SlideShare una empresa de Scribd logo
1 de 33
PROTECTION ET MANAGEMENT DES DONNÉES À
CARACTÈRE PERSONNEL
PLAN DE PRÉSENTATION
RGPDNouveautés | Opportunités | Mise en conformité
1. Les nouveautés
• Principes fondamentaux : avant/après RGPD
• Principaux impacts professionnels :
entreprises et sous-traitants
• Nouveaux droits « clients »
2. Les opportunités
• Opportunités internes
• Opportunités externes
3. La mise en conformité
• Méthodologie
• Exemple de programme
AVANT DE COMMENCER | Définitions clés
Donnée à caractère personnel (DCP)
Toute information permettant d’identifier directement ou
indirectement une personne physique (nom, coordonnées, n° de
contrat, plaque d’immatriculation,…).
Traitement de DCP
Toute opération effectuée sur des DCP (consultation, collecte,
modification, suppression,…).
Responsable de traitement (RT)
Entreprise / organisme / autorité / personne physique
professionnelle qui détermine les finalités (le pourquoi) et les
moyens (le comment) du traitement.
Sous-traitant (ST) :
Entreprise / organisme / autorité / personne physique
professionnelle qui traite des DCP pour le compte du RT.
Loi 78-17
• Finalité
• Pertinence
• Conservation
• Droits des personnes
• Sécurité des données
S ystème déclaratif
LES NOUVEAUTÉS DU RGPD | Principes fondamentaux
Règlement 2016/679
• Privacy by design
• Privacy by default
• Accountability
A utocontrôle
CAS PRATIQUE | Développer une application
Fonctionnalités
1. Carte des arrêts de taxi autour
de l’utilisateur
2. Module « réservation online »
3. Module « réseau social »
LES NOUVEAUTÉS DU RGPD | Principes fondamentaux
CAS PRATIQUE | Développer une application
Fonctionnalités
1. Carte des arrêts de taxi autour
de l’utilisateur
2. Module « réservation online »
3. Module « réseau social »
Protection des données
1. Définir les objectifs + Analyser les fonctionnalités +
Définir les dispositifs de sécurité = Privacy by design
LES NOUVEAUTÉS DU RGPD | Principes fondamentaux
CAS PRATIQUE | Développer une application
Fonctionnalités
1. Carte des arrêts de taxi autour
de l’utilisateur
2. Module « réservation online »
3. Module « réseau social »
Protection des données
1. Définir les objectifs + Analyser les fonctionnalités +
Définir les dispositifs de sécurité = Privacy by design
2. Limiter collecte et traitement de données au strict
nécessaire + Prévoir le maintien du niveau de sécurité
avec des MAJ = Privacy by default
LES NOUVEAUTÉS DU RGPD | Principes fondamentaux
CAS PRATIQUE | Développer une application
Fonctionnalités
1. Carte des arrêts de taxi autour
de l’utilisateur
2. Module « réservation online »
3. Module « réseau social »
Protection des données
1. Définir les objectifs + Analyser les fonctionnalités +
Définir les dispositifs de sécurité = Privacy by design
2. Limiter collecte et traitement de données au strict
nécessaire + Prévoir le maintien du niveau de sécurité
avec des MAJ = Privacy by default
3. Constituer un dossier documenté pour prouver les
points précédents = Accountability
LES NOUVEAUTÉS DU RGPD | Principes fondamentaux
LES NOUVEAUTÉS DU RGPD | Principaux impacts professionnels
Responsable de traitement (RT)
• Impacts organisationnels & financiers | Privacy by design, by default,
accountability = nouvelles équipes, nouveaux process, nouveaux développements,…
• Impacts B2B | Cartographie sous-traitants et partenaires + mise en conformité
• Impacts « contractuels/transparence » | Revoir contrats B2B et clients car
nouvelles obligations d’information + sites internet, applications, formulaires,…
Sous-traitant (ST)
• Impacts organisationnels & financiers
| Tout ce qui découle des impacts B2B du RT = nouveaux traitements, nouveaux process,…
| Nouvelle responsabilité du sous-traitant : doit présenter des garanties techniques et
organisationnelles + collaboration accrue avec le RT + tenue d’un registre de sous-traitance
RectificationAccèsPortabilité
décisions
Automatisées
Opposition Limitation Effacement
Savoir si un
RT traite
mes
données
ou non et
lesquelles
Assurer l’
exactitude
de mes
données
Mettre fin
au
