Etat des lieux et enjeux liés au RGPD (Règlement Général de la Protection des Données) aussi appelé GDPR (General Data Protection Regulation) en anglais. Approche concrètes des enjeux pour les entreprises sur la mise en conformité avant le 25 mai 2018.

1. Etat des lieux et enjeux liés
au RGPD
1

2. RGPD
2
Règlement Général
pour la Protection des Données
Aussi appelé GDPR en Anglais.

3. Données personnelles
3

4. ● prénom, nom,
● date de naissance,
● genre,
● adresse physique,
4
Données personnelles
génériques
● adresse IP,
● photo,
● posts sur réseaux
sociaux

5. ● données de santé,
● origines raciales ou ethniques,
● sexualité,
● opinions politiques,
● croyances religieuses
5
Données personnelles
sensibles

6. ● ADN,
● empreintes digitales,
● données issues de reconnaissance faciale et
de la rétine
6
Données personnelles
biométriques

7. Personally Identifiable Information (PII)
7

8. 8
Personally Identifiable
Information
Une information qui peut servir à reconnaitre un
individu ou à l’identifier dans un certain contexte
(ex : vos données de localisation sur Google
Maps).

9. Consentement de l’individu
9

10. Le GDPR vise à redonner le pouvoir et la libre
utilisation des données aux individus.
10
Le consentement est
primordial

11. Avoir le choix de ne pas communiquer ses
données, sans subir de préjudices (toutefois
l’utilisateur peut ne plus avoir accès au service
ou à l’intégralité du service).
11
Choix

12. Le but de la récolte des données doit être
mentionné explicitement à l’utilisateur (ex : “vos
données seront utilisées pour l’envoi de
newsletter”).
12
But explicite

13. Son consentement doit être intelligible par une
“action déclarative” de sa part, sans ambiguïté
(ex : Je suis d’accord pour que mes données
soient réutilisées pour…)
13
Consentement explicite

14. L’utilisateur peut accéder à tout moment à ses
données.
14
Transparence

15. 15
Réversibilité du
consentement
L’utilisateur peut retirer son consentement à tout
moment et réclamer la suppression de ses
données s’il le souhaite.

16. Les acteurs du RGPD
16

17. De nouveaux acteurs vont arriver avec le RGPD :
● Le “Data Controller”
● Le “Data Processor”
● Le “Data Protection Officer”
● Le “Data Protection Authority”
17

18. 18
Data Controller
C’est l’organisation qui collecte et devient
responsable de la donnée collectée vis-à-vis de la
CNIL.
C’est vous !

19. 19
Data Processor
C’est le sous-traitant qui collecte les données
pour le compte du “Data Controller”.
Vous êtes concerné si vous avez des clients B2B
et que vous traitez des données personnelles
pour leurs comptes.

20. Data Protection Officer
20
C’est la personne désignée au sein du “Data
Controller” afin de réguler et monitorer
l’utilisation des données personnelles.

21. 21
Data Protection
Authority
C’est l’autorité nationale en charge de la mise en
place et du respect du RGPD, à savoir la CNIL en
France, le CNPD au Luxembourg, la XX en Suisse
et la YY en Belgique.

22. En tant qu’entreprise, suis-je concerné ?
22

23. Sont concernés, toutes les entreprises qui :
❏ commercialisent des produits et services au sein de l’UE
❏ possèdent des bureaux en zone UE
❏ développent des sites internet et applications mobiles
disponibles dans des langues de la zone UE
❏ affichent des prix de vente en devises de l’UE
❏ possèdent des noms de domaine provenant de l’UE
Un critère coché et le RGPD s’applique.
23

24. La réglementation est obligatoire si l’entreprise :
❏ récolte et gère régulièrement des données clients
❏ a plus de 250 salariés
❏ manipule des données clients pour le compte de clients
B2B (de plus de 250 personnes)
❏ récolte et gère des données sensibles et biométriques
❏ récolte des données qui pourraient mettre en danger les
droits et libertés des individus
Un critère coché et le RGPD s’applique.
24

25. Impact sur le “Product Management”
25

26. Le RGPD appliqués au Product Management :
● “Protection by Design”
● “Privacy by default”
26

27. 27
“Protection by Design”
Chaque nouvelle fonctionnalité traitant des
données personnelles ou permettant d’en traiter
doit garantir dès sa conception et lors de chaque
utilisation, le plus haut niveau possible de
protection des données.

