Redsen Haas GDPR Se Mettre en conformité V5SAS · des cadres réglementaires nationaux (Loi...

GDPR : COMMENT SE METTRE EN CONFORMITÉ ?

LES BONNES PRATIQUES POUR UN PLAN D’ACTIONS

EFFICACE

Gérard HAAS(Haas Avocats)

Stéphane CAILLOTAlexis MISSOFFE(Redsen Consulting)

5 Octobre 2017

2© Redsen Consulting / Haas Avocats – Diffusion interdite

A L’ORDRE DU JOUR…

I. Présentation Redsen & Haas Avocats

II. De la loi IEL au GDPR : Les enjeux de la nouvelle règlementation

III. Concrètement, que faut-il faire ?

IV. Notre démarche et nos outils

V. Pour prolonger cette matinale…


DEUX MOTS SUR LES CABINETS

HAAS AVOCATS ET REDSEN01


Depuis près de 20 ans, le Cabinet HAAS Avocats défend etprotège les clients nationaux et internationaux intervenantdans les secteurs de la propriété intellectuelle, du droit desnouvelles technologies, de l’information et de lacommunication, de la protection des données, de l’e-commerce, de l’e-marketing et du droit des affaires.

Principaux domaines d’intervention :

PRÉSENTATION HAAS

CABINET D’AVOCATS

Une triple labellisation CNIL

Des solutions opérationnelles destinées à assurer la conformité de leur activité à la réglementation GDPR (www.avocats-rgpd.com)


PRÉSENTATION REDSEN CONSULTING

CABINET DE CONSEIL EN MANAGEMENT

Fort d’une double expérience fonctionnel et SI, Redsen définit, pilote et accompagne les projets

de transformation des organisations.70

consultants

3implantations

10 M€ de CA

⎻ Cadrage Stratégique business et fonctionnel de transformation digitale (E-commerce, Marketplace…)

⎻ CRM & Marketing automation⎻ Web & Social analyse

PILOTAGE et ACCOMPAGNEMENT⎻ Portefeuille projets⎻ Pilotage AMOA de projets Digitaux (Site,

marketplace, Portail, CRM…)⎻ Mise en conformité réglementaire (CNIL, GDPR)⎻ Choix et benchmark d’outils⎻ Conseil en organisation

TRANSFORMATION SI⎻ IT Roadmap⎻ Optimisation des processus (Lean…)⎻ Gestion des données de références

(Référentiel clients, produits…)⎻ Conduite du changement (Hommes,

processus et organisation)⎻ Coaching agile

STRATEGIE DIGITALE & MARKETPLACE⎻ Définition de la stratégie digitale⎻ Management de l’innovation⎻ Exploitation des données digitales et

intelligence client⎻ Data Governance


LE PARTENARIAT REDSEN CONSULTING – HAAS AVOCATS

LA COMPLÉMENTARITÉ DES EXPERTISES

Système Information

Organisation

Juridique

03L’Expertise Juridique appliquée aux Activités Numériques et la maîtrise des cadres réglementaires nationaux (Loi Informatique et Liberté (IEL)) et européens (RGDP) en matière de Gestion et Protection des Données Personnelles.

02 L’expérience de la Transformation des Organisations et de la Conduite du Changement.

01 La maîtrise du Système d’Information et des bonnes pratiques de Gouvernance de la Donnée.


REDSEN – HAAS AVOCATS : SYNTHÈSE DE RÉFÉRENCES PERTINENTES


DE LA LOI IEL AU GDPR : LES ENJEUX

DE LA NOUVELLE RÈGLEMENTATION02


RÈGLEMENT GÉNÉRAL SUR LA

PROTECTION DES DONNÉES

Un texte unique pour toute l’Union Européenne

Une échéance : 25 mai 2018

OBJECTIFS DE LA NOUVELLE

RÉGLEMENTATION EUROPÉENNE

Protéger les consommateursAssurer la confianceResponsabiliser les acteurs

PartenairesClients Salariés


LES PRINCIPES FONDAMENTAUX « INFORMATIQUE ET LIBERTÉS » DEMEURENT

Au regard de la réglementation applicable en

matière de données personnelles

LICÉITÉ

Avant toute collecte de données personnelles, le responsable de

traitement doit précisément annoncer aux personnes

concernées ce à quoi elles vont lui servir

FINALITÉ

Les données doivent être collectées de manière transparente et loyale

LOYAUTÉ

Seules les données nécessaires à la finalité du traitement doivent être

collectées

PROPORTIONNALITÉ


LES NOUVEAUX PRINCIPES DE LA GPDR

Le responsable de traitement devient acteur de sa mise en

conformité.Il doit pouvoir justifier, à tout moment, de sa conformité.

