SlideShare une entreprise Scribd logo

Workshop CNIL - "Privacy Impact Assessment" : comment réaliser une analyse de risques ?

Stéphanie Roger
Stéphanie Roger

Un an après la mise en application du RGPD (Règlement Général sur la Protection des données) : - Avez-vous mis en place les bonnes pratiques vous assurant d’être conforme à ce règlement ? - Connaissez-vous tous les bons outils mis à votre disposition par la CNIL (Commission nationale de l'informatique et des libertés) ?

Droit
1  sur  29
Télécharger pour lire hors ligne
Atelier CNIL - Méthode et outil PIA Estelle HARY – Designer Marjorie MENAPACE – Juriste, Service DPO Martin BIERI – Innovation & Prospective
La CNIL à Station F par French Tech Central 3 Offre de services organisée autour d’ateliers: • Ateliers de sensibilisation: approfondissement RGPD (PIA, DPO, … ) • Ateliers thématiques: Healthtech, Fintech, IoT, … • Travaux pratiques: tag management, onboarding apps,…
Privacy et protection des données comme facteur de différenciation ?
5 - Informer & conseiller - Guides pratiques, tutoriels, vidéo - Ateliers pour les DPO - Labels, recommandation - Contrôler & sanctionner - Déclarations & autorisations - Contrôles sur place et à distance - Sanctions
Le LINC
Laboratoire d’Innovation Numérique de la CNIL
8
Introduction au RGPD
10
11 + Les grands principes I&L demeurent Licéité, loyauté, transparence Limitation des finalités Minimisation des données Exactitude Limitation de la conservation Intégrité et confidentialité Respect des droits des personnes: • Information, • consentement • rectification, opposition • accès, rectification +
12 Et quelques nouveautés…
13 Critère de ciblage Sanctions augmentées Principe de responsabilité « accountability » Portabilité Partage des responsabilités Le Délégué à la Protection des Données (DPO)
La méthodologie PIA et l’outil dédié
Vue d’ensemble du PIA 15 RT, DPO, sous-traitants, métier, RSSI/DSI, personnes concernées Acteurs Sauf exception, traitements impliquant des risques élevés (9 critères) Traitement Avant la mise en œuvre du traitement Temporalité Évaluer la nécessité et la proportionnalité Gérer les risques sur les droits et libertés Objectif & enjeux Consultation de la CNIL ou ommuniquer à autrui (vecteur de confiance) Communication Description, analyse juridique, technique, évaluation des risques, mesures correctrices Processus 10M€ ou 2% du chiffre d’affaires mondial Sanction
Un PIA repose sur deux piliers 16 1. Respect des principes fondamentaux 2. Gestion des risques liés à la sécurité des données PIA (Privacy Impact Assessment)
Démarche méthodologique 17 Juridique Contexte Description Données Supports des données Etc.Principes fondamentaux Proportionnalité et nécessité Mesures protectrices des droits Décrire le traitement de données - A quoi sert-il ? - Comment fonctionne-t-il ? - Comment sont gérées les données ? Proportionnalité et nécessité : - Finalité (déterminée, explicite, légitime) - Fondement & licéité - Minimisation des données - Durée de conservation Mesures protectrices des droits : - Information des personnes - Droits - Sous-traitance - Transferts
Exercice : Principes fondamentaux Captoo - Prenez connaissance du cas d’étude (voir feuille imprimée) ; Minimisation des données - Quelles sont les données collectées et traitées par le dispositif ? Par rapport aux finalités, cela vous parait-il proportionné ? 18
Démarche méthodologique 19 Expertises techniquesJuridique Contexte Description Données Supports des données Etc.Principes fondamentaux Proportionnalité et nécessité Mesures protectrices des droits Risques liés à la sécurité des données Mesures existantes ou prévues Appréciation des risques Type de mesures - sur les données (chiffrement…) - générales de sécurité (maintenance) - organisationnelles (relation avec les tiers)
La structure d’un risque 20 Sources de risques Supports Données Impacts potentiels Vraisemblance Gravité Menaces Événements redoutés Risques
Exercice : Accès illégitime à des données Impacts Quels impacts sur les personnes ? Menaces Comment le risque peut-il se produire ? 21 Sources Qui (ou quoi) peut produire le risque ? Mesures Quelles mesures pour traiter le risque ?
Démarche méthodologique 22 Expertises techniquesJuridique Contexte Description Données Supports des données Etc.Principes fondamentaux Proportionnalité et nécessité Mesures protectrices des droits Risques liés à la sécurité des données Mesures existantes ou prévues Appréciation des risques Validation du PIA Évaluation Plan d’action Décision Réitérations possibles (PIA non validé, mise à jour du traitement…) Prise de décision - les risques résiduels sur les personnes sont-ils acceptables ?
Aider à la prise de décision 23
Pour aller plus loin 24
Les guides PIA de la CNIL 25
Le MOOC 26
https://linc.cnil.fr/ est présent sur Twitter (@LINCnil) et Github (@LaboCNIL). Suivez-nous !
Cette présentation, comme toutes les productions LINC, est mise à disposition, sous réserve des droits de propriété intellectuelle de tiers et sauf mention contraire, selon les termes de la licence Creative Commons CC-BY. Aux conditions suivantes : - Attribution : vous devez créditer la source des contenus, intégrer un lien vers la licence et préciser la date à laquelle le contenu a été récupéré. Vous devez indiquer ces informations par tous les moyens raisonnables, sans toutefois suggérer que la CNIL vous soutient ou soutient la façon dont vous avez utilisé ses contenus. - Lorsque ces contenus intègrent des éléments produits par des tiers, le contenu en question contient les mentions des droits de ces tiers (généralement en bas de page). Vous devez vous y conformer.
https://linc.cnil.fr/

