Matinale Adetem - RGPD - 26102017

39
La gouvernance des données à caractère personnel RICOUART-MAILLET Martine BRM AVOCATS Matinale RGPD En partenariat avec

Transcript of Matinale Adetem - RGPD - 26102017

Page 1: Matinale Adetem - RGPD - 26102017

La gouvernance des données à caractère

personnel RICOUART-MAILLET Martine

BRM AVOCATS

Matinale RGPD

En partenariat avec

Page 2: Matinale Adetem - RGPD - 26102017

2LaGouvernancedesdonnéesàcaractèrepersonnel

en bref :

Situé à Euratechnologies

Propriété intellectuelle (Droit d’auteur,

Marques, Brevets, Bases de données)

Nouvelles technologies (Protection des données personnelles, Contrats

Informatiques, Consommation)

Page 3: Matinale Adetem - RGPD - 26102017

3LaGouvernancedesdonnéesàcaractèrepersonnel

Page 4: Matinale Adetem - RGPD - 26102017

Les Enjeux d’une gouvernance des données

LepremierréseaudesProfessionnelsduMarke<ng 4

1)  Satisfaction client : éthique 2)  Satisfaction des équipes : respect des

valeurs 3)  Image de marque 4)  Conformité 5)  Eviter les lourdes sanctions lourdes à

venir

Page 5: Matinale Adetem - RGPD - 26102017

Les gains

LepremierréseaudesProfessionnelsduMarke<ng 5

ü Synergie et collaboration entre les équipes ü Gestion et valorisation optimisées du

patrimoine ü Amélioration de la sécurité informatique

globale ü Réduction des risques juridiques,

médiatiques et financiers ü Différenciation/concurrence

Page 6: Matinale Adetem - RGPD - 26102017

Les impacts et risques

LepremierréseaudesProfessionnelsduMarke<ng 6

Données prospects, clients

Données RH

Page 7: Matinale Adetem - RGPD - 26102017

Employeur

LepremierréseaudesProfessionnelsduMarke<ng 7

Page 8: Matinale Adetem - RGPD - 26102017

Notions essentielles

LepremierréseaudesProfessionnelsduMarke<ng 8

•  Donnée à caractère personnel : §  toute information relative à une personne physique identifiée ou qui peut être identifiée,

directement ou indirectement : classique ou sensible

•  Traitement de données à caractère personnel : §  toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le

procédé utilisé (bases de données RH, clients, prospects …)

•  Responsable de traitement de données à caractère personnel : §  la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses

moyens. Il peut être conjoint.

•  Sous-traitant : §  Jusqu’à maintenant agissait pour le compte du responsable de traitement, assurait la sécurité

des données §  Avec le RGPD : obligations plus lourdes du sous-traitant

•  Destinataire : §  Personne habilitée à recevoir les données (légalement, contractuellement, selon habilitation

Page 9: Matinale Adetem - RGPD - 26102017

Textes applicables

LepremierréseaudesProfessionnelsduMarke<ng 9

Page 10: Matinale Adetem - RGPD - 26102017

Evolution par rapport à la directive 95/46/CE

LepremierréseaudesProfessionnelsduMarke<ng 10

Page 11: Matinale Adetem - RGPD - 26102017

Le Règlement Européen

LepremierréseaudesProfessionnelsduMarke<ng 11

Mai 2018

Page 12: Matinale Adetem - RGPD - 26102017

Principes fondamentaux du traitement des données

LepremierréseaudesProfessionnelsduMarke<ng 12

• INFORMATION SALARIÉS, CLIENTS, ADMINISTRÉS

LICEITE, LOYAUTE ET TRANSPARENCE

• DETERMINEES, EXPLICITES, LEGITIMES

LIMITATION DES FINALITÉS

• PAS DE MESURES QUI NE TROUVENT UNE JUSTIFICATION LÉGITIME

MINIMISATION DES DONNEES

•  MISE À JOUR

EXACTITUDE

• DUREE DE CONSERVATION GEREE

LIMITATION DE LA CONSERVATION

• LOGIQUE, PHYSIQUE, ORGANISATIONNELLE, CONTRACTUELLE (L’IMPOSER AUX SOUS-TRAITANTS)

SECURITÉ ET CONFIDENTIALITÉ

RESPONSABILITE (ACCOUNTABILITY) = RGPD

Page 13: Matinale Adetem - RGPD - 26102017

Le Règlement Européen

LepremierréseaudesProfessionnelsduMarke<ng 13

ACCOUNTABILITY

RENFORCEMENT

DES SANCTIO

NS

GUICHET UNIQUE

RENFORCEMENT INFO ET CONSENTEMENT

DPO

Jusqu’à 20 millions € ou 4% du CA mondial (1e palier: 10 millions €)

Rattachement siège social du responsable de traitement

Consentement plus qualifié Informations supplémentaires Notification des violations de données

Obligatoire pour = -  Les administrations publiques - La gestion de données sensibles à grande échelle - Surveillance des personnes à grand échelle

Tenue d’un registre (+250 salariés), politique de protection des données, responsabilisation, analyses d’impact, documentation, process

Page 14: Matinale Adetem - RGPD - 26102017

Accountability : repenser l’organisation de la conformité : la règle des 4 P

LepremierréseaudesProfessionnelsduMarke<ng 14

Pilote(s) : Equipe

conformité et DPO

Politique de protection

des données

Process documentés

Preuves et traçabilité

Page 15: Matinale Adetem - RGPD - 26102017

La notion d’accountability : quels objectifs ?

