Offre RGPD dédiée aux PME et ETI – La conformité en bonne intelligence

Offre RGPD

Comprendre les obligations et les risquesProduire les livrables réglementairesAméliorer la protection des données

Offre RGPD dédiée aux PME et ETI – La conformité en bonne intelligence

SEC-IT en bref

Présence sur Rennes, Lyon, Aix-en-ProvenceLabellisé Crédit Impôt RechercheEnregistré en tant qu’organisme de formation

Spécialistes en cybersécurité

Expertises : Audit-Conseil Sécurité Opérationnelle Formation

Parmi nos clients :

Offre RGPD dédiée aux PME et ETI – La conformité en bonne intelligence

Notre catalogue de services

Audit / Conseil en cybersécurité Sécurité opérationnelle• Audits organisationnels • Audits de conformité • Accompagnement ISO 27001, RGS, RGPD• Réponse aux recommandations d’audit• Cartographie des données sensibles• RSSI « as a Service »• DPO « as a Service »• Analyse de risques (EBIOS, 27005)• Rédaction PSSI et politiques spécifiques • Définition PRA/PCA• Homologation des SI• Tests d’intrusion• Audits de code• Audits de configuration• Recherche et analyse de vulnérabilités• Rédaction de cahier des charges• Réponse aux appels d’offre

• Expression des besoins de sécurité (FEROS)• Analyse de risques projet• Rédaction Plan d’Assurance Sécurité (PAS)• Mise en œuvre PAS et pilotage de conformité projet• Durcissement des systèmes (serveurs et postes de travail)• Maintien en conditions de sécurité (MCS)• Gestion des incidents et des contrôles récurrents• Traitement des vulnérabilités et des correctifs• Gestion des habilitations• Chargé de SSI « as a Service » (CSSI)

Formation en cybersécurité• Intégrer et valoriser la sécurité dans le cycle projet• Développer des logiciels sécurisés « by design » • Auditer et sécuriser en profondeur : Middleware, Web• Répondre aux exigences réglementaires : RGS, RGPD

Offre RGPD dédiée aux PME et ETI – La conformité en bonne intelligence

Notre méthodologie RGPD

Offre RGPD dédiée aux PME et ETI – La conformité en bonne intelligence

Notre méthodologie RGPD

● Proposer une mise en conformité opérationnelle et proportionnée à chaque organisation, en 3 phases :

● 1/ Etat des lieux et production des livrables « socle » : registre des traitements, cartographie des données, évaluation du niveau de protection des données

● 2/ Plan d’action pour mise en conformité ● 3/ Maintien et amélioration de la conformité

Les critères de variation pour chaque organisation :- Secteur (privé/public)- Cœur de métier- Organisation interne- Maturité (présence CIL, RSSI)- Architecture SI

Etat des lieux et livrables « socle »

Mise en conformité

Maintien en conformité

Offre RGPD dédiée aux PME et ETI – La conformité en bonne intelligence

Phase 1 : Etat des lieux et livrables « socle »

Cartographier et documenter les traitements réalisés et les données qui s’y rapportent :

l Réunion de démarragel Sensibilisation des contributeursl Collecte des informations par le biais d’interviewsl Cartographie des données personnelles traitéesl Evaluation de la protection actuelle de ces données l Etude d’écart & préconisations pour la mise en conformité

➝ Les livrables de la phase 1 démontrent votre engagement dans la démarche de mise en conformité en cas de contrôle

Livrables « socle » : - Registre(s) des traitements- Cartographie des données- Evaluation de la protection des données- Préconisation (plan d’action)- Synthèse managériale

Offre RGPD dédiée aux PME et ETI – La conformité en bonne intelligence

Phase 1 : Registre des traitementsIdentification des fonctions

• Recensement des fonctions de l’entreprise (métiers et support)

Identification des chaines de traitement

• Responsable de traitement

• Sous-traitants• Personnes concernées par le traitement

Catégorisation des traitements

• Catégories de traitements

• Inventaire des traitements

Caractérisation des traitements

• Finalité du traitement

• Fondement du traitement

• Durée de conservation des données

➝ Un registre distinct doit être est établi pour les traitement réalisés en tant que sous-traitant

Nom de XXXXDate de création XX/XX/XXXXMise à jour XX/XX/XXXXCoordonnées du DPD XXXXXXXXX