28. 28
“Privacy by default”
Passage du “Big Data” avec la récolte maximale
de données à la “Data Minimisation”. Les données
personnelles récoltées doivent donc être
adéquates, pertinentes et limitées uniquement
aux besoins du business de l’entreprise.

29. Les questions à se poser (1/3)
❏ Qui récolte les données ?
❏ Qui est le “Data Controller” ?
❏ Qui est le “Data Processor” ?
❏ Quelle est la liste des données récupérées ?
❏ Les données récupérées sont-elles proportionnées par
rapport à l’utilisation finale ?
❏ De quelles données ai-je réellement & strictement besoin
?
❏ A quoi chaque donnée va-t-elle servir ?29

30. Les questions à se poser (2/3)
❏ Où sont stockées les données ?
❏ Combien de temps seront-elles stockées ?
❏ Quelles sont les données stockées ?
❏ Les personnes dont on récupère des données sont-elles
informées ? Ont-elles donné leur consentement ?
❏ De quelle façon les utilisateurs vont consentir au
traitement de leurs informations personnelles ?
30

31. 31
Les questions à se poser (3/3)
❏ Comment les personnes peuvent accéder à leurs
données, les modifier, les exporter ou les supprimer ?
❏ Comment et quand les données sont-elles rafraichies ?
❏ Qui accède aux données ?
❏ A quels profils d’utilisateurs sont destinées les données
traitées ?
❏ Des sociétés externes ont-elles également accès aux
données ? Si oui, dans quels pays ?

32. Mise en conformité RGPD
en 6 étapes
32

33. Désigner un chef d’orchestre qui exercera une
mission d’information, de conseil et de contrôle
en interne : le délégué à la protection des
données (DPD, ou DPO en anglais).
33
/1 Désigner un pilote

34. 34
/2 Cartographier
Recenser de façon précise vos traitements de
données personnelles. L'élaboration d'un registre
des traitements vous permet de faire le point.

35. 35
/3 Prioriser
Identifier les actions à mener pour vous
conformer aux obligations. Prioriser ces actions
au regard des risques que font peser vos
traitements sur les droits et les libertés des
personnes concernées.

36. /4 Gérer les risques
36
Pour chaque traitement de données personnelles
impliquant un risque élevé pour les droits et
libertés des personnes concernées = une analyse
d'impact sur la protection des données (PIA).

37. Imaginer l’ensemble des événements qui peuvent
survenir au cours de la vie d’un traitement.
37
/5 Organiser

38. 38
/6 Documenter
Constituer et regrouper la documentation
nécessaire. Les actions et documents réalisés à
chaque étape doivent être ré-examinés et
actualisés régulièrement pour assurer une
protection des données en continu.

39. Liste d’actions concrètes (1/2)
❏ Nommer un “Data Protection Officer”
❏ Tenir un registre numérique actualisé de tous les
traitements de données personnelles
❏ Préconiser le chiffrement ou la pseudonymisation des
données les plus sensibles
❏ Mettre en conformité les formulaires à destination des
clients pour récupérer leur consentement sur l’utilisation
de leurs données personnelles pour un usage précis
39

40. Liste d’actions concrètes (2/2)
❏ Demander la mise en conformité des sous-traitants
❏ Mettre à jour les contrats des sous-traitants
❏ Mettre en place une charte de bonnes pratiques de
l’utilisation des données personnelles à destination des
collaborateurs
❏ Mettre en place une procédure d’escalade auprès de la
CNIL et une communication de crise et d’informations en
cas de violation de données personnelles
40

41. Liste d’actions concrètes (3/3)
❏ Montrer sa “bonne foi” en mettant en place un mapping
des données récupérées et traitées (= registre numérique)
et surtout
❏ Se montrer coopératif en cas de contrôle par la CNIL
❏ Faire un Privacy Impact Assessment (PIA)
❏ Modifier vos CGU/CGV et mentions légales en intégrant
un “Privacy Policies” en conséquence
❏ Idéalement stocker les données en zone UE
41

42. A propos de l’auteur
42

43. En tant que "Solution Provider" j'ai
une approche pragmatique de votre
métier. Je privilégie les solutions
concrètes permettant une mise en
place rapide sous forme
d'itérations. Enthousiaste je
mobilise vos équipes vers un
objectif commun.
● Mentorat de dirigeant
● Due Diligence technique
● Accompagnement au
changement
Pierre
Ammeloot
Directeur Technique
Indépendant
43

44. 44
@Pierre_A
pierre@ammeloot.fr
pierre.ammeloot.fr