rgpd : nouveautés, opportunités, mise en conformité
TRANSCRIPT
Oxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SA
PROTECTION ET MANAGEMENT DES DONNÉES À CARACTÈRE PERSONNEL
Oxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SA
PLAN DE PRÉSENTATION
RGPD Nouveautés | Opportunités | Mise en conformité
1. Les nouveautés
• Principes fondamentaux : avant/après RGPD
• Principaux impacts professionnels : entreprises et sous-traitants
• Nouveaux droits « clients »
2. Les opportunités
• Opportunités internes
• Opportunités externes
3. La mise en conformité
• Méthodologie
• Exemple de programme
Oxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SA
AVANT DE COMMENCER | Définitions clés
Donnée à caractère personnel (DCP)Toute information permettant d’identifier directement ouindirectement une personne physique (nom, coordonnées, n° decontrat, plaque d’immatriculation,…).
Traitement de DCPToute opération effectuée sur des DCP (consultation, collecte,modification, suppression,…).
Responsable de traitement (RT)Entreprise / organisme / autorité / personne physiqueprofessionnelle qui détermine les finalités (le pourquoi) et lesmoyens (le comment) du traitement.
Sous-traitant (ST) :Entreprise / organisme / autorité / personne physiqueprofessionnelle qui traite des DCP pour le compte du RT.
Oxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SA
Loi 78-17
• Finalité• Pertinence• Conservation• Droits des personnes• Sécurité des données
S ystème déclaratif
LES NOUVEAUTÉS DU RGPD | Principes fondamentaux
Règlement 2016/679
• Privacy by design• Privacy by default• Accountability
A utocontrôle
Oxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SA
CAS PRATIQUE | Développer une application
Fonctionnalités
1. Carte des arrêts de taxi autour de l’utilisateur
2. Module « réservation online »3. Module « réseau social »
LES NOUVEAUTÉS DU RGPD | Principes fondamentaux
Oxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SA
CAS PRATIQUE | Développer une application
Fonctionnalités
1. Carte des arrêts de taxi autour de l’utilisateur
2. Module « réservation online »3. Module « réseau social »
Protection des données
1. Définir les objectifs + Analyser les fonctionnalités +Définir les dispositifs de sécurité = Privacy by design
LES NOUVEAUTÉS DU RGPD | Principes fondamentaux
Oxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SA
CAS PRATIQUE | Développer une application
Fonctionnalités
1. Carte des arrêts de taxi autour de l’utilisateur
2. Module « réservation online »3. Module « réseau social »
Protection des données
1. Définir les objectifs + Analyser les fonctionnalités +Définir les dispositifs de sécurité = Privacy by design
2. Limiter collecte et traitement de données au strictnécessaire + Prévoir le maintien du niveau de sécuritéavec des MAJ = Privacy by default
LES NOUVEAUTÉS DU RGPD | Principes fondamentaux
Oxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SA
CAS PRATIQUE | Développer une application
Fonctionnalités
1. Carte des arrêts de taxi autour de l’utilisateur
2. Module « réservation online »3. Module « réseau social »
Protection des données
1. Définir les objectifs + Analyser les fonctionnalités +Définir les dispositifs de sécurité = Privacy by design
2. Limiter collecte et traitement de données au strictnécessaire + Prévoir le maintien du niveau de sécuritéavec des MAJ = Privacy by default
3. Constituer un dossier documenté pour prouver lespoints précédents = Accountability
LES NOUVEAUTÉS DU RGPD | Principes fondamentaux
Oxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SA
LES NOUVEAUTÉS DU RGPD | Principaux impacts professionnels
Responsable de traitement (RT)
• Impacts organisationnels & financiers | Privacy by design, by default,
accountability = nouvelles équipes, nouveaux process, nouveaux développements,…
• Impacts B2B | Cartographie sous-traitants et partenaires + mise en conformité
• Impacts « contractuels/transparence » | Revoir contrats B2B et clients car
nouvelles obligations d’information + sites internet, applications, formulaires,…
Sous-traitant (ST)
• Impacts organisationnels & financiers| Tout ce qui découle des impacts B2B du RT = nouveaux traitements, nouveaux process,…
| Nouvelle responsabilité du sous-traitant : doit présenter des garanties techniques et
organisationnelles + collaboration accrue avec le RT + tenue d’un registre de sous-traitance
Oxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SA
RectificationAccèsPortabilitédécisions
AutomatiséesOpposition Limitation Effacement
Savoir si un RT traite
mes données ou non et lesquelles
Assurer l’ exactitude
de mes données
Mettre fin au
traitement de mes
données ou
l’interdire
LES NOUVEAUTÉS DU RGPD | Nouveaux droits « clients »
Oxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SA
RectificationAccèsPortabilitédécisions
AutomatiséesOpposition Limitation Effacement
Savoir si un RT traite
mes données ou non et lesquelles
Assurer l’ exactitude
de mes données
Mettre fin au
traitement de mes
données ou
l’interdire
Récupérer mes
données ou les faire
transmettre à un autre
RT
LES NOUVEAUTÉS DU RGPD | Nouveaux droits « clients »
Oxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SA
RectificationAccèsPortabilitédécisions
AutomatiséesOpposition Limitation Effacement
Savoir si un RT traite
mes données ou non et lesquelles
Assurer l’ exactitude
de mes données
Mettre fin au
traitement de mes
données ou
l’interdire
Récupérer mes
données ou les faire
