Redsen Haas GDPR Se Mettre en conformité V5SAS · des cadres réglementaires nationaux (Loi...
Transcript of Redsen Haas GDPR Se Mettre en conformité V5SAS · des cadres réglementaires nationaux (Loi...
GDPR : COMMENT SE METTRE EN CONFORMITÉ ?
LES BONNES PRATIQUES POUR UN PLAN D’ACTIONS
EFFICACE
Gérard HAAS(Haas Avocats)
Stéphane CAILLOTAlexis MISSOFFE(Redsen Consulting)
5 Octobre 2017
2© Redsen Consulting / Haas Avocats – Diffusion interdite
A L’ORDRE DU JOUR…
I. Présentation Redsen & Haas Avocats
II. De la loi IEL au GDPR : Les enjeux de la nouvelle règlementation
III. Concrètement, que faut-il faire ?
IV. Notre démarche et nos outils
V. Pour prolonger cette matinale…
3© Redsen Consulting / Haas Avocats – Diffusion interdite
DEUX MOTS SUR LES CABINETS
HAAS AVOCATS ET REDSEN01
4© Redsen Consulting / Haas Avocats – Diffusion interdite
Depuis près de 20 ans, le Cabinet HAAS Avocats défend etprotège les clients nationaux et internationaux intervenantdans les secteurs de la propriété intellectuelle, du droit desnouvelles technologies, de l’information et de lacommunication, de la protection des données, de l’e-commerce, de l’e-marketing et du droit des affaires.
Principaux domaines d’intervention :
PRÉSENTATION HAAS
CABINET D’AVOCATS
Une triple labellisation CNIL
Des solutions opérationnelles destinées à assurer la conformité de leur activité à la réglementation GDPR (www.avocats-rgpd.com)
5© Redsen Consulting / Haas Avocats – Diffusion interdite
PRÉSENTATION REDSEN CONSULTING
CABINET DE CONSEIL EN MANAGEMENT
Fort d’une double expérience fonctionnel et SI, Redsen définit, pilote et accompagne les projets
de transformation des organisations.70
consultants
3implantations
10 M€ de CA
⎻ Cadrage Stratégique business et fonctionnel de transformation digitale (E-commerce, Marketplace…)
⎻ CRM & Marketing automation⎻ Web & Social analyse
PILOTAGE et ACCOMPAGNEMENT⎻ Portefeuille projets⎻ Pilotage AMOA de projets Digitaux (Site,
marketplace, Portail, CRM…)⎻ Mise en conformité réglementaire (CNIL, GDPR)⎻ Choix et benchmark d’outils⎻ Conseil en organisation
TRANSFORMATION SI⎻ IT Roadmap⎻ Optimisation des processus (Lean…)⎻ Gestion des données de références
(Référentiel clients, produits…)⎻ Conduite du changement (Hommes,
processus et organisation)⎻ Coaching agile
STRATEGIE DIGITALE & MARKETPLACE⎻ Définition de la stratégie digitale⎻ Management de l’innovation⎻ Exploitation des données digitales et
intelligence client⎻ Data Governance
6© Redsen Consulting / Haas Avocats – Diffusion interdite
LE PARTENARIAT REDSEN CONSULTING – HAAS AVOCATS
LA COMPLÉMENTARITÉ DES EXPERTISES
Système Information
Organisation
Juridique
03L’Expertise Juridique appliquée aux Activités Numériques et la maîtrise des cadres réglementaires nationaux (Loi Informatique et Liberté (IEL)) et européens (RGDP) en matière de Gestion et Protection des Données Personnelles.
