Etat des lieux et enjeux liés au RGPD (Règlement Général de la Protection des Données) aussi appelé GDPR (General Data Protection Regulation) en anglais.
Approche concrètes des enjeux pour les entreprises sur la mise en conformité avant le 25 mai 2018.
10. Le GDPR vise à redonner le pouvoir et la libre
utilisation des données aux individus.
10
Le consentement est
primordial
11. Avoir le choix de ne pas communiquer ses
données, sans subir de préjudices (toutefois
l’utilisateur peut ne plus avoir accès au service
ou à l’intégralité du service).
11
Choix
12. Le but de la récolte des données doit être
mentionné explicitement à l’utilisateur (ex : “vos
données seront utilisées pour l’envoi de
newsletter”).
12
But explicite
13. Son consentement doit être intelligible par une
“action déclarative” de sa part, sans ambiguïté
(ex : Je suis d’accord pour que mes données
soient réutilisées pour…)
13
Consentement explicite
17. De nouveaux acteurs vont arriver avec le RGPD :
● Le “Data Controller”
● Le “Data Processor”
● Le “Data Protection Officer”
● Le “Data Protection Authority”
17
19. 19
Data Processor
C’est le sous-traitant qui collecte les données
pour le compte du “Data Controller”.
Vous êtes concerné si vous avez des clients B2B
et que vous traitez des données personnelles
pour leurs comptes.
20. Data Protection Officer
20
C’est la personne désignée au sein du “Data
Controller” afin de réguler et monitorer
l’utilisation des données personnelles.
21. 21
Data Protection
Authority
C’est l’autorité nationale en charge de la mise en
place et du respect du RGPD, à savoir la CNIL en
France, le CNPD au Luxembourg, la XX en Suisse
et la YY en Belgique.
23. Sont concernés, toutes les entreprises qui :
❏ commercialisent des produits et services au sein de l’UE
❏ possèdent des bureaux en zone UE
❏ développent des sites internet et applications mobiles
disponibles dans des langues de la zone UE
❏ affichent des prix de vente en devises de l’UE
❏ possèdent des noms de domaine provenant de l’UE
Un critère coché et le RGPD s’applique.
23
24. La réglementation est obligatoire si l’entreprise :
❏ récolte et gère régulièrement des données clients
❏ a plus de 250 salariés
❏ manipule des données clients pour le compte de clients
B2B (de plus de 250 personnes)
❏ récolte et gère des données sensibles et biométriques
❏ récolte des données qui pourraient mettre en danger les
droits et libertés des individus
Un critère coché et le RGPD s’applique.
24
26. Le RGPD appliqués au Product Management :
● “Protection by Design”
● “Privacy by default”
26
27. 27
“Protection by Design”
Chaque nouvelle fonctionnalité traitant des
données personnelles ou permettant d’en traiter
doit garantir dès sa conception et lors de chaque
utilisation, le plus haut niveau possible de
protection des données.
28. 28
“Privacy by default”
Passage du “Big Data” avec la récolte maximale
de données à la “Data Minimisation”. Les données
personnelles récoltées doivent donc être
adéquates, pertinentes et limitées uniquement
aux besoins du business de l’entreprise.
29. Les questions à se poser (1/3)
❏ Qui récolte les données ?
❏ Qui est le “Data Controller” ?
❏ Qui est le “Data Processor” ?
❏ Quelle est la liste des données récupérées ?
❏ Les données récupérées sont-elles proportionnées par
rapport à l’utilisation finale ?
❏ De quelles données ai-je réellement & strictement besoin
?
❏ A quoi chaque donnée va-t-elle servir ?29
30. Les questions à se poser (2/3)
❏ Où sont stockées les données ?
❏ Combien de temps seront-elles stockées ?
❏ Quelles sont les données stockées ?
❏ Les personnes dont on récupère des données sont-elles
informées ? Ont-elles donné leur consentement ?
❏ De quelle façon les utilisateurs vont consentir au
traitement de leurs informations personnelles ?
30
31. 31
Les questions à se poser (3/3)
❏ Comment les personnes peuvent accéder à leurs
données, les modifier, les exporter ou les supprimer ?
