le partenariat virtualegis nystek

Mise en conformité au Règlement Général de Protection des Données à caractère personnel (RGPD)

2017 – Tous droits réservés – Virtualegis/Nystek Editions

RGPDMise en conformité des systèmes d’information, des procédures et de la documentation

1 Dates et chiffres clés

2 Les principales nouveautés du RGPD par rapport au droit actuel

3 Les étapes de la mise en conformité

4 Notre offre d’assistance complète à la gouvernance informatique et libertés

5 Informations de contact



Dates clésPetit rappel historique

La loi informatique et

libertés

Nouvelles obligations légales

pour les responsables de

traitement.

1978

Directive européenne

95/46

La directive 95/46 adapte le

droit des données

personnelles (CIL).

1995

Modification de la loi

informatique et libertés

Transposition tardive de la

directive européenne dans le

droit français.

2004

Adoption du RGPD

Responsabilisation des

acteurs, renforcement des

droits, adaptation et

uniformisation du droit.

2016

Loi pour la République

Numérique

Renforcement des droits,

création de droits,

augmentation des sanctions.

2017 2018

Deadline


Plus que quelques mois…Pour se mettre en conformité et valoriser un avantage concurrentiel

Deadline : 25/05/2018 Avantage concurrentiel

Les plus grandes entreprises sont en cours de mise en

conformité. Elles ne pourront contracter qu’avec des entreprises conformes.

Communication valorisante

De lourdes sanctions

A partir du 25/05/2018, l’entreprise non-conforme risque d’être condamnée à

hauteur de 20.000.000 € ou de 4% du chiffre d’affaires annuel.

Un préjudice d’image

En cas de non-conformité, le risque de préjudice d’image est

accru par la possibilité de la CNIL de rendre publiques ses

décisions

Les entreprises soumises au RGPD doivent se mettre en totale conformité avant le

25/05/2018.


A qui s’applique le RGPD ?Etes-vous concernés ?

Toute entreprise établie hors UE,

lorsqu’elle traite des DCP

concernant des personnes se

trouvant sur le territoire de l’UE

lorsque :

• les activités de traitement sont liées à

l'offre de biens ou de services dans

l'UE,

• les activités de traitement sont liées

au suivi du comportement de ces

personnes.

Toute entreprise traitant des DCP et

ayant une activité professionnelle

sur le territoire de l’UE

• Quel que soit son secteur d’activité,

• Qu’elle soit publique ou privée,

• Quel que soit le type (sensibles ou

non) et le nombre des données

traitées,

• Quelles que soient les modalités du

traitement (automatisé en tout ou en

partie ou non automatisé).


Les grands principes du RGPDLa RGPD responsabilise les entreprises et renforce les droits des personnes

• Lors de la conception ou du développement du SI interne, des produits ou services fournis aux tiers : intégration de la protection des données.

• Mesures techniques

• Méthodologies dans les process métier.

“Privacy By Default”Lors du traitement :

Résultat de la mise en place de mesures techniques et organisationnelles : par défaut, seules les données à caractère personnel nécessaires au regard de chaque finalité spécifique du traitement sont traitées.

“Accountability”Le RGPD a responsabilisé les entreprises traitant des DCP

Mise en place de méthodologies et de procédures internes permettant de démontrer le respect des règles relatives à la protection des DCP (outils : registres, certification, codes de conduite)

Sécurité renforcéeMoyens pour garantir confidentialité, intégrité, disponibilité et résilience constantes des SI et services,

Moyens pour garantir la disponibilité des données et l’accès “dans des délais appropriés”,

Procédures de test, d’analyse et d’évaluation de l’efficacité des mesures techniques et org.

“Privacy By Design”


Les grands principes du RGPDLa RGPD responsabilise les entreprises et renforce les droits des personnes

Notification à la CNIL des violations

de DCP (accès, alteration,

destruction...) dans le délai

maximum de 72H. Sauf si la

violation n’est pas “susceptible

d’engendrer un risque pour les

droits et libertés…”

+ “dans les meilleurs délais” aux

personnes si “risque elevé pour les

droits et libertés”.

Plus de transparenceDonnées collectées auprès de la personne :

identité du RT et du DPO, finalité(s), base(s) juridique(s), destinataires, durée, exercice des droits, faculté de réclamation, caractère réglementaire ou contractuel

+ le cas échéant : intérêt légitime, flux hors UE, droit de retirer le consentement, décision automatisée.

Consentement éclairéLe RT doit être “en mesure de démontrer” le consentement

A partir d’une “demande de consentement” “claire et simple” sous une forme “compréhensible et aisément accessible”.

Nouveau : droit de retirer son consentement à tout moment.

Règles spécifique pour l’accès des mineurs aux services en ligne.

