Marc Stoltz, consultant en sûreté et gestion de crise, présente le RGPD, qui est en vigueur depuis le 25 mai 2018 et vise à protéger les données personnelles en renforçant les droits des individus et en responsabilisant les entités traitant ces données. Le document aborde les obligations des entreprises en matière de conformité, comme la désignation d'un délégué à la protection des données (DPO), et la nécessité de cartographier les traitements de données pour respecter les normes. La conclusion souligne l'importance de la sensibilisation, du contrôle et de la notification des violations de données à l'autorité compétente.

1. 1

2. Votre intervenant : Marc STOLTZ
Consultant en sûreté et gestion de crise
➢ Master 2 de l’Ecole Européenne d’Intelligence Economique
➢ Formateur au sein de l’EEIE depuis 2016
➢ Réserviste - Référent Cyber Menace DCPJ/SDLP
Mais encore…
Précédemment :
➢ Responsable analyses sécuritaires & économiques
➢ Cadre au sein de la Direction du Renseignement Militaire
➢ Responsable de la cellule de veille stratégique du GIGN
➢ Officier de Police Judiciaire
2

3. Le RGPD
3
Entré en vigueur le 25 mai 2018, le RGPD est le texte de référence
européen en matière de protection des données à caractère personnel.
3 objectifs :
➢ Renforcer les droits des personnes
➢ Responsabiliser les acteurs traitants des
données à caractère personnel
➢ Crédibiliser la régulation grâce à une
coopération renforcée entre les autorités
nationales en charge
2016 !!!

4. ➢ Chaque pays de l’U.E. doit avoir une autorité de contrôle.
➢ Chaque unité de contrôle est membre du CEPD.
➢ Le CEPD remplace le G29:
❖ Conseil à la Commission Européenne
❖ Promotion de la coopération entre les différents Etats-membres
RGPD et idées reçues…
Quelles sont les autorités de référence ?
4

5. Petit rappel Sémantique RGPD
➢Donnée à caractères personnels (DCP): toute
information se rapportant à une personne physique
identifiée ou identifiable.
➢DPD/DPO : Délégué à la Protection des Données
➢Organe de contrôle : autorité désignée et habilitée
pour conseiller et contrôler les actions de mise en
conformité.
5

6. Pourquoi le RGPD ?
➢ 36% des petites entreprises victimes de
fuites de données en 2019,
➢ 48% des moyennes entreprises,
➢ 53% des grandes entreprises
➢ … et vous ? 6

7. Quel est votre niveau de mise en conformité ?
Parlons de vous…
7

8. Je ne sais pas par où commencer…
Je n’ai pas pris d’informations sur le sujet…
8

9. Pourquoi ?
Grâce aux clients,
la loi !
Les exigences métier (Santé, juristes…),
9

10. Le RGPD : un frein à votre activité ?
➢ Harmonisation des réglementations au sein de l’Europe ;
➢ Renforcement du droit des personnes ;
➢ Protection au-delà de l’Europe ;
➢ Attestation de protection des données et de compliance.
RGPD et idées reçues…
10

11. Le RGPD est-il compliqué à respecter ?
➢ Applicable à toutes les entités ;
➢ Procédure adaptée selon l’activité et la taille ;
➢ Sécurisation des systèmes d’information déjà en
place ;
➢ Sensibilisation des personnels ;
➢ Soutien actif de la CNIL.
RGPD et idées reçues…
11

12. 12
Les 6 droits renforcés ou créés
Droits d’accès
Gestion des
consentements
Rectification des
données
Droit à l’oubli
Limitation des
traitements
Portabilité des
données

13. 13
Les obligations des entités
Cartographie et
tenue d’un
registre des
traitements de
données
Désignation d’un
DPO
Analyse d’impact
Minimisation des
données
collectées
Protection des
données
Notification de
violation

14. 14
Exiger la
compliance de
ses partenaires
Augmenter son
efficacité
Renforcer sa
cybersécurité
Optimiser sa
stratégie
marketing
… Mais aussi :

15. Mener le projet de mise en conformité !
➢ Evaluer les étapes dans le temps
➢ Classer et prioriser les mesures obligatoires et souhaitables
➢ Ne pas négliger la protection physique et la protection numérique
➢ Identifier les mesures spécifiques à l’activité
➢ Intégrer un PCA
RGPD : mais que devons-nous faire ?
15

16. La nomination du DPO (art. 39)
➢ Il mène le projet de mise en conformité en interne et en externe
➢ Il a plusieurs missions en plus de la mise en conformité : conseil, sensibilisation, contrôle
➢ Il doit être indépendant et hors de tout conflit d’intérêts
➢ Il doit être associé à tous les thèmes traitant de DCP
➢ Il coopère avec l’autorité de contrôle
➢ Il doit bénéficier d’un budget et d’une équipe (référents par métier)
RGPD : mais que devons-nous faire ?
16

17. 17
Cartographier les DCP
RGPD : mais que devons-nous faire ?

