SlideShare une entreprise Scribd logo
WORKSHOP
23 octobre 2020
Développez vos applications en conformité avec
le RGPD - CNIL
Jérôme Gorin & Benjamin Poilvé
Service de l’Expertise Technologique - CNIL
Les origines de la CNIL
et du guide développeur
Un peu d’histoire
L’objectif : apporter la confiance
• Sécurité et protection de la vie privée
apparaissent aujourd’hui comme des conditions
sine qua non pour apporter la confiance aux
usagers
• Dans un contexte où tout est donnée, où les
menaces sont réelles et où la technologie nous
dépasse parfois, ce besoin de confiance devient
un enjeu primordial
5
Les innovations du RGPD
Moins de formalités, plus de responsabilité
Qui est concerné ?
• Entreprises établies en UE et celles ciblant des européens
• « Responsables de traitements » et « sous-traitants »
Qu’est-ce qui change ?
• Moins de formalités (déclarations, demandes d’autorisations, etc.)
• Le principe d’« Accountability » : se mettre en conformité et pouvoir le démontrer
Quels sont les principes à respecter ?
• Finalité légitime déterminée, limitation des données et de leurs durées de conservation, information claire, droits des personnes, sécurité, etc.
• Privacy by design : intégrer la protection de la vie privée au plus tôt
Quels sont les outils ?
• Le délégué (DPO)
• Le registre des traitements
• Des outils pour établir la confiance : référentiels de la CNIL, certifications, codes de conduite, etc.
6
7
Les ressources disponibles
8
Les ressources disponibles
?
Laboratoire d'Innovation Numérique de
la CNIL (LINC)
9
CookieViz
Outil de visualisation pour mesurer l'impact des
cookies et autres traqueurs lors de votre propre
navigation.
Mobilitics
Comprendre l'écosystème des smartphones et lever le voile
sur ces "boites noires" que sont nos smartphones.
Le logiciel PIA de la CNIL
Principales caractéristiques
• Aider les entreprises qui ne disposent pas d’un outil
• Solution simple, user-friendly
• Logiciel libre et open source, en français et en anglais
• Bases de connaissances pour les principes de protection
de la vie privée
• Cartographie des risques et de leurs composantes
• Réutilisation des PIAs
10
privacy impact assessment
Guide RGPD du
développeur
11
Guide RGPD du développeur
• Se destine à tous types développeurs : les
développeurs full-stack des petites entreprises, comme
des équipes projets ou techniques
• L’objectif est de définir les concepts clefs du RGPD
ainsi que fournir un ensemble de point d’attentions
pour atteindre la conformité
• Guide sous licence ouverte 2.0 : vous êtes libre de le
copier, le réutiliser, le distribuer, le modifier voire de
nous proposer vos modifications
12
Guide RGPD du développeur
13
0. Développer en conformité avec le RGPD
1. Identifier les données à caractère personnel
2. Préparer son développement
3. Sécuriser son environnement de développement
4. Gérer son code source
5. Faire un choix éclairé de son architecture
6. Sécuriser vos sites web, vos applications et vos serveurs
7. Minimiser les données collectées
8. Gérer les profils utilisateurs
9. Maîtriser vos bibliothèques et vos SDK
10. Veiller à la qualité de votre code et sa documentation
11. Tester vos applications
12. Informer les utilisateurs
13. Préparer l'exercice des droits des personnes
14. Gérer la durée de conservation des données
15. Prendre en compte les bases légales dans l’implémentation
technique
16. Mesurer la fréquentation de vos sites web et de vos
applications
0. Développer en conformité avec le RGPD
14
1. Identifier les données à caractère personnel
15
1. Identifier les données à caractère personnel
16
Protection
Risquede
réidentification
Données d’origine, directement ou
indirectement identifiantes
Suppriment toutes
possibilités d’identification
des individus :
par individualisation,
corrélation ou inférence
Non attribuables à une
personne physique
sans recours à des
informations
supplémentaires
2. Préparer son développement
17
Les
risques
Principales
mesures
Sécuriser le traitement par
ex. authentification et
communications
Permettre l’exercice des
droits (information,
consentement…)
Étudier le parcours de la
donnée (depuis la collecte
jusqu’à sa destruction)
Mener une réflexion sur
les paramètres relatifs à la
vie privée
Vulnérabilités
Manque d’information et
difficultés pour exercer
ses droits
Centralisation et
dissémination des
données
Connaissance fine dans la
durée
privacy by design
=
5. Faire un choix éclairé de son architecture
18
En cas de recours à un prestataire pour l’hébergement :
• Choisir un prestataire garantissant la mise en place de mesures de sécurité et de confidentialité
appropriées, et suffisamment transparentes. La CNIL vous propose des modèles de clauses de
confidentialité.
• S’assurer de connaître la localisation géographique des serveurs qui vont héberger vos données. Vous
pouvez être amené⋅e à effectuer des transferts de données hors de l’Union européenne (UE) et de l’espace
économique européen (EEE). Les transferts hors de cet espace sont possibles, à condition d’assurer un niveau
de protection des données suffisant et approprié. La CNIL fournit sur site une carte permettant de visualiser
les différents niveaux de protection des données des pays dans le monde.
• Si vous devez recourir à un prestataire pour héberger des données de santé, assurez-vous que celui-ci
est certifié ou agréé pour cette activité.
7. Minimiser les données collectées
19
Vous ne devez collecter que les données personnelles qui sont adéquates, pertinentes et nécessaires au regard
des finalités de votre traitement telles que définies au moment de la collecte :
• Si possible, traitez les données pour réduire leur précision (pseudonymisation)
• Attention au données particulièrement sensibles, par exemple celles relatives à la santé ou à des
