Umanis, profile picture
Téléchargé parUmanis
924 vues

GDPR COMPLIANT : LE GUIDE PRATIQUE

Le document présente un guide pratique sur le règlement général sur la protection des données (RGPD), qui entre en vigueur le 25 mai 2018, et détaille les responsabilités des entreprises en matière de protection des données personnelles. Il souligne l'importance de mettre en place des politiques de sécurité et de gouvernance des données, ainsi que les droits renforcés des individus, tels que le droit à l'oubli et le droit à la portabilité. La mise en conformité avec le RGPD est essentielle pour éviter des sanctions lourdes et pour renforcer la confiance des clients envers les entreprises.

Téléchargé 31 fois
© Umanis 2018 1 GDPRCOMPLIANT Le guide pratique
2 © Umanis 2018 ILS ONT PARTICIPÉ À CET E-BOOK Nous tenions à remercier tous ceux qui ont apporté leurs témoignages et leurs expertises sur ce sujet. Luc ALLOIN, Associé Segeco Directeur Général Securymind Alain BENSOUSSAN, Avocat à la Cour Thierry BRUN, GDPR Ambassador, IBM Benoît DESPRÉS, Directeur de la Maîtrise d’Ouvrage Finances et Risques, IBP Charley DUPRÉ, DPO et Juriste, Volkswagen Jean Philippe GAULIER, RSSI, Orange Denis GENEST, Associé Segeco Denis SKALSKI, Directeur Practice Data, Umanis Stéphane TOURNADRE, Directeur Sécurité et Audit SI, Laboratoires Servier
© Umanis 2018 3 SOMMAIRE PRÉFACE PAR ALAIN BENSOUSSAN, AVOCAT À LA COUR L’ABÉCÉDAIRE GDPR PIA, ACCOUNTABILITY, PORTABILITÉ, ... PAR QUELS CHANTIERS DÉMARRER ? GDPR ; Y-A-T’IL UN PILOTE DANS L’AVION ? SÉCURITÉ DES DONNÉES, TOUS RESPONSABLES QUELS IMPACTS SUR L’IOT ET LE BIG DATA ? GOUVERNANCE DES DONNÉES ; LA RÉPONSE AU PRINCIPE D’ACCOUNTABILITY PSEUDONIMISATION ET ANONYMISATION ; EN ROUTE VERS LE ZÉRO RISQUE VALORISER SES DONNÉES ? C’EST TRANSFORMER SA CONFORMITÉ EN OPPORTUNITÉ MATURITÉ DES ENTREPRISES ? INFOGRAPHIE UMANIS SOLUTIONS, OUTILS, MÉTHODES ? UMANIS VOUS RÉPOND UMANIS, NOTRE OFFRE GDPR MISE EN CONFORMITÉ ET SÉCURISATION DE LA RELATION CLIENTS ET SALARIÉS ? SEGECO VOUS ÉCLAIRE TECHNOLOGIES ? IBM DÉVOILE SON CATALOGUE 8 6 5 10 12 14 16 18 20 22 24 26 30 32
4 © Umanis 2018 PRÉFACE par Alain Bensoussan, Avocat à la Cour Le 25 mai 2018, le réveil risque d’être douloureux pour les entreprises qui n’auront pas pris pleinement la mesure du Règlement européen sur la protection des données. Si cette réforme du droit des données personnelles vise à encourager l’in- novation au sein du marché unique du numérique, elle vise surtout à garantir un niveau élevé de protection des citoyens. Alors que la donnée est perçue comme un actif clé de l’entreprise, il n’en va pas de même pour le citoyen, la notion de donnée personnelle ramenant à celles de vie privée, de confidentialité et de libre circula- tion des informations personnelles. Depuis la loi Informatique et Libertés du6janvier1978,lesprincipesdelicéité de la collecte de données person- nelles sont posés : proportionnalité des données collectées par rapport à la finalité du traitement, loyauté de la collecte, droit d’opposition des personnes concernées, interdiction de principe de la collecte de données sensibles. Avec l’arrivée du RGPD (ou GDPR en anglais, pour General Data Protection Regulation), le droit des personnes se trouve renforcé, rendant dans certains cas le consen- tement obligatoire. C’est la grande bascule opérée par le Règlement : passer d’une responsabilité a poste- riori du Responsable de traitement, à une responsabilité a priori. En effet, à partir du 25 mai 2018, chaque organisme devra édicter une politique de protection des données personnelles sur-mesure selon le traitement auquel il procède et surtout documenter celle-ci. Désormais, c’est aux entreprises qu’incombe la responsabilité de la manipulation des informations, depuis la localisation des données sensibles sur le réseau jusqu’à la gestion des accès, le stockage et la sécurité. Les entreprises doivent, dès à présent, se préparer à être en mesure de rapporter la preuve de la conformité des traitements de données aux principes posés par le RGPD. Elles devront édicter, sur mesure, une politique de sécu- rité, de gouvernance et de gestion des données sous peine de sanctions très lourdes : des amendes pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel de l’entreprise sanctionnée. Les organisations devront également se plier à de nouvelles exigences : droit à l’oubli et à la portabilité des données, consentements éclairés et explicites, notifications aux personnes et aux autorités en cas de failles de sécurité affectant leurs données, nomination d’un Data Privacy Officer, mise en place d’études d’impacts (PIA) systématiques pour les traite- ments sensibles. Mais sa mise en application devrait aussi et surtout avoir un effet positif puisqu’il renforce les obligations de sécurité des entreprises, don- nant ainsi à leurs clients l’assurance d’un niveau de protection accru pour le traitement de leurs données personnelles. Il permet ce faisant d’accroître également la confiance
