Si la data est le pétrole du XXIème siècle, la confiance en est la nouvelle monnaie : ainsi le Règlement Général sur la Protection des Données des citoyens européens (RGPD ou GDPR) vise à instaurer le cadre de cette confiance !
A quelques mois de son entrée en vigueur le 25 mai 2018, tour d'horizon : nouveaux #droits, nouvelles #obligations, #PrivacyByDesign, #PrivacyByDefault, #sanctions.
2. 2
GDPR = General Data Protection Regulation
ou
RGPD = Règlement Général sur la Protection des Données
#SIGNIFICATION
3. 3
#QUELQUES DATES CLÉS
6 janvier 1978 => loi informatique et liberté. Définit notamment les principes à respecter lors de
la collecte, du traitement et de la conservation des données personnelles
24 mai 2016 => entrée en vigueur RGPD
25 mai 2018 => date limite pour montrer/démontrer la capacité de mise en conformité RGPD
4. 4
#CONTEXTE
99 articles qui instaurent dans
l’ensemble des pays de l’Union
Européenne, les principes à
appliquer par tous les acteurs
(responsables de traitement et sous-
traitants) qui détiennent, traitent des
données à caractère personnel de
citoyens européens.
Et peu importe que ce traitement ait
lieu ou non dans l’Union
Européenne.
Source : http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32016R0679
5. 5
(Source : Enquête CSA publiée en Septembre 2017)
#CONTEXTE : la protection des données personnelles, un
sujet de préoccupation majeur pour les français en 2017 1/2
Source : https://www.csa.eu/media/1667/1700780-csa-protection-des-donnees-personnelles.pdf
6. 6
(Source : Enquête CSA publiée en Septembre 2017)
#CONTEXTE : la protection des données personnelles, un
sujet de préoccupation majeur pour les français en 2017 2/2
Source : https://www.csa.eu/media/1667/1700780-csa-protection-des-donnees-personnelles.pdf
7. OBJECTIF DU RÈGLEMENT GDPR ?
7
« Si la data est l’or noir du XXIème siècle, la confiance en est la
nouvelle monnaie : ainsi le GDPR vise à instaurer le cadre de cette
confiance. »
=> Pour redonner aux citoyens le contrôle de leurs données à
caractère personnel, tout en formalisant l’environnement
réglementaire des entreprises !
=> L'Union européenne souhaite ainsi accélérer la mutation des
entreprises dans leur gestion des données
8. toute information se rapportant à
une personne physique identifiée ou
identifiable (ci-après dénommée
«personne concernée») ; est réputée
être une «personne physique
identifiable» une personne physique
qui peut être identifiée, directement
ou indirectement, notamment par
référence à un identifiant, tel qu'un
nom, un numéro d'identification, des
données de localisation, un
identifiant en ligne, ou à un ou
plusieurs éléments spécifiques
propres à son identité physique,
physiologique, génétique,
psychique, économique, culturelle
ou sociale;
DÉFINITION DONNÉES À CARACTÈRE PERSONNEL/PERSONNE
9. EXEMPLES DE DONNÉES À CARACTÈRE PERSONNEL
Nom
PhotoEmpreinte
Adresse postaleAdresse email
Un numéro de sécurité sociale
Adresse IP
Un numéro de téléphone
Données de localisation
10. « Toute opération ou tout ensemble
d'opérations effectuées ou non à
l'aide de procédés automatisés et
appliquées à des données ou des
ensembles de données à caractère
personnel, telles que la collecte,
l'enregistrement, l'organisation, la
structuration, la conservation,
l'adaptation ou la modification,
l'extraction, la consultation,
l'utilisation, la communication par
transmission, la diffusion ou toute
autre forme de mise à disposition,
le rapprochement ou
l'interconnexion, la limitation,
l'effacement ou la destruction; »
DÉFINITION TRAITEMENT
11. Principe #PrivacyByDesign
Prendre en
considération dès le
début de la
conception de
services, d’outils,
d’objets connectés…
le respect de la vie
privée, la protection
des données en les
sécurisant, en
documentant les
mesures techniques
et opérationnelles
mises en œuvre…
13. Mettre en œuvre les mesures
techniques et organisationnelles
appropriées pour garantir que,
par défaut, seules les données
à caractère personnel qui sont
nécessaires au regard de
chaque finalité spécifique du
traitement sont traitées.
Cela s'applique à la quantité de
données à caractère personnel
collectées, à l'étendue de leur
traitement, à leur durée de
conservation et à leur
accessibilité.