condamnations pénales.
• Certaines fonctionnalités peuvent permettre d’améliorer l’expérience utilisateur, mais ne sont pas strictement
nécessaires au bon fonctionnement de votre application (par exemple la géolocalisation afin de simplifier
une recherche géographique). Dans ce cas, l’utilisateur final doit pouvoir choisir d’utiliser ou non cette
fonctionnalité.
• Pensez à associer des durées de conservation pour chaque catégorie de données, en fonction de la finalité du
traitement
12. Informer les personnes
20
Il faut informer les personnes concernées :
• aussi bien en cas de collecte directe des données c’est-à-dire lorsque des données sont recueillies
directement auprès des personnes
• qu’en cas de collecte indirecte des données personnelles, lorsque les données ne sont pas recueillies
directement auprès des personnes
Il faut le faire :
• au moment du recueil des données en cas de collecte directe ;
• dès que possible en cas de collecte indirecte (notamment lors du premier contact avec la personne) et au plus
tard, dans le délai d’un mois (sauf exceptions) ;
12. Informer les personnes
21
Les informations à fournir :
• l’identité et les coordonnées de l’organisme
• les finalités
• la base légale
• le caractère obligatoire ou facultatif du recueil des données
• les destinataires ou catégories de destinataires des données
• la durée de conservation des données
• l’existence des droits des personnes concernées ainsi que les
moyens de les exercer
• les coordonnées du délégué à la protection des données
• le droit d’introduire une réclamation auprès de la CNIL.
12. Informer les personnes
22
12. Informer les personnes
23
Un organisme peut par erreur ou par négligence subir, de manière accidentelle ou malintentionnée, une
violation de données personnelles, c’est à dire une atteinte à la sécurité des données, autrement dit la
destruction, la perte, l’altération ou la divulgation non autorisée de données. Dans ce cas, l’organisme doit
signaler la violation à la CNIL dans les 72 heures si celle-ci est susceptible de représenter un risque pour les
droits et libertés des personnes.
13. Préparer l’exercice des droits des personnes
24
Droit d’accès : les personnes ont le droit d’obtenir une copie de toutes les informations que
vous avez à leur sujet dans un format lisible.
Droit à l’effacement : les personnes ont le droit de demander l’effacement de l’intégralité des
données que vous détenez sur elles.
Droit d’opposition : les personnes ont le droit de s’opposer à ce que leurs données soient
utilisées pour un objectif précis.
Droit à la portabilité : les personnes ont le droit de récupérer leurs données dans un format
lisible par machine, pour leur propre usage ou pour les fournir à un autre organisme.
13. Préparer l’exercice des droits des personnes
25
Droit à la rectification : Les personnes ont le droit de demander la modification de
leurs données lorsque celles-ci sont incorrectes.
Droit à la limitation du traitement : les personnes ont le droit de demander à ce que
le traitement de leurs données soit bloqué pendant un certain temps, par exemple le
temps d’examiner une contestation de sa part sur l’utilisation de ses données ou une
demande d’exercice de droits.
droits à l’intervention humaine face à votre profilage ou à une décision automatisée
15. Prendre en compte les bases légales dans
l’implémentation technique
26
Pour les entreprise, les traitements de données personnelles doivent se fonder sur l’une des bases légales :
Le traitement est
nécessaire à
l’exécution du contrat
le traitement poursuit un intérêt
"légitime" et n’est pas susceptible
d’affecter les droits et libertés
OU
la personne concernée
a explicitement
consenti au traitement.
OU
15. Prendre en compte les bases légales dans
l’implémentation technique
27
15. Prendre en compte les bases légales dans
l’implémentation technique
28
Le cas spécifique des cookies et autres traceurs :
16. Mesurer la fréquentation de vos sites web et
de vos applications
29
Bénéficier de l’exemption de consentement :
• avoir une finalité strictement limitée à la seule mesure de l’audience du site ou de l’application
• ne pas permettre le suivi global de la navigation de la personne
• servir uniquement à produire des données statistiques anonymes
• ne pas conduire à un recoupement des données avec d’autres traitements ou à ce que les données soient
transmises à des tiers
Les offres de mesure d’audience n’entrent pas dans le périmètre de l’exemption notamment lorsque les
fournisseurs indiquent réutiliser les données pour leur propre compte. C’est le cas notamment de plusieurs
grandes offres de mesure d’audience disponibles sur le marché (voir notamment les politiques de confidentialité
de Google Analytics, de Quantcast Analytics ou encore de Facebook Analytics).
3. Sécuriser son environnement de développement
4. Gérer son code source
6. Sécuriser vos sites web, vos applications et vos serveurs
8. Gérer les utilisateurs
9. Maîtriser vos bibliothèques et vos SDK
10. Veiller à la qualité de votre code et sa documentation
11. Tester vos applications
14. Gérer la durée de conservation des données
30
Les fiches plus techniques
Le futur du guide
31
Nouvelle version en préparation !
• Les recommandations sont désormais associées à des exemples de code
• Nouvelle section sur le consentement
• Recommandations sur le cloud tirées du livre blanc sur les assistants vocaux
• Section sur les vulnérabilités les plus fréquentes basé sur les violations
• Et des focus sur d’autres thématiques à venir…
Qu’en pensez-vous ?
Certains points sont-ils encore obscurs ?
Souhaitez-vous y voir aborder d’autres thématiques ?
Comment pouvez-vous contribuer?
Retrouvez la programmation
de la French Tech Central
sur le site
french-tech-central.com