traitement
de mes
données
ou
l’interdire
LES NOUVEAUTÉS DU RGPD | Nouveaux droits « clients »
RectificationAccèsPortabilité
décisions
Automatisées
Opposition Limitation Effacement
Savoir si un
RT traite
mes
données
ou non et
lesquelles
Assurer l’
exactitude
de mes
données
Mettre fin
au
traitement
de mes
données
ou
l’interdire
Récupérer
mes
données ou
les faire
transmettre
à un autre
RT
LES NOUVEAUTÉS DU RGPD | Nouveaux droits « clients »
RectificationAccèsPortabilité
décisions
Automatisées
Opposition Limitation Effacement
Savoir si un
RT traite
mes
données
ou non et
lesquelles
Assurer l’
exactitude
de mes
données
Mettre fin
au
traitement
de mes
données
ou
l’interdire
Récupérer
mes
données ou
les faire
transmettre
à un autre
RT
Obtenir une
intervention
humaine pour
certains
traitements
générateurs
de décisions
automatisées
LES NOUVEAUTÉS DU RGPD | Nouveaux droits « clients »
RectificationAccèsPortabilité
décisions
Automatisées
Opposition Limitation Effacement
Savoir si un
RT traite
mes
données
ou non et
lesquelles
Assurer l’
exactitude
de mes
données
Mettre fin
au
traitement
de mes
données
ou
l’interdire
Mettre en
pause le
traitement
de mes
données
Récupérer
mes
données ou
les faire
transmettre
à un autre
RT
Obtenir une
intervention
humaine pour
certains
traitements
générateurs
de décisions
automatisées
LES NOUVEAUTÉS DU RGPD | Nouveaux droits « clients »
RectificationAccèsPortabilité
décisions
Automatisées
Opposition Limitation Effacement
Savoir si un
RT traite
mes
données
ou non et
lesquelles
Assurer l’
exactitude
de mes
données
Mettre fin
au
traitement
de mes
données
ou
l’interdire
Mettre en
pause le
traitement
de mes
données
Faire
effacer
mes
données
Récupérer
mes
données ou
les faire
transmettre
à un autre
RT
Obtenir une
intervention
humaine pour
certains
traitements
générateurs
de décisions
automatisées
LES NOUVEAUTÉS DU RGPD | Nouveaux droits « clients »
LES OPPORTUNITÉS DU RGPD
Opportunités internes
• Gain de productivité | Les process RGPD sont très structurants.
• Optimisation des coûts | La ressource informatique n’est pas gratuite.
• Optimisation des projets | Données pertinentes = réutilisations pertinentes.
Opportunités externes
• Amélioration de la réputation | Limiter les « bas buzz » fuites de données et
consorts, obtenir des certifications et labels
• Augmentation du CA | Entreprise labélisée CNIL V.S. entreprise sanctionnée CNIL
MISE EN CONFORMITÉ RGPD| Méthodologie
• Focus organisation &
procédures
• Accompagnement du
changement (formation &
sensibilisation)
= Mise en place de
l’environnement RGPD
ÉTAPE 1
PRÉSENT & AVENIR
• Audit des applications &
traitements
• Liste des écarts,
recommandations, actions de
mise en conformité
= Mise en conformité de
l’historique
ÉTAPE 2
PASSÉ
MISE EN CONFORMITÉ RGPD| Méthodologie
• Focus organisation &
procédures
• Accompagnement du
changement (formation &
sensibilisation)
= Mise en place de
l’environnement RGPD
ÉTAPE 1
PRÉSENT & AVENIR
• Audit des applications &
traitements
• Liste des écarts,
recommandations, actions de
mise en conformité
= Mise en conformité de
l’historique
ÉTAPE 2
PASSÉ
MISE EN CONFORMITÉ RGPD| Méthodologie
• Focus organisation &
procédures
• Accompagnement du
changement (formation &
sensibilisation)
= Mise en place de
l’environnement RGPD
ÉTAPE 1
PRÉSENT & AVENIR
• Audit des applications &
traitements
• Liste des écarts,
recommandations, actions de
mise en conformité
= Mise en conformité de
l’historique
ÉTAPE 2
PASSÉ
MISE EN CONFORMITÉ RGPD| Méthodologie
• Focus organisation &
procédures
• Accompagnement du
changement (formation &
sensibilisation)
= Mise en place de
l’environnement RGPD
ÉTAPE 1
PRÉSENT & AVENIR
• Audit des applications &
traitements
• Liste des écarts,
recommandations, actions de
mise en conformité
= Mise en conformité de
l’historique
ÉTAPE 2
PASSÉ
MISE EN CONFORMITÉ RGPD| Méthodologie
• Focus organisation &
procédures
• Accompagnement du
changement (formation &
sensibilisation)
= Mise en place de
l’environnement RGPD
ÉTAPE 1
PRÉSENT & AVENIR
• Audit des applications &
traitements