Recommandé

Workshop - Le traitement de données biométriques par la CNIL
Workshop - Le traitement de données biométriques par la CNILWorkshop - Le traitement de données biométriques par la CNIL
Workshop - Le traitement de données biométriques par la CNILStéphanie Roger
 
La Protection des données personnelles : enjeux et perspectives
La Protection des données personnelles : enjeux et perspectivesLa Protection des données personnelles : enjeux et perspectives
La Protection des données personnelles : enjeux et perspectivesMarc Guichard
 
Internet et la protection des données personnelles
Internet et la protection des données personnelles Internet et la protection des données personnelles
Internet et la protection des données personnelles Inter-Ligere
 
Startups : protégez vos données biométriques avec la CNIL
Startups : protégez vos données biométriques avec la CNILStartups : protégez vos données biométriques avec la CNIL
Startups : protégez vos données biométriques avec la CNILFrenchTechCentral
 
Workshop CNIL données de santé et RGPD
Workshop CNIL données de santé et RGPDWorkshop CNIL données de santé et RGPD
Workshop CNIL données de santé et RGPDFrenchTechCentral
 
BigDataBx #1 - BigData et Protection de Données Privées
BigDataBx #1 - BigData et Protection de Données PrivéesBigDataBx #1 - BigData et Protection de Données Privées
BigDataBx #1 - BigData et Protection de Données PrivéesExcelerate Systems
 
Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen Thiebaut Devergranne
 
Workshop CNIL - RGPD & données de santé 22 février
Workshop CNIL - RGPD & données de santé 22 févrierWorkshop CNIL - RGPD & données de santé 22 février
Workshop CNIL - RGPD & données de santé 22 févrierStéphanie Roger
 

Recommandé

Workshop - Le traitement de données biométriques par la CNIL
Workshop - Le traitement de données biométriques par la CNILWorkshop - Le traitement de données biométriques par la CNIL
Workshop - Le traitement de données biométriques par la CNILStéphanie Roger
 
La Protection des données personnelles : enjeux et perspectives
La Protection des données personnelles : enjeux et perspectivesLa Protection des données personnelles : enjeux et perspectives
La Protection des données personnelles : enjeux et perspectivesMarc Guichard
 
Internet et la protection des données personnelles
Internet et la protection des données personnelles Internet et la protection des données personnelles
Internet et la protection des données personnelles Inter-Ligere
 
Startups : protégez vos données biométriques avec la CNIL
Startups : protégez vos données biométriques avec la CNILStartups : protégez vos données biométriques avec la CNIL
Startups : protégez vos données biométriques avec la CNILFrenchTechCentral
 
Workshop CNIL données de santé et RGPD
Workshop CNIL données de santé et RGPDWorkshop CNIL données de santé et RGPD
Workshop CNIL données de santé et RGPDFrenchTechCentral
 
BigDataBx #1 - BigData et Protection de Données Privées
BigDataBx #1 - BigData et Protection de Données PrivéesBigDataBx #1 - BigData et Protection de Données Privées
BigDataBx #1 - BigData et Protection de Données PrivéesExcelerate Systems
 
Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen Thiebaut Devergranne
 
Workshop CNIL - RGPD & données de santé 22 février
Workshop CNIL - RGPD & données de santé 22 févrierWorkshop CNIL - RGPD & données de santé 22 février
Workshop CNIL - RGPD & données de santé 22 févrierStéphanie Roger
 
Bâtiments connectés : "La protection des données doit être prise en compte tr...
Bâtiments connectés : "La protection des données doit être prise en compte tr...Bâtiments connectés : "La protection des données doit être prise en compte tr...
Bâtiments connectés : "La protection des données doit être prise en compte tr...Pascal ALIX
 
Lexpresse de la Banque Postale - Privacy et Big Data
Lexpresse de la Banque Postale - Privacy et Big DataLexpresse de la Banque Postale - Privacy et Big Data
Lexpresse de la Banque Postale - Privacy et Big DataAntoine Vigneron
 
Protection Des Données avec la Biométrie Match On Card
Protection Des Données avec la Biométrie Match On CardProtection Des Données avec la Biométrie Match On Card
Protection Des Données avec la Biométrie Match On CardSylvain Maret
 
Règlement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UERèglement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UEPECB
 
Privacy by Design
Privacy by DesignPrivacy by Design
Privacy by DesignEnjoyDigitAll by BNP Paribas
 
earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...Lexing - Belgium
 
Cnil - Guide Travail
Cnil - Guide TravailCnil - Guide Travail
Cnil - Guide Travailfoxshare
 
Workshop spécial données de santé & RGPD par la CNIL
Workshop spécial données de santé & RGPD par la CNILWorkshop spécial données de santé & RGPD par la CNIL
Workshop spécial données de santé & RGPD par la CNILFrenchTechCentral
 
Workshop CNIL - RGPD & Objets connectés
Workshop CNIL - RGPD & Objets connectésWorkshop CNIL - RGPD & Objets connectés
Workshop CNIL - RGPD & Objets connectésStéphanie Roger
 
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018David Blampain
 
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?Boris Clément
 
Le RGPD, véritable opportunité vers la gouvernance de l’information
Le RGPD, véritable opportunité vers la gouvernance de l’informationLe RGPD, véritable opportunité vers la gouvernance de l’information
Le RGPD, véritable opportunité vers la gouvernance de l’informationPECB
 
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...ASIP Santé
 
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper Guillaume Valcin
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekPascal ALIX
 
20171221-5 jni-rgpd
20171221-5 jni-rgpd20171221-5 jni-rgpd
20171221-5 jni-rgpdASIP Santé
 
Obligations RGPD : Comment-agir ?
Obligations RGPD : Comment-agir ?Obligations RGPD : Comment-agir ?
Obligations RGPD : Comment-agir ?Laïaché LAMRANI ★
 
AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18
AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18
AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18Cap'Com
 
Comment atteindre la conformité au RGPD
Comment atteindre la conformité au RGPDComment atteindre la conformité au RGPD
Comment atteindre la conformité au RGPDForums financiers de Wallonie
 
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018cedric delberghe
 
Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...Claranet
 
Club Excellence Opérationnelle : RGPD pour les TPE/PME
Club Excellence Opérationnelle : RGPD pour les TPE/PMEClub Excellence Opérationnelle : RGPD pour les TPE/PME
Club Excellence Opérationnelle : RGPD pour les TPE/PMELoïc Charpentier
 

Contenu connexe

Tendances

Bâtiments connectés : "La protection des données doit être prise en compte tr...
Bâtiments connectés : "La protection des données doit être prise en compte tr...Bâtiments connectés : "La protection des données doit être prise en compte tr...
Bâtiments connectés : "La protection des données doit être prise en compte tr...Pascal ALIX
 
Lexpresse de la Banque Postale - Privacy et Big Data
Lexpresse de la Banque Postale - Privacy et Big DataLexpresse de la Banque Postale - Privacy et Big Data
Lexpresse de la Banque Postale - Privacy et Big DataAntoine Vigneron
 
Protection Des Données avec la Biométrie Match On Card
Protection Des Données avec la Biométrie Match On CardProtection Des Données avec la Biométrie Match On Card
Protection Des Données avec la Biométrie Match On CardSylvain Maret
 
Règlement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UERèglement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UEPECB
 
earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...Lexing - Belgium
 
Cnil - Guide Travail
Cnil - Guide TravailCnil - Guide Travail
Cnil - Guide Travailfoxshare
 

Tendances (7)

Bâtiments connectés : "La protection des données doit être prise en compte tr...
Bâtiments connectés : "La protection des données doit être prise en compte tr...Bâtiments connectés : "La protection des données doit être prise en compte tr...
Bâtiments connectés : "La protection des données doit être prise en compte tr...
 
