Impacts et mise en oeuvre concrète dans les sociétés suisses

1. WORK’N’COFFEE – 1ER MARS 2018
PROTECTION DES DONNÉES
PERSONNELLES

2. AGENDA
Mot d’accueil, présentation d’ANTAES et de NET DESIGN
Gouvernance, risques, conformité chez ANTAES
Quelles sont les nouvelles exigences réglementaires ?
Quels sont les enjeux et vos challenges ?
Offre «Mise en conformité RGPD / Révision LPD » d’ANTAES
Protection des données chez NET DESIGN
1
2
3
4
5
6

3. Bienvenue
1.

4. & Work’n’Coffee – 01/03/18 4
ANTAES
Cabinet d’ingénieurs spécialisé dans l’optimisation de la performance opérationnelle comprenant le conseil en ORGANISATION, le
management des TECHNOLOGIES.
Antaes emploie 170 consultants expérimentés intervenants dans les secteurs:
• Banque / Finance / Assurance
• Public et des Services
• Industrie horlogère et d’instrumentation
• Pharma et Sciences de la Vie
• Agroalimentaire
• Télécommunication
Localisations : Genève, Lausanne, Bern,
Singapore

5. talents
L’AGENCE NET DESIGN
30
80 experts externes
+ de 3’000projets web et app conçus
100%digital
+
transparence
intégrité
humain
clients lovers
missions
UX Design500

6. QUIZ
Vous êtes plutôt thé ou café ?
1. Thé
2. Café
Ce matin, vous êtes venus avec votre propre véhicule
ou bien en transports en commun ?
1. Véhicule particulier
2. Transports en commun
3. En vélo
4. Autres moyens de transport
A
B
Code WIFI: GBC/swiss@1414
https://www.mentimeter.com

7. GOUVERNANCE, RISQUES, CONFORMITÉ
CHEZ ANTAES
2.

8. & Work’n’Coffee – 01/03/18 8
Contexte
• Des réglementations de plus en plus nombreuses.
• La gestion des risques et de la conformité consomme
de plus en plus de ressources.
• La gestion des référentiels et de leurs évolutions :
une tâche de plus en plus spécialisée et complexe.

9. & Work’n’Coffee – 01/03/18 9
Contexte
• Les régulations évoluent fréquemment et profondément
• Le suivi des plans d’actions et des mesures demande des
ressources qui ne sont pas toujours disponibles
• La maintenance des éléments nécessaires à l’élaboration
des reporting réglementaires demande des compétences
pointues dans le domaine des régulations

10. & Work’n’Coffee – 01/03/18 10
Notre proposition
Nous offrons une approche unique, indépendante, multi référentielle, d’accompagnement à la mise en conformité de
votre organisation, la mise en conformité – compliance monitorée
Identification
du périmètre
Assessment
Mise en
conformité
Identification des écarts aux référentiels, des risques et
des non conformités
Identification des plans d’actions, des contrôles et
mesures associés, définition du niveau initial
Suivi périodique de la mise en conformité des processus,
suivi du risque résiduel et de l’écart de conformité restant

11. 11
Compliance, mise en conformité monitorée
Pilotage Gouvernance - reporting
Contrôles
Diagnostic / Assessment
Incidents
Réclamations
Organisation
Processes
Procédures
Obligation
Risques
Actions
Régulation (s)
ISO27001
GDPR
ISO31000
MIFID …

12. & Work’n’Coffee – 01/03/18 12
Les régulations et référentiels transversaux
ISO27001
Sécurité des systèmes d’information
GDPR – PLPD - LIPAD
Protection des données personnelles
COBIT
Gouvernance des systèmes d’information
ISO31000
Gestion des risques d’entreprises
Gestion des risques projets

13. & Work’n’Coffee – 01/03/18 13
Les régulations et référentiels transversaux
MIFID2-LSFIN
Directive concernant les marchés d'instruments financiers
FATCA
Foreign Account Tax Compliance Act
Autres régulations
CoRep-FinRep, Anacredit, BCBS 239, IFRS 9, NPEFBE,
RWA optimization, Bale III,AEoI,NCD-EAR

14. & Work’n’Coffee – 01/03/18 14
Les régulations et référentiels transversaux
Bonnes pratiques
GMP: Good Manufacturing Practice
GDP: Good Documentation Practice
GLP: Good Laboratory Practice
ISO13485
Medical devices