Contenu connexe

Tendances

Webinar | Le RGPD en pratique et bien outillé
Webinar | Le RGPD en pratique et bien outilléWebinar | Le RGPD en pratique et bien outillé
Webinar | Le RGPD en pratique et bien outillé
Everteam
 
earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...
Lexing - Belgium
 
Présentation RGPD pour les PME du reseaux-business.com de mars 2018
Présentation RGPD pour les PME du  reseaux-business.com de mars 2018Présentation RGPD pour les PME du  reseaux-business.com de mars 2018
Présentation RGPD pour les PME du reseaux-business.com de mars 2018
aucompte xavier
 
ISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPDISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPD
Agathe Rouviere 🚀
 
Gdpr presentation
Gdpr   presentationGdpr   presentation
Gdpr presentation
Gaetan Karre
 
Guide RGPD - IAB France
Guide RGPD - IAB FranceGuide RGPD - IAB France
Guide RGPD - IAB France
Romain Fonnier
 
Atelier 8 - RGPD - Conférence Thierry Preel 2019
Atelier 8 - RGPD - Conférence Thierry Preel 2019Atelier 8 - RGPD - Conférence Thierry Preel 2019
Atelier 8 - RGPD - Conférence Thierry Preel 2019
Tarn Tourisme
 
Solutions GDPR 2017 par Rever SA
Solutions GDPR 2017 par Rever SASolutions GDPR 2017 par Rever SA
Solutions GDPR 2017 par Rever SA
Muriel Adamski
 
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)
AT Internet
 
Protection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentielProtection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentiel
Pierre MASSOT
 
RGPD / GDPR & Webmarketing : Quel impact pour votre entreprise ?
RGPD / GDPR & Webmarketing : Quel impact pour votre entreprise ?RGPD / GDPR & Webmarketing : Quel impact pour votre entreprise ?
RGPD / GDPR & Webmarketing : Quel impact pour votre entreprise ?
Vanessa CRITON
 
RGPD
RGPDRGPD
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis Nystek
Pascal ALIX
 
Cnil - Guide Travail
Cnil - Guide TravailCnil - Guide Travail
Cnil - Guide Travailfoxshare
 
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)
AT Internet
 
Comprendre le RGPD
Comprendre le RGPDComprendre le RGPD
Comprendre le RGPD
Nuageo
 
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
Lexing - Belgium
 
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Niji
 
Rgpd presentation
Rgpd presentationRgpd presentation
Rgpd presentation
gnizon
 
Adetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketingAdetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketing
Luc-Marie AUGAGNEUR
 

Tendances (20)

Webinar | Le RGPD en pratique et bien outillé
Webinar | Le RGPD en pratique et bien outilléWebinar | Le RGPD en pratique et bien outillé
Webinar | Le RGPD en pratique et bien outillé
 
earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...
 
Présentation RGPD pour les PME du reseaux-business.com de mars 2018
Présentation RGPD pour les PME du  reseaux-business.com de mars 2018Présentation RGPD pour les PME du  reseaux-business.com de mars 2018
Présentation RGPD pour les PME du reseaux-business.com de mars 2018
 
ISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPDISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPD
 
Gdpr presentation
Gdpr   presentationGdpr   presentation
Gdpr presentation
 
Guide RGPD - IAB France
Guide RGPD - IAB FranceGuide RGPD - IAB France
Guide RGPD - IAB France
 
Atelier 8 - RGPD - Conférence Thierry Preel 2019
Atelier 8 - RGPD - Conférence Thierry Preel 2019Atelier 8 - RGPD - Conférence Thierry Preel 2019
Atelier 8 - RGPD - Conférence Thierry Preel 2019
 
Solutions GDPR 2017 par Rever SA
Solutions GDPR 2017 par Rever SASolutions GDPR 2017 par Rever SA
Solutions GDPR 2017 par Rever SA
 
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)
 
Protection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentielProtection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentiel
 
RGPD / GDPR & Webmarketing : Quel impact pour votre entreprise ?
RGPD / GDPR & Webmarketing : Quel impact pour votre entreprise ?RGPD / GDPR & Webmarketing : Quel impact pour votre entreprise ?
RGPD / GDPR & Webmarketing : Quel impact pour votre entreprise ?
 
RGPD
RGPDRGPD
RGPD
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis Nystek
 
Cnil - Guide Travail
Cnil - Guide TravailCnil - Guide Travail
Cnil - Guide Travail
 
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)
 
Comprendre le RGPD
Comprendre le RGPDComprendre le RGPD
Comprendre le RGPD
 
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
 
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
 
Rgpd presentation
Rgpd presentationRgpd presentation
Rgpd presentation
 
Adetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketingAdetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketing
 

Similaire à Workshop CNIL

Rgpd sensibilisation fc vf
Rgpd sensibilisation fc vfRgpd sensibilisation fc vf
Rgpd sensibilisation fc vf
MostafaAITMEHDI
 
SÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPDSÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPD
TelecomValley
 
Competitic gestion des données personnelles et obligations - numerique en e...
Competitic   gestion des données personnelles et obligations - numerique en e...Competitic   gestion des données personnelles et obligations - numerique en e...
Competitic gestion des données personnelles et obligations - numerique en e...
COMPETITIC
 
GDPR et RH
GDPR et RHGDPR et RH
earlegal #5 - Comment protéger l’investissement de mon entreprise dans un pro...
earlegal #5 - Comment protéger l’investissement de mon entreprise dans un pro...earlegal #5 - Comment protéger l’investissement de mon entreprise dans un pro...
earlegal #5 - Comment protéger l’investissement de mon entreprise dans un pro...
Lexing - Belgium
 
Obligations RGPD : Comment-agir ?
Obligations RGPD : Comment-agir ?Obligations RGPD : Comment-agir ?
Obligations RGPD : Comment-agir ?
Laïaché LAMRANI ★
 
ISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPDISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPD
Inforsud Diffusion
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des Données
Terface
 
Ifc gdpr cmd sept 2019
Ifc gdpr cmd sept 2019Ifc gdpr cmd sept 2019
Ifc gdpr cmd sept 2019
Prof. Jacques Folon (Ph.D)
 
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
Boris Clément
 
INFOGRAPHIE - Focus sur le RGPD
INFOGRAPHIE - Focus sur le RGPDINFOGRAPHIE - Focus sur le RGPD
INFOGRAPHIE - Focus sur le RGPD
Mohamed KAROUT
 
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Hapsis
 
Open Data, protection des données personnelles et de la vie privée
Open Data, protection des données personnelles et de la vie privéeOpen Data, protection des données personnelles et de la vie privée
Open Data, protection des données personnelles et de la vie privée
Florence Bonnet
 
Workshop spécial données de santé & RGPD par la CNIL
Workshop spécial données de santé & RGPD par la CNILWorkshop spécial données de santé & RGPD par la CNIL
Workshop spécial données de santé & RGPD par la CNIL
FrenchTechCentral
 
Droit Et Deontologie Partie 1 Isfsc Sept 2009
Droit Et Deontologie Partie 1 Isfsc Sept 2009Droit Et Deontologie Partie 1 Isfsc Sept 2009
Droit Et Deontologie Partie 1 Isfsc Sept 2009
Prof. Jacques Folon (Ph.D)
 
Rgpd et marketing digital
Rgpd et marketing digitalRgpd et marketing digital
Rgpd et marketing digital
Prof. Jacques Folon (Ph.D)
 
AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18
AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18
AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18
Cap'Com
 
[Infographie] Le RGPD - en bref
[Infographie] Le RGPD - en bref[Infographie] Le RGPD - en bref
[Infographie] Le RGPD - en bref
Thinkmarket
 
Gestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsGestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligations
Claranet
 
Règlement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UERèglement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UE
PECB
 

Similaire à Workshop CNIL (20)

Rgpd sensibilisation fc vf
Rgpd sensibilisation fc vfRgpd sensibilisation fc vf
Rgpd sensibilisation fc vf
 
SÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPDSÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPD
 
Competitic gestion des données personnelles et obligations - numerique en e...
Competitic   gestion des données personnelles et obligations - numerique en e...Competitic   gestion des données personnelles et obligations - numerique en e...
Competitic gestion des données personnelles et obligations - numerique en e...
 
GDPR et RH
GDPR et RHGDPR et RH
GDPR et RH
 
earlegal #5 - Comment protéger l’investissement de mon entreprise dans un pro...
earlegal #5 - Comment protéger l’investissement de mon entreprise dans un pro...earlegal #5 - Comment protéger l’investissement de mon entreprise dans un pro...
earlegal #5 - Comment protéger l’investissement de mon entreprise dans un pro...
 
Obligations RGPD : Comment-agir ?
Obligations RGPD : Comment-agir ?Obligations RGPD : Comment-agir ?
Obligations RGPD : Comment-agir ?
 
ISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPDISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPD
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des Données
 
Ifc gdpr cmd sept 2019
Ifc gdpr cmd sept 2019Ifc gdpr cmd sept 2019
Ifc gdpr cmd sept 2019
 
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
 
INFOGRAPHIE - Focus sur le RGPD
INFOGRAPHIE - Focus sur le RGPDINFOGRAPHIE - Focus sur le RGPD
INFOGRAPHIE - Focus sur le RGPD
 
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
 
Open Data, protection des données personnelles et de la vie privée
Open Data, protection des données personnelles et de la vie privéeOpen Data, protection des données personnelles et de la vie privée
Open Data, protection des données personnelles et de la vie privée
 
Workshop spécial données de santé & RGPD par la CNIL
Workshop spécial données de santé & RGPD par la CNILWorkshop spécial données de santé & RGPD par la CNIL
Workshop spécial données de santé & RGPD par la CNIL
 
Droit Et Deontologie Partie 1 Isfsc Sept 2009
Droit Et Deontologie Partie 1 Isfsc Sept 2009Droit Et Deontologie Partie 1 Isfsc Sept 2009
Droit Et Deontologie Partie 1 Isfsc Sept 2009
 
Rgpd et marketing digital
Rgpd et marketing digitalRgpd et marketing digital
Rgpd et marketing digital
 
AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18
AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18
AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18
 
[Infographie] Le RGPD - en bref
[Infographie] Le RGPD - en bref[Infographie] Le RGPD - en bref
[Infographie] Le RGPD - en bref
 
Gestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsGestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligations
 
Règlement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UERèglement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UE
 

Plus de FrenchTechCentral

La Douane pour les débutants - épisode 2 : l’origine de ma marchandise
La Douane pour les débutants - épisode 2 : l’origine de ma marchandiseLa Douane pour les débutants - épisode 2 : l’origine de ma marchandise
La Douane pour les débutants - épisode 2 : l’origine de ma marchandise
FrenchTechCentral
 
Recrutement & première embauche : découvrez les bons réflexes ! @URSSAF
Recrutement & première embauche : découvrez les bons réflexes ! @URSSAFRecrutement & première embauche : découvrez les bons réflexes ! @URSSAF
Recrutement & première embauche : découvrez les bons réflexes ! @URSSAF
FrenchTechCentral
 
Comment accéder aux marchés publics en tant que startup ? Zoom économie circu...
Comment accéder aux marchés publics en tant que startup ? Zoom économie circu...Comment accéder aux marchés publics en tant que startup ? Zoom économie circu...
Comment accéder aux marchés publics en tant que startup ? Zoom économie circu...
FrenchTechCentral
 
