Support du webinar "Regard d'Expert sur le RGPD : nouveautés, opportunités, mise en conformité" du 28.09.2017.
Au programme de ce webinar :
- Les « vraies » nouveautés du RGDP : il faut en comprendre l’essence pour s’y conformer ;
- Les opportunités du RGPD : ou comment tirer son épingle du jeu grâce au Règlement ;
- La mise en conformité au RGPD : version pragmatique, parce se contenter de dire qu’il faut cartographier les applications ne fait pas beaucoup avancer.
2. PLAN DE PRÉSENTATION
RGPDNouveautés | Opportunités | Mise en conformité
1. Les nouveautés
• Principes fondamentaux : avant/après RGPD
• Principaux impacts professionnels :
entreprises et sous-traitants
• Nouveaux droits « clients »
2. Les opportunités
• Opportunités internes
• Opportunités externes
3. La mise en conformité
• Méthodologie
• Exemple de programme
3. AVANT DE COMMENCER | Définitions clés
Donnée à caractère personnel (DCP)
Toute information permettant d’identifier directement ou
indirectement une personne physique (nom, coordonnées, n° de
contrat, plaque d’immatriculation,…).
Traitement de DCP
Toute opération effectuée sur des DCP (consultation, collecte,
modification, suppression,…).
Responsable de traitement (RT)
Entreprise / organisme / autorité / personne physique
professionnelle qui détermine les finalités (le pourquoi) et les
moyens (le comment) du traitement.
Sous-traitant (ST) :
Entreprise / organisme / autorité / personne physique
professionnelle qui traite des DCP pour le compte du RT.
4. Loi 78-17
• Finalité
• Pertinence
• Conservation
• Droits des personnes
• Sécurité des données
S ystème déclaratif
LES NOUVEAUTÉS DU RGPD | Principes fondamentaux
Règlement 2016/679
• Privacy by design
• Privacy by default
• Accountability
A utocontrôle
5. CAS PRATIQUE | Développer une application
Fonctionnalités
1. Carte des arrêts de taxi autour
de l’utilisateur
2. Module « réservation online »
3. Module « réseau social »
LES NOUVEAUTÉS DU RGPD | Principes fondamentaux
6. CAS PRATIQUE | Développer une application
Fonctionnalités
1. Carte des arrêts de taxi autour
de l’utilisateur
2. Module « réservation online »
3. Module « réseau social »
Protection des données
1. Définir les objectifs + Analyser les fonctionnalités +
Définir les dispositifs de sécurité = Privacy by design
LES NOUVEAUTÉS DU RGPD | Principes fondamentaux
7. CAS PRATIQUE | Développer une application
Fonctionnalités
1. Carte des arrêts de taxi autour
de l’utilisateur
2. Module « réservation online »
3. Module « réseau social »
Protection des données
1. Définir les objectifs + Analyser les fonctionnalités +
Définir les dispositifs de sécurité = Privacy by design
2. Limiter collecte et traitement de données au strict
nécessaire + Prévoir le maintien du niveau de sécurité
avec des MAJ = Privacy by default
LES NOUVEAUTÉS DU RGPD | Principes fondamentaux
8. CAS PRATIQUE | Développer une application
Fonctionnalités
1. Carte des arrêts de taxi autour
de l’utilisateur
2. Module « réservation online »
3. Module « réseau social »
Protection des données
1. Définir les objectifs + Analyser les fonctionnalités +
Définir les dispositifs de sécurité = Privacy by design
2. Limiter collecte et traitement de données au strict
nécessaire + Prévoir le maintien du niveau de sécurité
avec des MAJ = Privacy by default
3. Constituer un dossier documenté pour prouver les
points précédents = Accountability
LES NOUVEAUTÉS DU RGPD | Principes fondamentaux
9. LES NOUVEAUTÉS DU RGPD | Principaux impacts professionnels
Responsable de traitement (RT)
• Impacts organisationnels & financiers | Privacy by design, by default,
accountability = nouvelles équipes, nouveaux process, nouveaux développements,…
• Impacts B2B | Cartographie sous-traitants et partenaires + mise en conformité
• Impacts « contractuels/transparence » | Revoir contrats B2B et clients car
nouvelles obligations d’information + sites internet, applications, formulaires,…
Sous-traitant (ST)
• Impacts organisationnels & financiers
| Tout ce qui découle des impacts B2B du RT = nouveaux traitements, nouveaux process,…
| Nouvelle responsabilité du sous-traitant : doit présenter des garanties techniques et
organisationnelles + collaboration accrue avec le RT + tenue d’un registre de sous-traitance
12. RectificationAccèsPortabilité
décisions
Automatisées
Opposition Limitation Effacement
Savoir si un
RT traite
mes
données
ou non et
lesquelles
Assurer l’
exactitude
de mes
données
Mettre fin
au
traitement
de mes
données
ou
l’interdire
Récupérer
mes
données ou
les faire
transmettre
à un autre
RT