02 L’expérience de la Transformation des Organisations et de la Conduite du Changement.
01 La maîtrise du Système d’Information et des bonnes pratiques de Gouvernance de la Donnée.
7© Redsen Consulting / Haas Avocats – Diffusion interdite
REDSEN – HAAS AVOCATS : SYNTHÈSE DE RÉFÉRENCES PERTINENTES
8© Redsen Consulting / Haas Avocats – Diffusion interdite
DE LA LOI IEL AU GDPR : LES ENJEUX
DE LA NOUVELLE RÈGLEMENTATION02
9© Redsen Consulting / Haas Avocats – Diffusion interdite
RÈGLEMENT GÉNÉRAL SUR LA
PROTECTION DES DONNÉES
Un texte unique pour toute l’Union Européenne
Une échéance : 25 mai 2018
OBJECTIFS DE LA NOUVELLE
RÉGLEMENTATION EUROPÉENNE
Protéger les consommateursAssurer la confianceResponsabiliser les acteurs
PartenairesClients Salariés
10© Redsen Consulting / Haas Avocats – Diffusion interdite
LES PRINCIPES FONDAMENTAUX « INFORMATIQUE ET LIBERTÉS » DEMEURENT
Au regard de la réglementation applicable en
matière de données personnelles
LICÉITÉ
Avant toute collecte de données personnelles, le responsable de
traitement doit précisément annoncer aux personnes
concernées ce à quoi elles vont lui servir
FINALITÉ
Les données doivent être collectées de manière transparente et loyale
LOYAUTÉ
Seules les données nécessaires à la finalité du traitement doivent être
collectées
PROPORTIONNALITÉ
11© Redsen Consulting / Haas Avocats – Diffusion interdite
LES NOUVEAUX PRINCIPES DE LA GPDR
Le responsable de traitement devient acteur de sa mise en
conformité.Il doit pouvoir justifier, à tout moment, de sa conformité.
(Art. 5)
ACCOUNTABILITY
Protection de la vie privée dès la conception et
par défaut(Art. 25)
PRIVACY BY DESIGN
PRIVACY BY DEFAULT
Renforcement du consentement et de l’obligation d’information
(Art. 7 et 12)
AUTO-DÉTERMINATION
INFORMATIONNELLE
ProportionnalitéPseudonymisation
Mise à jour(Art. 5)
MINIMISATION DES
DONNÉES
12© Redsen Consulting / Haas Avocats – Diffusion interdite
LES DROITS FONDAMENTAUX « INFORMATIQUE ET LIBERTÉS » DEMEURENT
Accès aux données personnelles
DROITS D’ACCÈS
Possibilité de s’opposer au traitement de ses données pour
motif légitime
DROIT D’OPPOSITION
Rectification des données personnelles
DROIT DE RECTIFICATION
Connaître les traitements effectuées sur ses données
DROIT À L’INFORMATION
13© Redsen Consulting / Haas Avocats – Diffusion interdite
LES NOUVEAUX DROITS DE LA GPDR
Consentement requis pour les décisions automatisées
Profilage => désignation d’un DPO + PIA(Art. 22)
EENCADREMENT DU
PROFILAGE
Pouvoir transférer dans un format ouvert ses données
personnelles d’un opérateur à un autre via une simple
demande(Art. 20)
DROIT À LA PORTABILITÉ
S’assurer que seuls les données strictement nécessaires au
traitement sont collectées et traitées(Art. 18)
DROIT À LA LIMITATION
Droit à l’oubli : obtenir l’effacement de ses données
(Art. 17)
DROIT À L’EFFACEMENT
14© Redsen Consulting / Haas Avocats – Diffusion interdite
LES OBLIGATIONS « INFORMATIQUE ET LIBERTÉS » DEMEURENT
Information loyale et complète lors de la collecte
et obtention du consentement préalable pour certains traitements (opt-in)
INFORMATION & CONSENTEMENT
Toute durée illimitée est illégale. La durée s’apprécie au regard des contraintes légales et des
finalités du traitement
DURÉE DE CONSERVATION
Obligation générale de sécurité et de confidentialité
des données
SÉCURITÉ
Assurer la mise en œuvre effective des droits des
personnes (accès, information, portabilité, effacement etc.) dans un
délai raisonnable
GARANTIE DES DROITS
DES PERSONNES
15© Redsen Consulting / Haas Avocats – Diffusion interdite
LES NOUVELLES OBLIGATIONS DE LA GPDR
Obligatoire pour le secteur public et pour les entreprises réalisant des traitements de
masse ou de données sensibles - Art. 37 et s.