• Liste des écarts,
recommandations, actions de
mise en conformité
= Mise en conformité de
l’historique
ÉTAPE 2
PASSÉ
MISE EN CONFORMITÉ RGPD| Programme
JEU DE LOI
MISE EN CONFORMITÉ RGPD| Programme
JEU DE LOI
SENSIBILISER LA DIRECTION
Information sur RGPD
Budget pour état des lieux
MISE EN CONFORMITÉ RGPD| Programme
SENSIBILISER LA DIRECTION
Information sur RGPD
Budget pour état des lieux
JEU DE LOI
MISE EN CONFORMITÉ RGPD| Programme
SENSIBILISER LA DIRECTION
Information sur RGPD
Budget pour état des lieux
JEU DE LOI
MISE EN CONFORMITÉ RGPD| Programme
SENSIBILISER LA DIRECTION
Information sur RGPD
Budget pour état des lieux
JEU DE LOI
FORMER L’EQUIPE DPO
Le DPO lui-même + ses relais ou les
managers/chefs d’équipe
MISE EN CONFORMITÉ RGPD| Programme
SENSIBILISER LA DIRECTION
Information sur RGPD
Budget pour état des lieux
JEU DE LOI
FORMER L’EQUIPE DPO
Le DPO lui-même + ses relais ou les
managers/chefs d’équipe
MISE EN CONFORMITÉ RGPD| Programme
SENSIBILISER LA DIRECTION
Information sur RGPD
Budget pour état des lieux
JEU DE LOI
FORMER L’EQUIPE DPO
Le DPO lui-même + ses relais ou les
managers/chefs d’équipe
IMPLEMENTER LES PROCESS RGPD
Privacy by design, by default, droits
PAAROLE, violations de données, etc.
MISE EN CONFORMITÉ RGPD| Programme
SENSIBILISER LA DIRECTION
Information sur RGPD
Budget pour état des lieux
JEU DE LOI
FORMER L’EQUIPE DPO
Le DPO lui-même + ses relais ou les
managers/chefs d’équipe
IMPLEMENTER LES PROCESS RGPD
Privacy by design, by default, droits
PAAROLE, violations de données, etc.
AUDITER TRAITEMENTS
Applis, sous-traitants, contrats,
sécurité, transferts hors U.E…
MISE EN CONFORMITÉ RGPD| Programme
SENSIBILISER LA DIRECTION
Information sur RGPD
Budget pour état des lieux
JEU DE LOI
FORMER L’EQUIPE DPO
Le DPO lui-même + ses relais ou les
managers/chefs d’équipe
IMPLEMENTER LES PROCESS RGPD
Privacy by design, by default, droits
PAAROLE, violations de données, etc.
AUDITER TRAITEMENTS
Applis, sous-traitants, contrats,
sécurité, transferts hors U.E…
CONFORMITE & REGISTRE
Applis, sous-traitants, contrats,
sécurité, transferts hors U.E…
MISE EN CONFORMITÉ RGPD| Programme
SENSIBILISER LA DIRECTION
Information sur RGPD
Budget pour état des lieux
JEU DE LOI
FORMER L’EQUIPE DPO
Le DPO lui-même + ses relais ou les
managers/chefs d’équipe
IMPLEMENTER LES PROCESS RGPD
Privacy by design, by default, droits
PAAROLE, violations de données, etc.
AUDITER TRAITEMENTS
Applis, sous-traitants, contrats,
sécurité, transferts hors U.E…
CONFORMITE & REGISTRE
Applis, sous-traitants, contrats,
sécurité, transferts hors U.E…
TEMPORISER
Absorber le flux
Ajuster si nécessaire
MISE EN CONFORMITÉ RGPD| Programme
SENSIBILISER LA DIRECTION
Information sur RGPD
Budget pour état des lieux
JEU DE LOI
FORMER L’EQUIPE DPO
Le DPO lui-même + ses relais ou les
managers/chefs d’équipe
IMPLEMENTER LES PROCESS RGPD
Privacy by design, by default, droits
PAAROLE, violations de données, etc.
AUDITER TRAITEMENTS
Applis, sous-traitants, contrats,
sécurité, transferts hors U.E…
CONFORMITE & REGISTRE
Applis, sous-traitants, contrats,
sécurité, transferts hors U.E…
TEMPORISER
Absorber le flux
Ajuster si nécessaire
ETABLIR FEUILLE DE ROUTE N+1
Sensibilisation globale
Audits ciblés, revue des traitements
MISE EN CONFORMITÉ RGPD| Programme
SENSIBILISER LA DIRECTION
Information sur RGPD
Budget pour état des lieux
JEU DE LOI
FORMER L’EQUIPE DPO
Le DPO lui-même + ses relais ou les
managers/chefs d’équipe
IMPLEMENTER LES PROCESS RGPD
Privacy by design, by default, droits
PAAROLE, violations de données, etc.
AUDITER TRAITEMENTS
Applis, sous-traitants, contrats,
sécurité, transferts hors U.E…
CONFORMITE & REGISTRE
Applis, sous-traitants, contrats,
sécurité, transferts hors U.E…
TEMPORISER
Absorber le flux
Ajuster si nécessaire
ETABLIR FEUILLE DE ROUTE N+1
Sensibilisation globale
Audits ciblés, revue des traitements
hank
http://www.oxalia-technology.com
/data-protection
www.linkedin.com/in
/andreamartelletti/
amartelletti
@oxalia-technology.com
www.twitter.com/
oxaliadata
Oxalia Technology Data
Protection
ou!