Processus ou fonction Traitement Réf. Date création Date Màj Responsable traitement Finalité du traitement Volume estimé (an) Transferts hors UE ? Données sensibles ? Marketing Opcomm ciblée XXX 01/06/2015 01/12/2016 Direction marketing collecte de données 3 000 NON NONAchat liste fournisseurs XXX 01/08/2013 01/09/2015 Direction commerciale annuaires 300 NON NONInformatique journal acces badges XXX 06/10/2014 07/11/2016 Direction des SI contrôle d'accès, badgeage 10 000 NON NONRH recrutement XXX 01/08/2013 02/02/2015 DRH gestion du personnel 2 000 NON NONCommerce listing clients XXX 01/08/2013 01/09/2015 Direction commerciale fichiers clients et prospects 10 000 NON NONCommunication listing evts. partenaires XXX 01/06/2015 01/12/2014 Direction marketing listes de diffusion/discussion 100 NON NONComptabilité notes de frais XXX 07/03/2012 14/04/2014 Direction financière gestion administrative et comptable 200 NON NONIRP indicateurs santé travail XXX 20/12/2012 01/12/2014 IRP statistiques 1 000 NON NONProduits listing produits/clients XXX 01/08/2013 01/09/2015 Direction produits base de données 30 000 NON NONLogistique base transporteurs XXX 17/10/2012 01/08/2013 Direction commerciale base de données 50 NON NONCommerce tableau réseau pro business XXX 14/09/2015 05/09/2016 Direction commerciale réseaux professionnels 20 NON NON

REGISTRE DES TRAITEMENTS

Offre RGPD dédiée aux PME et ETI – La conformité en bonne intelligence

Phase 1 : Evaluation de la protection des données

Evaluer la sensibilité des données personnelles traitées et les mesures de protection en place, à l’aide :

l Des informations collectées en interviewsl Des catégories de données personnellesl De l’échelle de classification des données (DIC)l De l’échelle de maturité des mesures de protectionl Des recommandations de la norme ISO 27002 concernant

l’implémentation des mesures de sécurité

Echelle des besoins « DIC » : - Disponibilité, - Intégrité, - Confidentialité

Offre RGPD dédiée aux PME et ETI – La conformité en bonne intelligence

Phase 1 : Evaluation de la protection des données (suite)

Le bien support hébergeant des données classées « sensibles » (confidentialité = 4) dispose de mesures de sécurité acceptables (M3 = protections implémentées)

Le bien support hébergeant des données classées « sensibles » (confidentialité = 4) n’a pas de mesure

de sécurité (M0 = pas de protection)

M5Protection implémentée, contrôlée et optimisée

M4 Protection implémentée et contrôlée

M3 Protection implémentée

M2Protection implémentée nécessitant amélioration

M1 Protection en cours d'implémentation

M0 Pas de protection

Offre RGPD dédiée aux PME et ETI – La conformité en bonne intelligence

Phase 1 : Exemple de préconisations / plan d’actionOrganisationnel Technique Juridique

Recrutement Données candidats accessibles sans restriction d'habilitation

Art. 32 : sécurité du traitement modéré faible - Identifier les personnes habilitées à accéder aux données- Définir un processus d'habilitation (ajout/modification/retrait des droits d'accès, contrôles et traitement des écarts)- Activer la restriction technique aux données (groupe AD, droits serveurs...)- Activer la journalisation des accès

modéré élevé faible

Gestion des soins Données de santé nécessitant une analyse d'impact

Art. 35 : analyse d’impact élevé faible - Réaliser une analyse d'impact (PIA) et la présenter à la CNIL

modéré faible élevé

Journal acces badges Finalité du traitement non renseignée Art. 30 : tenue d’un registre de traitement

élevé faible - Identifier la finalité et mettre à jour le registre de traitement faible faible faible

Recrutement Pas de délai défini pour la suppression des CV, ni de processus

Art. 13 : collecte des données modéré faible - Définir la durée de rétention des données en conformité avec la loi et les besoins métiers de l'entreprise'- Ajouter une purge -si possible automatisée et journalisée- des données à la fréquence définie

modéré modéré faible

Base transporteurs Absence de clause d'engagement GDPR sous-traitance

Art. 26 : responsabilités du sous-traitant

modéré modéré - Ajouter une clause de respect du RGPD aux contrats de sous-traitance

modéré faible élevé

Listing clients Fichier disponible en clair sans restriction d'habilitation

Art. 32 : sécurité du traitement élevé modéré - Identifier les personnes habilitées à accéder aux données- Définir un processus d'habilitation (ajout/modification/retrait des droits d'accès, contrôles et traitement des écarts)- Activer la restriction technique aux données (groupe AD, droits serveurs...)- Activer la journalisation des accès- Activer le chiffrement du fichier

modéré élevé faible

Listing séminaire Les personnes concernées n'ont pas consenti au traitement des données