NOMINATION D’UN DPO
Recensement des traitements mis en œuvre avec détail des
caractéristique desdits traitements
- Art. 30
REGISTRE DES ACTIVITÉS
DE TRAITEMENT
Notification CNIL : Délai 72HIdentifier et documenter la faille
de sécuritéNotification à la personne
concernée en cas de risque élevé pour ses droits – Art.33
NOTIFICATION DES FAILLES
DE SÉCURITÉ
Analyse de la conformité juridique et de la robustesse technique des traitements à risques (données sensibles –
profilage etc.) – Art. 35(*) Privacy Impact Assessment
MISE EN PLACE DE PIA (*)
16© Redsen Consulting / Haas Avocats – Diffusion interdite
DATA PROTECTION OFFICER (DPO) VS CORRESPONDANT INFORMATIQUE & LIBERTÉS (CIL)
CIL DPO
17© Redsen Consulting / Haas Avocats – Diffusion interdite
CONCRÈTEMENT, QUE FAUT-IL FAIRE ?03
18© Redsen Consulting / Haas Avocats – Diffusion interdite
AVANT LE 25 MAI 2018
03 Diagnostiquer les écarts de conformité et formaliser une feuille de route de remédiation (principales orientations)
02Nommer le DPO et ajuster l’organisation - DPO : acteur indépendant, sous l’autorité de l’organe de supervision)- Dissocier les responsabilités entre Data Controller et
Data Processor
01 Sensibiliser les acteurs aux enjeux de la GDPR pour l’entreprise et aux impacts sur leur quotidien par des actions de communication
19© Redsen Consulting / Haas Avocats – Diffusion interdite
… ET APRÈS
03Valider les cadres contractuels en vigueur- Assurer la conformité des contrats clients, partenaires, prestataires
de services.- Valider les CGV,CGU, Politique de Confidentialité, Charte cookies,…
02Adapter le Système d’Information- Modifier les applications pour implémenter les principes de « Privacy by default »
et de « Privacy by design »- Automatiser les traitements réglementaires (Purges, anonymisation, portabilité,
etc.)- Adapter / renforcer les systèmes de sécurité
01
Formaliser / adapter la Charte de Gouvernance des Données- Mettre en place les processus de gestion des Droits GDPR
(Portabilité, rectification, oubli, etc.) - Consolider le Référentiel Sécurité (Charte SI, Politique habilitation,
PSSI, Politique de gestion des incidents, PCA etc.)- Identifier et former les acteurs impliqués- Envisager une démarche de certification : label Gouvernance
20© Redsen Consulting / Haas Avocats – Diffusion interdite
NOTRE DÉMARCHE ET NOS OUTILS04
21© Redsen Consulting / Haas Avocats – Diffusion interdite
CONSTRUIREle Registre des
Activités de Traitements
DIAGNOSTIQUERles écarts vs le
règlement
RECOMMANDERun plan de mise en
conformité
TRANSFORMERles systèmes et
l’organisation pour atteindre la conformité
ACCOMPAGNERles hommes dans
l’évolution de leurs responsabilités et de
leur rôle
MESURERrégulièrement
l’amélioration de la conformité de
l’entreprise vs la GDPR
AVANT LE 25 MAI 2018
NOTRE DÉMARCHE D’ACCOMPAGNEMENT
22© Redsen Consulting / Haas Avocats – Diffusion interdite
POSER UN DIAGNOSTIC & RECOMMANDER UN PLAN DE MISE EN CONFORMITÉ
• Interviews [juridique + IT] des services concernés
• Sensibilisation du personnel• Formulaires de diagnostic et contrôles
sur pièce• Plan de mise en conformité : road map
séquencée : priorisation (must to have / nice to have)
ACTIVITÉS CLÉS
EXEMPLES D’OUTILS & LIVRABLES
23© Redsen Consulting / Haas Avocats – Diffusion interdite
CONSTRUIRE LE REGISTRE D’ACTIVITÉ DES TRAITEMENTS
• Etablissement du RAT (Art.30 GDPR)
• Analyse de conformité
• Validation juridique & technique des caractéristique des traitements
• Identification des traitements à risque