❏ Comment et quand les données sont-elles rafraichies ?
❏ Qui accède aux données ?
❏ A quels profils d’utilisateurs sont destinées les données
traitées ?
❏ Des sociétés externes ont-elles également accès aux
données ? Si oui, dans quels pays ?
33. Désigner un chef d’orchestre qui exercera une
mission d’information, de conseil et de contrôle
en interne : le délégué à la protection des
données (DPD, ou DPO en anglais).
33
/1 Désigner un pilote
34. 34
/2 Cartographier
Recenser de façon précise vos traitements de
données personnelles. L'élaboration d'un registre
des traitements vous permet de faire le point.
35. 35
/3 Prioriser
Identifier les actions à mener pour vous
conformer aux obligations. Prioriser ces actions
au regard des risques que font peser vos
traitements sur les droits et les libertés des
personnes concernées.
36. /4 Gérer les risques
36
Pour chaque traitement de données personnelles
impliquant un risque élevé pour les droits et
libertés des personnes concernées = une analyse
d'impact sur la protection des données (PIA).
37. Imaginer l’ensemble des événements qui peuvent
survenir au cours de la vie d’un traitement.
37
/5 Organiser
38. 38
/6 Documenter
Constituer et regrouper la documentation
nécessaire. Les actions et documents réalisés à
chaque étape doivent être ré-examinés et
actualisés régulièrement pour assurer une
protection des données en continu.
39. Liste d’actions concrètes (1/2)
❏ Nommer un “Data Protection Officer”
❏ Tenir un registre numérique actualisé de tous les
traitements de données personnelles
❏ Préconiser le chiffrement ou la pseudonymisation des
données les plus sensibles
❏ Mettre en conformité les formulaires à destination des
clients pour récupérer leur consentement sur l’utilisation
de leurs données personnelles pour un usage précis
39
40. Liste d’actions concrètes (2/2)
❏ Demander la mise en conformité des sous-traitants
❏ Mettre à jour les contrats des sous-traitants
❏ Mettre en place une charte de bonnes pratiques de
l’utilisation des données personnelles à destination des
collaborateurs
❏ Mettre en place une procédure d’escalade auprès de la
CNIL et une communication de crise et d’informations en
cas de violation de données personnelles
40
41. Liste d’actions concrètes (3/3)
❏ Montrer sa “bonne foi” en mettant en place un mapping
des données récupérées et traitées (= registre numérique)
et surtout
❏ Se montrer coopératif en cas de contrôle par la CNIL
❏ Faire un Privacy Impact Assessment (PIA)
❏ Modifier vos CGU/CGV et mentions légales en intégrant
un “Privacy Policies” en conséquence
❏ Idéalement stocker les données en zone UE
41
43. En tant que "Solution Provider" j'ai
une approche pragmatique de votre
métier. Je privilégie les solutions
concrètes permettant une mise en
place rapide sous forme
d'itérations. Enthousiaste je
mobilise vos équipes vers un
objectif commun.
● Mentorat de dirigeant
● Due Diligence technique
● Accompagnement au
changement
Pierre
Ammeloot
Directeur Technique
Indépendant
43
Commençons par définir ce qu’est une données personnelle.
Commençons par définir ce qu’est une données personnelle.
Commençons par définir ce qu’est une données personnelle.
Le registre doit être consultable consultable à tout moment en cas de contrôle de la CNIL mais aussi de la part de vos clients (si vous êtes “data-processors”).
Il est soumis aux mêmes obligations de conformité au GDPR.
Les questions à se poser à la conception de son produit ou de nouvelles fonctionnalités
Le registre doit être consultable consultable à tout moment en cas de contrôle de la CNIL mais aussi de la part de vos clients (si vous êtes “data-processors”).
Source : CNIL
(ex : faille de sécurité, gestion des demande de rectification ou d’accès, modification des données collectées, changement de prestataire).
Utile en cas de contrôle de la CNIL
Le registre doit être consultable à tout moment en cas de contrôle de la CNIL mais aussi de la part de vos clients (si vous êtes “data-processors”).