Lexpresse de la Banque Postale - Privacy et Big Data
Lexpresse de la Banque Postale - Privacy et Big DataLexpresse de la Banque Postale - Privacy et Big Data
Lexpresse de la Banque Postale - Privacy et Big Data
 
Protection Des Données avec la Biométrie Match On Card
Protection Des Données avec la Biométrie Match On CardProtection Des Données avec la Biométrie Match On Card
Protection Des Données avec la Biométrie Match On Card
 
Règlement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UERèglement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UE
 
Privacy by Design
Privacy by DesignPrivacy by Design
Privacy by Design
 
earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...
 
Cnil - Guide Travail
Cnil - Guide TravailCnil - Guide Travail
Cnil - Guide Travail
 

Similaire à Workshop CNIL - "Privacy Impact Assessment" : comment réaliser une analyse de risques ?

Workshop spécial données de santé & RGPD par la CNIL
Workshop spécial données de santé & RGPD par la CNILWorkshop spécial données de santé & RGPD par la CNIL
Workshop spécial données de santé & RGPD par la CNILFrenchTechCentral
 
Workshop CNIL - RGPD & Objets connectés
Workshop CNIL - RGPD & Objets connectésWorkshop CNIL - RGPD & Objets connectés
Workshop CNIL - RGPD & Objets connectésStéphanie Roger
 
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018David Blampain
 
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?Boris Clément
 
Le RGPD, véritable opportunité vers la gouvernance de l’information
Le RGPD, véritable opportunité vers la gouvernance de l’informationLe RGPD, véritable opportunité vers la gouvernance de l’information
Le RGPD, véritable opportunité vers la gouvernance de l’informationPECB
 
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...ASIP Santé
 
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper Guillaume Valcin
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekPascal ALIX
 
20171221-5 jni-rgpd
20171221-5 jni-rgpd20171221-5 jni-rgpd
20171221-5 jni-rgpdASIP Santé
 
AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18
AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18
AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18Cap'Com
 
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018cedric delberghe
 
Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...Claranet
 
Club Excellence Opérationnelle : RGPD pour les TPE/PME
Club Excellence Opérationnelle : RGPD pour les TPE/PMEClub Excellence Opérationnelle : RGPD pour les TPE/PME
Club Excellence Opérationnelle : RGPD pour les TPE/PMELoïc Charpentier
 
Atelier 8 - RGPD - Conférence Thierry Preel 2019
Atelier 8 - RGPD - Conférence Thierry Preel 2019Atelier 8 - RGPD - Conférence Thierry Preel 2019
Atelier 8 - RGPD - Conférence Thierry Preel 2019Tarn Tourisme
 
Rgpd simplifié - Présentation CGA du 22/05/2018
Rgpd simplifié - Présentation CGA du 22/05/2018Rgpd simplifié - Présentation CGA du 22/05/2018
Rgpd simplifié - Présentation CGA du 22/05/2018cedric delberghe
 
Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...
Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...
Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...Mailjet
 
Programme universite des DPO - AFCDP 24 janvier 2018
Programme universite des DPO - AFCDP 24 janvier 2018Programme universite des DPO - AFCDP 24 janvier 2018
Programme universite des DPO - AFCDP 24 janvier 2018Market iT
 

Similaire à Workshop CNIL - "Privacy Impact Assessment" : comment réaliser une analyse de risques ? (20)

Workshop spécial données de santé & RGPD par la CNIL
Workshop spécial données de santé & RGPD par la CNILWorkshop spécial données de santé & RGPD par la CNIL
Workshop spécial données de santé & RGPD par la CNIL
 
Workshop CNIL - RGPD & Objets connectés
Workshop CNIL - RGPD & Objets connectésWorkshop CNIL - RGPD & Objets connectés
Workshop CNIL - RGPD & Objets connectés
 
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
 
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
 
Le RGPD, véritable opportunité vers la gouvernance de l’information
Le RGPD, véritable opportunité vers la gouvernance de l’informationLe RGPD, véritable opportunité vers la gouvernance de l’information
Le RGPD, véritable opportunité vers la gouvernance de l’information
 
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
 
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis Nystek
 
20171221-5 jni-rgpd
20171221-5 jni-rgpd20171221-5 jni-rgpd
20171221-5 jni-rgpd
 
Obligations RGPD : Comment-agir ?
Obligations RGPD : Comment-agir ?Obligations RGPD : Comment-agir ?
Obligations RGPD : Comment-agir ?
 
AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18
AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18
AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18
 
Comment atteindre la conformité au RGPD
Comment atteindre la conformité au RGPDComment atteindre la conformité au RGPD
Comment atteindre la conformité au RGPD
 
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
 
Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...
 
Club Excellence Opérationnelle : RGPD pour les TPE/PME
Club Excellence Opérationnelle : RGPD pour les TPE/PMEClub Excellence Opérationnelle : RGPD pour les TPE/PME
Club Excellence Opérationnelle : RGPD pour les TPE/PME
 
Atelier 8 - RGPD - Conférence Thierry Preel 2019
Atelier 8 - RGPD - Conférence Thierry Preel 2019Atelier 8 - RGPD - Conférence Thierry Preel 2019
Atelier 8 - RGPD - Conférence Thierry Preel 2019
 
Rgpd simplifié - Présentation CGA du 22/05/2018
Rgpd simplifié - Présentation CGA du 22/05/2018Rgpd simplifié - Présentation CGA du 22/05/2018
Rgpd simplifié - Présentation CGA du 22/05/2018
 
Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...
Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...
Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...
 
Programme universite des DPO - AFCDP 24 janvier 2018
Programme universite des DPO - AFCDP 24 janvier 2018Programme universite des DPO - AFCDP 24 janvier 2018
Programme universite des DPO - AFCDP 24 janvier 2018
 
Atelier RGPD ANDRH 27.03.18
Atelier RGPD ANDRH 27.03.18Atelier RGPD ANDRH 27.03.18
Atelier RGPD ANDRH 27.03.18
 

Plus de Stéphanie Roger

Workshop IA : accélérez vos projets grâce au calcul intensif
Workshop IA : accélérez vos projets grâce au calcul intensif Workshop IA : accélérez vos projets grâce au calcul intensif
Workshop IA : accélérez vos projets grâce au calcul intensif Stéphanie Roger
 
Inria Tech Talk - La classification de données complexes avec MASSICCC
Inria Tech Talk - La classification de données complexes avec MASSICCCInria Tech Talk - La classification de données complexes avec MASSICCC
Inria Tech Talk - La classification de données complexes avec MASSICCCStéphanie Roger
 
Masterclass Welcome to France with Business France
Masterclass Welcome to France with Business FranceMasterclass Welcome to France with Business France
Masterclass Welcome to France with Business FranceStéphanie Roger
 
Inria Tech Talk : Validez vos protocoles IoT avec la plateforme FIT/IoT-LAB
Inria Tech Talk : Validez vos protocoles IoT avec la plateforme FIT/IoT-LABInria Tech Talk : Validez vos protocoles IoT avec la plateforme FIT/IoT-LAB
Inria Tech Talk : Validez vos protocoles IoT avec la plateforme FIT/IoT-LABStéphanie Roger
 
Dossier de Presse - chatbot
Dossier de Presse - chatbotDossier de Presse - chatbot
Dossier de Presse - chatbotStéphanie Roger
 
Masterclass pour s'implanter en Inde avec Business France Export et INPI
Masterclass pour s'implanter en Inde avec Business France Export et INPIMasterclass pour s'implanter en Inde avec Business France Export et INPI
Masterclass pour s'implanter en Inde avec Business France Export et INPIStéphanie Roger
 
Masterclass - Vendre au secteur public de santé par l'UGAP
Masterclass - Vendre au secteur public de santé par l'UGAPMasterclass - Vendre au secteur public de santé par l'UGAP
Masterclass - Vendre au secteur public de santé par l'UGAPStéphanie Roger
 
Inria Tech Talk : IceSL, le logiciel d'impression 3D
Inria Tech Talk : IceSL, le logiciel d'impression 3DInria Tech Talk : IceSL, le logiciel d'impression 3D
Inria Tech Talk : IceSL, le logiciel d'impression 3DStéphanie Roger
 
Masterclass pour se développer en zone ASEAN @BF Export @INPI
Masterclass pour se développer en zone ASEAN @BF Export @INPI Masterclass pour se développer en zone ASEAN @BF Export @INPI
Masterclass pour se développer en zone ASEAN @BF Export @INPIStéphanie Roger
 