Droits des personnesObjectif : rendre plus effective la maîtrise de ses données par la personne intéressée elle-même.

Outre les droits d’accès, de rectification et d’opposition au traitement, le RGPD conforte le « droit à l’oubli » (effacement, déréférencement…) et institue un nouveau droit, le droit à la portabilité

Notif. des violations


Un expert de la protection des données personnelles

Le DPO, qui devra justifier de compétences en matière juridique ainsi que d’une expérience en matière de protection des données, sera obligatoire :

• Dans le secteur public,

• Si le traitement exige “un suivi régulier et systématique à grande échelle des personnes »,

• S’il s’agit d’un « traitement à grande échelle » de données sensibles.

Le DPO est optionnel, mais souvent indispensable, dans les autres cas.

Le DPO externe

Le cabinet VIRTUALEGIS, s’appuyant sur son expérience ainsi que sur l’outil de gouvernance des données à caractère personnel APM (Actecil Privacy Manager), proposera, à partir du 25 mai 2018, aux entreprises ne disposant pas de DPO en interne, une désignation en tant que DPO externe.

Le “data protection officer” - DPOLe DPO au centre du système mis en place par le RGPD


Un partenaire des entreprises

La CNIL a un double visage : c’est une autorité de contrôle qui sanctionne en cas de constatation de non-conformité. Mais c’est aussi un partenaire des entreprises (service des CIL, labellisation, certifications, codes de conduite, etc.) et des usagers des services.

Le service des CIL (futur service des DPO)

Les deux CIL externes du cabinet VIRTUALEGIS ont accès en permanence au services de la CNIL via un extranet dédié et dans les locaux de la CNIL (à Paris 7e arrondissement, 3 Place de Fontenoy).

L’autorité de régulation française : la CNILUne autoriété de contrôle partenaire du CIL et bientôt du DPO


Les 6 étapes de la mise en conformité au RGPDSelon la CNIL

Etape 1 : désigner un pilote, un « chef d’orchestre qui exercera une mission d’information, de conseil et de contrôle en interne ». Par hypothèse, la personne qui sera désignée délégué à la protection des données (DPO).

Etape 2 : cartographier les traitements de données. Pas de mesure concrète de l’impact du RGPD sur les données traitées sans recensement précis des traitements. Utiliser le registre existant (CIL) ou créer un registre.

Etape 3 : prioriser les actions à mener. Sur la base du registre, identifier les actions à mener pour se conformer aux obligations actuelles et à venir. Prioriser ces actions au regard des risques sur les droits des personnes concernées.

Etape 4 : gérer les risques. Si des traitements de DCP susceptibles d'engendrer des « risques élevés pour les droits et libertés des personnes intéressées » ont été identifiés, obligation de mener, pour chaque traitement concerné, une analyse d'impact (EIVP ou PIA).

Etape 5 : organiser les processus internes. Mise en place des procédures internes qui garantissent la protection des données à tout moment, en prenant en compte à l’avance l’ensemble des événements qui peuvent survenir.

Etape 6 : documenter. Pour prouver la conformité au règlement, il est nécessaire de constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement.


Notre approcheOffre conjointe : conformité et sécurité

Partie conformité et juridique :

VIRTUALEGIS, cabinet d’avocats ayant 20 années d’expérience du droit de l’informatique,

reconnu en droit des données personnelles (Magazine DECIDEURS : forte notoriété, cours à

l’ENSAE) ayant en son sein deux avocats –CIL expérimentés.

Pilote : Pascal ALIX, Virtualegis

Partie informatique et sécurité

NYSTEK Editions a des experts DSI/RSSI, ayant plus de 15 ans d’expérience dans la

gouvernance de la Sécurité des Systèmes d’Informations, la conformité, la certification, le

réglementaire – PCI DSS, SOX, Bâle, ISO 27001…

Pilote : Frédéric Gouth, Nystek Editions


L’accompagnement dans les 6 étapes de la mise en conformité :

1. Constitution d’une équipe “conformité et passage au RGPD”,

2. La cartographie des traitements : en commun, à l’aide d’un outil en mode Saas avec

échanges sécurisés,

3. Identification des actions à mener après avoir listé les écarts de conformité et

priorisation en fonction des risques,

4. Analyse des risques (analyse d’impact) pour les droits et libertés des personnes avec

l’outil EIVP proposé par le cabinet,

5. Détermination des processus internes à mettre en place ou modifier,

6. Documentation de la conformité : une partie de la documentation est éditée en temps

réel et une partie est établie séparément (chartes, conditions, mentions, etc.).