Ou et comment recruter un.e UX designer pour ma startup ? @GEN
Ou et comment recruter un.e UX designer pour ma startup ? @GENOu et comment recruter un.e UX designer pour ma startup ? @GEN
Ou et comment recruter un.e UX designer pour ma startup ? @GEN
FrenchTechCentral
 
La Douane pour les débutants – Épisode 1 : la nomenclature douanière de votre...
La Douane pour les débutants – Épisode 1 : la nomenclature douanière de votre...La Douane pour les débutants – Épisode 1 : la nomenclature douanière de votre...
La Douane pour les débutants – Épisode 1 : la nomenclature douanière de votre...
FrenchTechCentral
 
Bluetooth, Wi-Fi, NFC… Comment les bandes libres bénéficient aux startups ?
Bluetooth, Wi-Fi, NFC… Comment les bandes libres bénéficient aux startups ? Bluetooth, Wi-Fi, NFC… Comment les bandes libres bénéficient aux startups ?
Bluetooth, Wi-Fi, NFC… Comment les bandes libres bénéficient aux startups ?
FrenchTechCentral
 
Financement & AAP : quelles ressources pour les startups de la French Touch ...
 Financement & AAP : quelles ressources pour les startups de la French Touch ... Financement & AAP : quelles ressources pour les startups de la French Touch ...
Financement & AAP : quelles ressources pour les startups de la French Touch ...
FrenchTechCentral
 
LEGAL DAY #3/4 - Comment aborder une levée de fonds ? @BOLD @ISAI @CCIParis
LEGAL DAY #3/4 - Comment aborder une levée de fonds ? @BOLD @ISAI @CCIParisLEGAL DAY #3/4 - Comment aborder une levée de fonds ? @BOLD @ISAI @CCIParis
LEGAL DAY #3/4 - Comment aborder une levée de fonds ? @BOLD @ISAI @CCIParis
FrenchTechCentral
 
LEGAL DAY #2/4 - Première embauche & au delà @InspectionDuTravail
LEGAL DAY #2/4 - Première embauche & au delà @InspectionDuTravailLEGAL DAY #2/4 - Première embauche & au delà @InspectionDuTravail
LEGAL DAY #2/4 - Première embauche & au delà @InspectionDuTravail
FrenchTechCentral
 
LEGAL DAY #1/4 - Les red flags au lancement de ma startup @INPI @BOLD
LEGAL DAY #1/4 - Les red flags au lancement de ma startup @INPI @BOLDLEGAL DAY #1/4 - Les red flags au lancement de ma startup @INPI @BOLD
LEGAL DAY #1/4 - Les red flags au lancement de ma startup @INPI @BOLD
FrenchTechCentral
 
Startups : protégez vos données biométriques avec la CNIL
Startups : protégez vos données biométriques avec la CNILStartups : protégez vos données biométriques avec la CNIL
Startups : protégez vos données biométriques avec la CNIL
FrenchTechCentral
 
Stratégie & financement : innovez avec le partenariat tech international - Bp...
Stratégie & financement : innovez avec le partenariat tech international - Bp...Stratégie & financement : innovez avec le partenariat tech international - Bp...
Stratégie & financement : innovez avec le partenariat tech international - Bp...
FrenchTechCentral
 
Podcast : panorama d'un secteur en ébullition - Radio France - Résidence Créatis
Podcast : panorama d'un secteur en ébullition - Radio France - Résidence CréatisPodcast : panorama d'un secteur en ébullition - Radio France - Résidence Créatis
Podcast : panorama d'un secteur en ébullition - Radio France - Résidence Créatis
FrenchTechCentral
 
Financement pour startups early stage - Bpifrance - CCIParis
Financement pour startups early stage - Bpifrance - CCIParisFinancement pour startups early stage - Bpifrance - CCIParis
Financement pour startups early stage - Bpifrance - CCIParis
FrenchTechCentral
 
Outils & financement : le 360° du recrutement startup - Pôle Emploi - Incubat...
Outils & financement : le 360° du recrutement startup - Pôle Emploi - Incubat...Outils & financement : le 360° du recrutement startup - Pôle Emploi - Incubat...
Outils & financement : le 360° du recrutement startup - Pôle Emploi - Incubat...
FrenchTechCentral
 
Ftc webinar financement_20-mai-21
Ftc webinar financement_20-mai-21Ftc webinar financement_20-mai-21
Ftc webinar financement_20-mai-21
FrenchTechCentral
 
Ftc webinar financement_20-mai-21
Ftc webinar financement_20-mai-21Ftc webinar financement_20-mai-21
Ftc webinar financement_20-mai-21
FrenchTechCentral
 
Workshop recrutement-pole-emploi-141218
Workshop recrutement-pole-emploi-141218Workshop recrutement-pole-emploi-141218
Workshop recrutement-pole-emploi-141218
FrenchTechCentral
 
Outils & financement : le 360° du recrutement startup - Pôle Emploi - Incubat...
Outils & financement : le 360° du recrutement startup - Pôle Emploi - Incubat...Outils & financement : le 360° du recrutement startup - Pôle Emploi - Incubat...
Outils & financement : le 360° du recrutement startup - Pôle Emploi - Incubat...
FrenchTechCentral
 
Outils & financement : le 360° du recrutement startup - Pôle Emploi - Incubat...
Outils & financement : le 360° du recrutement startup - Pôle Emploi - Incubat...Outils & financement : le 360° du recrutement startup - Pôle Emploi - Incubat...
Outils & financement : le 360° du recrutement startup - Pôle Emploi - Incubat...
FrenchTechCentral
 

Plus de FrenchTechCentral (20)

