4. En deux mots…
4
• Le GDPR est un règlement européen
concernant la protection des données
personnelles
• Il s'impose aux entreprises et au secteur
public
7. UNE DONNÉE PERSONNELLE ?
7
toute information se rapportant à une personne physique identifiée ou
identifiable (ci-après dénommée «personne concernée»);
est réputée être une «personne physique identifiable» une personne physique
qui peut être identifiée, directement ou indirectement, notamment par
référence à un identifiant, tel qu'un nom, un numéro d'identification, des
données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments
spécifiques propres à son identité physique, physiologique, génétique,
psychique, économique, culturelle
8. TRAITEMENT DE DONNEES
8
. toute opération ou tout ensemble d'opérations effectuées ou non à
l'aide de procédés automatisés et appliquées à des données ou des
ensembles de données à caractère personnel, telles que la collecte,
l'enregistrement, l'organisation, la structuration, la conservation,
l'adaptation ou la modification, l'extraction, la consultation, l'utili
sation, la communication par transmission, la diffusion ou toute autre
forme de mise à disposition, le rapprochement ou l'interconnexion, la
limitation, l'effacement ou la destruction;
9. RESPONSABLE DE TRAITEMENT
9
. la personne physique ou morale, l'autorité publique, le service ou
un autre organisme qui, seul ou conjointement avec d'autres,
détermine les finalités et les moyens du traitement; lorsque les
finalités et les moyens de ce traitement sont déterminés par le
droit de l'Union ou le droit d'un État membre, le responsable du
traitement peut être désigné ou les critères spécifiques
applicables à sa désignation peuvent être prévus par le droit de
l'Union ou par le droit d'un État membre;
10. SOUS-TRAITANT
10
. la personne physique ou morale, l'autorité publique, le
service ou un autre organisme qui traite des données à
caractère personnel pour le compte du responsable du
traitement;
11. VIOLATION DE DONNEES
11
une violation de la sécurité entraînant, de manière accidentelle
ou illicite, la destruction, la perte, l'altération, la divulgation
non autorisée de données à caractère personnel transmises,
conservées ou traitées d'une autre manière, ou l'accès non
autorisé à de telles données;
CONSÉQUENCES:
NOTIFICATION PUBLIQUE !!
12. C : Les 12 grands principes du GDPR
12
1. Responsabilité - « accountability »
2. Droit du citoyen et du collaborateur (RH)
3. Privacy by design
4. Sécurité des données
5. NoIficaIon des vols/pertes de données
6. SancIons importantes
7. GesIon des accès aux données (IAM)
8. Licéité des traitements (réglementaIon ou consentement)
9. Registre des traitements
10. Analyse de risques et PIA
11. FormaIon
12. Data privacy officer
14. 2/ DROIT DE LA PERSONNE
14
TRANSPARENCE
INFORMATIONS LORS DE LA COLLECTE
DROIT D'ACCES
DROIT DE RECTIFICATION
DROIT A L'EFFACEMENT
DROIT A LA LIMITATION DU TRAITEMENT
PORTABILITE
DROIT D'OPPOSITION AU PROFILAGE
27. Degré de maturité de la plupart des organisations aujourd’hui
27
3/10
• Prise de conscience et de connaissance du GDPR
• Plan de Mise en Conformité au GDPR?
• Désignation d’un DPO?
• Sécurité de l’Information conforme aux normes ISO 2700X?
• Formation du Personnel?
• Registre des Traitements des données personnelles?
• Analyse de Risques?
• Privacy Impact Assessments?
• Conformité aux règles d’Archivage Digital?
• Restriction des accès aux données personnelles?
• Procédures de Réponse aux data subjects?
• Procédure de Communication en matière de Data Breach?
• Adaptation des Contrats des sous-traitants?
• Adaptation des Contrats clients?
• Démontrer la conformité?
• …
28. Deux approches possibles
28
• Irréaliste d’être conforme à 100%
• Incertain (que va-t-on découvrir?)
Viser la Mise en Conformité Totale
Se concentrer sur le respect des
Principes Clé
• Sensibiliser
• Convaincre
• Faire percoler dans toute
l'organisation
• Mitiger les risques principaux
✓ Approche pragmatique
✓ Rythme soutenable
30. Méthodologie Mise en Conformité
(ET AUSSI POUR LES CLIENTS DU CIRB)
30
METHODOLOGIE
1. Evaluation Préalable
2. Identification des Domaines à Risque
3. Inventaire des Applications et Services
4. Registre des Traitements
5. Plan d’Action de Mise en Œuvre
6. Mise en Conformité Administrative et Organisationnelle
7. Résolution des Non-conformités
8. Installation des Processus Continus
9. Programme de Formation Permanente
Préparation
Implémentation
Pérennisation
31. Plan d’implémentation type
31
Jun Jul Aoû Sep Oct Nov Dec Jan Fév Mar Avr May Jun
Gestion de Projet
Démarrage Projet
Gestion du Changement
Sensibilisation du Personnel
Formation GDPR pour les Personnes Critiques
Mise en Conformité
Préparation
Evaluation Préalable
Identification des Domaines à Risque
Inventaire des Applications et Services
Implémentation
Registre des Traitements
Plan d’Action de Mise en Œuvre
Mise en Conformité Administrative et
Organisationnelle
Résolution des Non-conformités
Pérennisation
Installation des Processus Continus
Programme de Formation Permanente
Data Privacy Officer
Mise en place du DPO et gestion par le DPO