Download - Matinale Adetem - RGPD - 26102017
![Page 1: Matinale Adetem - RGPD - 26102017](https://reader031.vdocuments.mx/reader031/viewer/2022021507/5a6734107f8b9a0c518b4979/html5/thumbnails/1.jpg)
La gouvernance des données à caractère
personnel RICOUART-MAILLET Martine
BRM AVOCATS
Matinale RGPD
En partenariat avec
![Page 2: Matinale Adetem - RGPD - 26102017](https://reader031.vdocuments.mx/reader031/viewer/2022021507/5a6734107f8b9a0c518b4979/html5/thumbnails/2.jpg)
2LaGouvernancedesdonnéesàcaractèrepersonnel
en bref :
Situé à Euratechnologies
Propriété intellectuelle (Droit d’auteur,
Marques, Brevets, Bases de données)
Nouvelles technologies (Protection des données personnelles, Contrats
Informatiques, Consommation)
![Page 3: Matinale Adetem - RGPD - 26102017](https://reader031.vdocuments.mx/reader031/viewer/2022021507/5a6734107f8b9a0c518b4979/html5/thumbnails/3.jpg)
3LaGouvernancedesdonnéesàcaractèrepersonnel
![Page 4: Matinale Adetem - RGPD - 26102017](https://reader031.vdocuments.mx/reader031/viewer/2022021507/5a6734107f8b9a0c518b4979/html5/thumbnails/4.jpg)
Les Enjeux d’une gouvernance des données
LepremierréseaudesProfessionnelsduMarke<ng 4
1) Satisfaction client : éthique 2) Satisfaction des équipes : respect des
valeurs 3) Image de marque 4) Conformité 5) Eviter les lourdes sanctions lourdes à
venir
![Page 5: Matinale Adetem - RGPD - 26102017](https://reader031.vdocuments.mx/reader031/viewer/2022021507/5a6734107f8b9a0c518b4979/html5/thumbnails/5.jpg)
Les gains
LepremierréseaudesProfessionnelsduMarke<ng 5
ü Synergie et collaboration entre les équipes ü Gestion et valorisation optimisées du
patrimoine ü Amélioration de la sécurité informatique
globale ü Réduction des risques juridiques,
médiatiques et financiers ü Différenciation/concurrence
![Page 6: Matinale Adetem - RGPD - 26102017](https://reader031.vdocuments.mx/reader031/viewer/2022021507/5a6734107f8b9a0c518b4979/html5/thumbnails/6.jpg)
Les impacts et risques
LepremierréseaudesProfessionnelsduMarke<ng 6
Données prospects, clients
Données RH
![Page 7: Matinale Adetem - RGPD - 26102017](https://reader031.vdocuments.mx/reader031/viewer/2022021507/5a6734107f8b9a0c518b4979/html5/thumbnails/7.jpg)
Employeur
LepremierréseaudesProfessionnelsduMarke<ng 7
![Page 8: Matinale Adetem - RGPD - 26102017](https://reader031.vdocuments.mx/reader031/viewer/2022021507/5a6734107f8b9a0c518b4979/html5/thumbnails/8.jpg)
Notions essentielles
LepremierréseaudesProfessionnelsduMarke<ng 8
• Donnée à caractère personnel : § toute information relative à une personne physique identifiée ou qui peut être identifiée,
directement ou indirectement : classique ou sensible
• Traitement de données à caractère personnel : § toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le
procédé utilisé (bases de données RH, clients, prospects …)
• Responsable de traitement de données à caractère personnel : § la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses
moyens. Il peut être conjoint.