© Umanis 2018 5 de ses partenaires et collabora- teurs, et de renforcer sa position concurrentielle. LeRGPDestdoncunebonnenouvelle, puisqu’il renforce l’Europe et pro- meut l’intérêt général des citoyens de l’UE. Mais dans les faits, la mise en conformité requiert un effort combiné de tous les départements concernés par la gestion de données personnelles sous toutes ses formes (finance, IT, juridique, sécurité, mar- keting, RH..). L’heure est donc venue pour les entreprises de mettre en place un véritable programme de protec- tion de la vie privée reposant sur le droit fondamental et inaliénable que constitue, pour chaque citoyen, la protection de sa vie privée et de ses données personnelles. 
6 © Umanis 2018
© Umanis 2017 7 L’ABÉCÉDAIRE GDPR Une donnée personnelle Toute information relative à une personne physique identifiée ou qui peut être iden- tifiée directement ou indirectement par référence à un identifiant tel que le nom, un numéro d’identification, une donnée de localisation, un identifiant en ligne, une adresse IP, etc. Un traitement C’est une opération ou un ensemble d’opérations effectuées sur des données à caractère personnel quel que soit le procédé, automatisé ou non. Un traitement est notamment constitué de la collecte, l’enregistrement, l’extraction, l’orga- nisation, le stockage, la modification, la consultation, l’utilisation, la diffusion, l’effacement ou la destruction, etc. Une donnée sensible Les données sensibles sont celles qui font apparaître, directement ou indirecte- ment, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou sont relatives à la santé ou à la vie sexuelle de celles-ci. Par principe, la collecte et le traitement de ces données sont interdits. La définition du risque selon la CNIL Un risque est un scénario qui combine une situation crainte (atteinte de la sécurité des traitements et ses conséquences) avec toutes les possibi- lités qu’elle survienne (menaces sur les supports des traitements). On estime son niveau en termes de gravité (ampleur et nombre des impacts) et de vraisemblance (possibilité/probabilité qu’il se réalise). Pour la CNIL, gérer les risques est un moyen efficace de protéger « libertés et droits fondamen- taux des personnes physiques, notamment leur vie privée, à l’égard du traitement des données à caractère personnel » (article premier de la Directive 95/46/CE). Le GDPR Le General Data Protection Regulation (GDPR), est un règlement européen (2016/679) adopté en avril 2016 et qui sera applicable le 25 mai 2018. Ce texte à effet direct, c’est à dire qu’il n’y a pas besoin de loi nationale pour le transposer, a pour objectif l’amélioration de la protection et de la confi- dentialité des informations personnelles identifiables. DPIA L’application du nouveau règlement européen RGPD impose, en partie, la réalisation d’une analyse d’impact relative à la protection des données appelée DPIA pour Data Protection Impact Assessment). Cette démarche, repose sur une analyse de risques sécurité orientée uniquement sur les risques visant les données personnelles et leurs impacts sur les droits et libertés des personnes concernées par ces données.
PAR QUELS CHANTIERS DÉMARRER ? « Notre objectif premier est d’établir au plus vite une cartographie des données qui sera un prérequis pour savoir où nous allons précisément. A partir de là, nous pourrons prioriser les actions et régler au plus vite les aspectslesplussensiblesetconfidentiels,ainsiquedémarrerunvraitravail de pédagogie auprès des équipes opérationnelles. » explique Charley Dupré, Juriste chez Volkswagen. Nomination d’un DPO, révision du registre des traitements, droit à l’oubli, etc. les changements en interne sont nombreux et non négligeables ! Il contient, entre autres, le nom et les coordonnées du responsable du traitement, les finalités dudit traitement (relation commerciale, gestion RH…), les catégories de personnes concernées (clients, salariés, candidats) et la finalité du traitement (démarchage commercial, analyse statistique, etc.). 1. TENIR UN REGISTRE DES TRAITEMENTS Toute entreprise dispose de données à caractère personnel et les capacités de collecte et de traitement élargissent le champ des activités potentiellement concernées (clients, prospects, patients, locataires, etc.). Le système d’information de l’entreprise se retrouve ainsi très largement impacté. Identifier le périmètre des données permet de réaliser une liste de tous les traitements qui touchent (ou pourraient toucher aux données personnelles) de façon à disposer d’une vision d’ensemble et de les transférer vers un autre opérateur ou fournisseur. 2. IDENTIFIER LE PÉRIMÈTRE DES DONNÉES Ce règlement renforce le droit des personnes physiques en interdisant tout traitement des données sans le consentement de celles-ci. Le droit à l’oubli oblige le Responsable du Traitement à garantir aux individus qui lui en feront la demande que leurs données seront bien supprimées dans le délai fixé. Le règlement instaure un droit à la portabilité. Il s’agit de la possibilité d’obtenir ses propres données personnelles le concernant, dans un format lisible et structuré. 3. GARANTIR LE DROIT DES PERSONNES 8 © Umanis 2018
© Umanis 2018 9 Le sujet vous intéresse ? Téléchargez la version complète de notre e-book Le contenu de cet e-book a été réalisé par nos consultants et nos spécia- listes, à partir d’études réalisées lors de nos événements « 5à7 » et enrichi par de nombreux retours d’expérience de nos clients. Téléchargez gratuitement la version complète à l’adresse suivante : http://bit.ly/GDPRCOMPLIANT