Más contenido relacionado

Destacado

EY Pharmastudie 2017
EY Pharmastudie 2017EY Pharmastudie 2017
EY Pharmastudie 2017EY
 
Livre Blanc ALTARES: La Data, nouveau disrupteur du business model des entrep...
Livre Blanc ALTARES: La Data, nouveau disrupteur du business model des entrep...Livre Blanc ALTARES: La Data, nouveau disrupteur du business model des entrep...
Livre Blanc ALTARES: La Data, nouveau disrupteur du business model des entrep...Altares D&B
 
Future work now
Future work nowFuture work now
Future work nowEY
 
Le CLOUD, c'est quoi ? - Mois du numérique 2017
Le CLOUD, c'est quoi ? - Mois du numérique 2017Le CLOUD, c'est quoi ? - Mois du numérique 2017
Le CLOUD, c'est quoi ? - Mois du numérique 2017Cyril Marsaud
 
Bpifrance Le Lab - Les industries de la French Touch
Bpifrance Le Lab - Les industries de la French TouchBpifrance Le Lab - Les industries de la French Touch
Bpifrance Le Lab - Les industries de la French TouchBpifrance
 
Comment s'articule l'écosystème de l'innovation en France ?
Comment s'articule l'écosystème de l'innovation en France ?Comment s'articule l'écosystème de l'innovation en France ?
Comment s'articule l'écosystème de l'innovation en France ?Justine Fradin
 
IFRS 15 Benchmarking survey for financial services
IFRS 15 Benchmarking survey for financial servicesIFRS 15 Benchmarking survey for financial services
IFRS 15 Benchmarking survey for financial servicesEY
 
Open data : faire parler les données
Open data  : faire parler les donnéesOpen data  : faire parler les données
Open data : faire parler les donnéesFlorent Pousserot
 
Evolution of cyber threats and the development of new security architecture
Evolution of cyber threats and the development of new security architectureEvolution of cyber threats and the development of new security architecture
Evolution of cyber threats and the development of new security architectureEY
 
Vous avez une vision ? Nous vous offrons la une !
Vous avez une vision ? Nous vous offrons la une !Vous avez une vision ? Nous vous offrons la une !
Vous avez une vision ? Nous vous offrons la une !EY
 
Baromètre EY / France Digitale 2017 - La performance économique et sociale de...
Baromètre EY / France Digitale 2017 - La performance économique et sociale de...Baromètre EY / France Digitale 2017 - La performance économique et sociale de...
Baromètre EY / France Digitale 2017 - La performance économique et sociale de...EY
 
Creating new demand for gas
Creating new demand for gasCreating new demand for gas
Creating new demand for gasEY
 
Vorstände deutscher Konzerne bleiben Männerdomäne
Vorstände deutscher Konzerne bleiben MännerdomäneVorstände deutscher Konzerne bleiben Männerdomäne
Vorstände deutscher Konzerne bleiben MännerdomäneEY
 
CONTENTSERV - PIM le noyau central d'un ecosysteme digital - Data forum MIC...
CONTENTSERV -  PIM le noyau central d'un ecosysteme digital -  Data forum MIC...CONTENTSERV -  PIM le noyau central d'un ecosysteme digital -  Data forum MIC...
CONTENTSERV - PIM le noyau central d'un ecosysteme digital - Data forum MIC...Micropole Group
 
Industrializing the blockchain
Industrializing the blockchainIndustrializing the blockchain
Industrializing the blockchainEY
 
Accès des PME aux marchés publics : le MEDEF propose 12 mesures efficaces et ...
Accès des PME aux marchés publics : le MEDEF propose 12 mesures efficaces et ...Accès des PME aux marchés publics : le MEDEF propose 12 mesures efficaces et ...
Accès des PME aux marchés publics : le MEDEF propose 12 mesures efficaces et ...Adm Medef
 
Discours d'ouverture de Pierre Gattaz - Université d'été du Medef 300816
Discours d'ouverture de Pierre Gattaz  - Université d'été du Medef 300816Discours d'ouverture de Pierre Gattaz  - Université d'été du Medef 300816
Discours d'ouverture de Pierre Gattaz - Université d'été du Medef 300816Adm Medef
 

Destacado (17)

EY Pharmastudie 2017
EY Pharmastudie 2017EY Pharmastudie 2017
EY Pharmastudie 2017
 
Livre Blanc ALTARES: La Data, nouveau disrupteur du business model des entrep...
Livre Blanc ALTARES: La Data, nouveau disrupteur du business model des entrep...Livre Blanc ALTARES: La Data, nouveau disrupteur du business model des entrep...
Livre Blanc ALTARES: La Data, nouveau disrupteur du business model des entrep...
 
Future work now
Future work nowFuture work now
Future work now
 
Le CLOUD, c'est quoi ? - Mois du numérique 2017
Le CLOUD, c'est quoi ? - Mois du numérique 2017Le CLOUD, c'est quoi ? - Mois du numérique 2017
Le CLOUD, c'est quoi ? - Mois du numérique 2017
 
Bpifrance Le Lab - Les industries de la French Touch
Bpifrance Le Lab - Les industries de la French TouchBpifrance Le Lab - Les industries de la French Touch
Bpifrance Le Lab - Les industries de la French Touch
 
Comment s'articule l'écosystème de l'innovation en France ?
Comment s'articule l'écosystème de l'innovation en France ?Comment s'articule l'écosystème de l'innovation en France ?
Comment s'articule l'écosystème de l'innovation en France ?
 
