Télécharger en tant que PDF, PPTX
![[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)](https://cdn.slidesharecdn.com/ss_thumbnails/daf2017rgpd2018etesvouspretcnil-171117081219-thumbnail.jpg?width=640&height=640&fit=bounds)
Parishanghai presentation rgpd
- 1. T O UT SAV O I R E T C O M P R E N D R E L E R E G L E M E N T G E N E R A L SU R L A P R O T E C T I O N D E S D O N N E E S ( R G P D )
- 2. 1. UNE RÉGLEMENTATIONAMBITIEUSE 2.DÉFINITIONS 3. PRINCIPES GÉNÉRAUX 4. MISE EN ŒUVRE 5. QUI SOMMES-NOUS SOM M AI RE S O M M A IRE
- 3. Le Règlement européensur la protection des données à caractère personnel est entré en vigueur avec une date d’application différée au mois de Mai 2018. (Règlement 2016/679/UE du 27 04 2016) Sanctions financières en cas de non-respect des nouvelles dispositions : AmendeAdministrative pouvants’élever à 20 Millions d’Euros Ou , pour une entreprise, pouvantaller jusqu’à 4%du chiffre d’affaires Annuel mondial total de l’exercice précédent. IN T R O DU CTIO N
- 4. Date de miseen application IN T R O DU CTIO N
- 5. 1 . UN E R E G L EM ENTATIO N A M B IT IEU SE
- 6. Reconnaissance de lavaleur et de l’importance des données personnelles SANS REMISE EN CAUSE de la capacité pour les entreprises à capter et utiliser certaines données personnelles de leurs interlocuteurs U N E R E G L E MENTAT ION A M B IT IEUSE
- 7. Le RGPD s’imposeà toutes les entreprises qui exercent leur activité en Europe ou qui ont des activités commerciales avec des citoyens de l’U.E. Il n’y a pas nécessité de transposition en droit national. U N E R E G L E MENTAT ION A M B IT IEUSE
- 8. • Un texteau lieu de 28 • Des autorités de contrôle qui restent nationales ( en France : LA CNIL ) • Un groupede travail dit « G29 » (Groupe de travail Article 29) qui regroupe les autorités de contrôle nationales et la commission • Ce groupede travail : émet des avis et assure la coopération entre les « CNIL » U N E R E G L E MENTAT ION A M B IT IEUSE
- 9. 2 objectifs principaux: 1. Protéger les droits des citoyens et des salariés Encadrement de l’utilisation des données personnelles 2. Réduire les barrières Echanges de données facilitées par un cadre commun U N E R E G L E MENTAT ION A M B IT IEUSE
- 10. Les Sondages reflètentune prise de conscience progressive des entreprises Mais un règlement perçu avec crainte… 69% des entreprises se disent « non préparées » 20% craignent pour leur Business U N E R E G L E MENTAT ION A M B IT IEUSE … . . . M A IS D IF F ICIL E A C E R N ER
- 11. 2 . DE F IN ITION S
- 12. Personne Une personne physiqueidentifiéeou une personne physiquequi peut être identifiée, directement ou indirectement, par des moyens raisonnablement susceptibles d’être utilisés par le responsable du traitement ou par toute autre personne physiqueou morale (sous traitant), notamment par référence à un Numéro d’identification, à des données de localisation, à un identifiant en Ligne ou à un ou plusieurs éléments spécifiques propres à son identité Physique, psychologique, génétique, psychique, économique, culturelle ou sociale. D E F IN ITIO NS
- 13. Donnée À CaractèrePersonnel Toute information se rapportant à une personne concernée D E F IN ITIO NS =
- 14. Traitement de Donnéesà Caractère Personnel Toute opération ou ensemble d’opérations effectuée(s)ou non à l’aide de procédés automatisés, et appliquée(s) à des données à caractère personnel, telle(s) que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que l’effacement ou la destruction. D E F IN ITIO NS
- 15. Responsable du Traitement Lapersonne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités, les conditions et les moyens du traitement de données à caractère personnel. D E F IN ITIO NS
- 16. Sous-Traitant La personne physiqueou morale, l’autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pourle compte du responsable du traitement. D E F IN ITIO NS
- 17. 3 . PR IN C IPES G E N E RAU X
- 18. Points Clés • Transparence •Limitation des finalités • Minimisation des données • Exactitude des données • Limitation de la conservation des données • Sécurité, intégrité et confidentialité des données P R IN C IPES G E N ERA UX
- 19. Principe d’Accountability (Cléde Voute du RGPD) Vousdevez être en mesure de démontrer que vousêtes en Conformité • Privacy by Design / Privacy by Default • Registre des activités • Analyse d’impact P R IN C IPES G E N ERA UX
- 20. Le Traitement doitêtre LICITE La Personne a consenti au traitement. Le traitement est nécessaire : • A l’exécution du contrat • Pour respecter une obligation légale • A la sauvegarde des intérêts vitaux de la personne • Aux fins des intérêts légitimes poursuivis par le responsable du traitement (notion de balance des intérêts) P R IN C IPES G E N ERA UX
- 21. Le CONSENTEMENT Doit êtredonnépar un acte positif et clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données. P R IN C IPES G E N ERA UX
- 22. Le CONSENTEMENT • Leresponsable du traitement doit prouver le consentement • Le consentement peut être retiré • Les enfants de moins de 13 ans ne peuvent donnerleur consentement • Pour certains types de données, un consentement spécial est exigé : Race ou Ethnie, OpinionsPolitiques, Religion ou Croyances, Données génétiques, Données relatives à la santé, À la vie Sexuelle, Condamnationspénales ou Mesures de Sûreté P R IN C IPES G E N ERA UX