Principe #PrivacyByDefault
15. 15
PLUS DE DROITS POUR VOS DONNÉES À CARACTÈRE
PERSONNEL ET CONCRÈTEMENT 1/6
Source : https://www.cnil.fr/fr/plus-de-droits-pour-vos-donnees
Illustration : Martin Vidberg
Des données à emporter !
Je peux récupérer les données que
j’ai communiquées à une plate-
forme et les transmettre à une autre
(réseau social, fournisseur d’accès
à internet, banques, etc.)
16. 16
PLUS DE DROITS POUR VOS DONNÉES À CARACTÈRE
PERSONNEL ET CONCRÈTEMENT 2/6
Source : https://www.cnil.fr/fr/plus-de-droits-pour-vos-donnees
Illustration : Martin Vidberg
Plus de transparence
Je bénéficie de plus de lisibilité sur
ce qui est fait de mes données et
j’exerce mes droits plus facilement
(consentement, droit d’accès, droit
de rectification,…).
=> La fin du «qui ne dit mot consent»
17. 17
PLUS DE DROITS POUR VOS DONNÉES À CARACTÈRE
PERSONNEL ET CONCRÈTEMENT 3/6
Source : https://www.cnil.fr/fr/plus-de-droits-pour-vos-donnees
Illustration : Martin Vidberg
Protection des mineurs
Les services en ligne doivent
obtenir le consentement des
parents des mineurs de moins de
16 ans avant leur inscription.
18. 18
PLUS DE DROITS POUR VOS DONNÉES À CARACTÈRE
PERSONNEL ET CONCRÈTEMENT 4/6
Source : https://www.cnil.fr/fr/plus-de-droits-pour-vos-donnees
Illustration : Martin Vidberg
Un guichet unique : le « one stop shop »
En cas de problème, s’adresser à
l’autorité de protection des données
de l’Etat membre, quelque soit le
lieu d’implantation de l’entreprise
qui traite mes données.
19. 19
PLUS DE DROITS POUR VOS DONNÉES À CARACTÈRE
PERSONNEL ET CONCRÈTEMENT 5/6
Source : https://www.cnil.fr/fr/plus-de-droits-pour-vos-donnees
Illustration : Martin Vidberg
Consécration du droit à l’oubli
Je peux demander à ce qu’un lien
soit déréférencé d’un moteur de
recherche ou qu’une information
soit supprimée s’ils portent atteinte
à ma vie privée.
20. 20
PLUS DE DROITS POUR VOS DONNÉES À CARACTÈRE
PERSONNEL ET CONCRÈTEMENT 6/6
Source : https://www.cnil.fr/fr/plus-de-droits-pour-vos-donnees
Illustration : Martin Vidberg
Sanctions renforcées
En cas de violation de mes droits,
l’entreprise responsable encourt
une sanction pouvant s’élever à
4% de son chiffre d’affaires
mondial ou jusqu’à 20 millions
d’euros !
22. Exemple outil pour faire un état des lieux de sa conformité GDPR
Source : https://www.ultimategdprquiz.com/
23. 23
#MÉTHODOLOGIE CNIL DE MISE EN CONFORMITÉ EN 6 ÉTAPES
Source : https://www.cnil.fr/fr/comment-se-preparer-au-reglement-europeen-sur-la-protection-des-donnees
24. 24
#MÉTHODOLOGIE CNIL DE MISE EN CONFORMITÉ EN 6 ÉTAPES 1/6
Le délégué à la protection
des données (DPO =Data
Protection Officer) = « chef
d’orchestre » en charge
notamment :
- d’informer et de
conseiller
- de contrôler le
respect du règlement
- de conseiller
l’organisme
- de coopérer avec
l’autorité de contrôle
Source : https://www.cnil.fr/fr/comment-se-preparer-au-reglement-europeen-sur-la-protection-des-donnees
25. 25
#MÉTHODOLOGIE CNIL DE MISE EN CONFORMITÉ EN 6 ÉTAPES 2/6
Pour établir un registre
des différents
traitements de données
à caractère personnel,
des catégories de
données, des objectifs
poursuivis, des acteurs
(internes ou externes),
des flux
Source : https://www.cnil.fr/fr/comment-se-preparer-au-reglement-europeen-sur-la-protection-des-donnees
26. 26
#MÉTHODOLOGIE CNIL DE MISE EN CONFORMITÉ EN 6 ÉTAPES 3/6
Prioriser ces actions au
regard des risques que
font peser les traitements
sur les droits et les
libertés des personnes
concernées.