18. 18
Cartographier les DCP

19. Utiliser un outil d’ILM (Information Lifecycle Management)
➢ Saisine des DCP
➢ Vecteurs de transmission interne et externe (Europe et étranger)
➢ Stockage informatique et papier
➢ Logiciels de gestion et site Internet
➢ Suppression des DCP
Maîtriser le cycle de vie des DCP
RGPD : mais que devons-nous faire ?
Sachant que toute demande sur les DCP, doit obtenir une réponse
dans un délai d’un mois et en cas de difficulté, obligation de le
signaler et informer de la possibilité d’introduire une réclamation
auprès d’une autorité de contrôle et de former un recours
juridictionnel. 19

20. Les analyses d’impact ou Privacy Impact Assessment
(EIVP – PIA)
A l’aide d’une matrice des risques :
➢ Traitement des DCP,
➢ Nécessité et proportionnalité de traitement,
➢ Identification des risques résultant du traitement.
Si le niveau de risque demeure peu élevé : pas besoin d’analyse d’impact, comme pour les
traitements listés par l’autorité de contrôle (art. 35-5) et/ou possédant une base légale avec une
analyse déjà effectuée (art. 35-10)
RGPD : mais que devons-nous faire ?
20

21. Les contrats et avenants avec les partenaires
Ils définissent les modalités du traitement et le niveau de
co-responsabilité :
➢ L’objet,
➢ La durée,
➢ La nature,
➢ La finalité,
➢ Le type de DCP traitées,
➢ Les catégories de personnes concernées.
Pour le sous-traitant :
➢ Traitement uniquement sur instruction,
➢ Obligation contractuelle des personnes autorisées à traiter,
➢ Sécurité du traitement,
➢ Facilitation des obligations du RGPD (accès, rectification, suppression, portabilité, etc.),
➢ Exigences de fin de prestation,
➢ Alerte et mise à disposition des éléments de contrôle.
RGPD : mais que devons-nous faire ?
21

22. Ouvrir un registre des activités de traitement
➢ Repère de conformité des traitements (1ère obligation de preuve)
➢ Faciliter les contrôles
➢ Suivre les cycles des DCP
➢ Remplace l'obligation d'effectuer des formalités préalables de déclaration des
traitements (sauf exception).
RGPD : mais que devons-nous faire ?
22

23. En cas d’incident → Détecter et notifier
Il est obligatoire de notifier toute violation de DCP
dans les 72 heures à l’autorité de contrôle
➢ Mettre en place une veille ciblée ;
➢ Contrôler régulièrement pour détecter, localiser et identifier toute violation de DCP ;
➢ Notifier les éléments à l’autorité de contrôle dans les 72h ;
➢ Annoncer les mesures prises ;
➢ Communiquer aux titulaires des DCP dans le délai le plus court, sauf si :
❖ Les DCP sont chiffrées en amont ou lorsque les mesures correctives sont adaptées,
❖ L’information individuelle des personnes nécessite des «efforts disproportionnés» (recourir à un mode de communication
publique selon l’article 34).
RGPD : mais que devons-nous faire ?
23

24. Les principales infractions ciblées par la
➢ Défaut de cartographie à jour
➢ Divulgation maladroite ou malveillante
➢ Défaut de dispositifs de chiffrement et d’anonymisation /
pseudonymisation
➢ Défaut de communication en cas d’incident
➢ Stockage illégitime de DCP
RGPD : et en cas de contrôle ?
24

25. Les modalités de transferts hors Europe
➢ Décision d’adéquation de la Commission
➢ Fourniture de garanties
Ou sous dérogations :
➢ Consentement explicite de la personne
➢ Nécessité pour un contrat lié à la personne
➢ Cas d’intérêts vitaux
➢ Cadre d’un registre pour informer le public (sous conditions)
➢ Transfert non répétitif (sous conditions)
RGPD : pour aller plus loin !
25

26. En conclusion
➢ Désigner un DPO formé et légitime ;
➢ Analyser l’impact relatif à la protection des DCP ;
➢ Sécuriser les DCP ;
➢ Empêcher les accès non autorisés;
➢ Limiter les accès selon le principe du droit d’en connaître;
➢ Mettre en place des moyens de contrôle et de détection ;
➢ Sensibiliser et responsabiliser pour éviter fuites et erreurs humaines ;
➢ Ne pas négliger les actes de malveillance internes et externes ;
➢ Envisager la renégociation des contrats, notamment avec l’étranger ou
négocier un contrat spécifique pour le traitement des données ;
➢ Tenir des registres documentés et opérationnels sur les traitements ;
➢ Notifier à l’autorité de contrôle (CNIL) toute violation de données.
26

27. SAS RESILIO
www.resilio.fr
RCS 820 925 832
Organisme de formation n° 75400130540 DIRECCTE NOUVELLE-AQUITAINE
Marc STOLTZ
+33 614 815 056
marc@resilio.fr