Contenu connexe

PDF
Rgpd presentation
pargnizon
 
PPTX
Lpm + rgpd
parDidier Graf
 
PDF
Sécurité, GDPR : vos données ont de la valeur
parGeeks Anonymes
 
PDF
Données personnelles et SI - GDPR
parAntoine Vigneron
 
PDF
Lpm + rgpd études conjointe des deux grands textes
parDidier Graf
 
PDF
GDPR et PME
parProf. Jacques Folon (Ph.D)
 
PPT
Protection de la vie privée en Belgique
parProf. Jacques Folon (Ph.D)
 
PPTX
Les impacts du nouveau règlement européen GDPR
parArismore
 
Rgpd presentation
pargnizon
 
Lpm + rgpd
parDidier Graf
 
Sécurité, GDPR : vos données ont de la valeur
parGeeks Anonymes
 
Données personnelles et SI - GDPR
parAntoine Vigneron
 
Lpm + rgpd études conjointe des deux grands textes
parDidier Graf
 
GDPR et PME
parProf. Jacques Folon (Ph.D)
 
Protection de la vie privée en Belgique
parProf. Jacques Folon (Ph.D)
 
Les impacts du nouveau règlement européen GDPR
parArismore
 

Tendances

PDF
Le GDPR (General Data Protection Regulation) - Diaporama
parJean-Michel Tyszka
 
PDF
Le GDPR (General Data Protection Regulation) dans le détail - Document
parJean-Michel Tyszka
 
PPSX
GDPR - RGPD - Aspects Technico Légaux
parYves Gattegno
 
PDF
ULG RH Cours N°3 : GDPR
parProf. Jacques Folon (Ph.D)
 