- Révisez les mentions
d’information
- Vérifiez que les sous-
traitants connaissent leurs
nouvelles obligations,
Source : https://www.cnil.fr/fr/comment-se-preparer-au-reglement-europeen-sur-la-protection-des-donnees
27. 27
#MÉTHODOLOGIE CNIL DE MISE EN CONFORMITÉ EN 6 ÉTAPES 4/6
Mener, pour chacun de ces
traitements, une analyse
d'impact sur la protection des
données (DPIA) si vous avez
identifié des
traitements de données
personnelles susceptibles
d'engendrer des risques
élevés pour les droits et
libertés des personnes
concernées
Source : https://www.cnil.fr/fr/comment-se-preparer-au-reglement-europeen-sur-la-protection-des-donnees
28. 28
L’ANALYSE D’IMPACT RELATIVE À LA PROTECTION DES DONNÉES
(DPIA=Data Protection Impact Assessment)
Source : https://www.cnil.fr/fr/lanalyse-dimpact-relative-la-protection-des-donnees-dpia
29. 29
#MÉTHODOLOGIE CNIL DE MISE EN CONFORMITÉ EN 6 ÉTAPES 5/6
Mettre en place des
procédures internes qui
garantissent la prise en
compte de la protection
des données à tout
moment, (ex : notification
violation de données
idéalement au plus tard
72h après l’identification,
modification des données
collectées, changement de
prestataire,…).
Source : https://www.cnil.fr/fr/comment-se-preparer-au-reglement-europeen-sur-la-protection-des-donnees
30. 30
#MÉTHODOLOGIE CNIL DE MISE EN CONFORMITÉ EN 6 ÉTAPES 6/6
Constituer et
regrouper la
documentation
nécessaire
pour prouver votre
conformité au
règlement
Actualiser
régulièrement pour
assurer une
protection des
données en continu.
Source : https://www.cnil.fr/fr/comment-se-preparer-au-reglement-europeen-sur-la-protection-des-donnees
31. MISE EN ŒUVRE DU CONSENTEMENT GDPR
=> EXEMPLE ILLUSTRÉ
31
Autre illustration Chrome Dev Summit 2017 Under Chrome add context when ask for a permission :
https://www.youtube.com/watch?v=PsgW-0M67TQ&feature=youtu.be&list=PLNYkxOF6rcICUD5nBfRdAR6Fveosnqa5m&t=1317
32. ÉTUDE MENÉE PAR PAGEFAIR : À LA QUESTION, FACE À UN
SITE WEB AFFICHANT CETTE POPUP DE CONSENTEMENT
RGPD, QUEL BOUTON CHOISIRIEZ-VOUS ? 1/2
32
33. ÉTUDE MENÉE PAR PAGEFAIR : À LA QUESTION, FACE À UN
SITE WEB AFFICHANT CETTE POPUP DE CONSENTEMENT
RGPD, QUEL BOUTON CHOISIRIEZ-VOUS ? 2/2
33
34. ILLUSTRATIONS DROITS RGPD
34
Gestion consentement
Source : https://www.gigya.com/resources/gdpr-readiness-toolkit/
Droit de rectification
Droit à la portabilité, à la
suppression de son compte
35. Au même titre que la
qualité, la performance
=> La privacy-by-design
et plus globalement la data-
protection-by-design ne
sont plus des options !
#BILAN
36. QUAND #RGPD RIME AVEC #AGILITÉ ! 1/2
Il s’agit de réinventer un parcours
client qui permette :
- de mettre progressivement en
place un processus de
collecte conforme au RGPD
- tout en délivrant en continu
une meilleure expérience
utilisateur et une relation
personnalisée
37. Et selon le Cabinet GARTNER * :
- avant 2020, environ 40% des
organisations ne seront pas en
conformité avec le RGPD;
- en 2023, ce pourcentage serait
proche de zéro;
*Source : https://www.gartner.com/doc/3635617/eu-privacy-impact-delivery-data
QUAND #RGPD RIME AVEC #AGILITÉ ! 2/2
38. Il faut voir le GDPR comme une
opportunité notamment pour remettre à
plat les dérives dans la collecte, le
traitement des données à caractères
personnel pour un web responsable et
tenter de
- (ré)inventer les fondamentaux de
la relation utilisateur, du marketing
client
- regagner la confiance de tous !
#PERSPECTIVES
39. 39
Père Noël, nous savons que vous
avez constitué un fichier avec les
noms et coordonnées des
personnes en les catégorisant
méchantes ou sages !
!??
#RGPD
Tous
Concernés !