brm avocats - 1er réseau des professionnels du marketing ... · la gouvernance des données à...
TRANSCRIPT
La gouvernance des données à caractère
personnel RICOUART-MAILLET Martine
BRM AVOCATS
Matinale RGPD
En partenariat avec
2LaGouvernancedesdonnéesàcaractèrepersonnel
en bref :
Situé à Euratechnologies
Propriété intellectuelle (Droit d’auteur,
Marques, Brevets, Bases de données)
Nouvelles technologies (Protection des données personnelles, Contrats
Informatiques, Consommation)
3LaGouvernancedesdonnéesàcaractèrepersonnel
Les Enjeux d’une gouvernance des données
LepremierréseaudesProfessionnelsduMarke<ng 4
1) Satisfaction client : éthique 2) Satisfaction des équipes : respect des
valeurs 3) Image de marque 4) Conformité 5) Eviter les lourdes sanctions lourdes à
venir
Les gains
LepremierréseaudesProfessionnelsduMarke<ng 5
ü Synergie et collaboration entre les équipes ü Gestion et valorisation optimisées du
patrimoine ü Amélioration de la sécurité informatique
globale ü Réduction des risques juridiques,
médiatiques et financiers ü Différenciation/concurrence
Les impacts et risques
LepremierréseaudesProfessionnelsduMarke<ng 6
Données prospects, clients
Données RH
Employeur
LepremierréseaudesProfessionnelsduMarke<ng 7
Notions essentielles
LepremierréseaudesProfessionnelsduMarke<ng 8
• Donnée à caractère personnel : § toute information relative à une personne physique identifiée ou qui peut être identifiée,
directement ou indirectement : classique ou sensible
• Traitement de données à caractère personnel : § toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le
procédé utilisé (bases de données RH, clients, prospects …)
• Responsable de traitement de données à caractère personnel : § la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses
moyens. Il peut être conjoint.
• Sous-traitant : § Jusqu’à maintenant agissait pour le compte du responsable de traitement, assurait la sécurité
des données § Avec le RGPD : obligations plus lourdes du sous-traitant
• Destinataire : § Personne habilitée à recevoir les données (légalement, contractuellement, selon habilitation
Textes applicables
LepremierréseaudesProfessionnelsduMarke<ng 9
Evolution par rapport à la directive 95/46/CE
LepremierréseaudesProfessionnelsduMarke<ng 10
Le Règlement Européen
LepremierréseaudesProfessionnelsduMarke<ng 11
Mai 2018
Principes fondamentaux du traitement des données
LepremierréseaudesProfessionnelsduMarke<ng 12
• INFORMATION SALARIÉS, CLIENTS, ADMINISTRÉS
LICEITE, LOYAUTE ET TRANSPARENCE
• DETERMINEES, EXPLICITES, LEGITIMES
LIMITATION DES FINALITÉS
• PAS DE MESURES QUI NE TROUVENT UNE JUSTIFICATION LÉGITIME
MINIMISATION DES DONNEES
• MISE À JOUR
EXACTITUDE
• DUREE DE CONSERVATION GEREE
LIMITATION DE LA CONSERVATION
• LOGIQUE, PHYSIQUE, ORGANISATIONNELLE, CONTRACTUELLE (L’IMPOSER AUX SOUS-TRAITANTS)
SECURITÉ ET CONFIDENTIALITÉ
RESPONSABILITE (ACCOUNTABILITY) = RGPD
Le Règlement Européen
LepremierréseaudesProfessionnelsduMarke<ng 13
ACCOUNTABILITY
RENFORCEMENT
DES SANCTIO
NS
GUICHET UNIQUE
RENFORCEMENT INFO ET CONSENTEMENT
DPO
Jusqu’à 20 millions € ou 4% du CA mondial (1e palier: 10 millions €)
Rattachement siège social du responsable de traitement
Consentement plus qualifié Informations supplémentaires Notification des violations de données
Obligatoire pour = - Les administrations publiques - La gestion de données sensibles à grande échelle - Surveillance des personnes à grand échelle
Tenue d’un registre (+250 salariés), politique de protection des données, responsabilisation, analyses d’impact, documentation, process
Accountability : repenser l’organisation de la conformité : la règle des 4 P
LepremierréseaudesProfessionnelsduMarke<ng 14
Pilote(s) : Equipe
conformité et DPO
Politique de protection
des données
Process documentés
Preuves et traçabilité
La notion d’accountability : quels objectifs ?