• Sous-traitant : § Jusqu’à maintenant agissait pour le compte du responsable de traitement, assurait la sécurité
des données § Avec le RGPD : obligations plus lourdes du sous-traitant
• Destinataire : § Personne habilitée à recevoir les données (légalement, contractuellement, selon habilitation
![Page 9: Matinale Adetem - RGPD - 26102017](https://reader031.vdocuments.mx/reader031/viewer/2022021507/5a6734107f8b9a0c518b4979/html5/thumbnails/9.jpg)
Textes applicables
LepremierréseaudesProfessionnelsduMarke<ng 9
![Page 10: Matinale Adetem - RGPD - 26102017](https://reader031.vdocuments.mx/reader031/viewer/2022021507/5a6734107f8b9a0c518b4979/html5/thumbnails/10.jpg)
Evolution par rapport à la directive 95/46/CE
LepremierréseaudesProfessionnelsduMarke<ng 10
![Page 11: Matinale Adetem - RGPD - 26102017](https://reader031.vdocuments.mx/reader031/viewer/2022021507/5a6734107f8b9a0c518b4979/html5/thumbnails/11.jpg)
Le Règlement Européen
LepremierréseaudesProfessionnelsduMarke<ng 11
Mai 2018
![Page 12: Matinale Adetem - RGPD - 26102017](https://reader031.vdocuments.mx/reader031/viewer/2022021507/5a6734107f8b9a0c518b4979/html5/thumbnails/12.jpg)
Principes fondamentaux du traitement des données
LepremierréseaudesProfessionnelsduMarke<ng 12
• INFORMATION SALARIÉS, CLIENTS, ADMINISTRÉS
LICEITE, LOYAUTE ET TRANSPARENCE
• DETERMINEES, EXPLICITES, LEGITIMES
LIMITATION DES FINALITÉS
• PAS DE MESURES QUI NE TROUVENT UNE JUSTIFICATION LÉGITIME
MINIMISATION DES DONNEES
• MISE À JOUR
EXACTITUDE
• DUREE DE CONSERVATION GEREE
LIMITATION DE LA CONSERVATION
• LOGIQUE, PHYSIQUE, ORGANISATIONNELLE, CONTRACTUELLE (L’IMPOSER AUX SOUS-TRAITANTS)
SECURITÉ ET CONFIDENTIALITÉ
RESPONSABILITE (ACCOUNTABILITY) = RGPD
![Page 13: Matinale Adetem - RGPD - 26102017](https://reader031.vdocuments.mx/reader031/viewer/2022021507/5a6734107f8b9a0c518b4979/html5/thumbnails/13.jpg)
Le Règlement Européen
LepremierréseaudesProfessionnelsduMarke<ng 13
ACCOUNTABILITY
RENFORCEMENT
DES SANCTIO
NS
GUICHET UNIQUE
RENFORCEMENT INFO ET CONSENTEMENT
DPO
Jusqu’à 20 millions € ou 4% du CA mondial (1e palier: 10 millions €)
Rattachement siège social du responsable de traitement
Consentement plus qualifié Informations supplémentaires Notification des violations de données
Obligatoire pour = - Les administrations publiques - La gestion de données sensibles à grande échelle - Surveillance des personnes à grand échelle
Tenue d’un registre (+250 salariés), politique de protection des données, responsabilisation, analyses d’impact, documentation, process
![Page 14: Matinale Adetem - RGPD - 26102017](https://reader031.vdocuments.mx/reader031/viewer/2022021507/5a6734107f8b9a0c518b4979/html5/thumbnails/14.jpg)
Accountability : repenser l’organisation de la conformité : la règle des 4 P
LepremierréseaudesProfessionnelsduMarke<ng 14
Pilote(s) : Equipe
conformité et DPO
Politique de protection
des données
Process documentés
Preuves et traçabilité
![Page 15: Matinale Adetem - RGPD - 26102017](https://reader031.vdocuments.mx/reader031/viewer/2022021507/5a6734107f8b9a0c518b4979/html5/thumbnails/15.jpg)
La notion d’accountability : quels objectifs ?