15. L’équipe d’experts Protection des données personnelles/
Gouvernance-Risques-Compliance
15
DIANE, CONSULTANTE SENIOR ET
PORTEUSE DE L’OFFRE GDPR
Conformité réglementaire, sécurité de
l’information, Banque, Gestion de
Projets
EMILIE, CONSULTANTE SENIOR/
RESPONSABLE PROJET
Gestion de Projets
THIERRY, PROJECT DIRECTOR
Gouvernance, Compliance et
Régulation
CEDRIC, CONSULTANT
SENIOR
Banque, Conformité
CLAUDE, CONSULTANT
Chef de Projet RGPD pour le
leader européen de l’imagerie
médicale
PHILIPPE, BIG DATA
ARCHITECTE
SENIOR
Banque, Gestion de Projets
NORBERT, PRACTICE
LEADER
Secteur public, Gestion de
Projets
EXPERTISE
INDEPENDANCE
REGULARITE
RIGUEUR
EXPERIENCE

16. QUELLES SONT LES NOUVELLES EXIGENCES
RÉGLEMENTAIRES EN MATIERE DE PROTECTION DES
DONNEES?
3.

17. & Work’n’Coffee – 01/03/18 17
UNE DONNEE PERSONNELLE, C’EST QUOI?
Toute information permettant d’identifier de manière unique une
personne, directement ou indirectement, (nom, photo, email, info
biométriques, photo de face, vidéo de face, Adresse IP, donnée
génomique, examens médicaux, profil de media sociaux et bien
d’autres).

18. & Work’n’Coffee – 01/03/18 18
PROJET DE RÉVISION TOTALE DE LA LOI SUR LA PROTECTION DES DONNÉES
SUISSE (P- LPD)
Pour quand ?
• 2019
Les objectifs :
• Harmoniser le droit suisse avec le RGPD
• Renforcer les droits des citoyens suisses en matière de protection des données.
Qui est concerné ?
• Tout individu ou organisation détenant des données personnelles en Suisse.
Quelles sont les pénalités en cas de non-conformité ?
• Une procédure criminelle et une amende maximale de 250 K CHF.
• 50 K CHF d’amende administrative peut être décidée contre l’organisation si aucun individu ne peut être identifié.

19. & Work’n’Coffee – 01/03/18 19
GDPR
Consentement
Analyse d’impacts
Notification de
fuite de
données
Privauté dès la
conception
Conseiller à la
Protection des
Données
Droit d’accès à
ses propres
données
Information
Registre de
traitement des
données
P-LPD
Par rapport au RGPD de l’UE :
• Pas de portabilité des données
• Pas d’inversion du fardeau de la
preuve
• Des sanctions peu dissuasives
• Une procédure pénale pour les
sanctions
• Pas de protection des données
personnelles d’une personne morale
• Délai relatif d’annonce des failles de
sécurité
• Pas d’actions collectives

20. & Work’n’Coffee – 01/03/18 20
RÈGLEMENT GÉNÉRAL RELATIF À LA PROTECTION DES DONNÉES (RGPD)
APPLICABLE EN SUISSE
Pour quand ?
• 25 Mai 2018
Ses objectifs sont :
• Protéger les données personnelles des résidents Européens
• Harmoniser le cadre réglementaire pour les données des résidents européens
Qui est concerné par ce règlement ?
• Toutes les entreprises suisses qui traitent et/ou stockent des données personnelles de résidents européens,
où que soit située l’entité concernée
Quelles sont les pénalités en cas de non respect ?
• La pénalité maximum est de 4% du Chiffre d’Affaires annuel global ou 20 Millions €
Cela peut même
concerner la
boulangerie du
village !

21. QUIZ
Quels éléments sont des données personnelles?
1. Photo d’une personne
2. Adresse IP
3. Référence d’un produit
4. Numéro de facture
5. ADN
6. Date de naissance et commune
7. Groupe sanguin
A

22. & Work’n’Coffee – 01/03/18 22
Zoom sur le droit à l’oubli

23. QUIZ
Un centre commercial a-t-il le droit de tracer
votre mobile pour analyser votre parcours dans les boutiques ?
1. Oui, tout le temps
2. Oui, seulement quand vous vous trouvez
dans le centre commercial
3. Non, en aucun cas
A

24. & Work’n’Coffee – 01/03/18 24
Zoom sur la portabilité des données
Principe
• Droit de recevoir ses données communiquées à un responsable de traitement nécessaire à
l’exécution d’un contrat (art. 20.1) …
Comment?
• Dans un format structuré
• Couramment utilisé
• Lisible par machine
… et de les transmettre à un autre responsable sans que le responsable du traitement initial y fasse
obstacle.