(Art. 5)

ACCOUNTABILITY

Protection de la vie privée dès la conception et

par défaut(Art. 25)

PRIVACY BY DESIGN

PRIVACY BY DEFAULT

Renforcement du consentement et de l’obligation d’information

(Art. 7 et 12)

AUTO-DÉTERMINATION

INFORMATIONNELLE

ProportionnalitéPseudonymisation

Mise à jour(Art. 5)

MINIMISATION DES

DONNÉES


LES DROITS FONDAMENTAUX « INFORMATIQUE ET LIBERTÉS » DEMEURENT

Accès aux données personnelles

DROITS D’ACCÈS

Possibilité de s’opposer au traitement de ses données pour

motif légitime

DROIT D’OPPOSITION

Rectification des données personnelles

DROIT DE RECTIFICATION

Connaître les traitements effectuées sur ses données

DROIT À L’INFORMATION


LES NOUVEAUX DROITS DE LA GPDR

Consentement requis pour les décisions automatisées

Profilage => désignation d’un DPO + PIA(Art. 22)

EENCADREMENT DU

PROFILAGE

Pouvoir transférer dans un format ouvert ses données

personnelles d’un opérateur à un autre via une simple

demande(Art. 20)

DROIT À LA PORTABILITÉ

S’assurer que seuls les données strictement nécessaires au

traitement sont collectées et traitées(Art. 18)

DROIT À LA LIMITATION

Droit à l’oubli : obtenir l’effacement de ses données

(Art. 17)

DROIT À L’EFFACEMENT


LES OBLIGATIONS « INFORMATIQUE ET LIBERTÉS » DEMEURENT

Information loyale et complète lors de la collecte

et obtention du consentement préalable pour certains traitements (opt-in)

INFORMATION & CONSENTEMENT

Toute durée illimitée est illégale. La durée s’apprécie au regard des contraintes légales et des

finalités du traitement

DURÉE DE CONSERVATION

Obligation générale de sécurité et de confidentialité

des données

SÉCURITÉ

Assurer la mise en œuvre effective des droits des

personnes (accès, information, portabilité, effacement etc.) dans un

délai raisonnable

GARANTIE DES DROITS

DES PERSONNES


LES NOUVELLES OBLIGATIONS DE LA GPDR

Obligatoire pour le secteur public et pour les entreprises réalisant des traitements de

masse ou de données sensibles - Art. 37 et s.

NOMINATION D’UN DPO

Recensement des traitements mis en œuvre avec détail des

caractéristique desdits traitements

- Art. 30

REGISTRE DES ACTIVITÉS

DE TRAITEMENT

Notification CNIL : Délai 72HIdentifier et documenter la faille

de sécuritéNotification à la personne

concernée en cas de risque élevé pour ses droits – Art.33

NOTIFICATION DES FAILLES

DE SÉCURITÉ

Analyse de la conformité juridique et de la robustesse technique des traitements à risques (données sensibles –

profilage etc.) – Art. 35(*) Privacy Impact Assessment

MISE EN PLACE DE PIA (*)


DATA PROTECTION OFFICER (DPO) VS CORRESPONDANT INFORMATIQUE & LIBERTÉS (CIL)

CIL DPO


CONCRÈTEMENT, QUE FAUT-IL FAIRE ?03


AVANT LE 25 MAI 2018

03 Diagnostiquer les écarts de conformité et formaliser une feuille de route de remédiation (principales orientations)

02Nommer le DPO et ajuster l’organisation - DPO : acteur indépendant, sous l’autorité de l’organe de supervision)- Dissocier les responsabilités entre Data Controller et

Data Processor

01 Sensibiliser les acteurs aux enjeux de la GDPR pour l’entreprise et aux impacts sur leur quotidien par des actions de communication


… ET APRÈS

03Valider les cadres contractuels en vigueur- Assurer la conformité des contrats clients, partenaires, prestataires

de services.- Valider les CGV,CGU, Politique de Confidentialité, Charte cookies,…

02Adapter le Système d’Information- Modifier les applications pour implémenter les principes de « Privacy by default »

et de « Privacy by design »- Automatiser les traitements réglementaires (Purges, anonymisation, portabilité,

etc.)- Adapter / renforcer les systèmes de sécurité

01

Formaliser / adapter la Charte de Gouvernance des Données- Mettre en place les processus de gestion des Droits GDPR

(Portabilité, rectification, oubli, etc.) - Consolider le Référentiel Sécurité (Charte SI, Politique habilitation,

PSSI, Politique de gestion des incidents, PCA etc.)- Identifier et former les acteurs impliqués- Envisager une démarche de certification : label Gouvernance