PPT
la vie privée sur Internet
parProf. Jacques Folon (Ph.D)
 
PDF
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
parNiji
 
PDF
Rgpd cdg 13 2018.compressed
parDominique Gayraud
 
PPTX
Présentation Loi Informatique et Libertés
parCentre de Gestion de l'Oise
 
PDF
Conférence Maître LAMACHI-ELKILANI ACSS 2018
parAfrican Cyber Security Summit
 
PPSX
Le partenariat Virtualegis Nystek
parPascal ALIX
 
PDF
Gdpr horeca novembre 2018
parProf. Jacques Folon (Ph.D)
 
PPTX
Horeca GDPR
parProf. Jacques Folon (Ph.D)
 
PDF
Universitédelorraine2018 cours 5 RGPD
parProf. Jacques Folon (Ph.D)
 
PDF
Marketing et gdpr
parProf. Jacques Folon (Ph.D)
 
PDF
Etes-vous Gdpr compliant?
parfourniermartine
 
PPT
Ecommerce (6) - j.Folon - Vie privée sur Internet
parUniversité de Metz
 
PDF
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
parcedric delberghe
 
PPTX
Un CIL EXTERNE, pourquoi faire?
parFlorence Bonnet
 
PDF
Plan d'action GDPR Luxembourg Ageris Halian
parDenis VIROLE
 
PPTX
RGPD : Enjeux, Impacts et opportunités
parHatime Araki
 
Le GDPR (General Data Protection Regulation) - Diaporama
parJean-Michel Tyszka
 
Le GDPR (General Data Protection Regulation) dans le détail - Document
parJean-Michel Tyszka
 
GDPR - RGPD - Aspects Technico Légaux
parYves Gattegno
 
ULG RH Cours N°3 : GDPR
parProf. Jacques Folon (Ph.D)
 
la vie privée sur Internet
parProf. Jacques Folon (Ph.D)
 
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
parNiji
 
Rgpd cdg 13 2018.compressed
parDominique Gayraud
 
Présentation Loi Informatique et Libertés
parCentre de Gestion de l'Oise
 
Conférence Maître LAMACHI-ELKILANI ACSS 2018
parAfrican Cyber Security Summit
 
Le partenariat Virtualegis Nystek
parPascal ALIX
 
Gdpr horeca novembre 2018
parProf. Jacques Folon (Ph.D)
 
Horeca GDPR
parProf. Jacques Folon (Ph.D)
 
Universitédelorraine2018 cours 5 RGPD
parProf. Jacques Folon (Ph.D)
 
Marketing et gdpr
parProf. Jacques Folon (Ph.D)
 
Etes-vous Gdpr compliant?
parfourniermartine
 
Ecommerce (6) - j.Folon - Vie privée sur Internet
parUniversité de Metz
 
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
parcedric delberghe
 
Un CIL EXTERNE, pourquoi faire?
parFlorence Bonnet
 
Plan d'action GDPR Luxembourg Ageris Halian
parDenis VIROLE
 
RGPD : Enjeux, Impacts et opportunités
parHatime Araki
 

Similaire à GDPR COMPLIANT : LE GUIDE PRATIQUE

PPSX
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
parDavid Blampain
 
PDF
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
parASIP Santé
 
PDF
Protection des données personnelles Se mettre en conformité : Pourquoi ? Comm...
parPatrick Bouillaud
 
PPTX
Présentation RGPD/GDPR 2018
parPierre Ammeloot
 
PDF
GDPR, tous concernés ! Le Règlement Général de la Protection des Donnée en un...
parEnjoyDigitAll by BNP Paribas
 
PDF
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
parGuillaume Valcin
 
PDF
Atelier 8 - RGPD - Conférence Thierry Preel 2019
parTarn Tourisme
 
PDF
SÉCURITÉ DES DONNÉES & RGPD
parTelecomValley
 
PDF
Cybersecurity Presentation - Cybersecurity Presentation
parservicecommunication28
 
PDF
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
parpolenumerique33
 
PDF
Livre Blanc- Règlement Général européen sur la Protection des Données
parTerface
 