IFRS 15 Benchmarking survey for financial services
IFRS 15 Benchmarking survey for financial servicesIFRS 15 Benchmarking survey for financial services
IFRS 15 Benchmarking survey for financial services
 
Open data : faire parler les données
Open data  : faire parler les donnéesOpen data  : faire parler les données
Open data : faire parler les données
 
Evolution of cyber threats and the development of new security architecture
Evolution of cyber threats and the development of new security architectureEvolution of cyber threats and the development of new security architecture
Evolution of cyber threats and the development of new security architecture
 
Vous avez une vision ? Nous vous offrons la une !
Vous avez une vision ? Nous vous offrons la une !Vous avez une vision ? Nous vous offrons la une !
Vous avez une vision ? Nous vous offrons la une !
 
Baromètre EY / France Digitale 2017 - La performance économique et sociale de...
Baromètre EY / France Digitale 2017 - La performance économique et sociale de...Baromètre EY / France Digitale 2017 - La performance économique et sociale de...
Baromètre EY / France Digitale 2017 - La performance économique et sociale de...
 
Creating new demand for gas
Creating new demand for gasCreating new demand for gas
Creating new demand for gas
 
Vorstände deutscher Konzerne bleiben Männerdomäne
Vorstände deutscher Konzerne bleiben MännerdomäneVorstände deutscher Konzerne bleiben Männerdomäne
Vorstände deutscher Konzerne bleiben Männerdomäne
 
CONTENTSERV - PIM le noyau central d'un ecosysteme digital - Data forum MIC...
CONTENTSERV -  PIM le noyau central d'un ecosysteme digital -  Data forum MIC...CONTENTSERV -  PIM le noyau central d'un ecosysteme digital -  Data forum MIC...
CONTENTSERV - PIM le noyau central d'un ecosysteme digital - Data forum MIC...
 
Industrializing the blockchain
Industrializing the blockchainIndustrializing the blockchain
Industrializing the blockchain
 
Accès des PME aux marchés publics : le MEDEF propose 12 mesures efficaces et ...
Accès des PME aux marchés publics : le MEDEF propose 12 mesures efficaces et ...Accès des PME aux marchés publics : le MEDEF propose 12 mesures efficaces et ...
Accès des PME aux marchés publics : le MEDEF propose 12 mesures efficaces et ...
 
Discours d'ouverture de Pierre Gattaz - Université d'été du Medef 300816
Discours d'ouverture de Pierre Gattaz  - Université d'été du Medef 300816Discours d'ouverture de Pierre Gattaz  - Université d'été du Medef 300816
Discours d'ouverture de Pierre Gattaz - Université d'été du Medef 300816
 

Más de Andrea MARTELLETTI

Transferts hors UE : bientôt le bout du tunnel, mais à quel prix ?
Transferts hors UE : bientôt le bout du tunnel, mais à quel prix ?Transferts hors UE : bientôt le bout du tunnel, mais à quel prix ?
Transferts hors UE : bientôt le bout du tunnel, mais à quel prix ?Andrea MARTELLETTI
 
RGPD | Comment identifier et inscrire les traitements au registre des traitem...
RGPD | Comment identifier et inscrire les traitements au registre des traitem...RGPD | Comment identifier et inscrire les traitements au registre des traitem...
RGPD | Comment identifier et inscrire les traitements au registre des traitem...Andrea MARTELLETTI
 
Communication / Marketing et réglementation : les étapes clés
Communication / Marketing et réglementation : les étapes clésCommunication / Marketing et réglementation : les étapes clés
Communication / Marketing et réglementation : les étapes clésAndrea MARTELLETTI
 
Mise en conformité d'un traitement de données de bout-en-bout
Mise en conformité d'un traitement de données de bout-en-boutMise en conformité d'un traitement de données de bout-en-bout
Mise en conformité d'un traitement de données de bout-en-boutAndrea MARTELLETTI
 
Les "nouveaux droits clients" dans le rgpd
Les "nouveaux droits clients" dans le rgpdLes "nouveaux droits clients" dans le rgpd
Les "nouveaux droits clients" dans le rgpdAndrea MARTELLETTI
 

Más de Andrea MARTELLETTI (6)

Transferts hors UE : bientôt le bout du tunnel, mais à quel prix ?
Transferts hors UE : bientôt le bout du tunnel, mais à quel prix ?Transferts hors UE : bientôt le bout du tunnel, mais à quel prix ?
Transferts hors UE : bientôt le bout du tunnel, mais à quel prix ?
 