NOTRE DÉMARCHE ET NOS OUTILS04


CONSTRUIREle Registre des

Activités de Traitements

DIAGNOSTIQUERles écarts vs le

règlement

RECOMMANDERun plan de mise en

conformité

TRANSFORMERles systèmes et

l’organisation pour atteindre la conformité

ACCOMPAGNERles hommes dans

l’évolution de leurs responsabilités et de

leur rôle

MESURERrégulièrement

l’amélioration de la conformité de

l’entreprise vs la GDPR

AVANT LE 25 MAI 2018

NOTRE DÉMARCHE D’ACCOMPAGNEMENT


POSER UN DIAGNOSTIC & RECOMMANDER UN PLAN DE MISE EN CONFORMITÉ

• Interviews [juridique + IT] des services concernés

• Sensibilisation du personnel• Formulaires de diagnostic et contrôles

sur pièce• Plan de mise en conformité : road map

séquencée : priorisation (must to have / nice to have)

ACTIVITÉS CLÉS

EXEMPLES D’OUTILS & LIVRABLES


CONSTRUIRE LE REGISTRE D’ACTIVITÉ DES TRAITEMENTS

• Etablissement du RAT (Art.30 GDPR)

• Analyse de conformité

• Validation juridique & technique des caractéristique des traitements

• Identification des traitements à risque

ACTIVITÉS CLÉS



TRANSFORMER LE SI ET L’ORGANISATION

• Mise en place du « Référentiel Sécurité » = mesures organisationnelles & techniques dédiées à la protection des données

• Réaliser les Privacy Impact Assessment (PIA) sur les traitements sensibles identifiés

• Spécifier les évolutions sur les systèmes et l’organisation

• Elaborer le programme de mise en conformité

ACTIVITÉS CLÉS



ACCOMPAGNER LES ACTEURS

• Coordonner les chantiers SI et organisationnels

• Piloter le programme de mise en conformité

• Former et coacher les acteurs• Assurer une prestation externalisée de

DPO

ACTIVITÉS CLÉS



MESURER LA COMPLIANCE

• Mise en œuvre de contrôles de conformité(pentest – ingénierie sociale – contrôles DPO – actualisation du registre d’activité des traitements)

• Reporting à la Direction Générale

• Accompagnement dans la démarche de labélisation « Label Gouvernance » CNIL

ACTIVITÉS CLÉS



AU-DELÀ DE LA CONTRAINTE RÉGLEMENTAIRE, UNE VÉRITABLE OPPORTUNITÉ

Susciter la confiance et l’adhésion

Etablir une relation de confiance durable avec ses clients et ses partenaires

Accroitre la sécurité juridique

Renforcer juridiquement son projet de développement

Pouvoir valoriser ses données

Dégager un avantage concurrentiel

Se démarquer positivement

Appartenir à un label Obtenir une certification


POUR PROLONGER CETTE MATINALE…05


REDSEN CONSULTING – HAAS AVOCATS

UNE EXPERTISE RGPD RECONNUEBlogs

Guide & Livres Blancs


HAAS – AVOCATS : PUBLICATIONS JURIDIQUES

Publications majeures :

⎻ A paraître aux Editions Kawa : « Le RGPD expliqué à mon boss » - Septembre 2017

⎻ Rédaction du « Guide juridique du E-commerce et du E-marketing », Editions ENI 2016 – Médaille 2016 Académie des sciences commerciales ESCP

⎻ Rédaction de « L’internet des objets : la 3ème révolution informatique » –Editions Kawa Novembre 2016

⎻ Rédaction du « Guide juridique informatique et liberté » – Editions ENI 2012

⎻ Gérard HAAS est corédacteur en chef du magazine Dalloz IT-IP http://www.editions-dalloz.fr/droit-de-la-propriete-intellectuelle-et-du-numerique-dalloz-ip-it.html


NOTRE CURSUS DE

FORMATION CERTIFIANT : NOS ÉVÉNEMENTS :

Module 1 : GPDR & DPOLe cadre juridique, l’organisation et le rôle du DPO

Module 2 : GPDR & Data ScienceLes enjeux juridiques & data science

Module 3 : GPDR & CybersurveillanceImpact sur l’administration des SI et la sécurité

Module 4 : GPDR & MarketingLa Direction Marketing à l’épreuve de la GPDR

Module 5 : GPDR & Objets ConnectésIoT, protection des données & sécurité

Module 6 : GPDR & Ressources HumainesLes enjeux de la réglementation sur la DRH

Bruxelles16 novembre 2017

Lausanne20 juin 2017

Paris5 octobre 2017

LES MATINALES REDSEN – HAASTour européen GDPR


CONTACTS

Gérard HAAS (HAAS Avocats)Avocat à la Cour

[email protected]+33 (0)1 56 43 68 80

Stéphane CAILLOT (REDSEN)Associé

[email protected]+33 (0) 6 09 66 70 28

Redsen Haas GDPR Se Mettre en conformité V5SAS · des cadres réglementaires nationaux (Loi...

Documents

Transcript of Redsen Haas GDPR Se Mettre en conformité V5SAS · des cadres réglementaires nationaux (Loi...