WEBINAR RGPD - broadbean.com · 3 Adoptée le 27 Avril 2016, il s’agit d’une réglementation...
Transcript of WEBINAR RGPD - broadbean.com · 3 Adoptée le 27 Avril 2016, il s’agit d’une réglementation...
12/14/2017 © 2015 Broadbean
WEBINAR RGPD
Recruteur, êtes-vous prêt ?
Jeudi 14 Décembre 2017
11h0040 Minutes
Jean-Marc GoetzExpert RGPD
I. Qu’est-ce que la RGPD : Cadre / Typologie / Impact / Trajectoire de mise en conformité
II. Comment Broadbean se conforme à cette nouvelle legislation
SOMMAIRE
3
Adoptée le 27 Avril 2016, il s’agit d’une réglementation européenne qui sera directement applicable dans tous les états membres.
Le 25 mai 2018 : amendes maximales de 20 M€, ou 4% du CA applicable en France.
Accountability (responsabilisation) :
• obligation de démonstration , fin des obligations de déclaration auprès de l’autorité de contrôle
• 2 référentiels indispensables : Le registre (inventaire) et le PIA (Privacy impact Assessment)
DPO (Data Protection Officer) : Délégué à la protection des données
Sécurité/détection de faille : obligation de notifier les autorités de contrôle dans un délai de 72 heures max
LE CADRE DE LA RGPD
RGPD UN PROCESSUS ETENDU
4
Data Controller
Le gestionnaire de la
collecte, le responsable
des traitements de la
donnée personnelle
Data Processor
le sous-traitant, toute
organisation ayant fait une
réutilisation avérée de la
donnée personnelle
L’autorité de contrôle
nationale, habilitée à effectuer
les audits, à demander les
travaux de mise en conformité
et les condamnations
La personne
© Parker Williborg – Reproduction interdite
TYPOLOGIE DES DONNEES A CARACTERE PERSONNEL
5© Parker Williborg – Reproduction interdite
▪ Opinions/avis sur les orientations philosophiques, politiques, religieuses, syndicales, sexuelles,
▪ Origines raciales ou ethniques,
▪ Données de santé,
▪ Données relatives à la santé et à la vie sexuelle,
▪ Données relatives aux infractions et condamnations, mesures de sécurité.
▪ Numéro de sécurité sociale (NIR),
▪ Données biométriques et génétiques,
▪ Données bancaires
▪ Etat civil, identité, données d’identification administratives et numériques (dont adresse email)
▪ Vie professionnelle (CV, scolarité, et formation, distinctions, …)
▪ Informations d’ordre économique et financier (revenus, situation financière, imposition, situation fiscale, . ..)
▪ Données de connexion (Adresse IP, journaux d’événements, …),
▪ Données de localisation (déplacements, données GPS, GSM, …).
Données particulières / sensibles au sens de la loi
Données perçues comme particulières / sensibles
Données courantes
IMPACT SUR LES PROCESSUS AUX DROITS DE LA PERSONNE
6© Parker Williborg – Reproduction interdite
Autorisation d’utilisation : dans le cadre précisé par la personne (analyse des données, gestion de la créance …), lors de la collecte ou a postériori,
Demande d’état des lieux, droit à l’information sur les informations personnelles(identité du responsable de traitement, finalité, durée de conservation, conséquences des réponses…)
Restitution des données personnelles sous une forme ouverte et réutilisable
Droit à l’oubli, rectification, destruction des données personnelles y compris auprès de tous les Data Processor
1
2
3
4
7© Parker Williborg – Reproduction interdite
Gouvernance pilotage
• Désignation de DPO et de Référents
• Déploiement et suivi de la mise en conformité
• Gouvernance des data processors
• Réponses aux requêtes des autres responsables de traitement
Alignement transformation des
traitements
• Gestion du consentement et de l’opposition
• Gestion des requêtes des personnes (droit à l’information)
• Aménagements des Applications IT embarquant des DCP
• Gestion de la sécurité
Accompagnement au changement
• Actions de Sensibilisation pour les salariés
• Actions ciblées sur :
✓L’appropriation de la réglementation
✓Les outils embarquant les DCP,
Documentation et contrôles
• Gestion des référentiels (registre, Etude d’impact sur la vie privée)
• Recueil des preuves
• Pré-audit, audit « à blanc »
• Gestion des changements
. Contrat prestataire:
• Révision des
clauses sur le
traitement des DP
• Création /
aménagement
des chartes
Site Web candidat :
• Révision formules
de consentement,
• CGU
• SIRH : gestion
des durées de
conservation des
DP
• Diffusion des
enjeux et droits à
un nouveau salarié
• Intégration de la
RGPD dans les
parcours formation
• Diffusion de
guides de bonnes
pratiques
• Cartographie des
DP RH mise à
niveau du registre
• Catalogue des
formations avec
RGPD avec
indicateurs de
suivi
4 CHAMPS DE MESURE POUR LA MISE EN CONFORMITE
RGPD : ETABLIR UNE TRAJECTOIRE DE MISE EN CONFORMITE
8© Parker Williborg – Reproduction interdite
Organisation
Processus et traitements
LANCEMENT
Désignation du DPO
Analyse des applications avec DCP sensiblesRGPD
MISE EN OEUVRE
Mise en œuvre de la RGPD :guide de bonnes pratiques
Elaboration trajectoireEXTENSION
REVISION
Création/révision du registre des traitements
Diagnostic
METTRE EN OEUVRE LES
PREMIERES ACTIONS
COMMENT BROADBEAN SE CONFORME A LA NOUVELLE LEGISLATION ?
© 2015 CareerBuilder10
+7 000Supports intégrés
110 000Utilisateurs actifsClients
dont 250 en France
+6 5003MOffres diffusées
par mois
183Pays dans lesquels Broadbean diffuse
•Détail sur le contenu des données traitées et les raisons de ce traitement
•Identification des sous-traitants, explication de leur rôle
•Fin de contrat, suppression des données stockées
• Etude d’impact de la protection des données et mise à jour de nos processus Conformité de nos produits à la RGPD
•Sécurité renforcée notamment sur l’accès aux données de nos clients
•Formation de nos collaborateurs, rôle et implication de chacun
Les contratsPolitique
Générale d’Audit
•Renforcement de la robustesse du système en cas d’attaque
•Encryptage des données
•Mise à jour de la politique de sécurité et du processus de gestion des incidents
•Minimiser les données stockées, en mettant en place des règles de suppression
Sécurité des
informations
•Possibilité de configurer la gestion des données
•Réception du consentement candidat
•Outils d’export disponibles permettant de faire des requête de portabilité
Outils clients