LepremierréseaudesProfessionnelsduMarke<ng 15
Etablir une politique de protection des données
Mettre en œuvre des mécanismes et procédures internes permettant la mise en conformité et son maintien
Se responsabiliser (plus de déclaration à faire) mais procéder à de analyses d’impact
Documenter et traçer ses process
L’accountability désigne l’obligation pour les entreprises de :
Accountability
LepremierréseaudesProfessionnelsduMarke<ng 16
• Formalités limitées auprès de la CNIL • Mais nécessité de tenir un registre des
activités de traitement pour les entreprises de plus de 250 salariés (RT et STT)
Allègement apparent des
formalités
• Privacy by default & by design : déployer des process permettant de tenir compte de la protection des données dès la conception et par défaut, Mentionner ces exigences au cahier des charges aux prestataires extérieurs
• En interne, établir des process qui obligent tous les chefs de projet à se poser les bonnes questions
• Analyses d’impact • Notification obligatoire des failles de sécurité (RT et
ST)
Mais des obligations renforcées
Le CIL/DPO = pilote
LepremierréseaudesProfessionnelsduMarke<ng 17
1. Informer et conseiller le RT et le ST
3. Veiller à la bonne réalisation des études
d’impact
5. Etre l’interlocuteur de la CNIL
6. Tenir compte du risque associé aux opérations selon la
finalité de chaque traitement
4. Contrôler le respect du règlement, du droit de l’UE et des Etats
membres
2. Aider à la mise en place de la documentation et des
process
* Obligatoire à compter du 25 mai 2018 eu égard aux traitements de données effectués (surveillance à grande échelle et systématique) et données
de santé - Interne ou externe
Des analyses d’impact systématiques
LepremierréseaudesProfessionnelsduMarke<ng 18
Les cas obligatoires Encasde:ü évalua&on systéma&que et exhaus&ve des
aspectspersonnelsdel’individureposantsurduprofilageetsurbasedelaquelleserontprisesdesdécisions de nature à produire des effetsjuridiquesouà impacterdemanière importantelespersonnes;
ü traitement à grande échelle de catégoriesspéciales de données sensibles ou de donnéesportant sur des condamna<ons ou desinfrac<onspénales;
ü surveillance systéma&que à grande échelled’unezoneaccessibleaupublic.
Notification des violations de données
LepremierréseaudesProfessionnelsduMarke<ng 19
A qui notifier ?
À la CNIL dans les 72 heures, sauf si la violation n’est pas susceptible
d’engendrer un risque pour les personnes physiques
Les individus touchés, dans les meilleurs délais, si la violation
présente un « risque élevé » pour eux ou sur ordre de l’autorité de contrôle
1- Process de notificatino
2- Equipe notification
Notions essentielles
LepremierréseaudesProfessionnelsduMarke<ng 20
• Face à un sous-traitant ü Vérifier les garanties concrètes offertes
par le sous-traitant en matière de protection des données
ü Encadrer les relations avec le sous-traitant par le biais d’un contrat écrit comportant les mentions requises
ü Vérifier qu’il respecte les nouvelles obligations mises à sa charge
• En tant que sous-traitant ü Respecter les nouvelles obligations
prévues par le règlement à la charge du s o u s - t r a i t a n t ( d e vo i r d ’ a l e r t e s i i n s t r u c t i o n s c o n t r a i r e s à l a règlementation, notification des violations au responsable, tenue d’un registre, désignation d’un DPO, etc.)