La Douane pour les débutants - épisode 2 : l’origine de ma marchandise
La Douane pour les débutants - épisode 2 : l’origine de ma marchandiseLa Douane pour les débutants - épisode 2 : l’origine de ma marchandise
La Douane pour les débutants - épisode 2 : l’origine de ma marchandise
 
Recrutement & première embauche : découvrez les bons réflexes ! @URSSAF
Recrutement & première embauche : découvrez les bons réflexes ! @URSSAFRecrutement & première embauche : découvrez les bons réflexes ! @URSSAF
Recrutement & première embauche : découvrez les bons réflexes ! @URSSAF
 
Comment accéder aux marchés publics en tant que startup ? Zoom économie circu...
Comment accéder aux marchés publics en tant que startup ? Zoom économie circu...Comment accéder aux marchés publics en tant que startup ? Zoom économie circu...
Comment accéder aux marchés publics en tant que startup ? Zoom économie circu...
 
Ou et comment recruter un.e UX designer pour ma startup ? @GEN
Ou et comment recruter un.e UX designer pour ma startup ? @GENOu et comment recruter un.e UX designer pour ma startup ? @GEN
Ou et comment recruter un.e UX designer pour ma startup ? @GEN
 
La Douane pour les débutants – Épisode 1 : la nomenclature douanière de votre...
La Douane pour les débutants – Épisode 1 : la nomenclature douanière de votre...La Douane pour les débutants – Épisode 1 : la nomenclature douanière de votre...
La Douane pour les débutants – Épisode 1 : la nomenclature douanière de votre...
 
Bluetooth, Wi-Fi, NFC… Comment les bandes libres bénéficient aux startups ?
Bluetooth, Wi-Fi, NFC… Comment les bandes libres bénéficient aux startups ? Bluetooth, Wi-Fi, NFC… Comment les bandes libres bénéficient aux startups ?
Bluetooth, Wi-Fi, NFC… Comment les bandes libres bénéficient aux startups ?
 
Financement & AAP : quelles ressources pour les startups de la French Touch ...
 Financement & AAP : quelles ressources pour les startups de la French Touch ... Financement & AAP : quelles ressources pour les startups de la French Touch ...
Financement & AAP : quelles ressources pour les startups de la French Touch ...
 
LEGAL DAY #3/4 - Comment aborder une levée de fonds ? @BOLD @ISAI @CCIParis
LEGAL DAY #3/4 - Comment aborder une levée de fonds ? @BOLD @ISAI @CCIParisLEGAL DAY #3/4 - Comment aborder une levée de fonds ? @BOLD @ISAI @CCIParis
LEGAL DAY #3/4 - Comment aborder une levée de fonds ? @BOLD @ISAI @CCIParis
 
LEGAL DAY #2/4 - Première embauche & au delà @InspectionDuTravail
LEGAL DAY #2/4 - Première embauche & au delà @InspectionDuTravailLEGAL DAY #2/4 - Première embauche & au delà @InspectionDuTravail
LEGAL DAY #2/4 - Première embauche & au delà @InspectionDuTravail
 
LEGAL DAY #1/4 - Les red flags au lancement de ma startup @INPI @BOLD
LEGAL DAY #1/4 - Les red flags au lancement de ma startup @INPI @BOLDLEGAL DAY #1/4 - Les red flags au lancement de ma startup @INPI @BOLD
LEGAL DAY #1/4 - Les red flags au lancement de ma startup @INPI @BOLD
 
Startups : protégez vos données biométriques avec la CNIL
Startups : protégez vos données biométriques avec la CNILStartups : protégez vos données biométriques avec la CNIL
Startups : protégez vos données biométriques avec la CNIL
 
Stratégie & financement : innovez avec le partenariat tech international - Bp...
Stratégie & financement : innovez avec le partenariat tech international - Bp...Stratégie & financement : innovez avec le partenariat tech international - Bp...
Stratégie & financement : innovez avec le partenariat tech international - Bp...
 
Podcast : panorama d'un secteur en ébullition - Radio France - Résidence Créatis
Podcast : panorama d'un secteur en ébullition - Radio France - Résidence CréatisPodcast : panorama d'un secteur en ébullition - Radio France - Résidence Créatis
Podcast : panorama d'un secteur en ébullition - Radio France - Résidence Créatis
 
Financement pour startups early stage - Bpifrance - CCIParis
Financement pour startups early stage - Bpifrance - CCIParisFinancement pour startups early stage - Bpifrance - CCIParis
Financement pour startups early stage - Bpifrance - CCIParis
 
Outils & financement : le 360° du recrutement startup - Pôle Emploi - Incubat...
Outils & financement : le 360° du recrutement startup - Pôle Emploi - Incubat...Outils & financement : le 360° du recrutement startup - Pôle Emploi - Incubat...
Outils & financement : le 360° du recrutement startup - Pôle Emploi - Incubat...
 
Ftc webinar financement_20-mai-21
Ftc webinar financement_20-mai-21Ftc webinar financement_20-mai-21
Ftc webinar financement_20-mai-21
 
Ftc webinar financement_20-mai-21
Ftc webinar financement_20-mai-21Ftc webinar financement_20-mai-21
Ftc webinar financement_20-mai-21
 
Workshop recrutement-pole-emploi-141218
Workshop recrutement-pole-emploi-141218Workshop recrutement-pole-emploi-141218
Workshop recrutement-pole-emploi-141218
 
Outils & financement : le 360° du recrutement startup - Pôle Emploi - Incubat...
Outils & financement : le 360° du recrutement startup - Pôle Emploi - Incubat...Outils & financement : le 360° du recrutement startup - Pôle Emploi - Incubat...
Outils & financement : le 360° du recrutement startup - Pôle Emploi - Incubat...
 
