CLUSIR Rhône Alpes

Secrétaire Général Adjoint Clusir : Pascal VINCENT, M2GS

Avec la participation de Michel COMMUN

Document réalisé avec l’appui d’une présentation du Clusir Rha SSI :

Didier Savalle (Club 27001 & Fidens) et Raphaël Peuchot (Avocat

expert en Propriété Intellectuelle) le 18/10/2017

Page 0

CLUSIR Auvergne-Rhône-Alpes

LE RGPDRèglement Général de

Protection des Données

Club IE - CLUSIR Rha- RGPD 14/02/2018

Clusir RhA, le 14/02/2018

CLUSIR Rhône Alpes

• La CNIL (Commission nationale informatique et libertés) vous oblige déjà depuis 1978.

• Toute entreprise qui collecte ou reçoit des données personnelles, qu'il s'agisse d'informations sur ses clients, ses fournisseurs ou ses salariés, doit se soumettre aux obligations de la loi du 6 janvier 1978, dite «Loi informatique et libertés», modifiée par plusieurs Lois et décrets depuis.

• Le non-respect des dispositions est sanctionné pénalement et la (Cnil) peut prononcer des sanctions pécuniaires.

• Une donnée personnelle est une information relative à une personne physique identifiée ou qui peut être identifiée.

Page 1

Un peu d’histoire et pose de principes

déjà en vigueur

Club IE - CLUSIR Rha- RGPD 14/02/2018

Clusir RhA, le 14/02/2018

CLUSIR Rhône Alpes

• Finalité: les données doivent être recueillies pour des finalités déterminées et légitimes. Le fichier doit avoir un objectif précis.

• Proportionnalité : Les données collectées doivent être adéquates, pertinentes et non excessives au regard de ces finalités.

• Droit à l'oubli : la durée de conservation des données dans un fichier de recherche doit être limitée et proportionnée aux objectifs poursuivis. La Cnil recommande de ne pas conserver le fichier après deux sollicitations infructueuses.

• Sécurité des données : toutes mesures doivent être prises pour assurer la confidentialité des données et éviter leur divulgation.

• Respect des droits des personnes : tout recueil de données sur des personnes (par questionnaires ou exploitation de fichiers), impose que celles-ci soient informées des conditions d'utilisation de ces données, de leur droit d'obtenir communication de celles-ci, de demander leur rectification, voire leur suppression si elles sont inexactes, et sous certaines conditions de s'opposer à leur traitement.

Page 2

Les 5 règles d'Or de la CNIL

Club IE - CLUSIR Rha- RGPD 14/02/2018

Clusir RhA, le 14/02/2018

CLUSIR Rhône Alpes

• Le RGPD (Règlement Général sur la Protection des Données

va modifier en profondeur les mécanismes de conservation

et de gestion des données pour les organisations.

• 1 - Une des premières obligations pour les entreprises est la

tenue d’un registre des traitements qui remplace la

déclaration à la CNIL pour devenir responsables et garantes

du respect de la vie privée. On y consigne les mêmes

informations que dans la déclaration mais en inversant la

charge de la preuve. Ce sera à l’entreprise de démontrer

qu’elle est en conformité.

• Le RGDP introduit aussi une obligation de notification

rapide par les responsables de traitement en cas de

violation de données à caractère personnel.

Page 3

Le RGPD : qu’ès aquo !!!

Club IE - CLUSIR Rha- RGPD 14/02/2018

Clusir RhA, le 14/02/2018

CLUSIR Rhône Alpes

• 2 - La prise en compte de la notion du respect de la vie

privée dès la conception – Un système d’information

insuffisamment sécurisé ne sera pas conforme. L’entreprise

doit placer le curseur sur le niveau le plus élevé en termes

de protection de la vie privée. Chaque fois qu’elle initie un

traitement, elle doit obtenir le consentement express et

spécifique de l’utilisateur.

• 3 - Les organisations doivent nommer un délégué à la

protection des données (DPD ou DPO) pour assurer la mise

en place et le suivi du RGPD.

• Les autorités de contrôle laisseront 2 ans aux entreprises

pour s’y conformer.

Page 4

Le RGPD (suite)

Club IE - CLUSIR Rha- RGPD 14/02/2018

Clusir RhA, le 14/02/2018

CLUSIR Rhône Alpes

• Le RGPD (Règlement Général sur la Protection des

Données) rentrera en vigueur le 25 mai 2018.