RGPD | Comment identifier et inscrire les traitements au registre des traitem...
RGPD | Comment identifier et inscrire les traitements au registre des traitem...RGPD | Comment identifier et inscrire les traitements au registre des traitem...
RGPD | Comment identifier et inscrire les traitements au registre des traitem...
 
Communication / Marketing et réglementation : les étapes clés
Communication / Marketing et réglementation : les étapes clésCommunication / Marketing et réglementation : les étapes clés
Communication / Marketing et réglementation : les étapes clés
 
Atelier RGPD ANDRH 27.03.18
Atelier RGPD ANDRH 27.03.18Atelier RGPD ANDRH 27.03.18
Atelier RGPD ANDRH 27.03.18
 
Mise en conformité d'un traitement de données de bout-en-bout
Mise en conformité d'un traitement de données de bout-en-boutMise en conformité d'un traitement de données de bout-en-bout
Mise en conformité d'un traitement de données de bout-en-bout
 
Les "nouveaux droits clients" dans le rgpd
Les "nouveaux droits clients" dans le rgpdLes "nouveaux droits clients" dans le rgpd
Les "nouveaux droits clients" dans le rgpd
 

RGPD : nouveautés, opportunités, mise en conformité

  • 1. PROTECTION ET MANAGEMENT DES DONNÉES À CARACTÈRE PERSONNEL
  • 2. PLAN DE PRÉSENTATION RGPDNouveautés | Opportunités | Mise en conformité 1. Les nouveautés • Principes fondamentaux : avant/après RGPD • Principaux impacts professionnels : entreprises et sous-traitants • Nouveaux droits « clients » 2. Les opportunités • Opportunités internes • Opportunités externes 3. La mise en conformité • Méthodologie • Exemple de programme
  • 3. AVANT DE COMMENCER | Définitions clés Donnée à caractère personnel (DCP) Toute information permettant d’identifier directement ou indirectement une personne physique (nom, coordonnées, n° de contrat, plaque d’immatriculation,…). Traitement de DCP Toute opération effectuée sur des DCP (consultation, collecte, modification, suppression,…). Responsable de traitement (RT) Entreprise / organisme / autorité / personne physique professionnelle qui détermine les finalités (le pourquoi) et les moyens (le comment) du traitement. Sous-traitant (ST) : Entreprise / organisme / autorité / personne physique professionnelle qui traite des DCP pour le compte du RT.
  • 4. Loi 78-17 • Finalité • Pertinence • Conservation • Droits des personnes • Sécurité des données S ystème déclaratif LES NOUVEAUTÉS DU RGPD | Principes fondamentaux Règlement 2016/679 • Privacy by design • Privacy by default • Accountability A utocontrôle
  • 5. CAS PRATIQUE | Développer une application Fonctionnalités 1. Carte des arrêts de taxi autour de l’utilisateur 2. Module « réservation online » 3. Module « réseau social » LES NOUVEAUTÉS DU RGPD | Principes fondamentaux
  • 6. CAS PRATIQUE | Développer une application Fonctionnalités 1. Carte des arrêts de taxi autour de l’utilisateur 2. Module « réservation online » 3. Module « réseau social » Protection des données 1. Définir les objectifs + Analyser les fonctionnalités + Définir les dispositifs de sécurité = Privacy by design LES NOUVEAUTÉS DU RGPD | Principes fondamentaux
  • 7. CAS PRATIQUE | Développer une application Fonctionnalités 1. Carte des arrêts de taxi autour de l’utilisateur 2. Module « réservation online » 3. Module « réseau social » Protection des données 1. Définir les objectifs + Analyser les fonctionnalités + Définir les dispositifs de sécurité = Privacy by design 2. Limiter collecte et traitement de données au strict nécessaire + Prévoir le maintien du niveau de sécurité avec des MAJ = Privacy by default LES NOUVEAUTÉS DU RGPD | Principes fondamentaux
  • 8. CAS PRATIQUE | Développer une application Fonctionnalités 1. Carte des arrêts de taxi autour de l’utilisateur 2. Module « réservation online » 3. Module « réseau social » Protection des données 1. Définir les objectifs + Analyser les fonctionnalités + Définir les dispositifs de sécurité = Privacy by design 2. Limiter collecte et traitement de données au strict nécessaire + Prévoir le maintien du niveau de sécurité avec des MAJ = Privacy by default 3. Constituer un dossier documenté pour prouver les points précédents = Accountability LES NOUVEAUTÉS DU RGPD | Principes fondamentaux
