Comment votre hébergeur participe-t-il à votre mise en conformité ?
Réponse par Eric Morali, DPO adjoint, Security & Compliance chez Claranet. (Présentation effectuée lors de notre Happy Hour du 8 novembre 2016 sur la gestion des données personnelles)
Le RGPD, véritable opportunité vers la gouvernance de l’information
Gestion des données personnelles : Comment Claranet participe à votre conformité ?
1. Règlement Général sur la Protection des Données (RGPD)
Comment Claranet participe à votre conformité ?
Eric Morali, DPO adjoint, Security & Compliance Claranet 08 Novembre 2016
2. Instaurer un « cadre de confiance » !
Un peu de contexte …
% des Européens qui craignent que
leurs données personnelles ne soient
pas en sécurité dans les mains des…
3. S’y préparer : un avantage concurrentiel !
Etude Dell (09/2016) – Auprès de 821 professionnels de la « Privacy »
- Entreprises ayant toutes une base de 10% de clients européens
- 50% d’entre-elles ayant 50% ou plus de clients en Europe
• Plus de 80% répondent qu’il ne connaissent que peu de détails, voire aucun
détails du RGPD
• Près de 70% de ces professionnels ne sont pas préparés, ou ne savent pas si
leur entreprise est préparée
Ø Seulement 3% ont déjà un plan en place pour Mai 2018
Les entreprises sont-elles prêtes ?
4. 1) Etude et veille règlementaire, bonnes pratiques
2) Prise en compte des nouvelles exigences
3) Nomination d’un DPO
1 - Démarche Claranet
5. Veille
• Suivi et étude des évolutions règlementaires
• Associations professionnelles (AFCDP, IAPP)
Capitalisation sur les bonnes pratiques Claranet
• Exigences Hébergeur Agrée de Données de Santé
• ITIL, ISO 27018
• 5 ans de SMSI certifié et de processus d’amélioration continue
1.1 - Veille et bonnes pratiques
6. Mise en œuvre des principes d’accountability
• Documentation, procédures
• Mise en place d’outils de gestion (registre, actions de mise en conformité, droits de personnes)
• Outils de Reporting (suivi interne, audit, contrôle)
Un « Registre » des traitements déjà adapté au Règlement
• Approche par le risque (risque sur la vie privée des personnes) => Etude d’impact (PIA)
• Revue de la sous-traitance (contrat, « privacy policy », transfert hors UE…)
• Respect du droit des personnes, Mesures de sécurité, etc…
Privacy-by-Design
• Prise en compte dès la conception du traitement (et tout au long de son cycle de vie)
des principes de protection des données
• Implication de l’équipe conformité en amont de la mise en œuvre de projets
1.2 - Prise en compte des nouvelles exigences
7. (Considérant 76) Il convient de déterminer la probabilité et la gravité du risque pour les droits et libertés de
la personne concernée en fonction de la nature, de la portée, du contexte et des finalités du traitement…
1.2 – Exemple d’approche par le risque (sur la vie privée)
Approche par le risque (sur la vie privée) appliquée au registre des traitements
Le risque devrait faire l'objet d'une évaluation objective permettant de déterminer si les opérations de
traitement des données comportent un risque ou un risque élevé
8. Outils de reporting permettant de suivre les actions de mise en conformité, conformité des
traitements, demandes droits des personnes, …
• Suivi en interne
• Audit et Contrôles
1.2 – Exemple d’outils de Reporting
9. Obligation ou non de nommer un DPO, commencez dès aujourd'hui à identifier, sensibiliser, former vos
interlocuteurs privilégiés en interne sur les sujets de la protection des données à caractère personnel
Une équipe Conformité
Une expertise
• Informatique et Liberté / RGPD
• HADS
Le choix de nommer dès juillet 2016 un DPO !
• Anticipation sur le Règlement
• Sensibilisation interne aux nouvelles exigences bientôt applicables
1.3 – Nomination d’un DPO
10. 1) Prise en compte de notre rôle de sous-traitant
• Nouvelles responsabilités de sous-traitant
• Développement d’un kit sous-traitant : ce que nous appliquons à nos prestataires, l’appliquer pour
vous !
2) Equipe d’experts pour vous accompagner
2. Accompagnement de nos clients
(RGPD - Art. 28 - 1) « Lorsqu’un traitement doit être effectué pour le compte d’un responsable de
traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes
quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que
le traitement réponse aux exigences du présent règlement et garantisse la protection des droits de la
personne concernée »
11. Au-delà des obligations de sécurisation des données :
• Sous-traitant agit sur instructions documentée du Responsable de Traitement
• Aide le Responsable de Traitement (notification failles, audit, droits des personnes)
• Met en place les mesures techniques et organisationnelles nécessaires (par ex. clauses
confidentialités des employés)
• Réversibilité en fin de contrat, registre du sous-traitant, …
ü A l’écoute des lignes directrices à venir des autorités européennes sur
l’interprétation de certains de ces points …
2.1 - Notre responsabilité de sous-traitant
12. Réflexion en cours sur l’intérêt d’une offre de conseil
• Audit, Privacy-by-design, PIA, Plan de mise en conformité/organisation, …
ü N’hésitez pas à nous faire connaitre votre intérêt pour ce genre de
nouveaux services
2.1 - Une équipe d’experts pour vous accompagner