• Le règlement concernera tous les pays de l’Union

Européenne ainsi que les sociétés établies à l’étranger si

elles ciblent des résidents de l’UE par profilage, ou si elles

proposent des biens et services à ces derniers. Seules les US

et UK pourraient ne pas être concernés, leurs lois nationales

prévalent sur le RGPD.

• Une amende fixée par la Cour de justice qui peut aller

jusqu’à 20 Millions d’euros ou 4% du CA pour les cas les

plus graves. « Ca calme ! »

Page 5

Le RGPD : c’est quand déjà ? Pour qui ?

Et combien ca coute ?

Club IE - CLUSIR Rha- RGPD 14/02/2018

Clusir RhA, le 14/02/2018

CLUSIR Rhône Alpes

• Consentement : tout traitement de ses données doit faire l’objet d’une autorisation explicite,

• Respect de la vie privée : tout traitement susceptible d’entrainer des risques élevés sur la vie privée devra faire l’objet d’une étude d’impact,

• Transparence : l’individu a le droit de savoir à quoi servent ses données,

• Profilage : droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé,

• Possibilité de désabonnement : tout profilage doit être clairement notifié et son désabonnement possible à tout moment,

• Droit à l’oubli : sur demande le consommateur peut réclamer la suppression de ses données,

• Contact inactif : tous contacts inactifs depuis plus de 3 ans doit être retirés des traitements,

• Droit à la portabilité : toutes les données d’un individu doivent être exportables directement par l’individu.

Page 6

Les données resteront désormais la

propriété des individus. Il faudra :

Club IE - CLUSIR Rha- RGPD 14/02/2018

Clusir RhA, le 14/02/2018

CLUSIR Rhône Alpes

• Hier :

✓Adresse email, Numéro de téléphone professionnel (ligne directe),

✓Fonction ou intitulé de poste, Adresse postale du lieu de travail, de l’entreprise,

✓Numéro d’identification, identifiant

• Demain :

✓Données de localisation (Adresse IP, Données GPS)

✓Cookies « first and third party »

✓Éléments correspondants à l’identité physique, psychique, génétique ou économique

Page 7

Les données personnelles en sus :

Club IE - CLUSIR Rha- RGPD 14/02/2018

Clusir RhA, le 14/02/2018

CLUSIR Rhône Alpes

• Lors de l’installation d’une app mobile, elle vous demande l’accès à des données personnelles stockées sur votre smartphone (contacts, agenda…) via une pop-up. Si vous refusez, vous n’accèderez pas au service. Pourtant, ces informations ne sont pas nécessaires à la fourniture du service en question.

• Dès mai 2018, ce cas de figure sera interdit. La collecte de données devra servir la finalité du service. Il faudra, par ailleurs, un formulaire de consentement différent pour chaque type de données.“

Page 8

Par exemple :

Club IE - CLUSIR Rha- RGPD 14/02/2018

Clusir RhA, le 14/02/2018

CLUSIR Rhône Alpes

• La pseudonymisation des données (non obligatoire)

• Au niveau Organisation, le RGPD impose un nouveau rôle le « Délégué à la Protection des Données » (DPD ou DPO) pour les autorités publiques et les entreprises dont l'activité principale repose sur du traitement de données (à grande échelle ou à risque élevé). Pour les autres entreprises, il recommandefortement la mise en place de ce rôle.

• Au niveau Ressources Humaines, il faudra être capable d’assurer la protection des données des salariés en interne mais aussi des sous-traitants et également des candidats au recrutement.

• Au niveau des Achats/Ventes, il faudra revoir les contrats de prestations, de sous-traitance pour intégrer de nouvelles clauses tenant compte du RGPD, notamment en termes de partage des responsabilités, d’obligation de notifier tous cas de violation du respect de la vie privée.

Page 9

Et d’autres précautions

Club IE - CLUSIR Rha- RGPD 14/02/2018

Clusir RhA, le 14/02/2018

CLUSIR Rhône Alpes

• Vous avez 20 chantiers à entreprendre pour vous

conformer au RGPD :

✓ Obligation de changement de politique générale,

✓ Identifier le DPO (Data Protection Officer), nommé, c’est conseillé,

✓ Gouvernance des données personnelles,

✓ Instauration de registres, de contrats et de mentions obligatoires,

✓ Protection instituée lors la conception,

✓ Durée de conservation des données,

✓ Protection par défaut,

✓ ….