LepremierréseaudesProfessionnelsduMarke<ng 15
Etablir une politique de protection des données
Mettre en œuvre des mécanismes et procédures internes permettant la mise en conformité et son maintien
Se responsabiliser (plus de déclaration à faire) mais procéder à de analyses d’impact
Documenter et traçer ses process
L’accountability désigne l’obligation pour les entreprises de :
![Page 16: Matinale Adetem - RGPD - 26102017](https://reader031.vdocuments.mx/reader031/viewer/2022021507/5a6734107f8b9a0c518b4979/html5/thumbnails/16.jpg)
Accountability
LepremierréseaudesProfessionnelsduMarke<ng 16
• Formalités limitées auprès de la CNIL • Mais nécessité de tenir un registre des
activités de traitement pour les entreprises de plus de 250 salariés (RT et STT)
Allègement apparent des
formalités
• Privacy by default & by design : déployer des process permettant de tenir compte de la protection des données dès la conception et par défaut, Mentionner ces exigences au cahier des charges aux prestataires extérieurs
• En interne, établir des process qui obligent tous les chefs de projet à se poser les bonnes questions
• Analyses d’impact • Notification obligatoire des failles de sécurité (RT et
ST)
Mais des obligations renforcées
![Page 17: Matinale Adetem - RGPD - 26102017](https://reader031.vdocuments.mx/reader031/viewer/2022021507/5a6734107f8b9a0c518b4979/html5/thumbnails/17.jpg)
Le CIL/DPO = pilote
LepremierréseaudesProfessionnelsduMarke<ng 17
1. Informer et conseiller le RT et le ST
3. Veiller à la bonne réalisation des études
d’impact
5. Etre l’interlocuteur de la CNIL
6. Tenir compte du risque associé aux opérations selon la
finalité de chaque traitement
4. Contrôler le respect du règlement, du droit de l’UE et des Etats
membres
2. Aider à la mise en place de la documentation et des
process
* Obligatoire à compter du 25 mai 2018 eu égard aux traitements de données effectués (surveillance à grande échelle et systématique) et données
de santé - Interne ou externe
![Page 18: Matinale Adetem - RGPD - 26102017](https://reader031.vdocuments.mx/reader031/viewer/2022021507/5a6734107f8b9a0c518b4979/html5/thumbnails/18.jpg)
Des analyses d’impact systématiques
LepremierréseaudesProfessionnelsduMarke<ng 18
Les cas obligatoires Encasde:ü évalua&on systéma&que et exhaus&ve des
aspectspersonnelsdel’individureposantsurduprofilageetsurbasedelaquelleserontprisesdesdécisions de nature à produire des effetsjuridiquesouà impacterdemanière importantelespersonnes;
ü traitement à grande échelle de catégoriesspéciales de données sensibles ou de donnéesportant sur des condamna<ons ou desinfrac<onspénales;
ü surveillance systéma&que à grande échelled’unezoneaccessibleaupublic.
![Page 19: Matinale Adetem - RGPD - 26102017](https://reader031.vdocuments.mx/reader031/viewer/2022021507/5a6734107f8b9a0c518b4979/html5/thumbnails/19.jpg)
Notification des violations de données
LepremierréseaudesProfessionnelsduMarke<ng 19
A qui notifier ?
À la CNIL dans les 72 heures, sauf si la violation n’est pas susceptible
d’engendrer un risque pour les personnes physiques
Les individus touchés, dans les meilleurs délais, si la violation
présente un « risque élevé » pour eux ou sur ordre de l’autorité de contrôle
1- Process de notificatino
2- Equipe notification
![Page 20: Matinale Adetem - RGPD - 26102017](https://reader031.vdocuments.mx/reader031/viewer/2022021507/5a6734107f8b9a0c518b4979/html5/thumbnails/20.jpg)
Notions essentielles
LepremierréseaudesProfessionnelsduMarke<ng 20
• Face à un sous-traitant ü Vérifier les garanties concrètes offertes
par le sous-traitant en matière de protection des données
ü Encadrer les relations avec le sous-traitant par le biais d’un contrat écrit comportant les mentions requises
ü Vérifier qu’il respecte les nouvelles obligations mises à sa charge
• En tant que sous-traitant ü Respecter les nouvelles obligations
prévues par le règlement à la charge du s o u s - t r a i t a n t ( d e vo i r d ’ a l e r t e s i i n s t r u c t i o n s c o n t r a i r e s à l a règlementation, notification des violations au responsable, tenue d’un registre, désignation d’un DPO, etc.)