Inria Tech Talk : Comment améliorer la qualité de vos logiciels avec STAMP
Inria Tech Talk : Comment améliorer la qualité de vos logiciels avec STAMPInria Tech Talk : Comment améliorer la qualité de vos logiciels avec STAMP
Inria Tech Talk : Comment améliorer la qualité de vos logiciels avec STAMPStéphanie Roger
 
Workshop les bonnes pratiques pour scaler sur le marché américain - 18 février
Workshop les bonnes pratiques pour scaler sur le marché américain - 18 févrierWorkshop les bonnes pratiques pour scaler sur le marché américain - 18 février
Workshop les bonnes pratiques pour scaler sur le marché américain - 18 févrierStéphanie Roger
 
Workshop Financement par la CCIPARIS-IDF
Workshop Financement par la CCIPARIS-IDF Workshop Financement par la CCIPARIS-IDF
Workshop Financement par la CCIPARIS-IDF Stéphanie Roger
 
Masterclass : les grands enjeux de la #Smartcity
Masterclass : les grands enjeux de la #SmartcityMasterclass : les grands enjeux de la #Smartcity
Masterclass : les grands enjeux de la #SmartcityStéphanie Roger
 
Inria Tech Talk : Améliorez vos applications de robotique & réalité augmentée
Inria Tech Talk : Améliorez vos applications de robotique & réalité augmentéeInria Tech Talk : Améliorez vos applications de robotique & réalité augmentée
Inria Tech Talk : Améliorez vos applications de robotique & réalité augmentéeStéphanie Roger
 
La Masterclass #RGPD #International @CNIL
La Masterclass #RGPD #International @CNILLa Masterclass #RGPD #International @CNIL
La Masterclass #RGPD #International @CNILStéphanie Roger
 
Workshop IA : supercalculateur pour booster vos projets par GENCI
Workshop IA : supercalculateur pour booster vos projets par GENCIWorkshop IA : supercalculateur pour booster vos projets par GENCI
Workshop IA : supercalculateur pour booster vos projets par GENCIStéphanie Roger
 
Workshop Recrutement #Associés #Fondateurs
Workshop Recrutement #Associés #FondateursWorkshop Recrutement #Associés #Fondateurs
Workshop Recrutement #Associés #FondateursStéphanie Roger
 
Masterclass #DatingChatBot #IA par Meetic
Masterclass #DatingChatBot #IA par MeeticMasterclass #DatingChatBot #IA par Meetic
Masterclass #DatingChatBot #IA par MeeticStéphanie Roger
 
Workshop Recruter ses associés fondateurs
Workshop Recruter ses associés fondateursWorkshop Recruter ses associés fondateurs
Workshop Recruter ses associés fondateursStéphanie Roger
 
Workshop recrutez vos premiers talents - focus Urssaf
Workshop recrutez vos premiers talents - focus UrssafWorkshop recrutez vos premiers talents - focus Urssaf
Workshop recrutez vos premiers talents - focus UrssafStéphanie Roger
 

Plus de Stéphanie Roger (20)

Workshop IA : accélérez vos projets grâce au calcul intensif
Workshop IA : accélérez vos projets grâce au calcul intensif Workshop IA : accélérez vos projets grâce au calcul intensif
Workshop IA : accélérez vos projets grâce au calcul intensif
 
Inria Tech Talk - La classification de données complexes avec MASSICCC
Inria Tech Talk - La classification de données complexes avec MASSICCCInria Tech Talk - La classification de données complexes avec MASSICCC
Inria Tech Talk - La classification de données complexes avec MASSICCC
 
Masterclass Welcome to France with Business France
Masterclass Welcome to France with Business FranceMasterclass Welcome to France with Business France
Masterclass Welcome to France with Business France
 
Inria Tech Talk : Validez vos protocoles IoT avec la plateforme FIT/IoT-LAB
Inria Tech Talk : Validez vos protocoles IoT avec la plateforme FIT/IoT-LABInria Tech Talk : Validez vos protocoles IoT avec la plateforme FIT/IoT-LAB
Inria Tech Talk : Validez vos protocoles IoT avec la plateforme FIT/IoT-LAB
 
Dossier de Presse - chatbot
Dossier de Presse - chatbotDossier de Presse - chatbot
Dossier de Presse - chatbot
 
Masterclass pour s'implanter en Inde avec Business France Export et INPI
Masterclass pour s'implanter en Inde avec Business France Export et INPIMasterclass pour s'implanter en Inde avec Business France Export et INPI
Masterclass pour s'implanter en Inde avec Business France Export et INPI
 