PDF
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
parBoris Clément
 
PPTX
Comment se mettre en conformité avec le GDPR ?
parPramana
 
PDF
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
parNP6
 
PDF
Parishanghai presentation rgpd
parPARISHANGHAI
 
PPTX
Comment ACCESS GROUP se prépare à la réglementation GDPR/RGPD ?
parACCESS Group
 
PDF
Gestion des données personnelles : comprendre vos nouvelles obligations
parClaranet
 
PDF
Rgpd
parOmbeline Chevallier
 
PPTX
Protection des données personnelles - Sia Partners vous accompagne !
parPhilippe Mignen
 
PDF
Comprendre le RGPD : comment se mettre en conformité ?
parJedha Bootcamp
 
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
parDavid Blampain
 
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
parASIP Santé
 
Protection des données personnelles Se mettre en conformité : Pourquoi ? Comm...
parPatrick Bouillaud
 
Présentation RGPD/GDPR 2018
parPierre Ammeloot
 
GDPR, tous concernés ! Le Règlement Général de la Protection des Donnée en un...
parEnjoyDigitAll by BNP Paribas
 
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
parGuillaume Valcin
 
Atelier 8 - RGPD - Conférence Thierry Preel 2019
parTarn Tourisme
 
SÉCURITÉ DES DONNÉES & RGPD
parTelecomValley
 
Cybersecurity Presentation - Cybersecurity Presentation
parservicecommunication28
 
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
parpolenumerique33
 
Livre Blanc- Règlement Général européen sur la Protection des Données
parTerface
 
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
parBoris Clément
 
Comment se mettre en conformité avec le GDPR ?
parPramana
 
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
parNP6
 
Parishanghai presentation rgpd
parPARISHANGHAI
 
Comment ACCESS GROUP se prépare à la réglementation GDPR/RGPD ?
parACCESS Group
 
Gestion des données personnelles : comprendre vos nouvelles obligations
parClaranet
 
Rgpd
parOmbeline Chevallier
 
Protection des données personnelles - Sia Partners vous accompagne !
parPhilippe Mignen
 