ü Un devoir de conseil
Ø Exiger des sous-traitants des preuves de conformité Ø Respecter les mentions obligatoires de l’Article 28 Ø Modifier tous les contrats avant le 25 mai 2018
![Page 21: Matinale Adetem - RGPD - 26102017](https://reader031.vdocuments.mx/reader031/viewer/2022021507/5a6734107f8b9a0c518b4979/html5/thumbnails/21.jpg)
Plan d’action interne
LepremierréseaudesProfessionnelsduMarke<ng 21
• Mise en place d’une équipe conformité (juridique, SI, RH , marketing)
• Réalisation d’un audit de conformité juridique et technique
• Traitement des écarts
• Désignation d’un CIL/DPO, interne ou externe, communication interne sur le DPO et ses missions
• Rédaction d’une politique de protection des données
• Formation et sensibilisation des personnels
• Mise en place des process RGPD dans tous les services
• Mise en place de mesures techniques et organisationnelles fortes afin d’assurer la sécurité et la confidentialité des données
• Analyse d’impact pour les traitements les plus sensibles
![Page 22: Matinale Adetem - RGPD - 26102017](https://reader031.vdocuments.mx/reader031/viewer/2022021507/5a6734107f8b9a0c518b4979/html5/thumbnails/22.jpg)
3 étapes essentielles de la mise en conformité
Eric Hubert, Pitney Bowes
Matinale RGPD
En partenariat avec
![Page 23: Matinale Adetem - RGPD - 26102017](https://reader031.vdocuments.mx/reader031/viewer/2022021507/5a6734107f8b9a0c518b4979/html5/thumbnails/23.jpg)
![Page 24: Matinale Adetem - RGPD - 26102017](https://reader031.vdocuments.mx/reader031/viewer/2022021507/5a6734107f8b9a0c518b4979/html5/thumbnails/24.jpg)
Pitney Bowes
• Positionnement unique sur la compréhension des enjeux de la mise en oeuvre du RGPD
• 40 ans d’expérience sur la gestion de la Vision Unique Client
• Une technologie permettant une approche : • Intuitive, • Agile, • Et surtout Evolutive
Master Data Management
Tous portés par la puissance des solutions Pitney Bowes
Pitney Bowes
![Page 25: Matinale Adetem - RGPD - 26102017](https://reader031.vdocuments.mx/reader031/viewer/2022021507/5a6734107f8b9a0c518b4979/html5/thumbnails/25.jpg)
Pitney Bowes et la mise en œuvre du RGPD
Discover
Génération automatisée de l’inventaire des données de votre organisation
Prepare
Constitution d’une vue unifiée des données d’identification et de consentement pour faciliter l’accès et la MAJ
Act
Gérez les droits d'accès, de rectification, d’opposition et le consentement
![Page 26: Matinale Adetem - RGPD - 26102017](https://reader031.vdocuments.mx/reader031/viewer/2022021507/5a6734107f8b9a0c518b4979/html5/thumbnails/26.jpg)
Comment identifier les données à caractère personnel ?
Addresse IP
Numéro Sécurité sociale
Dossier de santé
Biometrique
Téléphone
Adresse postale
Nom Client
Données de localisation
Religion
Date de naissance
Cookies Web
Données RFID Addresse Email
Historique de navigation
N° de passport
Sexe
Identifant fiscal
RIB
Profession
Age Historique de communications
![Page 27: Matinale Adetem - RGPD - 26102017](https://reader031.vdocuments.mx/reader031/viewer/2022021507/5a6734107f8b9a0c518b4979/html5/thumbnails/27.jpg)
Comment identifier les données à caractère personnel ?
Variante Nom du champ
Nomcomplet Numéro_De_Sécurité_Sociale
Abréviation NSS,NIR,NIRPP
Mot Secu
Nom alternatif ID_INSEE
Nom arbitraire Iden<fant_Na<onal
Nom ambigu SNUM
À l’aide des “meta-données”
![Page 28: Matinale Adetem - RGPD - 26102017](https://reader031.vdocuments.mx/reader031/viewer/2022021507/5a6734107f8b9a0c518b4979/html5/thumbnails/28.jpg)
Comment identifier les données à caractère personnel ?