✓ Et pour finir : l’accountability, le fait de prouver la conformité des

données.

Page 10

Super mais moi qui doit faire de la veille et

de la collecte de données, je fais quoi ?!!?

Club IE - CLUSIR Rha- RGPD 14/02/2018

Clusir RhA, le 14/02/2018

CLUSIR Rhône Alpes

• La méthodologie suggéré par la CNIL, comprend 6 étapes

• La CNIL étant l’autorité de contrôle en France en charge en

charge RGPD, les organisations sont encouragées à être

conforme à cette méthodologie

Page 11

Je commence par quoi ?

J’ai que cela à faire !!

Club IE - CLUSIR Rha- RGPD 14/02/2018

Clusir RhA, le 14/02/2018

CLUSIR Rhône Alpes

• Le RGPD est un processus de mise en conformité, au même

titre que une habilitation, un agrément, une certification

Page 12

Allez, au travail, …

Club IE - CLUSIR Rha- RGPD 14/02/2018

Clusir RhA, le 14/02/2018

CLUSIR Rhône Alpes

• Documents communs ou pouvant intégrer les spécificités

• Analyse de risques

• Politique sécurité

• Sécurité dans les RH, charte informatique

• Gestion des incidents de sécurité

• Sécurité dans les développement

• Sensibilisation sécurité

• Revue des contrats fournisseurs

• Rapports d’audit, de contrôles

Page 13

Logique PDCA: amélioration continue

Club IE - CLUSIR Rha- RGPD 14/02/2018

Clusir RhA, le 14/02/2018

CLUSIR Rhône Alpes

• Pour chaque traitement de données à caractère personnel:✓Qui? Quoi? Pourquoi? Où? Jusqu’à quand? Comment?

• Organiser le processus :✓ Appliquer la conformité dès la conception d’un traitement

✓ Impliquer les acteurs dans la mise en œuvre de traitements de données

✓ Sensibiliser via un plan de formation et de communication

✓ Traiter les réclamations/ demandes des personnes concernées quant à l’exercice de leurs droits

✓ D'anticiper les violations de données par la notification à l’autorité dans les 72 heures et aux personnes concernées dans les meilleurs délais.

Page 14

Pour chaque traitement :

Club IE - CLUSIR Rha- RGPD 14/02/2018

Clusir RhA, le 14/02/2018

CLUSIR Rhône Alpes

• Convergence nécessaire entre:

✓ La Politique de Protection de Données

✓ La Politique de Sécurité du Système d’Information

• Première urgence pour les organisations:

✓ Désignation d’un DPO ou d’un dispositif équivalent (étape 1)

✓ Réaliser l’état des lieux de conformité (étape 2)

✓ Réaliser le plan d’actions (étape 3)

• Le compte à rebours RGPD étant à 6 mois, nécessité de se

faire accompagner par :

✓ Des experts juridiques

✓ Des experts cybersécurité

✓ Des RSSI et DPO à temps partagé

Page 15

Veiller bien à :

Club IE - CLUSIR Rha- RGPD 14/02/2018

Clusir RhA, le 14/02/2018

CLUSIR Rhône Alpes

• Qui a nommé le DPO : c’est qui ? Un chef de projet ?

• Qui a déjà commencé à identifier la compliance des outils

de veille ou de recherche documentaires utilisés

✓ Editeur

✓ Mode opératoire

✓ Conception du processus

✓ Contrats

✓ …

• Vous avez un planning ? Un budget ? Une équipe ?

• Vous pensez être presque prêt quand ?

• Votre objectif : c’est quoi ?

• Votre analyse des risques est faite ? Elle montre quoi ?

Page 16

Alors, on débat, qui commence ?

Club IE - CLUSIR Rha- RGPD 14/02/2018

Clusir RhA, le 14/02/2018

CLUSIR Rhône Alpes

• Le DPO peut-il être une personne morale ? à priori, OUI, y

compris un prestataire externe.

• Le DPO peut-il être formé de deux personnes : avocat et

RSSI : à priori, oui pour deux personnes si les règles de

responsabilités sont claires même s’il sera difficile d’indiquer

dans le cas d’une seule case prévue les deux personnes.

Attention au problème de risque de conflits d’intérêts entre

le RSSI et le juridique par exemple.