Outils & financement : le 360° du recrutement startup - Pôle Emploi - Incubat...
Outils & financement : le 360° du recrutement startup - Pôle Emploi - Incubat...Outils & financement : le 360° du recrutement startup - Pôle Emploi - Incubat...
Outils & financement : le 360° du recrutement startup - Pôle Emploi - Incubat...
 

Workshop CNIL

  • 1. WORKSHOP 23 octobre 2020 Développez vos applications en conformité avec le RGPD - CNIL Jérôme Gorin & Benjamin Poilvé Service de l’Expertise Technologique - CNIL
  • 2.
  • 3. Les origines de la CNIL et du guide développeur
  • 5. L’objectif : apporter la confiance • Sécurité et protection de la vie privée apparaissent aujourd’hui comme des conditions sine qua non pour apporter la confiance aux usagers • Dans un contexte où tout est donnée, où les menaces sont réelles et où la technologie nous dépasse parfois, ce besoin de confiance devient un enjeu primordial 5
  • 6. Les innovations du RGPD Moins de formalités, plus de responsabilité Qui est concerné ? • Entreprises établies en UE et celles ciblant des européens • « Responsables de traitements » et « sous-traitants » Qu’est-ce qui change ? • Moins de formalités (déclarations, demandes d’autorisations, etc.) • Le principe d’« Accountability » : se mettre en conformité et pouvoir le démontrer Quels sont les principes à respecter ? • Finalité légitime déterminée, limitation des données et de leurs durées de conservation, information claire, droits des personnes, sécurité, etc. • Privacy by design : intégrer la protection de la vie privée au plus tôt Quels sont les outils ? • Le délégué (DPO) • Le registre des traitements • Des outils pour établir la confiance : référentiels de la CNIL, certifications, codes de conduite, etc. 6
  • 9. Laboratoire d'Innovation Numérique de la CNIL (LINC) 9 CookieViz Outil de visualisation pour mesurer l'impact des cookies et autres traqueurs lors de votre propre navigation. Mobilitics Comprendre l'écosystème des smartphones et lever le voile sur ces "boites noires" que sont nos smartphones.
  • 10. Le logiciel PIA de la CNIL Principales caractéristiques • Aider les entreprises qui ne disposent pas d’un outil • Solution simple, user-friendly • Logiciel libre et open source, en français et en anglais • Bases de connaissances pour les principes de protection de la vie privée • Cartographie des risques et de leurs composantes • Réutilisation des PIAs 10 privacy impact assessment
  • 12. Guide RGPD du développeur • Se destine à tous types développeurs : les développeurs full-stack des petites entreprises, comme des équipes projets ou techniques • L’objectif est de définir les concepts clefs du RGPD ainsi que fournir un ensemble de point d’attentions pour atteindre la conformité • Guide sous licence ouverte 2.0 : vous êtes libre de le copier, le réutiliser, le distribuer, le modifier voire de nous proposer vos modifications 12
  • 13. Guide RGPD du développeur 13 0. Développer en conformité avec le RGPD 1. Identifier les données à caractère personnel 2. Préparer son développement 3. Sécuriser son environnement de développement 4. Gérer son code source 5. Faire un choix éclairé de son architecture 6. Sécuriser vos sites web, vos applications et vos serveurs 7. Minimiser les données collectées 8. Gérer les profils utilisateurs 9. Maîtriser vos bibliothèques et vos SDK 10. Veiller à la qualité de votre code et sa documentation 11. Tester vos applications 12. Informer les utilisateurs 13. Préparer l'exercice des droits des personnes 14. Gérer la durée de conservation des données 15. Prendre en compte les bases légales dans l’implémentation technique 16. Mesurer la fréquentation de vos sites web et de vos applications
  • 14. 0. Développer en conformité avec le RGPD 14
  • 15. 1. Identifier les données à caractère personnel 15
  • 16. 1. Identifier les données à caractère personnel 16 Protection Risquede réidentification Données d’origine, directement ou indirectement identifiantes Suppriment toutes possibilités d’identification des individus : par individualisation, corrélation ou inférence Non attribuables à une personne physique sans recours à des informations supplémentaires
  • 17. 2. Préparer son développement 17 Les risques Principales mesures Sécuriser le traitement par ex. authentification et communications Permettre l’exercice des droits (information, consentement…) Étudier le parcours de la donnée (depuis la collecte jusqu’à sa destruction) Mener une réflexion sur les paramètres relatifs à la vie privée Vulnérabilités Manque d’information et difficultés pour exercer ses droits Centralisation et dissémination des données Connaissance fine dans la durée privacy by design =
  • 18. 5. Faire un choix éclairé de son architecture 18 En cas de recours à un prestataire pour l’hébergement : • Choisir un prestataire garantissant la mise en place de mesures de sécurité et de confidentialité appropriées, et suffisamment transparentes. La CNIL vous propose des modèles de clauses de confidentialité. • S’assurer de connaître la localisation géographique des serveurs qui vont héberger vos données. Vous pouvez être amené⋅e à effectuer des transferts de données hors de l’Union européenne (UE) et de l’espace économique européen (EEE). Les transferts hors de cet espace sont possibles, à condition d’assurer un niveau de protection des données suffisant et approprié. La CNIL fournit sur site une carte permettant de visualiser les différents niveaux de protection des données des pays dans le monde. • Si vous devez recourir à un prestataire pour héberger des données de santé, assurez-vous que celui-ci est certifié ou agréé pour cette activité.