Comprendre le RGPD : comment se mettre en conformité ?
parJedha Bootcamp
 

GDPR COMPLIANT : LE GUIDE PRATIQUE

  • 1.
    © Umanis 2018 1 GDPRCOMPLIANT Le guide pratique
  • 2.
    2 ©Umanis 2018 ILS ONT PARTICIPÉ À CET E-BOOK Nous tenions à remercier tous ceux qui ont apporté leurs témoignages et leurs expertises sur ce sujet. Luc ALLOIN, Associé Segeco Directeur Général Securymind Alain BENSOUSSAN, Avocat à la Cour Thierry BRUN, GDPR Ambassador, IBM Benoît DESPRÉS, Directeur de la Maîtrise d’Ouvrage Finances et Risques, IBP Charley DUPRÉ, DPO et Juriste, Volkswagen Jean Philippe GAULIER, RSSI, Orange Denis GENEST, Associé Segeco Denis SKALSKI, Directeur Practice Data, Umanis Stéphane TOURNADRE, Directeur Sécurité et Audit SI, Laboratoires Servier
  • 3.
    © Umanis 2018 3 SOMMAIRE PRÉFACE PAR ALAIN BENSOUSSAN, AVOCAT À LA COUR L’ABÉCÉDAIRE GDPR PIA, ACCOUNTABILITY, PORTABILITÉ, ... PAR QUELS CHANTIERS DÉMARRER ? GDPR ; Y-A-T’IL UN PILOTE DANS L’AVION ? SÉCURITÉ DES DONNÉES, TOUS RESPONSABLES QUELS IMPACTS SUR L’IOT ET LE BIG DATA ? GOUVERNANCE DES DONNÉES ; LA RÉPONSE AU PRINCIPE D’ACCOUNTABILITY PSEUDONIMISATION ET ANONYMISATION ; EN ROUTE VERS LE ZÉRO RISQUE VALORISER SES DONNÉES ? C’EST TRANSFORMER SA CONFORMITÉ EN OPPORTUNITÉ MATURITÉ DES ENTREPRISES ? INFOGRAPHIE UMANIS SOLUTIONS, OUTILS, MÉTHODES ? UMANIS VOUS RÉPOND UMANIS, NOTRE OFFRE GDPR MISE EN CONFORMITÉ ET SÉCURISATION DE LA RELATION CLIENTS ET SALARIÉS ? SEGECO VOUS ÉCLAIRE TECHNOLOGIES ? IBM DÉVOILE SON CATALOGUE 8 6 5 10 12 14 16 18 20 22 24 26 30 32
  • 4.
    4 ©Umanis 2018 PRÉFACE par Alain Bensoussan, Avocat à la Cour Le 25 mai 2018, le réveil risque d’être douloureux pour les entreprises qui n’auront pas pris pleinement la mesure du Règlement européen sur la protection des données. Si cette réforme du droit des données personnelles vise à encourager l’in- novation au sein du marché unique du numérique, elle vise surtout à garantir un niveau élevé de protection des citoyens. Alors que la donnée est perçue comme un actif clé de l’entreprise, il n’en va pas de même pour le citoyen, la notion de donnée personnelle ramenant à celles de vie privée, de confidentialité et de libre circula- tion des informations personnelles. Depuis la loi Informatique et Libertés du6janvier1978,lesprincipesdelicéité de la collecte de données person- nelles sont posés : proportionnalité des données collectées par rapport à la finalité du traitement, loyauté de la collecte, droit d’opposition des personnes concernées, interdiction de principe de la collecte de données sensibles. Avec l’arrivée du RGPD (ou GDPR en anglais, pour General Data Protection Regulation), le droit des personnes se trouve renforcé, rendant dans certains cas le consen- tement obligatoire. C’est la grande bascule opérée par le Règlement : passer d’une responsabilité a poste- riori du Responsable de traitement, à une responsabilité a priori. En effet, à partir du 25 mai 2018, chaque organisme devra édicter une politique de protection des données personnelles sur-mesure selon le traitement auquel il procède et surtout documenter celle-ci. Désormais, c’est aux entreprises qu’incombe la responsabilité de la manipulation des informations, depuis la localisation des données sensibles sur le réseau jusqu’à la gestion des accès, le stockage et la sécurité. Les entreprises doivent, dès à présent, se préparer à être en mesure de rapporter la preuve de la conformité des traitements de données aux principes posés par le RGPD. Elles devront édicter, sur mesure, une politique de sécu- rité, de gouvernance et de gestion des données sous peine de sanctions très lourdes : des amendes pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel de l’entreprise sanctionnée. Les organisations devront également se plier à de nouvelles exigences : droit à l’oubli et à la portabilité des données, consentements éclairés et explicites, notifications aux personnes et aux autorités en cas de failles de sécurité affectant leurs données, nomination d’un Data Privacy Officer, mise en place d’études d’impacts (PIA) systématiques pour les traite- ments sensibles. Mais sa mise en application devrait aussi et surtout avoir un effet positif puisqu’il renforce les obligations de sécurité des entreprises, don- nant ainsi à leurs clients l’assurance d’un niveau de protection accru pour le traitement de leurs données personnelles. Il permet ce faisant d’accroître également la confiance
  • 5.
    © Umanis 2018 5 de ses partenaires et collabora- teurs, et de renforcer sa position concurrentielle. LeRGPDestdoncunebonnenouvelle, puisqu’il renforce l’Europe et pro- meut l’intérêt général des citoyens de l’UE. Mais dans les faits, la mise en conformité requiert un effort combiné de tous les départements concernés par la gestion de données personnelles sous toutes ses formes (finance, IT, juridique, sécurité, mar- keting, RH..). L’heure est donc venue pour les entreprises de mettre en place un véritable programme de protec- tion de la vie privée reposant sur le droit fondamental et inaliénable que constitue, pour chaque citoyen, la protection de sa vie privée et de ses données personnelles. 