ü Un devoir de conseil
Ø Exiger des sous-traitants des preuves de conformité Ø Respecter les mentions obligatoires de l’Article 28 Ø Modifier tous les contrats avant le 25 mai 2018
Plan d’action interne
LepremierréseaudesProfessionnelsduMarke<ng 21
• Mise en place d’une équipe conformité (juridique, SI, RH , marketing)
• Réalisation d’un audit de conformité juridique et technique
• Traitement des écarts
• Désignation d’un CIL/DPO, interne ou externe, communication interne sur le DPO et ses missions
• Rédaction d’une politique de protection des données
• Formation et sensibilisation des personnels
• Mise en place des process RGPD dans tous les services
• Mise en place de mesures techniques et organisationnelles fortes afin d’assurer la sécurité et la confidentialité des données
• Analyse d’impact pour les traitements les plus sensibles
3 étapes essentielles de la mise en conformité
Eric Hubert, Pitney Bowes
Matinale RGPD
En partenariat avec
Pitney Bowes
• Positionnement unique sur la compréhension des enjeux de la mise en oeuvre du RGPD
• 40 ans d’expérience sur la gestion de la Vision Unique Client
• Une technologie permettant une approche : • Intuitive, • Agile, • Et surtout Evolutive
Master Data Management
Tous portés par la puissance des solutions Pitney Bowes
Pitney Bowes
Pitney Bowes et la mise en œuvre du RGPD
Discover
Génération automatisée de l’inventaire des données de votre organisation
Prepare
Constitution d’une vue unifiée des données d’identification et de consentement pour faciliter l’accès et la MAJ
Act
Gérez les droits d'accès, de rectification, d’opposition et le consentement
Comment identifier les données à caractère personnel ?
Addresse IP
Numéro Sécurité sociale
Dossier de santé
Biometrique
Téléphone
Adresse postale
Nom Client
Données de localisation
Religion
Date de naissance
Cookies Web
Données RFID Addresse Email
Historique de navigation
N° de passport
Sexe
Identifant fiscal
RIB
Profession
Age Historique de communications
Comment identifier les données à caractère personnel ?
Variante Nom du champ
Nomcomplet Numéro_De_Sécurité_Sociale
Abréviation NSS,NIR,NIRPP
Mot Secu
Nom alternatif ID_INSEE
Nom arbitraire Iden<fant_Na<onal
Nom ambigu SNUM
À l’aide des “meta-données”
Comment identifier les données à caractère personnel ?
Variante Contenu du champ
nnnnnnnnnnnnn 1720731556073
nnnnnnnnnnnnn-nn 1720731556073-19
n-nn-nnnn-nnnnnn 1-72-0731-556073
nnnnnnnnn / padding Durand, 1720731556073
4 champs 1| 72 | 0731 | 556073
Masqué partiellement 1****31556073
A l’aide des données elles-mêmes
Inventaire des données
• Le Data Discovery permet de scanner des millions de champs de tables ou de documents pour générer la « cartographie » des données à caractère personnelle d’une organisation ainsi qu’une documentation complète sur les meta-données et les données
• La Classification des Données permet de définir des domaines de données et de répertorier pour chaque domaine les données identifiées
Exemple de restitution sous forme de cartographie
Adresse postale
Civilité Email Nom de famile Permis de conduire Nom Sexe Profession Date de naissance Prénom
De l’inventaire au registre des données
Une approche révolutionnaire qui procure agilité et visibilité
Vue Unique du Consentement
Vue Unique du Consentement – Exemple de modèle
Vue Unique du Consentement – Instanciation du modèle
Une plate-forme de gouvernance des données orientée services pour favoriser vitesse, précision et contrôle
Déploiement d’un portail RGPD
Vérification d’identité
Accès, rectification, opposition
En conclusion
• Le RGPD est une opportunité pour mieux gouverner vos données Client
– Recensement / Cartographie / Profiling – Mise en œuvre d’un registre de données Client pour une
gouvernance centralisée des données personnelles et de consentement
– Fiabilisation et enrichissement
• L’Agilité de la solution Pitney Bowes – Modélisation intuitive pilotée par les métiers – Evolutivité du modèle pour prendre en compte les
besoins futurs – Plateforme ouverte permettant de définir des règles ré-
utilisables sans aucun développement
• Délai de mise en œuvre rapide – Pour être prêt avant mai 2018
Merci En savoir plus : http://pbi.bz/RGPD