Masterclass - Vendre au secteur public de santé par l'UGAP
Masterclass - Vendre au secteur public de santé par l'UGAPMasterclass - Vendre au secteur public de santé par l'UGAP
Masterclass - Vendre au secteur public de santé par l'UGAP
 
Inria Tech Talk : IceSL, le logiciel d'impression 3D
Inria Tech Talk : IceSL, le logiciel d'impression 3DInria Tech Talk : IceSL, le logiciel d'impression 3D
Inria Tech Talk : IceSL, le logiciel d'impression 3D
 
Masterclass pour se développer en zone ASEAN @BF Export @INPI
Masterclass pour se développer en zone ASEAN @BF Export @INPI Masterclass pour se développer en zone ASEAN @BF Export @INPI
Masterclass pour se développer en zone ASEAN @BF Export @INPI
 
Inria Tech Talk : Comment améliorer la qualité de vos logiciels avec STAMP
Inria Tech Talk : Comment améliorer la qualité de vos logiciels avec STAMPInria Tech Talk : Comment améliorer la qualité de vos logiciels avec STAMP
Inria Tech Talk : Comment améliorer la qualité de vos logiciels avec STAMP
 
Workshop les bonnes pratiques pour scaler sur le marché américain - 18 février
Workshop les bonnes pratiques pour scaler sur le marché américain - 18 févrierWorkshop les bonnes pratiques pour scaler sur le marché américain - 18 février
Workshop les bonnes pratiques pour scaler sur le marché américain - 18 février
 
Workshop Financement par la CCIPARIS-IDF
Workshop Financement par la CCIPARIS-IDF Workshop Financement par la CCIPARIS-IDF
Workshop Financement par la CCIPARIS-IDF
 
Masterclass : les grands enjeux de la #Smartcity
Masterclass : les grands enjeux de la #SmartcityMasterclass : les grands enjeux de la #Smartcity
Masterclass : les grands enjeux de la #Smartcity
 
Inria Tech Talk : Améliorez vos applications de robotique & réalité augmentée
Inria Tech Talk : Améliorez vos applications de robotique & réalité augmentéeInria Tech Talk : Améliorez vos applications de robotique & réalité augmentée
Inria Tech Talk : Améliorez vos applications de robotique & réalité augmentée
 
La Masterclass #RGPD #International @CNIL
La Masterclass #RGPD #International @CNILLa Masterclass #RGPD #International @CNIL
La Masterclass #RGPD #International @CNIL
 
Workshop IA : supercalculateur pour booster vos projets par GENCI
Workshop IA : supercalculateur pour booster vos projets par GENCIWorkshop IA : supercalculateur pour booster vos projets par GENCI
Workshop IA : supercalculateur pour booster vos projets par GENCI
 
Workshop Recrutement #Associés #Fondateurs
Workshop Recrutement #Associés #FondateursWorkshop Recrutement #Associés #Fondateurs
Workshop Recrutement #Associés #Fondateurs
 
Masterclass #DatingChatBot #IA par Meetic
Masterclass #DatingChatBot #IA par MeeticMasterclass #DatingChatBot #IA par Meetic
Masterclass #DatingChatBot #IA par Meetic
 
Workshop Recruter ses associés fondateurs
Workshop Recruter ses associés fondateursWorkshop Recruter ses associés fondateurs
Workshop Recruter ses associés fondateurs
 
Workshop recrutez vos premiers talents - focus Urssaf
Workshop recrutez vos premiers talents - focus UrssafWorkshop recrutez vos premiers talents - focus Urssaf
Workshop recrutez vos premiers talents - focus Urssaf
 

Workshop CNIL - "Privacy Impact Assessment" : comment réaliser une analyse de risques ?