Obtenir une
intervention
humaine pour
certains
traitements
générateurs
de décisions
automatisées
LES NOUVEAUTÉS DU RGPD | Nouveaux droits « clients »
13. RectificationAccèsPortabilité
décisions
Automatisées
Opposition Limitation Effacement
Savoir si un
RT traite
mes
données
ou non et
lesquelles
Assurer l’
exactitude
de mes
données
Mettre fin
au
traitement
de mes
données
ou
l’interdire
Mettre en
pause le
traitement
de mes
données
Récupérer
mes
données ou
les faire
transmettre
à un autre
RT
Obtenir une
intervention
humaine pour
certains
traitements
générateurs
de décisions
automatisées
LES NOUVEAUTÉS DU RGPD | Nouveaux droits « clients »
14. RectificationAccèsPortabilité
décisions
Automatisées
Opposition Limitation Effacement
Savoir si un
RT traite
mes
données
ou non et
lesquelles
Assurer l’
exactitude
de mes
données
Mettre fin
au
traitement
de mes
données
ou
l’interdire
Mettre en
pause le
traitement
de mes
données
Faire
effacer
mes
données
Récupérer
mes
données ou
les faire
transmettre
à un autre
RT
Obtenir une
intervention
humaine pour
certains
traitements
générateurs
de décisions
automatisées
LES NOUVEAUTÉS DU RGPD | Nouveaux droits « clients »
15. LES OPPORTUNITÉS DU RGPD
Opportunités internes
• Gain de productivité | Les process RGPD sont très structurants.
• Optimisation des coûts | La ressource informatique n’est pas gratuite.
• Optimisation des projets | Données pertinentes = réutilisations pertinentes.
Opportunités externes
• Amélioration de la réputation | Limiter les « bas buzz » fuites de données et
consorts, obtenir des certifications et labels
• Augmentation du CA | Entreprise labélisée CNIL V.S. entreprise sanctionnée CNIL
16. MISE EN CONFORMITÉ RGPD| Méthodologie
• Focus organisation &
procédures
• Accompagnement du
changement (formation &
sensibilisation)
= Mise en place de
l’environnement RGPD
ÉTAPE 1
PRÉSENT & AVENIR
• Audit des applications &
traitements
• Liste des écarts,
recommandations, actions de
mise en conformité
= Mise en conformité de
l’historique
ÉTAPE 2
PASSÉ
17. MISE EN CONFORMITÉ RGPD| Méthodologie
• Focus organisation &
procédures
• Accompagnement du
changement (formation &
sensibilisation)
= Mise en place de
l’environnement RGPD
ÉTAPE 1
PRÉSENT & AVENIR
• Audit des applications &
traitements
• Liste des écarts,
recommandations, actions de
mise en conformité
= Mise en conformité de
l’historique
ÉTAPE 2
PASSÉ
18. MISE EN CONFORMITÉ RGPD| Méthodologie
• Focus organisation &
procédures
• Accompagnement du
changement (formation &
sensibilisation)
= Mise en place de
l’environnement RGPD
ÉTAPE 1
PRÉSENT & AVENIR
• Audit des applications &
traitements
• Liste des écarts,
recommandations, actions de
mise en conformité
= Mise en conformité de
l’historique
ÉTAPE 2
PASSÉ
19. MISE EN CONFORMITÉ RGPD| Méthodologie
• Focus organisation &
procédures
• Accompagnement du
changement (formation &
sensibilisation)
= Mise en place de
l’environnement RGPD
ÉTAPE 1
PRÉSENT & AVENIR
• Audit des applications &
traitements
• Liste des écarts,
recommandations, actions de
mise en conformité
= Mise en conformité de
l’historique
ÉTAPE 2
PASSÉ
20. MISE EN CONFORMITÉ RGPD| Méthodologie
• Focus organisation &
procédures
• Accompagnement du
changement (formation &
sensibilisation)
= Mise en place de
l’environnement RGPD
ÉTAPE 1
PRÉSENT & AVENIR
• Audit des applications &
traitements
• Liste des écarts,
recommandations, actions de
mise en conformité
= Mise en conformité de
l’historique
ÉTAPE 2
PASSÉ
22. MISE EN CONFORMITÉ RGPD| Programme
JEU DE LOI
SENSIBILISER LA DIRECTION
Information sur RGPD
Budget pour état des lieux
23. MISE EN CONFORMITÉ RGPD| Programme
SENSIBILISER LA DIRECTION
Information sur RGPD
Budget pour état des lieux
JEU DE LOI
24. MISE EN CONFORMITÉ RGPD| Programme
SENSIBILISER LA DIRECTION
Information sur RGPD
Budget pour état des lieux
JEU DE LOI
25. MISE EN CONFORMITÉ RGPD| Programme
SENSIBILISER LA DIRECTION
Information sur RGPD
Budget pour état des lieux
JEU DE LOI
FORMER L’EQUIPE DPO
Le DPO lui-même + ses relais ou les
managers/chefs d’équipe
26. MISE EN CONFORMITÉ RGPD| Programme
SENSIBILISER LA DIRECTION
Information sur RGPD
Budget pour état des lieux
JEU DE LOI
FORMER L’EQUIPE DPO
Le DPO lui-même + ses relais ou les
managers/chefs d’équipe
27. MISE EN CONFORMITÉ RGPD| Programme
SENSIBILISER LA DIRECTION
Information sur RGPD
Budget pour état des lieux
JEU DE LOI
FORMER L’EQUIPE DPO
Le DPO lui-même + ses relais ou les
managers/chefs d’équipe
IMPLEMENTER LES PROCESS RGPD
Privacy by design, by default, droits
PAAROLE, violations de données, etc.