  • 19. 7. Minimiser les données collectées 19 Vous ne devez collecter que les données personnelles qui sont adéquates, pertinentes et nécessaires au regard des finalités de votre traitement telles que définies au moment de la collecte : • Si possible, traitez les données pour réduire leur précision (pseudonymisation) • Attention au données particulièrement sensibles, par exemple celles relatives à la santé ou à des condamnations pénales. • Certaines fonctionnalités peuvent permettre d’améliorer l’expérience utilisateur, mais ne sont pas strictement nécessaires au bon fonctionnement de votre application (par exemple la géolocalisation afin de simplifier une recherche géographique). Dans ce cas, l’utilisateur final doit pouvoir choisir d’utiliser ou non cette fonctionnalité. • Pensez à associer des durées de conservation pour chaque catégorie de données, en fonction de la finalité du traitement
  • 20. 12. Informer les personnes 20 Il faut informer les personnes concernées : • aussi bien en cas de collecte directe des données c’est-à-dire lorsque des données sont recueillies directement auprès des personnes • qu’en cas de collecte indirecte des données personnelles, lorsque les données ne sont pas recueillies directement auprès des personnes Il faut le faire : • au moment du recueil des données en cas de collecte directe ; • dès que possible en cas de collecte indirecte (notamment lors du premier contact avec la personne) et au plus tard, dans le délai d’un mois (sauf exceptions) ;
  • 21. 12. Informer les personnes 21 Les informations à fournir : • l’identité et les coordonnées de l’organisme • les finalités • la base légale • le caractère obligatoire ou facultatif du recueil des données • les destinataires ou catégories de destinataires des données • la durée de conservation des données • l’existence des droits des personnes concernées ainsi que les moyens de les exercer • les coordonnées du délégué à la protection des données • le droit d’introduire une réclamation auprès de la CNIL.
  • 22. 12. Informer les personnes 22
  • 23. 12. Informer les personnes 23 Un organisme peut par erreur ou par négligence subir, de manière accidentelle ou malintentionnée, une violation de données personnelles, c’est à dire une atteinte à la sécurité des données, autrement dit la destruction, la perte, l’altération ou la divulgation non autorisée de données. Dans ce cas, l’organisme doit signaler la violation à la CNIL dans les 72 heures si celle-ci est susceptible de représenter un risque pour les droits et libertés des personnes.
  • 24. 13. Préparer l’exercice des droits des personnes 24 Droit d’accès : les personnes ont le droit d’obtenir une copie de toutes les informations que vous avez à leur sujet dans un format lisible. Droit à l’effacement : les personnes ont le droit de demander l’effacement de l’intégralité des données que vous détenez sur elles. Droit d’opposition : les personnes ont le droit de s’opposer à ce que leurs données soient utilisées pour un objectif précis. Droit à la portabilité : les personnes ont le droit de récupérer leurs données dans un format lisible par machine, pour leur propre usage ou pour les fournir à un autre organisme.
  • 25. 13. Préparer l’exercice des droits des personnes 25 Droit à la rectification : Les personnes ont le droit de demander la modification de leurs données lorsque celles-ci sont incorrectes. Droit à la limitation du traitement : les personnes ont le droit de demander à ce que le traitement de leurs données soit bloqué pendant un certain temps, par exemple le temps d’examiner une contestation de sa part sur l’utilisation de ses données ou une demande d’exercice de droits. droits à l’intervention humaine face à votre profilage ou à une décision automatisée
  • 26. 15. Prendre en compte les bases légales dans l’implémentation technique 26 Pour les entreprise, les traitements de données personnelles doivent se fonder sur l’une des bases légales : Le traitement est nécessaire à l’exécution du contrat le traitement poursuit un intérêt "légitime" et n’est pas susceptible d’affecter les droits et libertés OU la personne concernée a explicitement consenti au traitement. OU
  • 27. 15. Prendre en compte les bases légales dans l’implémentation technique 27
  • 28. 15. Prendre en compte les bases légales dans l’implémentation technique 28 Le cas spécifique des cookies et autres traceurs :
  • 29. 16. Mesurer la fréquentation de vos sites web et de vos applications 29 Bénéficier de l’exemption de consentement : • avoir une finalité strictement limitée à la seule mesure de l’audience du site ou de l’application • ne pas permettre le suivi global de la navigation de la personne • servir uniquement à produire des données statistiques anonymes • ne pas conduire à un recoupement des données avec d’autres traitements ou à ce que les données soient transmises à des tiers Les offres de mesure d’audience n’entrent pas dans le périmètre de l’exemption notamment lorsque les fournisseurs indiquent réutiliser les données pour leur propre compte. C’est le cas notamment de plusieurs grandes offres de mesure d’audience disponibles sur le marché (voir notamment les politiques de confidentialité de Google Analytics, de Quantcast Analytics ou encore de Facebook Analytics).
  • 30. 3. Sécuriser son environnement de développement 4. Gérer son code source 6. Sécuriser vos sites web, vos applications et vos serveurs 8. Gérer les utilisateurs 9. Maîtriser vos bibliothèques et vos SDK 10. Veiller à la qualité de votre code et sa documentation 11. Tester vos applications 14. Gérer la durée de conservation des données 30 Les fiches plus techniques
  • 31. Le futur du guide 31 Nouvelle version en préparation ! • Les recommandations sont désormais associées à des exemples de code • Nouvelle section sur le consentement • Recommandations sur le cloud tirées du livre blanc sur les assistants vocaux • Section sur les vulnérabilités les plus fréquentes basé sur les violations • Et des focus sur d’autres thématiques à venir…
  • 32. Qu’en pensez-vous ? Certains points sont-ils encore obscurs ? Souhaitez-vous y voir aborder d’autres thématiques ? Comment pouvez-vous contribuer?
  • 33. Retrouvez la programmation de la French Tech Central sur le site french-tech-central.com