Un an après la mise en application du RGPD (Règlement Général sur la Protection des données) :
- Avez-vous mis en place les bonnes pratiques vous assurant d’être conforme à ce règlement ?
- Connaissez-vous tous les bons outils mis à votre disposition par la CNIL (Commission nationale de l'informatique et des libertés) ?
Workshop recrutez vos premiers talents - focus Urssaf
Workshop CNIL - "Privacy Impact Assessment" : comment réaliser une analyse de risques ?
1.
2. Atelier CNIL -
Méthode et outil PIA
Estelle HARY – Designer
Marjorie MENAPACE – Juriste, Service DPO
Martin BIERI – Innovation & Prospective
3. La CNIL à Station F par French Tech Central
3
Offre de services organisée autour d’ateliers:
• Ateliers de sensibilisation: approfondissement RGPD (PIA,
DPO, … )
• Ateliers thématiques: Healthtech, Fintech, IoT, …
• Travaux pratiques: tag management, onboarding apps,…
11. 11
+
Les grands principes I&L demeurent
Licéité, loyauté,
transparence
Limitation
des finalités
Minimisation
des données
Exactitude
Limitation de la
conservation
Intégrité et
confidentialité
Respect des droits
des personnes:
• Information,
• consentement
• rectification,
opposition
• accès,
rectification
+
13. 13
Critère de ciblage
Sanctions augmentées
Principe de responsabilité
« accountability »
Portabilité
Partage des responsabilités
Le Délégué à la Protection des
Données (DPO)
15. Vue d’ensemble du PIA
15
RT, DPO, sous-traitants,
métier, RSSI/DSI, personnes
concernées
Acteurs
Sauf exception, traitements impliquant
des risques élevés (9 critères)
Traitement
Avant la mise en œuvre
du traitement
Temporalité
Évaluer la nécessité et la proportionnalité
Gérer les risques sur les droits et libertés
Objectif & enjeux
Consultation de la CNIL ou ommuniquer
à autrui (vecteur de confiance)
Communication
Description, analyse juridique,
technique, évaluation des
risques, mesures correctrices
Processus
10M€ ou 2% du chiffre
d’affaires mondial
Sanction
16. Un PIA repose sur deux piliers
16
1. Respect
des principes
fondamentaux
2. Gestion des
risques liés à
la sécurité des
données
PIA
(Privacy
Impact
Assessment)
17. Démarche méthodologique
17
Juridique
Contexte
Description
Données
Supports des données
Etc.Principes fondamentaux
Proportionnalité et
nécessité
Mesures protectrices
des droits
Décrire le traitement de données
- A quoi sert-il ?
- Comment fonctionne-t-il ?
- Comment sont gérées les données ?
Proportionnalité et nécessité :
- Finalité (déterminée, explicite, légitime)
- Fondement & licéité
- Minimisation des données
- Durée de conservation
Mesures protectrices des droits :
- Information des personnes
- Droits
- Sous-traitance
- Transferts
18. Exercice : Principes fondamentaux
Captoo
- Prenez connaissance du cas d’étude (voir feuille imprimée) ;
Minimisation des données
- Quelles sont les données collectées et traitées par le dispositif ? Par
rapport aux finalités, cela vous parait-il proportionné ?
18
19. Démarche méthodologique
19
Expertises techniquesJuridique
Contexte
Description
Données
Supports des données
Etc.Principes fondamentaux
Proportionnalité et
nécessité
Mesures protectrices
des droits
Risques liés à la sécurité des
données
Mesures existantes ou
prévues
Appréciation des
risques
Type de mesures
- sur les données (chiffrement…)
- générales de sécurité (maintenance)
- organisationnelles (relation avec les
tiers)
20. La structure d’un risque
20
Sources de
risques
Supports Données Impacts potentiels
Vraisemblance Gravité
Menaces Événements redoutés
Risques
21. Exercice : Accès illégitime à des données
Impacts
Quels impacts sur les personnes ?
Menaces
Comment le risque peut-il se produire ?
21
Sources
Qui (ou quoi) peut produire le risque ?
Mesures
Quelles mesures pour traiter le risque ?
22. Démarche méthodologique
22
Expertises techniquesJuridique
Contexte
Description
Données
Supports des données
Etc.Principes fondamentaux
Proportionnalité et
nécessité
Mesures protectrices
des droits
Risques liés à la sécurité des
données
Mesures existantes ou
prévues
Appréciation des
risques
Validation du PIA
Évaluation
Plan d’action
Décision
Réitérations possibles
(PIA non validé, mise
à jour du traitement…)
Prise de décision
- les risques résiduels sur les
personnes sont-ils acceptables ?
28. Cette présentation, comme toutes les productions LINC, est mise à disposition, sous réserve des droits de
propriété intellectuelle de tiers et sauf mention contraire, selon les termes de la licence Creative Commons CC-BY.
Aux conditions suivantes :
- Attribution : vous devez créditer la source des contenus, intégrer un lien vers la licence et préciser la date à
laquelle le contenu a été récupéré. Vous devez indiquer ces informations par tous les moyens raisonnables, sans
toutefois suggérer que la CNIL vous soutient ou soutient la façon dont vous avez utilisé ses contenus.
- Lorsque ces contenus intègrent des éléments produits par des tiers, le contenu en question contient les mentions
des droits de ces tiers (généralement en bas de page). Vous devez vous y conformer.