Contenu connexe Similaire à La Duck conf : "Hey ! Ton appli est elle GDPR ready" (20) Plus de OCTO Technology (20) La Duck conf : "Hey ! Ton appli est elle GDPR ready"3. Copyright © 2019 Accenture Security. All rights reserved. 3
CONFORMITÉ DES APPLICATIONS MÉTIERS
AU RGPD : UN NOUVEAU RÔLE POUR
L’ARCHITECTE D'ENTREPRISE
Fabien Dupré
Senior Manager Accenture Sécurité
fabien.dupre@accenture.com
Arthur Mahé
Consultant Accenture Sécurité
arthur.mahe@accenture.com
Depuis mai 2018, le Règlement Général
sur la Protection des Données encadre les
traitements de données à caractère personnel
en renforçant la responsabilité des entreprises.
Il impacte notamment l’activité de relation client,
ainsi que les applications qui la supporte.
Voyons dans quelle mesure vous pouvez
accompagner votre entreprise dans la mise en
conformité de ses traitements.
Pitch
4. Copyright © 2019 Accenture Security. All rights reserved. 4
CHAMP D’APPLICATION
Sont concernés :
La réglementation s’applique aux traitements de données à caractère personnel
effectués sur le territoire Européen quelque soit la citoyenneté de la personne concernée
Les traitements localisés sur le territoire Européen de données à caractère personnel des
citoyens Européens ?
Les traitements localisés sur le territoire Chinois de données à caractère personnel des
citoyens Chinois ?
Les traitements localisés sur le territoire Chinois de données à caractère personnel des
citoyens Européens ?
Les traitements localisés sur le territoire Européen de données à caractère personnel des
citoyens Chinois ?
5. Copyright © 2019 Accenture Security. All rights reserved.
LES PRINCIPALES
OBLIGATIONS DE LA
RÉGLEMENTATION
5
Pénalités élevées
Renforcement des droits et obligations
Principe d’extraterritorialité
Harmonisation au sein de l’UE
Entrée en application au 25 mai 2018
Gestion des
sous-traitants
Délégué à la
protection des
données
Principe de
responsabilité
Information en
cas de violation
Privacy by Design
Exercice des droits
des personnes
concernées
Registre des
traitements
Analyse d’impacts
sur la vie privée
6. Copyright © 2019 Accenture Security. All rights reserved. 6
QU’ENTEND-ON PAR TRAITEMENT?
Définition de traitement :
« Toute opération ou tout
ensemble d'opérations effectuées
ou non à l'aide de procédés
automatisés et appliquées à des
données ou des ensembles de
données à caractère personnel,
telles que la collecte, […] la
limitation, l'effacement ou la
destruction. »
Droits des
personnes
Registre des traitements
Protection de
la vie privée
Desdevoirs…
…pourrépondre
àdesdroits
Si l’approche par application est trop simpliste, celle qui consiste à différencier la donnée selon son
cycle de vie est bien trop complexe à décliner opérationnellement
7. Copyright © 2019 Accenture Security. All rights reserved. 7
REGISTRE DES TRAITEMENTS
Identifier la juste granularité pour la description des traitements est primordial pour viser une
conformité « pragmatique » au GDPR
Granularité des traitements
Effortdemiseenconformité
Takeaways
• Viser entre 50 et 100
traitements par entité
juridique
• Outiller le registre pour
rapprocher les traitements
groupe des traitements
locaux
• Utiliser l’anonymisation
(processus irréversible)
permet de réduire l’effort de
mise conformité
registre des
traitements
8. Copyright © 2019 Accenture Security. All rights reserved. 8
PROTECTION DE LA VIE PRIVÉE
La protection des données à caractère personnel suit l’ensemble des étapes nécessaires à la mise à
disposition d’un nouveaux produit / service (de la conception à l’arrêt)
Qualification Définition Réalisation Mise en œuvre
Analyse d’Impacts
sur la Vie Privée
(DPIA)
Méthode
projet
Privacy by
design
Inclut les mesures du
Privacy by Default*
Pré-DPIA
Inclut les mesures
identifiées par le DPIA
Takeaways
• Respecter stricto-sensu les
10 critères du G29
• Proposer des modèles
d’architecture en fonction des
critères identifiés
• Prévoir une architecture
d’anonymisation par défaut
pour les environnements hors
production
(*) s’applique également à l’existant
9. Copyright © 2019 Accenture Security. All rights reserved. 9
DROITS DES PERSONNES
Guider les personnes concernées dans l’exercice de leurs droits pour gagner en efficacité et renforcer
l’image client
Takeaways
• Automatiser au maximum
l’exercice des droits pour
soulager le Service Client
• S’appuyer sur les solutions de
Data Lineage pour identifier
les flux de données
• Sécuriser vos données pour
éviter qu’une fonctionnalité
d’accès devienne une
vulnérabilité
Interface
Service
Consommateurs
Responsable
applicatif
Applications
Miseàdisposition
de«8droits»
10. Copyright © 2019 Accenture Security. All rights reserved. 10
SYNTHÈSE
Champ d’application
« La réglementation s’applique aux traitements de données à caractère
personnel effectués en Europe »
Qu’entend-on par
traitement ?
« Un traitement reflète une activité Métier en lien avec des données à
caractère personnel dans un formalisme imposé »
Registre des traitements
« Identifier la juste granularité pour la description des traitements »
Droits des personnes
«Standardiser les interfaces et
normaliser les processus de
réponse aux droits des
personnes concernées »
Protection de la vie privée
« Intégrer le processus de Privacy by
Design aux méthodologies projets
existantes »