  • 6.
    6 ©Umanis 2018
  • 7.
    © Umanis 2017 7 L’ABÉCÉDAIRE GDPR Une donnée personnelle Toute information relative à une personne physique identifiée ou qui peut être iden- tifiée directement ou indirectement par référence à un identifiant tel que le nom, un numéro d’identification, une donnée de localisation, un identifiant en ligne, une adresse IP, etc. Un traitement C’est une opération ou un ensemble d’opérations effectuées sur des données à caractère personnel quel que soit le procédé, automatisé ou non. Un traitement est notamment constitué de la collecte, l’enregistrement, l’extraction, l’orga- nisation, le stockage, la modification, la consultation, l’utilisation, la diffusion, l’effacement ou la destruction, etc. Une donnée sensible Les données sensibles sont celles qui font apparaître, directement ou indirecte- ment, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou sont relatives à la santé ou à la vie sexuelle de celles-ci. Par principe, la collecte et le traitement de ces données sont interdits. La définition du risque selon la CNIL Un risque est un scénario qui combine une situation crainte (atteinte de la sécurité des traitements et ses conséquences) avec toutes les possibi- lités qu’elle survienne (menaces sur les supports des traitements). On estime son niveau en termes de gravité (ampleur et nombre des impacts) et de vraisemblance (possibilité/probabilité qu’il se réalise). Pour la CNIL, gérer les risques est un moyen efficace de protéger « libertés et droits fondamen- taux des personnes physiques, notamment leur vie privée, à l’égard du traitement des données à caractère personnel » (article premier de la Directive 95/46/CE). Le GDPR Le General Data Protection Regulation (GDPR), est un règlement européen (2016/679) adopté en avril 2016 et qui sera applicable le 25 mai 2018. Ce texte à effet direct, c’est à dire qu’il n’y a pas besoin de loi nationale pour le transposer, a pour objectif l’amélioration de la protection et de la confi- dentialité des informations personnelles identifiables. DPIA L’application du nouveau règlement européen RGPD impose, en partie, la réalisation d’une analyse d’impact relative à la protection des données appelée DPIA pour Data Protection Impact Assessment). Cette démarche, repose sur une analyse de risques sécurité orientée uniquement sur les risques visant les données personnelles et leurs impacts sur les droits et libertés des personnes concernées par ces données.
  • 8.
    PAR QUELS CHANTIERSDÉMARRER ? « Notre objectif premier est d’établir au plus vite une cartographie des données qui sera un prérequis pour savoir où nous allons précisément. A partir de là, nous pourrons prioriser les actions et régler au plus vite les aspectslesplussensiblesetconfidentiels,ainsiquedémarrerunvraitravail de pédagogie auprès des équipes opérationnelles. » explique Charley Dupré, Juriste chez Volkswagen. Nomination d’un DPO, révision du registre des traitements, droit à l’oubli, etc. les changements en interne sont nombreux et non négligeables ! Il contient, entre autres, le nom et les coordonnées du responsable du traitement, les finalités dudit traitement (relation commerciale, gestion RH…), les catégories de personnes concernées (clients, salariés, candidats) et la finalité du traitement (démarchage commercial, analyse statistique, etc.). 1. TENIR UN REGISTRE DES TRAITEMENTS Toute entreprise dispose de données à caractère personnel et les capacités de collecte et de traitement élargissent le champ des activités potentiellement concernées (clients, prospects, patients, locataires, etc.). Le système d’information de l’entreprise se retrouve ainsi très largement impacté. Identifier le périmètre des données permet de réaliser une liste de tous les traitements qui touchent (ou pourraient toucher aux données personnelles) de façon à disposer d’une vision d’ensemble et de les transférer vers un autre opérateur ou fournisseur. 2. IDENTIFIER LE PÉRIMÈTRE DES DONNÉES Ce règlement renforce le droit des personnes physiques en interdisant tout traitement des données sans le consentement de celles-ci. Le droit à l’oubli oblige le Responsable du Traitement à garantir aux individus qui lui en feront la demande que leurs données seront bien supprimées dans le délai fixé. Le règlement instaure un droit à la portabilité. Il s’agit de la possibilité d’obtenir ses propres données personnelles le concernant, dans un format lisible et structuré. 3. GARANTIR LE DROIT DES PERSONNES 8 © Umanis 2018
  • 9.
    © Umanis 2018 9 Le sujet vous intéresse ? Téléchargez la version complète de notre e-book Le contenu de cet e-book a été réalisé par nos consultants et nos spécia- listes, à partir d’études réalisées lors de nos événements « 5à7 » et enrichi par de nombreux retours d’expérience de nos clients. Téléchargez gratuitement la version complète à l’adresse suivante : http://bit.ly/GDPRCOMPLIANT