A partir de mai 2018 : l’accompagnement du futur DPO ou la désignation

Membre de l’

L’offre conformité et juridiqueUne prestation fiabilisée par l’expérience des avocats


Les principaux avantages de notre outil de conformité :

1. Outil conforme au RGPD, intégrant l’ensemble des normes (AU, NS, etc.) de la CNIL, amélioré

depuis 8 années, édité par une entreprise qui a de nombreuses années d’expérience de la

conformité informatique et libertés, de nombreuses fois labellisée par la CNIL,

2. Outil multiutilisateurs, avec gestion aisée des droits d’accès, fonctionnant en mode SaaS,

3. Edition automatique du registre des traitements et du bilan annuel, avec toutes les mentions

exigées par le RGPD,

4. Outil intégré pour effectuer simplement des études d’impact (EIVP), avec édition de

documents,

5. Espace sécurisé d’échange permettant de répondre à bref délai aux diverses questions posées

par les différents utilisateurs relatives à la conformité au RGDP,

6. Preuve historicisée de l’ensemble des actions menées dans le cadre de la mise en conformité,

Partenaire :

L’offre conformité et juridiqueUne prestation fiabilisée par un excellent outil de gouvernance des données


Une longue expérience du droit des technologies de l’information :

https://www.virtua-legis.com, site internet du cabinet, dédié au droit des technologies de

l’information, existe depuis février 1999. C’est l’un des tous premiers sites internet

d’avocats en France. Le premier, historiquement, à proposer en France une consultation

juridique en ligne en droit des T.I.C. avec solution de chiffrement.

La clientèle du cabinet est composée majoritairement d’entreprises agissant dans le

secteur du numérique (éditeurs de logiciels, e-commerçants, plateformes de réseaux

sociaux, ESN, etc.).

Une longue expérience de la rédaction et de la standardisation de la documentation

juridique (rédaction d’actes-types) :

Depuis 2000, nous avons conçu, créé et développé une bibliothèque de plus de 500

modèles de contrats et actes commentés par des avocats, commercialisés sur le réseau

Internet, projet racheté en 2010 par une filiale de VIVENDI.

Cette expérience garantit une relecture fiable de l’ensemble des chartes, documents et

contrats conclus avec les sous-traitants, au-delà de la présence des mentions obligatoires.

L’offre conformité et juridiqueUne longue expérience du droit des T.I.C.


https://www.virtua-legis.com/

Principales prestations :

1. Analyses des risques,

2. Mise en place de mesures techniques, organisationnelles et automatisées,

3. Audits sur la Sécurité du Système d’Information – organisationnel, intrusion, code,

social engineering…,

4. Accompagnement à la conformité et à la certification ISO 27001, PCI DSS, SOX…,

5. Gouvernance et rédaction de PGSSI et de PSSI,

6. Mise en place de contrôles permanents,

7. Elaboration de PCA et de PRA,

8. Sensibilisation

L’offre sécurité informatiqueUne prestation fiabilisée par une grande expérience de la sécurité informatique


Plan de remédiation :

NYSTEK Editions établit un rapport unique contenant le plan de remédiation bâti sur la

criticité :

1. Mandatory

2. Must-have

3. Nice-to-have

Le rapport explique et détaille les mesures à mettre en place pour réduire et éliminer chaque écart.

Fort de notre expertise technique et notre approche pragmatique, nous nous assurons que nos clients seront en mesure de mettre en place toutes les mesures que nous avons préconisées.

Nous assurons également un suivi de ce plan de remédiation afin de garantir que toutes les actions sont menées à leur terme.

L’offre sécurité informatiqueUne prestation fiabilisée par une grande expérience de la sécurité informatique


L’offre VIRTUALEGIS + NYSTEK EditionsUne offre unique et complète pour le passage au RGPD

Notre offre s’appuie sur une collaboration permanente entre des experts de la fonction sécurité du SI et des expert de la conformité au RGPD, collaborant avec la CNIL, en combinant diverses compétences :

Juridique Recensement des traitements Analyse d’impacts Analyse et gestion des risques Gestion de la conformité Politique de Sécurité (PSSI) Sécurité du SI

Notre complémentarité permet d’avoir une offre unique mise à votre service !


Informations de contact

Cabinet VIRTUALEGIS

5 rue Jean-Baptiste Dumas

75017 Paris

Tel. : +33 (0)9 61 45 85 24

NYSTEK Editions

238 route de de l’Empereur

92500 Rueil-Malmaison

Tel. : 06 09 17 80 44


Pascal [email protected]

Virtualegishttps://www.virtua-legis.com

Twitterhttps://twitter.com/virtualegis

Nystek [email protected]

Nystek Editionshttps://www.nystek.com/

Nystek Editionshttps://twitter.com/ContactNystek

mailto:[email protected]

https://www.virtua-legis.com/

https://twitter.com/virtualegis

mailto:[email protected]

https://www.nystek.com/

https://twitter.com/ContactNystek

le partenariat virtualegis nystek

Services