25. QUIZ
Je suis une régie et fait appel à plusieurs sous-traitants.
Ces derniers sont-ils soumis aux obligations ?
1. Oui
2. Non
Un chirurgien réputé des HUG réalise une opération
sur un patient français. Ce patient est en droit de demander
la restitution de toutes ses données personnelles.
1. Vrai
2. Faux
A
B

26. & Work’n’Coffee – 01/03/18 26
Le RGPD s’applique-t-il à votre entreprise? (1/ 2)
A. Votre entreprise traite-elle des données de personnes européennes (par ex. analyse de données
clients y compris de citoyens européens, analyse de données des visiteurs de sites Internet ou
des utilisateurs d’applications)?
• Oui
• Non
B. Votre entreprise a-t-elle une succursale ou filiale sur le territoire de l’UE?
• Oui
• Non

27. & Work’n’Coffee – 01/03/18 27
Le RGPD s’applique-t-il à votre entreprise? (2/ 2)
D. Votre entreprise offre-t-elle des biens ou services à des personnes dans l’UE (par ex. par de la vente à distance ou en
exploitant des plateformes de commande en ligne)?
• Oui
• Non
E. Une entreprise située dans l’UE traite-t-elle des données pour vous (p. ex. fournisseur de services de cloud)?
• Oui
• Non
F. Votre entreprise traite-t-elle des données sur mandat d’une entreprise située dans l’UE ou participe-t-elle au
traitement de données d’entreprises dans l’UE (p. ex. dans un centre de calcul suisse) ?
• Oui
• Non

28. & Work’n’Coffee – 01/03/18 28
Pour ceux qui ne sont pas concernés par le RGPD
Ne pas se réjouir trop vite…
Enjeu réglementaire avec la révision LPD en cours
Enjeu compétitivité:
• Confiance des clients/consommateurs et des partenaires
• Réputation
• Arguments de vente/ Se démarquer par rapport à la concurrence

29. QUIZ
J’habite au Grand Saconnex. Des bus des TPG vont jusqu’à Ferney
Voltaire. Les TPG doivent-ils se mettre en conformité vis-à-vis du
RGPD ?
1. Oui
2. Non
Source : article 3 RGPD et considérant 23 RGPD – « Offre de biens
ou de services à des personnes concernées dans l'Union européenne »
Le Règlement s'applique-t-il à des entreprises hors de l'UE ?
1. Oui
2. Non
A
B

30. & Work’n’Coffee – 01/03/18 30
Que faire à ce stade?
• Nécessité d’informer et d’obtenir le consentement de la personne dont les données sont traitées
• Assurer le « Privacy by design » et le « Privacy by default »
• Désigner un représentant dans l’UE
• Tenir un registre des activités de traitement
• Analyser les transferts transfrontaliers de données personnelles (bases légales, pays en adéquation, Privacy Shield …)
• Déclarer les cas de violation des données à l’autorité de contrôle
• Formaliser les relations de sous-traitance, maîtriser et contrôler ses sous-traitants Appliquer le principe de précaution
• Evaluation du degré de maturité de votre organisation
• Procéder à une analyse d’impacts relative à la protection des données
• Par défaut, il convient de respecter les exigences les plus élevées
• Assurez le risque cyber
• Clarifier les responsabilités (qui sont les responsables des traitements réels ?)
• Régler des amendes en cas de violation du RGPD.

31. QUELS SONT LES ENJEUX
ET VOS CHALLENGES ?
3.

32. Ce n’est qu’une
histoire d’argent
ou d’amendes ?
Non. C’est aussi un
enjeu de réputation,
de marché et de
sécurité !

33. QUIZ
L’accès aux marchés publics européens nécessite la
conformité au RGPD.
1. Vrai
2. Faux
Qui sont les tiers concernés par le RGPD?
1. Mes clients
2. Mes clients et mes fournisseurs
3. Mes clients, mes fournisseurs et mes salariés
A
B

34. & Work’n’Coffee – 01/03/18 34
VOS CHALLENGES
Quelles données
personnelles stockez-
vous et où ?
Avez-vous un mapping des
traitements de données
personnelles ?
Pouvez-vous répondre aux
requêtes de vos
utilisateurs ?
Comment prouvez-
vous que vous êtes
conformes ?
Comment évitez
vous les fuites de
données ?
Etes vous capable de
supprimer les données
personnelles ?