Art. 6 : licéité du traitement élevé faible - Informer les personnes concernées de la finalité du traitement et de leurs droits au regard du RGPD- Modifier le formulaire d'inscription au séminaire afin d'y inclure le consentement des participants

modéré faible faible

Notes de frais Le traitement n'est pas nécessaire au respect d'une obligation légale contrairement à ce qui est annoncé

Art. 6 : licéité du traitement faible modéré - Modifier la finalité du traitement dans le registre des traitements- Informer les personnes concernées de la finalité du traitement et de leurs droits au regard du RGPD- Inclure le traitement dans le modèle de consentement présenté à chaque nouvel embauché

modéré faible modéré

Impact sur l'existant pour remédiationNiveau de risque

Niveau d'effort pour rémédiation

Référence RGPDIntitulé traitement Constat d'écart Préconisation(s)

Offre RGPD dédiée aux PME et ETI – La conformité en bonne intelligence

Phase 2 : Mise en conformité

Piloter les actions de mise en conformité RGPD :

l Pilotage du plan de mise en conformitél Priorisation des actions, choix des porteurs et planningl Coordination des intervenants techniques et métiersl Reporting et restitution à la direction

➝ Les impacts sont pris en compte sous les angles organisationnel, contractuel et technique➝ La phase 2 débute après arbitrage et accord du client sur le plan d’action

Chantiers optionnels en fonction de la phase 1 :- Analyse d’impact (PIA) - Définition PCA/PRA- Définition processus de réponse aux violations de données- Modèles chartes, contrats

Offre RGPD dédiée aux PME et ETI – La conformité en bonne intelligence

Phase 3 : Revue du dispositif RGPD

« DPO as a Service » :- M.à.j. des livrables « socle »- Sensibilisation, formation- Amélioration des procédures- Communications avec la CNIL et les personnes concernées

Maintenir et améliorer la conformité dans la durée :

● Mise à jour des livrables réglementaires● Réévaluation des mesures de protection● Révision des procédures et modèles de document● Veille réglementaire et sécurité

➝ Possibilité de souscrire à une offre « DPO as a Service » selon le type et l’effectif de l’organisation

Offre RGPD dédiée aux PME et ETI – La conformité en bonne intelligence

Nos offres RGPD

Offre RGPD dédiée aux PME et ETI – La conformité en bonne intelligence

Phase 1 :Accompagnement du pilote interne

Phase 2 : Supervision de la mise en conformité

En début de phase :• Sensibilisation du pilote interne• 1 interview en binôme avec le pilote interneEn fin de phase :• 1 atelier de relecture des livrables (registre de

traitement et plan de remédiation)

• 1 atelier de définition des processus et mesures de protection

• 2 réunions d’avancement • 1 atelier de vérification des processus et

mesures de protection

1 570,00 € HT 1 970,00 € HT

Offre « prise en main RGPD »

Atelier = Réunion de travail de 3h maximum avec 3 participants clients maximum

Offre RGPD dédiée aux PME et ETI – La conformité en bonne intelligence

Phase 1 :Audit et livrables « socle »

Phase 2 : Mise en conformité

Phase 3 : Maintien et amélioration

• Réunion de démarrage, sensibilisation• Collecte des informations, analyse• Production des livrables « socle »• Evaluation des mesures de protection• Préconisations / plan d’action• Réunion de restitution

• Pilotage du plan d’action• Analyse d’impact « PIA » (si

requise)• Coordination des chantiers

techniques• Reporting régulier à la direction

• Documentation et mise à jourdes processus

• Revue programmée des livrables « socle »

• Sensibilisation et formation• DPO as a Service

1 860,00 € HT / service* audité

Exemples : PME (3 services) = 5 580,00 € HT ETI (5 services) = 9 300,00 € HT

Sur devis 930,00 € HT / jour

Sur devis 930,00 € HT / jour

Offre « conformité RGPD »

(*) Service = Entité transverse ou cœur de métier de l’entreprise

Offre RGPD dédiée aux PME et ETI – La conformité en bonne intelligence

Nous sommes à votre écoute

Pascal MONTELCofondateur et Directeur associé

06 40 94 18 33pascal.montel@sec-it-solutions.fr

Merci de votre attention