Variante Contenu du champ
nnnnnnnnnnnnn 1720731556073
nnnnnnnnnnnnn-nn 1720731556073-19
n-nn-nnnn-nnnnnn 1-72-0731-556073
nnnnnnnnn / padding Durand, 1720731556073
4 champs 1| 72 | 0731 | 556073
Masqué partiellement 1****31556073
A l’aide des données elles-mêmes
![Page 29: Matinale Adetem - RGPD - 26102017](https://reader031.vdocuments.mx/reader031/viewer/2022021507/5a6734107f8b9a0c518b4979/html5/thumbnails/29.jpg)
Inventaire des données
• Le Data Discovery permet de scanner des millions de champs de tables ou de documents pour générer la « cartographie » des données à caractère personnelle d’une organisation ainsi qu’une documentation complète sur les meta-données et les données
• La Classification des Données permet de définir des domaines de données et de répertorier pour chaque domaine les données identifiées
![Page 30: Matinale Adetem - RGPD - 26102017](https://reader031.vdocuments.mx/reader031/viewer/2022021507/5a6734107f8b9a0c518b4979/html5/thumbnails/30.jpg)
Exemple de restitution sous forme de cartographie
Adresse postale
Civilité Email Nom de famile Permis de conduire Nom Sexe Profession Date de naissance Prénom
![Page 31: Matinale Adetem - RGPD - 26102017](https://reader031.vdocuments.mx/reader031/viewer/2022021507/5a6734107f8b9a0c518b4979/html5/thumbnails/31.jpg)
De l’inventaire au registre des données
![Page 32: Matinale Adetem - RGPD - 26102017](https://reader031.vdocuments.mx/reader031/viewer/2022021507/5a6734107f8b9a0c518b4979/html5/thumbnails/32.jpg)
Une approche révolutionnaire qui procure agilité et visibilité
![Page 33: Matinale Adetem - RGPD - 26102017](https://reader031.vdocuments.mx/reader031/viewer/2022021507/5a6734107f8b9a0c518b4979/html5/thumbnails/33.jpg)
Vue Unique du Consentement
![Page 34: Matinale Adetem - RGPD - 26102017](https://reader031.vdocuments.mx/reader031/viewer/2022021507/5a6734107f8b9a0c518b4979/html5/thumbnails/34.jpg)
Vue Unique du Consentement – Exemple de modèle
![Page 35: Matinale Adetem - RGPD - 26102017](https://reader031.vdocuments.mx/reader031/viewer/2022021507/5a6734107f8b9a0c518b4979/html5/thumbnails/35.jpg)
Vue Unique du Consentement – Instanciation du modèle
![Page 36: Matinale Adetem - RGPD - 26102017](https://reader031.vdocuments.mx/reader031/viewer/2022021507/5a6734107f8b9a0c518b4979/html5/thumbnails/36.jpg)
Une plate-forme de gouvernance des données orientée services pour favoriser vitesse, précision et contrôle
![Page 37: Matinale Adetem - RGPD - 26102017](https://reader031.vdocuments.mx/reader031/viewer/2022021507/5a6734107f8b9a0c518b4979/html5/thumbnails/37.jpg)
Déploiement d’un portail RGPD
Vérification d’identité
Accès, rectification, opposition
![Page 38: Matinale Adetem - RGPD - 26102017](https://reader031.vdocuments.mx/reader031/viewer/2022021507/5a6734107f8b9a0c518b4979/html5/thumbnails/38.jpg)
En conclusion
• Le RGPD est une opportunité pour mieux gouverner vos données Client
– Recensement / Cartographie / Profiling – Mise en œuvre d’un registre de données Client pour une
gouvernance centralisée des données personnelles et de consentement
– Fiabilisation et enrichissement
• L’Agilité de la solution Pitney Bowes – Modélisation intuitive pilotée par les métiers – Evolutivité du modèle pour prendre en compte les
besoins futurs – Plateforme ouverte permettant de définir des règles ré-
utilisables sans aucun développement
• Délai de mise en œuvre rapide – Pour être prêt avant mai 2018
![Page 39: Matinale Adetem - RGPD - 26102017](https://reader031.vdocuments.mx/reader031/viewer/2022021507/5a6734107f8b9a0c518b4979/html5/thumbnails/39.jpg)
Merci En savoir plus : http://pbi.bz/RGPD