  • 9. LES NOUVEAUTÉS DU RGPD | Principaux impacts professionnels Responsable de traitement (RT) • Impacts organisationnels & financiers | Privacy by design, by default, accountability = nouvelles équipes, nouveaux process, nouveaux développements,… • Impacts B2B | Cartographie sous-traitants et partenaires + mise en conformité • Impacts « contractuels/transparence » | Revoir contrats B2B et clients car nouvelles obligations d’information + sites internet, applications, formulaires,… Sous-traitant (ST) • Impacts organisationnels & financiers | Tout ce qui découle des impacts B2B du RT = nouveaux traitements, nouveaux process,… | Nouvelle responsabilité du sous-traitant : doit présenter des garanties techniques et organisationnelles + collaboration accrue avec le RT + tenue d’un registre de sous-traitance
  • 10. RectificationAccèsPortabilité décisions Automatisées Opposition Limitation Effacement Savoir si un RT traite mes données ou non et lesquelles Assurer l’ exactitude de mes données Mettre fin au traitement de mes données ou l’interdire LES NOUVEAUTÉS DU RGPD | Nouveaux droits « clients »
  • 11. RectificationAccèsPortabilité décisions Automatisées Opposition Limitation Effacement Savoir si un RT traite mes données ou non et lesquelles Assurer l’ exactitude de mes données Mettre fin au traitement de mes données ou l’interdire Récupérer mes données ou les faire transmettre à un autre RT LES NOUVEAUTÉS DU RGPD | Nouveaux droits « clients »
  • 12. RectificationAccèsPortabilité décisions Automatisées Opposition Limitation Effacement Savoir si un RT traite mes données ou non et lesquelles Assurer l’ exactitude de mes données Mettre fin au traitement de mes données ou l’interdire Récupérer mes données ou les faire transmettre à un autre RT Obtenir une intervention humaine pour certains traitements générateurs de décisions automatisées LES NOUVEAUTÉS DU RGPD | Nouveaux droits « clients »
  • 13. RectificationAccèsPortabilité décisions Automatisées Opposition Limitation Effacement Savoir si un RT traite mes données ou non et lesquelles Assurer l’ exactitude de mes données Mettre fin au traitement de mes données ou l’interdire Mettre en pause le traitement de mes données Récupérer mes données ou les faire transmettre à un autre RT Obtenir une intervention humaine pour certains traitements générateurs de décisions automatisées LES NOUVEAUTÉS DU RGPD | Nouveaux droits « clients »
  • 14. RectificationAccèsPortabilité décisions Automatisées Opposition Limitation Effacement Savoir si un RT traite mes données ou non et lesquelles Assurer l’ exactitude de mes données Mettre fin au traitement de mes données ou l’interdire Mettre en pause le traitement de mes données Faire effacer mes données Récupérer mes données ou les faire transmettre à un autre RT Obtenir une intervention humaine pour certains traitements générateurs de décisions automatisées LES NOUVEAUTÉS DU RGPD | Nouveaux droits « clients »
  • 15. LES OPPORTUNITÉS DU RGPD Opportunités internes • Gain de productivité | Les process RGPD sont très structurants. • Optimisation des coûts | La ressource informatique n’est pas gratuite. • Optimisation des projets | Données pertinentes = réutilisations pertinentes. Opportunités externes • Amélioration de la réputation | Limiter les « bas buzz » fuites de données et consorts, obtenir des certifications et labels • Augmentation du CA | Entreprise labélisée CNIL V.S. entreprise sanctionnée CNIL
  • 16. MISE EN CONFORMITÉ RGPD| Méthodologie • Focus organisation & procédures • Accompagnement du changement (formation & sensibilisation) = Mise en place de l’environnement RGPD ÉTAPE 1 PRÉSENT & AVENIR • Audit des applications & traitements • Liste des écarts, recommandations, actions de mise en conformité = Mise en conformité de l’historique ÉTAPE 2 PASSÉ
  • 17. MISE EN CONFORMITÉ RGPD| Méthodologie • Focus organisation & procédures • Accompagnement du changement (formation & sensibilisation) = Mise en place de l’environnement RGPD ÉTAPE 1 PRÉSENT & AVENIR • Audit des applications & traitements • Liste des écarts, recommandations, actions de mise en conformité = Mise en conformité de l’historique ÉTAPE 2 PASSÉ
  • 18. MISE EN CONFORMITÉ RGPD| Méthodologie • Focus organisation & procédures • Accompagnement du changement (formation & sensibilisation) = Mise en place de l’environnement RGPD ÉTAPE 1 PRÉSENT & AVENIR • Audit des applications & traitements • Liste des écarts, recommandations, actions de mise en conformité = Mise en conformité de l’historique ÉTAPE 2 PASSÉ
