe Responsableopérationnel ex : Responsable interne
Contributeurs projet
Chef de projet ex: directeur des opérations Expert données personnelles ex : directeur juridique Expert sécurité ex : RSSI, directeur technique
Expert technique/ étude ex : data manager Responsableexploitation ex : data manager Autres à renseigner
Description des données traitées (cf procédure de gestion de la traçabilité)
Liste des données Source des données Base concernée Destination des données
Type de données
(cf onglet 05)
Périmètre géographique du
traitement (Pays)
ex : nom ex : Saisie Magasin ex : Magasin ex : CRM ex : données d'identification ex : France
Collecte des données et transparence de l'information (cf procédure de gestion de la traçabilité)
Liste des données Type de collecte Méthode de collecte
Méthode d'information des
personnes
Responsable de la gestion des
droits d'accès/rectification
Autre
Civilité ex : directe, indirecte ex : liste déroulante, champs libre ex : Conditionsgénérales de la carte ex : Fonction +Nom
Règles de conservation & purge des données
Liste des données Durée de conservation Règles de purge Règles d'archivage
Règles de sécurisation de la
destruction
Resonsable du processus de
purge
Adresse postale ex : 3 ans
ex : mensuellement en semi-
automatique
ex : 5 ans sur serveur chiffré ex : broyage sécurisé ex : Fonction +Nom
Sécurité (cf procédure traçabilité, procédure habilitations, plan de contrôle)
Liste des applicatifs / systèmes /
bases
Politique de mots de passe Gestion des logs
Chiffrement des données /
transferts
Profils d'habilitations Responsable des habilitations
Dépôt du fichier ex : oui ex : trace des interventions ex : oui, type de chiffrement ex : Data Manager ex : Fonction +Nom
Test de l'application
Remarques et informations additionnelles
• Quel traitement pour quelle finalité ?
Quoi ?
• Quels intervenants et responsables ?
Qui ?
• Quelle source et quel mode de
collecte ?
Quelles données ?
• … de conservation et de purge ?
Quelles règles ?
• … traçabilité et habilitations ?
Quelle sécurité ?
• … tests et vérifications ?
Quels contrôles ?

14. Page 14 – © Keley - Confidentiel –
Pré-Diagnostique ou Self Assessement
> Une première analyse doit permettre de faire émerger les principaux
contextes à fort risque en se basant sur des critères simplifiés
1 . Sensibilité DCP
• Courantes
• Perçues comme sensible
• Sensibles au sens de la loi
2 . Finalité / Minimisation
• Durée de conservation
• Durée d’archivage
• Mode d’anonymisation
• Choix du chiffrement
3 . Organisation / Process
• Gestion des habilitations
• Gestion des risque
• Gestion des incidents
• Gestion des projets
4 . Consentement / Portabilité
• Information de l’intéressé
• Accès à ses données
• Possibilité d’ opposition, de
rectification et de
récupération
5 . Qualité / Sécurité
• Préservation de la
cohérence des données
• Sécurité logique
• Sécurité physique
Sensibilité
Finalité
Organisation
/ Process
Consenteme
nt /
Portabilité
Sécurité
Minimum Défendable
Evaluation sur chaque axe :
de 1 (irréprochable) à 4 (mauvais)

15. Page 15 – © Keley - Confidentiel –
> Les risques identifiés doivent être placé dans une grille en fonction de :
> Leur gravité
> Leur vraisemblance
> Cela doit permettre d’évaluer l’enjeu de la mesure associée à la réduction de ce risque
maximale
importante
limitée
négligeable
négligeabl
e
limitée importante maximale
Cartographie des Risques
Vraisemblance
Gravité
Enjeux - -
Enjeux -
Enjeux +
M1
M2
M3
Enjeux + +
R
3
R
2
R
1