transmettre à un autre
RT
Obtenir une intervention
humaine pour certains
traitements générateurs de décisions
automatisées
LES NOUVEAUTÉS DU RGPD | Nouveaux droits « clients »
Oxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SA
RectificationAccèsPortabilitédécisions
AutomatiséesOpposition Limitation Effacement
Savoir si un RT traite
mes données ou non et lesquelles
Assurer l’ exactitude
de mes données
Mettre fin au
traitement de mes
données ou
l’interdire
Mettre en pause le
traitement de mes
données
Récupérer mes
données ou les faire
transmettre à un autre
RT
Obtenir une intervention
humaine pour certains
traitements générateurs de décisions
automatisées
LES NOUVEAUTÉS DU RGPD | Nouveaux droits « clients »
Oxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SA
RectificationAccèsPortabilitédécisions
AutomatiséesOpposition Limitation Effacement
Savoir si un RT traite
mes données ou non et lesquelles
Assurer l’ exactitude
de mes données
Mettre fin au
traitement de mes
données ou
l’interdire
Mettre en pause le
traitement de mes
données
Faire effacer
mes données
Récupérer mes
données ou les faire
transmettre à un autre
RT
Obtenir une intervention
humaine pour certains
traitements générateurs de décisions
automatisées
LES NOUVEAUTÉS DU RGPD | Nouveaux droits « clients »
Oxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SA
LES OPPORTUNITÉS DU RGPD
Opportunités internes
• Gain de productivité | Les process RGPD sont très structurants.
• Optimisation des coûts | La ressource informatique n’est pas gratuite.
• Optimisation des projets | Données pertinentes = réutilisations pertinentes.
Opportunités externes
• Amélioration de la réputation | Limiter les « bas buzz » fuites de données et
consorts, obtenir des certifications et labels
• Augmentation du CA | Entreprise labélisée CNIL V.S. entreprise sanctionnée CNIL
Oxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SA
MISE EN CONFORMITÉ RGPD| Méthodologie
• Focus organisation & procédures
• Accompagnement du changement (formation & sensibilisation)
= Mise en place de l’environnement RGPD
ÉTAPE 1
PRÉSENT & AVENIR
• Audit des applications & traitements
• Liste des écarts, recommandations, actions de mise en conformité
= Mise en conformité de l’historique
ÉTAPE 2
PASSÉ
Oxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SA
MISE EN CONFORMITÉ RGPD| Méthodologie
• Focus organisation & procédures
• Accompagnement du changement (formation & sensibilisation)
= Mise en place de l’environnement RGPD
ÉTAPE 1
PRÉSENT & AVENIR
• Audit des applications & traitements
• Liste des écarts, recommandations, actions de mise en conformité
= Mise en conformité de l’historique
ÉTAPE 2
PASSÉ
Oxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SA
MISE EN CONFORMITÉ RGPD| Méthodologie
• Focus organisation & procédures
• Accompagnement du changement (formation & sensibilisation)
= Mise en place de l’environnement RGPD
ÉTAPE 1
PRÉSENT & AVENIR
• Audit des applications & traitements
• Liste des écarts, recommandations, actions de mise en conformité
= Mise en conformité de l’historique
ÉTAPE 2
PASSÉ
Oxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SA
MISE EN CONFORMITÉ RGPD| Méthodologie
• Focus organisation & procédures
• Accompagnement du changement (formation & sensibilisation)
= Mise en place de l’environnement RGPD
ÉTAPE 1
PRÉSENT & AVENIR
• Audit des applications & traitements
• Liste des écarts, recommandations, actions de mise en conformité
= Mise en conformité de l’historique
ÉTAPE 2
PASSÉ
Oxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SA
MISE EN CONFORMITÉ RGPD| Méthodologie
• Focus organisation & procédures
• Accompagnement du changement (formation & sensibilisation)
= Mise en place de l’environnement RGPD
ÉTAPE 1
PRÉSENT & AVENIR
• Audit des applications & traitements
• Liste des écarts, recommandations, actions de mise en conformité
= Mise en conformité de l’historique
ÉTAPE 2
PASSÉ
Oxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SA
MISE EN CONFORMITÉ RGPD| Programme
JEU DE LOI
Oxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SA
MISE EN CONFORMITÉ RGPD| Programme
JEU DE LOI
SENSIBILISER LA DIRECTIONInformation sur RGPD
Budget pour état des lieux
Oxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SA
MISE EN CONFORMITÉ RGPD| Programme
SENSIBILISER LA DIRECTIONInformation sur RGPD
Budget pour état des lieux
JEU DE LOI
Oxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SA
MISE EN CONFORMITÉ RGPD| Programme
SENSIBILISER LA DIRECTIONInformation sur RGPD
Budget pour état des lieux
JEU DE LOI
Oxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SA
MISE EN CONFORMITÉ RGPD| Programme
SENSIBILISER LA DIRECTIONInformation sur RGPD
Budget pour état des lieux
JEU DE LOI
FORMER L’EQUIPE DPOLe DPO lui-même + ses relais ou les
managers/chefs d’équipe
Oxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SA
MISE EN CONFORMITÉ RGPD| Programme
SENSIBILISER LA DIRECTIONInformation sur RGPD
Budget pour état des lieux
JEU DE LOI
FORMER L’EQUIPE DPOLe DPO lui-même + ses relais ou les
managers/chefs d’équipe
Oxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SA
MISE EN CONFORMITÉ RGPD| Programme
SENSIBILISER LA DIRECTIONInformation sur RGPD
Budget pour état des lieux
JEU DE LOI
FORMER L’EQUIPE DPOLe DPO lui-même + ses relais ou les
managers/chefs d’équipe
IMPLEMENTER LES PROCESS RGPDPrivacy by design, by default, droits
PAAROLE, violations de données, etc.
Oxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SA
MISE EN CONFORMITÉ RGPD| Programme
SENSIBILISER LA DIRECTIONInformation sur RGPD
Budget pour état des lieux
JEU DE LOI
FORMER L’EQUIPE DPOLe DPO lui-même + ses relais ou les
managers/chefs d’équipe
IMPLEMENTER LES PROCESS RGPDPrivacy by design, by default, droits
PAAROLE, violations de données, etc.
AUDITER TRAITEMENTSApplis, sous-traitants, contrats,sécurité, transferts hors U.E…
Oxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SA
MISE EN CONFORMITÉ RGPD| Programme
SENSIBILISER LA DIRECTIONInformation sur RGPD
Budget pour état des lieux
JEU DE LOI
FORMER L’EQUIPE DPOLe DPO lui-même + ses relais ou les
managers/chefs d’équipe
IMPLEMENTER LES PROCESS RGPDPrivacy by design, by default, droits
PAAROLE, violations de données, etc.
AUDITER TRAITEMENTSApplis, sous-traitants, contrats,sécurité, transferts hors U.E…
CONFORMITE & REGISTREApplis, sous-traitants, contrats,sécurité, transferts hors U.E…
Oxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SA
MISE EN CONFORMITÉ RGPD| Programme
SENSIBILISER LA DIRECTIONInformation sur RGPD
Budget pour état des lieux
JEU DE LOI
FORMER L’EQUIPE DPOLe DPO lui-même + ses relais ou les
managers/chefs d’équipe
IMPLEMENTER LES PROCESS RGPDPrivacy by design, by default, droits
PAAROLE, violations de données, etc.
AUDITER TRAITEMENTSApplis, sous-traitants, contrats,sécurité, transferts hors U.E…
CONFORMITE & REGISTREApplis, sous-traitants, contrats,sécurité, transferts hors U.E…
TEMPORISERAbsorber le flux
Ajuster si nécessaire
Oxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SA
MISE EN CONFORMITÉ RGPD| Programme
SENSIBILISER LA DIRECTIONInformation sur RGPD
Budget pour état des lieux
JEU DE LOI
FORMER L’EQUIPE DPOLe DPO lui-même + ses relais ou les
managers/chefs d’équipe
IMPLEMENTER LES PROCESS RGPDPrivacy by design, by default, droits
PAAROLE, violations de données, etc.
AUDITER TRAITEMENTSApplis, sous-traitants, contrats,sécurité, transferts hors U.E…
CONFORMITE & REGISTREApplis, sous-traitants, contrats,sécurité, transferts hors U.E…
TEMPORISERAbsorber le flux
Ajuster si nécessaire
ETABLIR FEUILLE DE ROUTE N+1Sensibilisation globale
Audits ciblés, revue des traitements
Oxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SA
MISE EN CONFORMITÉ RGPD| Programme
SENSIBILISER LA DIRECTIONInformation sur RGPD
Budget pour état des lieux
JEU DE LOI
FORMER L’EQUIPE DPOLe DPO lui-même + ses relais ou les
managers/chefs d’équipe
IMPLEMENTER LES PROCESS RGPDPrivacy by design, by default, droits
PAAROLE, violations de données, etc.
AUDITER TRAITEMENTSApplis, sous-traitants, contrats,sécurité, transferts hors U.E…
CONFORMITE & REGISTREApplis, sous-traitants, contrats,sécurité, transferts hors U.E…
TEMPORISERAbsorber le flux
Ajuster si nécessaire
ETABLIR FEUILLE DE ROUTE N+1Sensibilisation globale
Audits ciblés, revue des traitements
Oxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SAOxalia Technology Data Protection - Andrea Martelletti - Licence CC-BY-NC-SA
hank
http://www.oxalia-technology.com/data-protection
www.linkedin.com/in/andreamartelletti/
www.twitter.com/oxaliadata
Oxalia Technology Data Protection ou!