LepremierréseaudesProfessionnelsduMarke<ng 15

Etablir une politique de protection des données

Mettre en œuvre des mécanismes et procédures internes permettant la mise en conformité et son maintien

Se responsabiliser (plus de déclaration à faire) mais procéder à de analyses d’impact

Documenter et traçer ses process

L’accountability désigne l’obligation pour les entreprises de :

Page 16: Matinale Adetem - RGPD - 26102017

Accountability

LepremierréseaudesProfessionnelsduMarke<ng 16

•  Formalités limitées auprès de la CNIL •  Mais nécessité de tenir un registre des

activités de traitement pour les entreprises de plus de 250 salariés (RT et STT)

Allègement apparent des

formalités

•  Privacy by default & by design : déployer des process permettant de tenir compte de la protection des données dès la conception et par défaut, Mentionner ces exigences au cahier des charges aux prestataires extérieurs

•  En interne, établir des process qui obligent tous les chefs de projet à se poser les bonnes questions

•  Analyses d’impact •  Notification obligatoire des failles de sécurité (RT et

ST)

Mais des obligations renforcées

Page 17: Matinale Adetem - RGPD - 26102017

Le CIL/DPO = pilote

LepremierréseaudesProfessionnelsduMarke<ng 17

1. Informer et conseiller le RT et le ST

3. Veiller à la bonne réalisation des études

d’impact

5. Etre l’interlocuteur de la CNIL

6. Tenir compte du risque associé aux opérations selon la

finalité de chaque traitement

4. Contrôler le respect du règlement, du droit de l’UE et des Etats

membres

2. Aider à la mise en place de la documentation et des

process

* Obligatoire à compter du 25 mai 2018 eu égard aux traitements de données effectués (surveillance à grande échelle et systématique) et données

de santé - Interne ou externe

Page 18: Matinale Adetem - RGPD - 26102017

Des analyses d’impact systématiques

LepremierréseaudesProfessionnelsduMarke<ng 18

Les cas obligatoires Encasde:ü  évalua&on systéma&que et exhaus&ve des

aspectspersonnelsdel’individureposantsurduprofilageetsurbasedelaquelleserontprisesdesdécisions de nature à produire des effetsjuridiquesouà impacterdemanière importantelespersonnes;

ü  traitement à grande échelle de catégoriesspéciales de données sensibles ou de donnéesportant sur des condamna<ons ou desinfrac<onspénales;

ü  surveillance systéma&que à grande échelled’unezoneaccessibleaupublic.

Page 19: Matinale Adetem - RGPD - 26102017

Notification des violations de données

LepremierréseaudesProfessionnelsduMarke<ng 19

A qui notifier ?

À la CNIL dans les 72 heures, sauf si la violation n’est pas susceptible

d’engendrer un risque pour les personnes physiques

Les individus touchés, dans les meilleurs délais, si la violation

présente un « risque élevé » pour eux ou sur ordre de l’autorité de contrôle

1- Process de notificatino

2- Equipe notification

Page 20: Matinale Adetem - RGPD - 26102017

Notions essentielles

LepremierréseaudesProfessionnelsduMarke<ng 20

•  Face à un sous-traitant ü  Vérifier les garanties concrètes offertes

par le sous-traitant en matière de protection des données

ü  Encadrer les relations avec le sous-traitant par le biais d’un contrat écrit comportant les mentions requises

ü  Vérifier qu’il respecte les nouvelles obligations mises à sa charge

•  En tant que sous-traitant ü  Respecter les nouvelles obligations

prévues par le règlement à la charge du s o u s - t r a i t a n t ( d e vo i r d ’ a l e r t e s i i n s t r u c t i o n s c o n t r a i r e s à l a règlementation, notification des violations au responsable, tenue d’un registre, désignation d’un DPO, etc.)

