Atelier spécial élus - Rencontres Tourisme et Internet
Atelier 8 - RGPD - Conférence Thierry Preel 2019
1. Le RGPD,
c’est pour moi ?
Règlement Général sur la Protection des Données
CDT Tarn le 31/01/2019
2. RGPD : qu'est-ce que c'est ?
• Règlement Général sur la Protection des Données
• GDPR (General Data Protection Regulation)
• Règlement européen du 14 avril 2016
• protection des données personnelles en Europe
• protéger les personnes physiques de toute exploitation
frauduleuse ou non désirée des informations relatives à leur
vie privée, professionnelle ou publique.
DP : Données à caractère personnel
3. De la Loi informatique liberté au RGPD
• Loi informatique et liberté, depuis 1978 :
• Finalité-Pertinence-Droits de personnes-Sécurité des données
• Règlement 2016/679 :
• Privacy by design / Privacy by default
• Définir les objectifs
• Analyser les fonctionnalités
• Définir les dispositifs de sécurité
• Accountability : Autocontrôle
• Constituer un dossier documenté prouvant les points précédents
4. L’impact dans vos activités
• Renforcer les exigences concernant la gestion des DP :
• consentement à l’acquisition
• Rétention
• Sécurité
• Stockage
• Protection
• Sous-traitants Le règlement impose des obligations dont la
responsabilité est susceptible d’être engagée en cas de
manquement.
DP : Données à caractère personnel
5. De nouvelles obligations
• Le droit à l'oubli
• Le consentement clair et explicite
• Le droit de transférer
• Le droit d'être informé
6. Quelles sont les sanctions ?
• Réparation intégrale du préjudice pour toute personne ayant
subi un dommage matériel ou moral.
• Sanctions administratives :
• jusqu’à 10 ou 20 millions d’euros
• jusqu’à 2% ou 4% du chiffre d'affaires annuel mondial
En vigueur depuis le 25 mai 2018.
7. Des opportunitéspour…
• Mettre à jour sa sécurité.
• Fiabiliser son Système d’information.
• Rassurer son client.
• Valoriser l’image de marque.
• Améliorer l’efficacité commerciale
• Augmenter la productivité
• Optimiser les investissements
• …
8. Se mettre en conformité:
le principed’ « Accountability»
Tenir un registre (Obligatoire pour les entreprises employant + 250 salariés)
• Pour conserver une trace des actions.
• Elément de base le suivi et les contrôles
• Mettre en œuvre des mesures qui respectent les principes de
protection des données dès la conception et de protection des données
par défaut.
• Utiliser des études d'impact sur la protection des données, le cas
échéant.
• La CNIL fourni un modèle simple
9. Qu'entend-onpar « traitement" ?
• Opération ou ensemble d’opérations,
• Collecte, enregistrement, consultation, modification, utilisation,
transmission, diffusion …
• Il a un objectif , une finalité, un but … légal et légitime.
• Facturer, livrer, communiquer …
10. Qu'entend-onpar "données personnelles"?
• Toutes informations relatives à une personne,
• qu’elles se rapportent à sa vie privée, professionnelle ou publique
• Tout ce qui permet de relier une information à une personne
physique.
11. Etape 1 : Etablir sa cartographie
• Lister les traitements
• Pour chaque traitement :
• Définir les finalité
• Identifier les données personnelles collectées, envoyées,
enregistrées
• Pour chaque donnés ou groupe de DP :
• Définir sa durée de conservation
• Décrire son usage licite
13. Pointsde vigilance:
• Cohérence entre
• L’information
• La finalité
• La durée de conservation
• La sécurité
• Cas spécifiques :
• Sous traitance
14. Etape 2 : L’analyse des risques
• Mesure d ’écart entre la règle et la pratique
• Minimisation des données en conformité avec la finalité
• Durée de conservation
• Information de la personne
• Recueil du consentement
• Respect des droits (accès ,portabilité, rectification, à l’oubli …)
• Sécurisation :
• Accès illégitime
• Modification non désirée
• Disparition de données
15. Les obligations:
• Transparence et traçabilité
• Consentement clair et explicite
• Protection des données
• Droit d'oubli et de transfert
16. Des règles de bon sens:
• La responsabilité
• La pertinence sur la finalité
• Exemple :
• https://www.domainedubuc.com/politique-de-confidentialite
• Sécuriser les données de l’activité
• La sécurité en 42 mesures
• https://www.ssi.gouv.fr/uploads/2017/01/guide_hygiene_informatique_anssi.pdf
17. Des règles de bon sens:
• La transparence :
• Rassurer les clients, donneurs d'ordres
• Exemple de mention légales :
• http://www.hotel-orleans-albi.com/a-propos.php
• Déclaration sous 72h d’une violation du système
• https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles
18. Des règles de bon sens:
• La confiance :
• Limiter la conservation des données
• Information CNIL:
• https://www.cnil.fr/fr/limiter-la-conservation-des-donnees
• Sensibiliser les salariés
• Information CNIL:
• https://www.cnil.fr/fr/rgpd-en-pratique-proteger-les-donnees
19. Etape3 : Etablir la liste des taches :
• Pour l’ensemble des DP d’un traitement
ou un sous groupe de DP plus « sensibles »
Préciser la criticité DP (gravité x vraisemblance)
Vérifier la conformité (totale ou partielle)
Identifier des moyens d’y parvenir
Valoriser les différentes solutions
• Choisir les actions prioritaires
20. Les pointsà retenir :
• Gouvernance :
• Le registre et mettre en place les mesures.
• Responsabilité :
• Mesures techniques et organisationnelles appropriées.
• Limitation relative au stockage
• Le temps nécessaire à l'accomplissement de l'objectif qui était
poursuivi lors de leur collecte.
• Notification d'une violation
• Obligatoirement signaler une violation dans les 72 heures .
• Droit des personnes physiques
• Suppression ou correction des « DP » à la demande de la personne.
21. Et maintenant c’est à vous
Vos personnes ressources :
Pour les offices de tourisme:
Aurélie BONFIGLIO: DPO du CDT
Pour les professionnels du tourisme:
Formations CCI, votre office de tourisme, des consultants …