28. MISE EN CONFORMITÉ RGPD| Programme
SENSIBILISER LA DIRECTION
Information sur RGPD
Budget pour état des lieux
JEU DE LOI
FORMER L’EQUIPE DPO
Le DPO lui-même + ses relais ou les
managers/chefs d’équipe
IMPLEMENTER LES PROCESS RGPD
Privacy by design, by default, droits
PAAROLE, violations de données, etc.
AUDITER TRAITEMENTS
Applis, sous-traitants, contrats,
sécurité, transferts hors U.E…
29. MISE EN CONFORMITÉ RGPD| Programme
SENSIBILISER LA DIRECTION
Information sur RGPD
Budget pour état des lieux
JEU DE LOI
FORMER L’EQUIPE DPO
Le DPO lui-même + ses relais ou les
managers/chefs d’équipe
IMPLEMENTER LES PROCESS RGPD
Privacy by design, by default, droits
PAAROLE, violations de données, etc.
AUDITER TRAITEMENTS
Applis, sous-traitants, contrats,
sécurité, transferts hors U.E…
CONFORMITE & REGISTRE
Applis, sous-traitants, contrats,
sécurité, transferts hors U.E…
30. MISE EN CONFORMITÉ RGPD| Programme
SENSIBILISER LA DIRECTION
Information sur RGPD
Budget pour état des lieux
JEU DE LOI
FORMER L’EQUIPE DPO
Le DPO lui-même + ses relais ou les
managers/chefs d’équipe
IMPLEMENTER LES PROCESS RGPD
Privacy by design, by default, droits
PAAROLE, violations de données, etc.
AUDITER TRAITEMENTS
Applis, sous-traitants, contrats,
sécurité, transferts hors U.E…
CONFORMITE & REGISTRE
Applis, sous-traitants, contrats,
sécurité, transferts hors U.E…
TEMPORISER
Absorber le flux
Ajuster si nécessaire
31. MISE EN CONFORMITÉ RGPD| Programme
SENSIBILISER LA DIRECTION
Information sur RGPD
Budget pour état des lieux
JEU DE LOI
FORMER L’EQUIPE DPO
Le DPO lui-même + ses relais ou les
managers/chefs d’équipe
IMPLEMENTER LES PROCESS RGPD
Privacy by design, by default, droits
PAAROLE, violations de données, etc.
AUDITER TRAITEMENTS
Applis, sous-traitants, contrats,
sécurité, transferts hors U.E…
CONFORMITE & REGISTRE
Applis, sous-traitants, contrats,
sécurité, transferts hors U.E…
TEMPORISER
Absorber le flux
Ajuster si nécessaire
ETABLIR FEUILLE DE ROUTE N+1
Sensibilisation globale
Audits ciblés, revue des traitements
32. MISE EN CONFORMITÉ RGPD| Programme
SENSIBILISER LA DIRECTION
Information sur RGPD
Budget pour état des lieux
JEU DE LOI
FORMER L’EQUIPE DPO
Le DPO lui-même + ses relais ou les
managers/chefs d’équipe
IMPLEMENTER LES PROCESS RGPD
Privacy by design, by default, droits
PAAROLE, violations de données, etc.
AUDITER TRAITEMENTS
Applis, sous-traitants, contrats,
sécurité, transferts hors U.E…
CONFORMITE & REGISTRE
Applis, sous-traitants, contrats,
sécurité, transferts hors U.E…
TEMPORISER
Absorber le flux
Ajuster si nécessaire
ETABLIR FEUILLE DE ROUTE N+1
Sensibilisation globale
Audits ciblés, revue des traitements