  • 19. MISE EN CONFORMITÉ RGPD| Méthodologie • Focus organisation & procédures • Accompagnement du changement (formation & sensibilisation) = Mise en place de l’environnement RGPD ÉTAPE 1 PRÉSENT & AVENIR • Audit des applications & traitements • Liste des écarts, recommandations, actions de mise en conformité = Mise en conformité de l’historique ÉTAPE 2 PASSÉ
  • 20. MISE EN CONFORMITÉ RGPD| Méthodologie • Focus organisation & procédures • Accompagnement du changement (formation & sensibilisation) = Mise en place de l’environnement RGPD ÉTAPE 1 PRÉSENT & AVENIR • Audit des applications & traitements • Liste des écarts, recommandations, actions de mise en conformité = Mise en conformité de l’historique ÉTAPE 2 PASSÉ
  • 21. MISE EN CONFORMITÉ RGPD| Programme JEU DE LOI
  • 22. MISE EN CONFORMITÉ RGPD| Programme JEU DE LOI SENSIBILISER LA DIRECTION Information sur RGPD Budget pour état des lieux
  • 23. MISE EN CONFORMITÉ RGPD| Programme SENSIBILISER LA DIRECTION Information sur RGPD Budget pour état des lieux JEU DE LOI
  • 24. MISE EN CONFORMITÉ RGPD| Programme SENSIBILISER LA DIRECTION Information sur RGPD Budget pour état des lieux JEU DE LOI
  • 25. MISE EN CONFORMITÉ RGPD| Programme SENSIBILISER LA DIRECTION Information sur RGPD Budget pour état des lieux JEU DE LOI FORMER L’EQUIPE DPO Le DPO lui-même + ses relais ou les managers/chefs d’équipe
  • 26. MISE EN CONFORMITÉ RGPD| Programme SENSIBILISER LA DIRECTION Information sur RGPD Budget pour état des lieux JEU DE LOI FORMER L’EQUIPE DPO Le DPO lui-même + ses relais ou les managers/chefs d’équipe
  • 27. MISE EN CONFORMITÉ RGPD| Programme SENSIBILISER LA DIRECTION Information sur RGPD Budget pour état des lieux JEU DE LOI FORMER L’EQUIPE DPO Le DPO lui-même + ses relais ou les managers/chefs d’équipe IMPLEMENTER LES PROCESS RGPD Privacy by design, by default, droits PAAROLE, violations de données, etc.
  • 28. MISE EN CONFORMITÉ RGPD| Programme SENSIBILISER LA DIRECTION Information sur RGPD Budget pour état des lieux JEU DE LOI FORMER L’EQUIPE DPO Le DPO lui-même + ses relais ou les managers/chefs d’équipe IMPLEMENTER LES PROCESS RGPD Privacy by design, by default, droits PAAROLE, violations de données, etc. AUDITER TRAITEMENTS Applis, sous-traitants, contrats, sécurité, transferts hors U.E…
  • 29. MISE EN CONFORMITÉ RGPD| Programme SENSIBILISER LA DIRECTION Information sur RGPD Budget pour état des lieux JEU DE LOI FORMER L’EQUIPE DPO Le DPO lui-même + ses relais ou les managers/chefs d’équipe IMPLEMENTER LES PROCESS RGPD Privacy by design, by default, droits PAAROLE, violations de données, etc. AUDITER TRAITEMENTS Applis, sous-traitants, contrats, sécurité, transferts hors U.E… CONFORMITE & REGISTRE Applis, sous-traitants, contrats, sécurité, transferts hors U.E…
  • 30. MISE EN CONFORMITÉ RGPD| Programme SENSIBILISER LA DIRECTION Information sur RGPD Budget pour état des lieux JEU DE LOI FORMER L’EQUIPE DPO Le DPO lui-même + ses relais ou les managers/chefs d’équipe IMPLEMENTER LES PROCESS RGPD Privacy by design, by default, droits PAAROLE, violations de données, etc. AUDITER TRAITEMENTS Applis, sous-traitants, contrats, sécurité, transferts hors U.E… CONFORMITE & REGISTRE Applis, sous-traitants, contrats, sécurité, transferts hors U.E… TEMPORISER Absorber le flux Ajuster si nécessaire
  • 31. MISE EN CONFORMITÉ RGPD| Programme SENSIBILISER LA DIRECTION Information sur RGPD Budget pour état des lieux JEU DE LOI FORMER L’EQUIPE DPO Le DPO lui-même + ses relais ou les managers/chefs d’équipe IMPLEMENTER LES PROCESS RGPD Privacy by design, by default, droits PAAROLE, violations de données, etc. AUDITER TRAITEMENTS Applis, sous-traitants, contrats, sécurité, transferts hors U.E… CONFORMITE & REGISTRE Applis, sous-traitants, contrats, sécurité, transferts hors U.E… TEMPORISER Absorber le flux Ajuster si nécessaire ETABLIR FEUILLE DE ROUTE N+1 Sensibilisation globale Audits ciblés, revue des traitements
  • 32. MISE EN CONFORMITÉ RGPD| Programme SENSIBILISER LA DIRECTION Information sur RGPD Budget pour état des lieux JEU DE LOI FORMER L’EQUIPE DPO Le DPO lui-même + ses relais ou les managers/chefs d’équipe IMPLEMENTER LES PROCESS RGPD Privacy by design, by default, droits PAAROLE, violations de données, etc. AUDITER TRAITEMENTS Applis, sous-traitants, contrats, sécurité, transferts hors U.E… CONFORMITE & REGISTRE Applis, sous-traitants, contrats, sécurité, transferts hors U.E… TEMPORISER Absorber le flux Ajuster si nécessaire ETABLIR FEUILLE DE ROUTE N+1 Sensibilisation globale Audits ciblés, revue des traitements