35. & Work’n’Coffee – 01/03/18 35
La maturité des entreprises suisses
Nous observons sur le terrain Suisse Romand des disparités de maturité importantes,
principalement sur les thèmes :
• Classification des actifs informationnels pour identifier les données personnelles, Marquage des
données (qu’est-ce qui est sensible, qu’est-ce qu’on peut faire avec, …)
• Cartographie des processus et des traitements (pour identifier exhaustivement les traitements de
données personnelles soumises à la LPD et /ou au RGPD)
• Programme de sensibilisation, directives aux employés, chartes
• Définition claire des responsabilités internes à l’entreprise (accountability)
• Organisation de la sécurité de l’information (faut-il un DPO/ un SGPD/ un CISO ?)
• Organisation de la protection des données (DPO ? SGPD?).

36. QUIZ
Quel est le pourcentage de fuite de données où le personnel
interne était impliqué ?
1. 10%
2. 50%
3. 25%
Quel est le pourcentage d’entreprises qui reconnaissent ne pas
savoir où se trouvent leurs données confidentielles ?
1. 75%
2. 5%
3. 68%
Source: Gartner & Verizon Data Breach Report 2017
A
B

37. OFFRE «MISE EN CONFORMITE RGPD
ET REVISION LPD» D’ANTAES
4.

38. & Work’n’Coffee – 01/03/18 38
ANTAES SERVICES, SOLUTIONS & PARTENAIRES STRATEGIQUES
REGLEMENTAIRE & CONFORMITE
DIGITALISEE
DATA MANAGEMENT
IMPLEMENTATIONCOMMUNICATION
GESTION DE PROJET

39. & Work’n’Coffee – 01/03/18 39
NOTRE APPROCHE
Aujourd’hui
Modèle
de risque
Facteur humain Technologie
Processus
Mise en conformité
héroïque
Manque
d’information/best
practices
Cadre
technologie
inadapté
Digitalisation de la
conformité
Solutions intégrant
la privauté par défaut
Culture et stratégie basées sur la
privautéRisques
Temps
Conduite du changement
RGPD
25 mai 2018
P-LPD
2019
L’IA comme levier pour prendre
des décisions et proposer des
produits adaptés aux clients
Modèle
de risque

40. & Work’n’Coffee – 01/03/18 40
Notre méthodologie et livrables
Livrables Une approche étape par étape centrée Client
• Kick Off
• Diagnostic RGPD
• Planning d’implémentation
et plans d’actions
• Formation et stratégie de
communication
IDENTIFIER MONITORER
• Moniting de la
conformité
• Maintien de l’inventaire
de données
• Reporting digitalisé de
conformité
• Inventaire des
applications
• Inventaire des processus
• Etude d’impacts sur la vie
privée (PIA)
EXECUTER FORMER/INFORMER
• Communication
(conscientisation, statut
de projet,…)
• Ateliers
• Formations
• Tableaux de bord

41. LA MISE EN CONFORMITÉ
CHEZ NET DESIGN
6.

42. & Work’n’Coffee – 01/03/18 42
NOTRE ROLE
Net Design intervient sur toute la partie Digitale pour des corrections, mises à jour ou des mises en place de
nouvelles fonctionnalités pour être en conformité.
Cela concerne :
• les sites internet,
• les intranet/extranet,
• les applications mobiles,
• les emailings,
• les Landings Pages
• Plus largement, tout ce qui concerne les relations entre vous et vous vos internautes, au niveau digital.

43. & Work’n’Coffee – 01/03/18 43
NOTRE ROLE
Les actions que nous aurons à mener sont « sur-mesure » car elles découleront de la stratégie de mise en
conformité, mise en place par le DPO ou votre partenaire ANTAES.
INTERVENTION NET DESIGN
SUR LA PARTIE DIGITALE

44. & Work’n’Coffee – 01/03/18 44
Exemple d’interventions courantes
Intervention pour mise en conformité RGPD de niveau 1
• Modifications des formulaires pour consentement éclairé
• Modification des conditions générales d’utilisation / de vente
• Mise en place d’un formulaire spécifique pour les demandes de suppression ou d’accès
aux données personnelles
• Modification des tunnels de commandes/devis pour gestion des opt’in
• Sécurisation des données en passant en protocole HTTPS

45. NOS PARTENAIRES STRATÉGIQUES
7.

46. & Work’n’Coffee – 01/03/18 46
MERCI
de votre attention