ACTIVITÉS CLÉS
EXEMPLES D’OUTILS & LIVRABLES
24© Redsen Consulting / Haas Avocats – Diffusion interdite
TRANSFORMER LE SI ET L’ORGANISATION
• Mise en place du « Référentiel Sécurité » = mesures organisationnelles & techniques dédiées à la protection des données
• Réaliser les Privacy Impact Assessment (PIA) sur les traitements sensibles identifiés
• Spécifier les évolutions sur les systèmes et l’organisation
• Elaborer le programme de mise en conformité
ACTIVITÉS CLÉS
EXEMPLES D’OUTILS & LIVRABLES
25© Redsen Consulting / Haas Avocats – Diffusion interdite
ACCOMPAGNER LES ACTEURS
• Coordonner les chantiers SI et organisationnels
• Piloter le programme de mise en conformité
• Former et coacher les acteurs• Assurer une prestation externalisée de
DPO
ACTIVITÉS CLÉS
EXEMPLES D’OUTILS & LIVRABLES
26© Redsen Consulting / Haas Avocats – Diffusion interdite
MESURER LA COMPLIANCE
• Mise en œuvre de contrôles de conformité(pentest – ingénierie sociale – contrôles DPO – actualisation du registre d’activité des traitements)
• Reporting à la Direction Générale
• Accompagnement dans la démarche de labélisation « Label Gouvernance » CNIL
ACTIVITÉS CLÉS
EXEMPLES D’OUTILS & LIVRABLES
27© Redsen Consulting / Haas Avocats – Diffusion interdite
AU-DELÀ DE LA CONTRAINTE RÉGLEMENTAIRE, UNE VÉRITABLE OPPORTUNITÉ
Susciter la confiance et l’adhésion
Etablir une relation de confiance durable avec ses clients et ses partenaires
Accroitre la sécurité juridique
Renforcer juridiquement son projet de développement
Pouvoir valoriser ses données
Dégager un avantage concurrentiel
Se démarquer positivement
Appartenir à un label Obtenir une certification
28© Redsen Consulting / Haas Avocats – Diffusion interdite
POUR PROLONGER CETTE MATINALE…05
29© Redsen Consulting / Haas Avocats – Diffusion interdite
REDSEN CONSULTING – HAAS AVOCATS
UNE EXPERTISE RGPD RECONNUEBlogs
Guide & Livres Blancs
30© Redsen Consulting / Haas Avocats – Diffusion interdite
HAAS – AVOCATS : PUBLICATIONS JURIDIQUES
Publications majeures :
⎻ A paraître aux Editions Kawa : « Le RGPD expliqué à mon boss » - Septembre 2017
⎻ Rédaction du « Guide juridique du E-commerce et du E-marketing », Editions ENI 2016 – Médaille 2016 Académie des sciences commerciales ESCP
⎻ Rédaction de « L’internet des objets : la 3ème révolution informatique » –Editions Kawa Novembre 2016
⎻ Rédaction du « Guide juridique informatique et liberté » – Editions ENI 2012
⎻ Gérard HAAS est corédacteur en chef du magazine Dalloz IT-IP http://www.editions-dalloz.fr/droit-de-la-propriete-intellectuelle-et-du-numerique-dalloz-ip-it.html
31© Redsen Consulting / Haas Avocats – Diffusion interdite
NOTRE CURSUS DE
FORMATION CERTIFIANT : NOS ÉVÉNEMENTS :
Module 1 : GPDR & DPOLe cadre juridique, l’organisation et le rôle du DPO
Module 2 : GPDR & Data ScienceLes enjeux juridiques & data science
Module 3 : GPDR & CybersurveillanceImpact sur l’administration des SI et la sécurité
Module 4 : GPDR & MarketingLa Direction Marketing à l’épreuve de la GPDR
Module 5 : GPDR & Objets ConnectésIoT, protection des données & sécurité
Module 6 : GPDR & Ressources HumainesLes enjeux de la réglementation sur la DRH
Bruxelles16 novembre 2017
Lausanne20 juin 2017
Paris5 octobre 2017
LES MATINALES REDSEN – HAASTour européen GDPR
32© Redsen Consulting / Haas Avocats – Diffusion interdite
CONTACTS
Gérard HAAS (HAAS Avocats)Avocat à la Cour
[email protected]+33 (0)1 56 43 68 80
Stéphane CAILLOT (REDSEN)Associé
[email protected]+33 (0) 6 09 66 70 28