Protection des données Les points essentiels du RGPD - Impulsion Digitale RH - Bernard Foray - 19 avril 2018 - CDG13 ...
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
CENTRE DE GESTION
DE LA FONCTION PUBLIQUE TERRITORIALE
Impulsion Digitale RH DES BOUCHES DU RHONE
Protection des
données
Les points
essentiels du RGPD
Bernard Foray – 19 avril 2018 – CDG13
bernard.foray@idrh.digital
www.idrh.digital
D’où puis-je parler ?
u Parcours professionnel en 3 temps
u Thales
u Electronicien/Informaticien/Responsable infrastructures
u Gemalto & Groupe Casino
u Manager des risques numériques - RSSI & CIL - Membre CA AFCDP
u La Manufacture numérique (OF) & Impulsion Digitale RH
u Entrepreneur - Responsable de traitement – DPO Externalisé
u Auteur & conférencier
Impulsion Digitale RH 19/04/2018
Information
(AQCS)
Faciliter le
1
2
droit à l’oubli
Attentes
des
4
Permission
individus de partager
Faciliter la
3
révocation du
Impulsion Digitale RH consentement 19/04/2018
Exigence Réforme
Loi Informatique
et Libertés (LIL)
notification
violation données
réglementation
relative aux
RGPD
(télécom) données
en application
1978 1995 2002 2004 2012 2016
Mise à jour LIL Entrée en
Directive 95/46
(CIL) vigueur RGPD
Impulsion Digitale RH 19/04/2018
Fondements du RGPD
u Responsabiliser les entreprises
u Privacy by design, by default, prouver sa conformité
u Renforcer les droits des personnes
u Renforcer les contrôles des autorités
u Pénalités jusqu'à 20M d’€ ou 4% du CA
u Harmoniser et faciliter le transfert des données en Europe
Impulsion Digitale RH 19/04/2018
Les risques Les
majeurs opportunités
u Troubles sociaux u Engagement loyal, éthique et citoyen
u Protection de la vie privée.
u Image/réputation
u Transparence et fiabilité de la donnée
u Sanctions financières è20M€ ou 4%CA u Confiance
u Procès engagés à l’encontre du RT u Revisiter les processus
u Autorité ou organisme public : obligation de u Instaurer une culture du risque
nommer un chef d’orchestre pour s’assurer u Revaloriser la donnée
du respect du règlement européen u Moyens de gestion plus économique,
u le Délégué à la Protection des Données ou u Suppression de données obsolètes, dupliquées,
DPO u Offrir de nouveaux services.
u Revisiter la sécurité
u Différenciateur
Impulsion Digitale RH 19/04/2018
Qui est concerné ?
ENTREPRISES ASSOCIATIONS ORGANISMES PUBLICS
ENTREPRISES HORS UE
Traitant des données des SOUS-TRAITANTS
citoyens de l’UE
Impulsion Digitale RH 19/04/2018
Sous-traitance
Finalité
Sécurité
Chemin de Liceité
Droits la
conformité
Données
Rétention
Destinataires
Impulsion Digitale RH 19/04/2018
1 Finalité 2 Données 3 Rétention 4 Sécurité 5 Droits
Les règles d’or de la protection de
données
u Finalité du traitement (but)
u Pertinence et sensibilité des DCP
173 considérants,
u Conservation limitée des données 99 articles,
88 pages,
u Obligation de sécurité
>500 pages directives G29
u Respect des droits des personnes
Finalité
1 2 Données 3 Rétention 4 Sécurité 5 Droits
Finalité et definition d’un traitement
Traitement : Finalité :
• Constitution d’annuaire, Fichier client, • Gestion du recrutement, Gestion de la clientèle, Prospection
• Rubrique contact avec collecte de DCP, commerciale,
• Envoi de newsletter, Carte de fidélité, Profilage, • Enquête de satisfaction,
Statistiques/Enquête, Envoi publicitaire… • Protection des biens et des personnes,
• Profilage : situation économique, santé, préférences • Gestion des statistiques de connexions du site web « exemple.com »
personnelles, intérêts, fiabilité, localisation, en vue de son amélioration (contenus et formes),
déplacements, habitudes de consommation • Répondre aux obligations réglementaires des organismes de formation
• Profilage pour les États, à des fins de sécurité et ouvrir des accès à la plateforme de e-learning.
publique, de surveillance et de renseignement.
u Traitement : opérations appliquées à des DCP u Finalité : déterminée, légitime, explicite, pertinente
en regard des données collectées, respectée
u la collecte et/ou l'enregistrement, l'organisation, la
conservation, l'adaptation ou la modification, l'extraction,
la consultation, l'utilisation, la communication par
transmission, diffusion ou toute autre forme de mise à
disposition, le rapprochement ou l'interconnexion,
u le verrouillage, l'effacement ou la destruction.Données
1 Finalité 2 3 Rétention 4 Sécurité 5 Droits
Données à caractère personnel
u Adéquates et non excessives
u Pour répondre à ma finalité, distinction des données facultatives, Ai-je le droit de collecter ces
données ? Est-ce justifié au regard de mes missions ? Puis-je faire autrement ?