ü  Un devoir de conseil

Ø  Exiger des sous-traitants des preuves de conformité Ø  Respecter les mentions obligatoires de l’Article 28 Ø  Modifier tous les contrats avant le 25 mai 2018

Page 21: Matinale Adetem - RGPD - 26102017

Plan d’action interne

LepremierréseaudesProfessionnelsduMarke<ng 21

•  Mise en place d’une équipe conformité (juridique, SI, RH , marketing)

•  Réalisation d’un audit de conformité juridique et technique

•  Traitement des écarts

•  Désignation d’un CIL/DPO, interne ou externe, communication interne sur le DPO et ses missions

•  Rédaction d’une politique de protection des données

•  Formation et sensibilisation des personnels

•  Mise en place des process RGPD dans tous les services

•  Mise en place de mesures techniques et organisationnelles fortes afin d’assurer la sécurité et la confidentialité des données

•  Analyse d’impact pour les traitements les plus sensibles

Page 22: Matinale Adetem - RGPD - 26102017

3 étapes essentielles de la mise en conformité

Eric Hubert, Pitney Bowes

Matinale RGPD

En partenariat avec

Page 23: Matinale Adetem - RGPD - 26102017
Page 24: Matinale Adetem - RGPD - 26102017

Pitney Bowes

•  Positionnement unique sur la compréhension des enjeux de la mise en oeuvre du RGPD

•  40 ans d’expérience sur la gestion de la Vision Unique Client

•  Une technologie permettant une approche : •  Intuitive, •  Agile, •  Et surtout Evolutive

Master Data Management

Tous portés par la puissance des solutions Pitney Bowes

Pitney Bowes

Page 25: Matinale Adetem - RGPD - 26102017

Pitney Bowes et la mise en œuvre du RGPD

Discover

Génération automatisée de l’inventaire des données de votre organisation

Prepare

Constitution d’une vue unifiée des données d’identification et de consentement pour faciliter l’accès et la MAJ

Act

Gérez les droits d'accès, de rectification, d’opposition et le consentement

Page 26: Matinale Adetem - RGPD - 26102017

Comment identifier les données à caractère personnel ?

Addresse IP

Numéro Sécurité sociale

Dossier de santé

Biometrique

Téléphone

Adresse postale

Nom Client

Données de localisation

Religion

Date de naissance

Cookies Web

Données RFID Addresse Email

Historique de navigation

N° de passport

Sexe

Identifant fiscal

RIB

Profession

Age Historique de communications

Page 27: Matinale Adetem - RGPD - 26102017

Comment identifier les données à caractère personnel ?

Variante Nom du champ

Nomcomplet Numéro_De_Sécurité_Sociale

Abréviation NSS,NIR,NIRPP

Mot Secu

Nom alternatif ID_INSEE

Nom arbitraire Iden<fant_Na<onal

Nom ambigu SNUM

À l’aide des “meta-données”

Page 28: Matinale Adetem - RGPD - 26102017

Comment identifier les données à caractère personnel ?

Variante Contenu du champ

nnnnnnnnnnnnn 1720731556073

nnnnnnnnnnnnn-nn 1720731556073-19

n-nn-nnnn-nnnnnn 1-72-0731-556073

nnnnnnnnn / padding Durand, 1720731556073

4 champs 1| 72 | 0731 | 556073

Masqué partiellement 1****31556073

A l’aide des données elles-mêmes

Page 29: Matinale Adetem - RGPD - 26102017

Inventaire des données

•  Le Data Discovery permet de scanner des millions de champs de tables ou de documents pour générer la « cartographie » des données à caractère personnelle d’une organisation ainsi qu’une documentation complète sur les meta-données et les données

•  La Classification des Données permet de définir des domaines de données et de répertorier pour chaque domaine les données identifiées

Page 30: Matinale Adetem - RGPD - 26102017

Exemple de restitution sous forme de cartographie

Adresse postale

Civilité Email Nom de famile Permis de conduire Nom Sexe Profession Date de naissance Prénom

Page 31: Matinale Adetem - RGPD - 26102017

De l’inventaire au registre des données

Page 32: Matinale Adetem - RGPD - 26102017

Une approche révolutionnaire qui procure agilité et visibilité

Page 33: Matinale Adetem - RGPD - 26102017

Vue Unique du Consentement

Page 34: Matinale Adetem - RGPD - 26102017

Vue Unique du Consentement – Exemple de modèle

Page 35: Matinale Adetem - RGPD - 26102017

Vue Unique du Consentement – Instanciation du modèle

Page 36: Matinale Adetem - RGPD - 26102017

Une plate-forme de gouvernance des données orientée services pour favoriser vitesse, précision et contrôle

Page 37: Matinale Adetem - RGPD - 26102017

Déploiement d’un portail RGPD

Vérification d’identité

Accès, rectification, opposition

Page 38: Matinale Adetem - RGPD - 26102017

En conclusion

•  Le RGPD est une opportunité pour mieux gouverner vos données Client

–  Recensement / Cartographie / Profiling –  Mise en œuvre d’un registre de données Client pour une

gouvernance centralisée des données personnelles et de consentement

–  Fiabilisation et enrichissement

•  L’Agilité de la solution Pitney Bowes –  Modélisation intuitive pilotée par les métiers –  Evolutivité du modèle pour prendre en compte les

besoins futurs –  Plateforme ouverte permettant de définir des règles ré-

utilisables sans aucun développement

•  Délai de mise en œuvre rapide –  Pour être prêt avant mai 2018

Page 39: Matinale Adetem - RGPD - 26102017

Merci En savoir plus : http://pbi.bz/RGPD