16. Page 16 – © Keley - Confidentiel –
Association des mesures aux risques identifiés
L’évaluation de ces mesures peut se faire sur 3
axes :
> Sur chacun de ces axes, on peut établir
une note de 1 à 5
Une Accessibilité est alors définie en se
basant sur ces 3 notes
Difficulté Coût Délais
M1 3 2 3 -
M2 2 1 2 +
M3 2 2 4 -
R1 : Injection malveillante de fausses
données via un formulaire Web
M1 : Déploiement d’un site de gestion des
consentements et de la portabilité des
données
R2 : Suppression par inadvertance de
données
M2 : Mise en œuvre des règles de
conservation, d’archivage et de purge
R3 : Usurpation des DCP pour rediffusion ou
exploitation par un tiers
M3 : Révision des contrats avec un ou
plusieurs prestataires

17. Page 17 – © Keley - Confidentiel –
Priorisation des mesures
Accessibilité
Enjeux
++
- -
- - ++
Priorité très
élevée
Priorité
élevée
Priorité
modérée
Priorité faible
M1
M2
M3
> Les mesures à mener doivent être priorisées en fonction de :
> Leur enjeux
> Et de leur Accessibilité

18. Page 18 – © Keley - Confidentiel –
Mais, attention au tout Excel !

19. Page 19 – © Keley - Confidentiel –
Choix d’un outil : les principales fonctionnalités
> Les outils ne partagent pas toutes les fonctionnalités qui peuvent se regrouper en
4 familles :
Fonctions liées
au RGPD
• Registre de
traitement des
données
• Plan de PIA
• Gestion des
contrats
• Gestion des droits
et habilitations
• Suivi des failles de
sécurité
• Intégrations aux
systèmes internes
Fonctions de
suivi Projet
• Suivi des tâches
• Reporting et
tableau de bord
• Formation des
employés
• Partage
d'expérience
utilisateur
• Comparatif intra ou
inter entreprise
Fonctions dédiées
aux Personnes
• Gestion des
mentions légales
• Gestion des
demandes des
particuliers
• Monitroring des
sites et
applications
• Portail dédié aux
internautes
• Gestion de la
portabilités
Fonctions
Techniques / data
• Anonymisation des
données
• Analyse sécurisée
des données
• Contrôles des
usurpations de
données

20. Page 20 – © Keley - Confidentiel –
APM
ActeCil
DPMS-
PrivaCil
TrustArc OneTrust Ensighten Privitar
RGPD 4 4 4 4 1 3
Suivi de projets 4 3 3 3 0 0
Dédiées aux personnes 0 3 3 3 4 0
Techniques / data 0 0 0 0 0 4
Facilité d'utilisation 3 3 4 4 3 1
Références en France 4 4 3 3 1 1
FR FR US US US UK
De gratuit à quelques milliers d’euros / mois
Choix d’un outil : les principaux outils
Il y a d’autres outils plus spécialisés comme TrackUp … ou Didomi

21. Page 21 – © Keley - Confidentiel –
Passer à l’action avec Keley - Data
Projet non lancé Projet en cours
 Estimation rapide de l’ampleur de la
tache sur la base :
• Nombre d’entité / service concernée
• Nombre de système et base de données
• Nombre de contexte (données /
traitement)
• Nombre de mesures à réaliser et suivre
=> Lancement en mode commando
du projet pour une forte mobilisation
et une efficacité maximale
 Diagnostic flash de votre
approche RGPD
=> Accélération de la mise en
œuvre aux différents niveaux :
• Vision Data 360°
• Minimum Défendable
• Priorisation des actions
• Choix d’un outil
Ils nous font confiance : Orange, Renault, La Poste, Reed Expo … et vous ?

22. Nos
coordonnées
5 rue Sixtus, 75015 Paris
Métro : Dupleix ou Bir Hakeim
Tél. : + 33 1 80 48 26 20
28 rue du Docteur Finlay, 75015
Paris
Métro: Dupleix ou Bir Hakeim
Tél.: +33 1 80 48 26 25
haraki@keley-data.com
Ou
odupuishenry@keley-consulting.com