• Numéro de sécurité sociale • Signature, façon de marcher, de parler, frappe clavier
• Téléphone, adresse postale, adresse e-mail • Empreintes, voix, rétine, iris, morphologie, géométrie de la
• Photographie main, vaisseaux, grain de peau, couleur des cheveux,
• Date de naissance, lieu de naissance, lieu de taille, poids
résidence, nom des parents, des enfants, numéro • Voiture : immatriculation, nombre de kilomètres effectués
de compte en banque, diplômes par an, dates des révisions, nombre de problèmes
• Images de vidéo-surveillance techniques
• Données de géo localisation • Voyages effectués, dans quels pays
• Enregistrement de communication téléphoniques • Fonction d’une personne dans une entreprise ou d’un
(service consommateur) homme public
• Pseudonyme • Adresse IP et cookies (une adresse IP dans un cyber café
• Valeur d’un logement, taxes et impôts sans identification possible n’est pas une donnée
personnelle)…Données
1 Finalité 2 3 Rétention 4 Sécurité 5 Droits
Données sensibles
(collecte « en principe » interdite)
u Données génétiques, biométriques
aux fins d’identifier une personne de
manière unique
u Infractions, condamnations et mesure
de sûreté (réservé au contrôle de
l’autorité publique)3 Rétention
1 Finalité 2 Données 3 4 Sécurité 5 Droits
Durée de conservation
u Durée de conservation déterminée, et lorsque ce n’est pas possible les critères utilisés pour déterminer
cette durée
u En toute proportionnalité en regard de la finalité
u Tenir compte d’exigences réglementaires de l’UE ou d’un état membre4 Sécurité
1 Finalité 2 Données 3 Rétention 4 5 Droits
Sécurité des données
u Couvrir des risques (menace/vulnérabilité/impact)
u Empêcher l’altération, la suppression
u Empêcher que des tiers non autorisés y aient accès
u Actions
u les "éléments à protéger" : minimiser les données, chiffrer, anonymiser, permettre l'exercice des droits…
u les "impacts potentiels" : sauvegarder les données, tracer l'activité, gérer les violations de données…
u les "sources de risques" : contrôler les accès, gérer les tiers, lutter contre les codes malveillants…
u les "supports" : réduire les vulnérabilités des matériels, logiciels, réseaux, documents papier…
u Des outils des normes : PIA-EIVP, ISO 27005
u Technique / Organisationnel / Comportemental / Contractuel5 Droits
1 Finalité 2 Données 3 Rétention 4 Sécurité 5
Respect du droit des personnes
u Information
u Finalité, identité du RT, destinataires, durée de conservation, caractère
facultatif des réponses et conséquences éventuelles, droits
u Consentement - Licéité
u Accès, rectification
u Opposition (limitation profilage, arrêt de prospection)
u Effacement (droit à l’oubli)
u DCP ne sont plus nécessaires en regard de la finalité
u Portabilité
u 1 mois, contrôle de l’identité du demandeur, sans fraisCe qui change
La relation individu/organisme Ce que doit faire l’organisme
u Information u Registre
u Consentement u Documenter / prouver
u Droits u Sécurité
u Portabilité u EIVP / Transfert hors UE
u Limitation traitement u Notification de violation
u Droit à l’oubli / droit d’opposition u Sous-traitance
u Mineurs
Un Délégué à la Protection des Données (DPO)
u Obligatoire dans certains cas u Secret professionnel
u Chef d’orchestre u Moyens & ressources
u Mutualisation/Contractualisation u Informer, conseiller, piloter
u
Impulsion Digitale RH
Rattaché au plus haut niveau u Sensibiliser, documenter
19/04/2018
u Attention conflits d’intérêts u Point de contact (droits, CNIL)L’écosystème du DPO
Président
Sureté Risques
Cadres dirigeants Sous-traitants
Accueil Conformité
Responsable
Déontologie
du traitement
Finalités et Moyens
Accueil
téléphonique
Qualité Juridique
DPO DRH Intelligence
RSSI DSI économique
Etudes/Chefs de projet
Communication
Marketing
Resp Prod Ventes
Help Desk Bureautique
DBA
Réseau « Déclencheurs »
PRA du traitement
Messagerie Achats
Systèmes
Impulsion Digitale RH 19/04/2018Repenser la relation clients,
patients, administrés, partenaires
(transparence, pertinence des
Scope
données, confiance)
Assurer une pérennité
Conformité permanente.
Vérifier les données
Time Quality (intégrité, utiles,
exploitables, revalorisation).
Expérience utilisateur (UX),
Qualité versus quantité.
Approche risques (data
breach), renforcement
sécurité. Risk Effort Mieux comprendre et
répondre aux attentes des
Maintenir sa reputation. individus et des partenaires.
Engagement loyal et citoyen.
Impulsion Digitale RH 19/04/2018
Un modèle de Management de projet : SQERTRetour d’expérience
d’une collectivité
territoriale
Impulsion Digitale RH 19/04/2018Annexe Impulsion Digitale RH 19/04/2018
Ch
Pi e
l o f d’
ta or
ge c h
Li tra es
O s te ns tre
A ù d ve
q so e t rs
Id ui nt rai
e s t e
C o n t e l l e to e m
m i fi c a s s c k é e n
bi
Impulsion Digitale RH
e n t i o n o n t es t s (
de de tra les par
t e s s n s m don f i n
Pr m a
Id m e p s o u s i s e née l i t é
le -tra s s )
en i è s
tif res c o i ta
ic a m ns nts
ti o e er
n su ve
de re -t-
s sd on
tra e
i te pr ?
m te o
Pr en c
ts ti o
C o ote à ns
u
E v v ti o c ris à
al ert ns qu pr
ua ur m es en
ti o e i dr
e
n de s e e
Im s r n
pa i s q œ
c t ue uv
Vi s re
Re e
pr et d
L’o fle i v é es
rg xes e
an p (P men
ism ro IA ac
t e )
e c es
s a ti o
it n d
à
qu es
i s do
’ a nn
dr é
(selon la CNIL)
es es
se a
Pr r e cq
eu n ui s
in
ve te
du rn
e/
re ex
sp te
ec rn
e
19/04/2018
td
e
la
ré
gl
em
en
ta
ti o
n
Chemin de la mise en conformitéVous pouvez aussi lire