  • 1.
  • 2. Atelier CNIL - Méthode et outil PIA Estelle HARY – Designer Marjorie MENAPACE – Juriste, Service DPO Martin BIERI – Innovation & Prospective
  • 3. La CNIL à Station F par French Tech Central 3 Offre de services organisée autour d’ateliers: • Ateliers de sensibilisation: approfondissement RGPD (PIA, DPO, … ) • Ateliers thématiques: Healthtech, Fintech, IoT, … • Travaux pratiques: tag management, onboarding apps,…
  • 4. Privacy et protection des données comme facteur de différenciation ?
  • 5. 5 - Informer & conseiller - Guides pratiques, tutoriels, vidéo - Ateliers pour les DPO - Labels, recommandation - Contrôler & sanctionner - Déclarations & autorisations - Contrôles sur place et à distance - Sanctions
  • 8. 8
  • 10. 10
  • 11. 11 + Les grands principes I&L demeurent Licéité, loyauté, transparence Limitation des finalités Minimisation des données Exactitude Limitation de la conservation Intégrité et confidentialité Respect des droits des personnes: • Information, • consentement • rectification, opposition • accès, rectification +
  • 13. 13 Critère de ciblage Sanctions augmentées Principe de responsabilité « accountability » Portabilité Partage des responsabilités Le Délégué à la Protection des Données (DPO)
  • 14. La méthodologie PIA et l’outil dédié
  • 15. Vue d’ensemble du PIA 15 RT, DPO, sous-traitants, métier, RSSI/DSI, personnes concernées Acteurs Sauf exception, traitements impliquant des risques élevés (9 critères) Traitement Avant la mise en œuvre du traitement Temporalité Évaluer la nécessité et la proportionnalité Gérer les risques sur les droits et libertés Objectif & enjeux Consultation de la CNIL ou ommuniquer à autrui (vecteur de confiance) Communication Description, analyse juridique, technique, évaluation des risques, mesures correctrices Processus 10M€ ou 2% du chiffre d’affaires mondial Sanction
  • 16. Un PIA repose sur deux piliers 16 1. Respect des principes fondamentaux 2. Gestion des risques liés à la sécurité des données PIA (Privacy Impact Assessment)
  • 17. Démarche méthodologique 17 Juridique Contexte Description Données Supports des données Etc.Principes fondamentaux Proportionnalité et nécessité Mesures protectrices des droits Décrire le traitement de données - A quoi sert-il ? - Comment fonctionne-t-il ? - Comment sont gérées les données ? Proportionnalité et nécessité : - Finalité (déterminée, explicite, légitime) - Fondement & licéité - Minimisation des données - Durée de conservation Mesures protectrices des droits : - Information des personnes - Droits - Sous-traitance - Transferts
  • 18. Exercice : Principes fondamentaux Captoo - Prenez connaissance du cas d’étude (voir feuille imprimée) ; Minimisation des données - Quelles sont les données collectées et traitées par le dispositif ? Par rapport aux finalités, cela vous parait-il proportionné ? 18
  • 19. Démarche méthodologique 19 Expertises techniquesJuridique Contexte Description Données Supports des données Etc.Principes fondamentaux Proportionnalité et nécessité Mesures protectrices des droits Risques liés à la sécurité des données Mesures existantes ou prévues Appréciation des risques Type de mesures - sur les données (chiffrement…) - générales de sécurité (maintenance) - organisationnelles (relation avec les tiers)
  • 20. La structure d’un risque 20 Sources de risques Supports Données Impacts potentiels Vraisemblance Gravité Menaces Événements redoutés Risques
  • 21. Exercice : Accès illégitime à des données Impacts Quels impacts sur les personnes ? Menaces Comment le risque peut-il se produire ? 21 Sources Qui (ou quoi) peut produire le risque ? Mesures Quelles mesures pour traiter le risque ?
  • 22. Démarche méthodologique 22 Expertises techniquesJuridique Contexte Description Données Supports des données Etc.Principes fondamentaux Proportionnalité et nécessité Mesures protectrices des droits Risques liés à la sécurité des données Mesures existantes ou prévues Appréciation des risques Validation du PIA Évaluation Plan d’action Décision Réitérations possibles (PIA non validé, mise à jour du traitement…) Prise de décision - les risques résiduels sur les personnes sont-ils acceptables ?
  • 23. Aider à la prise de décision 23
  • 24. Pour aller plus loin 24
  • 25. Les guides PIA de la CNIL 25
  • 27. https://linc.cnil.fr/ est présent sur Twitter (@LINCnil) et Github (@LaboCNIL). Suivez-nous !
  • 28. Cette présentation, comme toutes les productions LINC, est mise à disposition, sous réserve des droits de propriété intellectuelle de tiers et sauf mention contraire, selon les termes de la licence Creative Commons CC-BY. Aux conditions suivantes : - Attribution : vous devez créditer la source des contenus, intégrer un lien vers la licence et préciser la date à laquelle le contenu a été récupéré. Vous devez indiquer ces informations par tous les moyens raisonnables, sans toutefois suggérer que la CNIL vous soutient ou soutient la façon dont vous avez utilisé ses contenus. - Lorsque ces contenus intègrent des éléments produits par des tiers, le contenu en question contient les mentions des droits de ces tiers (généralement en bas de page). Vous devez vous y conformer.