• Des questions de posent en termes de données de santé :

propriétaire, changement de médecin, conformité avec la

règlementation bien respecter les règles applicables et

déterminer l’origine de propriété de la données stockée.

Page 17

Débats et échanges

Club IE - CLUSIR Rha- RGPD 14/02/2018

Clusir RhA, le 14/02/2018

CLUSIR Rhône Alpes

• Pseudonymisation et anonymisation ? Dès lors qu’une information permet d’identifier, que dès le stockage et le traçage d’une donnée personnelle, on peut retrouver la personne, le RGPD s’applique : ex avec retail et GPS

• Le DPO est l’ancien CIL, mais avec un périmètre plus largepuisqu’il doit prendre le problème dès la conception et qu’il doit suivre le dossier auprès de chaque service pour assurer de la compliance (conformité RGPD), et s’assurer qu’il n’y a pas eu de fuites de données.

• Cas soulevé de Windows 7 (D*) qui a bloqué les mises à jour après une date fixée pour obliger à passer sous Win 8/10, et les trous de sécurité ayant permis la fuite de données ont été imputés à D* le client est responsable de son prestataire. Cf. Cnil sous-traitance.

Page 18

Débats et échanges 2

Club IE - CLUSIR Rha- RGPD 14/02/2018

Clusir RhA, le 14/02/2018

CLUSIR Rhône Alpes

• Il faut l’implication du dirigeant, c’est un projet majeur.

• Nommer un chef de projet, un animateur, pas le réceptacle facile de tous les problèmes.

• Il faut en faire un atout pour se structurer, se développer, s’organiser et prendre des parts de marché.

• Chacun doit participer à la finalité : qualité, conformité,protection, alerte si incident.

• En cas de veille, s’assurer que les données de veille sont blanches, sinon, à intégrer dans le périmètre RGPD

• Nommer des CPD (correspondants) et les animer par le DPO dans les structures plus décentralisées.

• Le premier sujet : la cartographie, mise à jour, sans cela difficile de commencer à faire quelque chose.

Page 19

Débats et échanges 3

Club IE - CLUSIR Rha- RGPD 14/02/2018

Clusir RhA, le 14/02/2018

CLUSIR Rhône Alpes

• Prioriser même si d’autres lois et règles (Sapin II) prenne la

priorité des ressources.

• Penser formation, information interne et clients ou

fournisseurs

• Un planning, raisonnable, régulier, avec des points

d’observation d’avancement.

• Ne pas oublier la carto des risques, même si la Loi c’est la

Loi et qu’il faut être conforme à la Loi.

• Bon courage …

Page 20

Débats et échanges 4

Club IE - CLUSIR Rha- RGPD 14/02/2018

Clusir RhA, le 14/02/2018

CLUSIR Rhône Alpes

• http://www.infhotep.com/wp-content/uploads/2017/08/Edition2017-DPO-quel-schema-organisationnel.pdf

• https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels

• https://www.ssi.gouv.fr/agence/cybersecurite/mois-de-la-cybersecurite-2017/boite-a-outils/

• https://www.publicsenat.fr/article/politique/l-assemblee-nationale-adopte-tres-largement-le-projet-de-loi-sur-la-protection-des

• http://www.zdnet.fr/actualites/rgpd-la-cnil-propose-un-logiciel-libre-pia-pour-soigner-sa-conformite-39860412.htm

• http://www.journaldunet.com/ebusiness/expert/67921/rgpd---quels-changements.shtml

• https://portail-ie.fr/event/596/rgpd-vie-privee-et-donnees-personnelles

• https://c-marketing.eu/enjeux-rgpd-pour-les-pme/#TPE_ou_PME_en_quoi_etes-vous_concerne

• http://www.dpo-consulting.fr/le-dpo-externalise

Page 21

Bibliographie

Club IE - CLUSIR Rha- RGPD 14/02/2018

Clusir RhA, le 14/02/2018

CLUSIR Rhône Alpes

Page 22

Club IE - CLUSIR Rha- RGPD 14/02/2018

Clusir RhA, le 14/02/2018

CLUSIR Rhône Alpes

Page 23

Club IE - CLUSIR Rha- RGPD 14/02/2018

Clusir RhA, le 14/02/2018

CLUSIR Rhône Alpes

Page 24

MERCI DE VOTRE

ECOUTE

Club IE - CLUSIR Rha- RGPD 14/02/2018

Clusir RhA, le 14/02/2018