- 23. 4 . MIS E E N ΠU V R E
- 24. • Mettre enplace un registre des traitements • Formaliser l’Analyse d’impact • Nommer Un DPO : Data Protection Officer • Disposer du consentement des personnes • Rendre claire et transparente l’utilisation des données • Pouvoirnotifier en 72h une faille de sécurité • Assurer la capacité à corriger, supprimer, rendre portable les données • Contrôler les sous-traitants (co-responsables / Cadre Contractuel) • Privacy by design / Privacy by default M IS E E N Œ U V R E : L E S P O IN T S C L É S Les Points Clés de départ
- 25. Registre des activitésou registre des traitements Les Traitements mis en œuvre doivent être répertoriés dans un registre des activités de traitement. Ce registre doit être mis à jour régulièrement, au fur et à mesure de la mise en œuvre des traitements ou de la modification de traitements existants. Il doit être tenu sous forme écrite, y compris sous forme électronique. Il doit également être mis à disposition de l’autorité de contrôle en cas de demande de cette dernière. M IS E E N Œ U V R E : L E S P O IN T S C L É S
- 26. Analyse d’Impact Lorsqu’un Traitementest susceptible d’engendrer un risque élevé pour les droits et libertés des personnes, alors une analyse d’impact des opérations de traitement sur la protection des données à caractère personnel doit être effectuée afin de déterminer les mesures appropriées à prendre afin de démontrer que le traitement des données respecte le règlement. Le Règlement liste certains traitements soumis d’office à une telle analyse. Les autorités de contrôle peuvent publier une liste des types d’opérations qui devront également y être soumise. M IS E E N Œ U V R E : L E S P O IN T S C L É S
- 27. Nommer Un DPO: Data Protection Officer La nomination d’un DPO est fortement recommandée dans toutes les entreprises, et pour les sous-traitants. Elle est OBLIGATOIRE dans les cas suivants : • S’ils appartiennent au secteur public • Si leur activité principale les amène à réaliser un suivi régulier et systématique des personnes à grande échelle • Si leur activité principale les amène à traiter (à grande échelle) des données dites « particulières » ou relatives à des condamnations pénales ou à des infractions M IS E E N Œ U V R E : L E S P O IN T S C L É S
- 28. Un DPO peutêtre Interne ou Externe. Un DPO dépend de la Direction Générale uniquement. Sa fonction est régie par les principes fondamentaux suivants : • Indépendance absolue • Absence de conflit d’intérêt, notamment en fonction de ses fonctions ou de son rattachement hiérarchique • Secret Professionnel M IS E E N Œ U V R E : L E S P O IN T S C L É S Nommer Un DPO : Data Protection Officer
- 29. Privacy by design/ Privacy by default Privacy by design : Consiste en la nécessité de prendre les mesures appropriées pourtenir compte de la protection des données dans les projets depuis leur origine, et de s’assurer de la conformité des produits et services proposés aux dispositions « Informatique et Libertés » tout au long de leur cycle de vie. Elaboration d’une Méthodologie et d’un cahier des charges … Privacy by default : Consiste à prendre les mesures techniques et organisationnelles appropriées pour garantir que par défaut seules les données qui sont nécessaires au regard de la finalité spécifique du traitement sont collectées et utilisées. M IS E E N Œ U V R E : L E S P O IN T S C L É S
- 30. 1/ Partager lesenjeux au sein de la Direction Générale Les Directions concernées : Direction Générale (Responsable du DPO) Direction Juridique Direction Marketing / Commerciale / Communication Direction des Ressources Humaines Direction des Systèmes d’Information M IS E E N Œ U V R E : P O U R C O M M E NCE R…
- 31. 2/ Impulser unedynamique autour de ce sujet et mettre l’organisationenmouvement 3/ Déterminer un cadrage duprojet et de son planning de mise en œuvre 4/ Initier un Audit et une Etude d’impact sur la protectiondes données 5/ Structurer l’approche et construire une stratégiede mise en place de processus fiables M IS E E N Œ U V R E : P O U R C O M M E NCE R…
- 32. C O NC LU SION
- 33. Au delà dela nécessité d’être en conformité avec la loi, l’enjeu de l’entreprise est d’améliorer sa performance client : • Avec une mise en conformité progressive • Dans un processus d’amélioration continu • Pour optimiser la collecte et la valorisation des données des clients P O U R C O N C LUR E
- 34. P O UR C O N C LUR E
- 35. 5 . QU I S O M M ES -N OUS ?
- 36. PARISHANGHAI est uneagence de communicationglobale, avecune forte appétence pour le digital. Notre expertise est axée surla création de concepts originaux, le design créatif et les développements techniques complexes, afin d'offrir à nos clients la meilleure solution possible pour toucher leurs publics. Nous aimons imaginer des conceptsinnovants, élaborés sur mesure pourchacun de nos clients. L’A G E N CE
- 37. J U LI E N D E L U B A C D I R E C T E U R G E N E R A L 01 44 54 33 21 [email protected] N O T R E É Q U I P E D E C O N SU LTA N T S, E X P E RT S E N M A R K E T I N G D E S D O N N É E S, E ST À V O T R E É C O U T E E T À V O T R E D I SP O SI T I O N C A R O L I N E P I E L D I R E C T R I C E D E C L I E N T E L E 01 86 95 03 69 [email protected]