Rencontre RGPD - Réglementation Générale sur la Protection des Données - Agence d'attractivité de l'Alsace - ResOT Alsace
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Agence d’attractivité de l’Alsace Rencontre RGPD - Réglementation Générale sur la Protection des Données Alexandre ASTIER Château KIENER, 24 Rue de Verdun 30 janvier 2018
OBJECTIFS DE LA RENCONTRE
Présentation GROUPE COFIME
La nouvelle réglementation RGPD
Champ d’application de la réglementation
Traitement de données personnelles
Analyse préliminaire du périmètre RGPD des offices de tourismes
Processus et supports impactés
Données personnelles collectées et traitées
Quelques mots sur la méthodologie à mettre en œuvre
Outils de mise en conformité
Conduite du projet
Questions - Réponses
2
© 2018 Groupe Cofimé
Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent Pierre SCOTTE 22/01/2018
QUI SOMMES NOUS ?
3
© 2018 Groupe Cofimé
Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent Pierre SCOTTE 22/01/2018
GROUPE COFIME 1/3
1er groupe d’expertise comptable, d’audit
et de conseil indépendant en Alsace,
10 agences, en Alsace, Belfort et Paris,
Oberhausbergen
Nos équipes rassemblent plus de 210 Illkirch
collaborateurs,
Obernai
Le groupe COFIME est membre du réseau Sélestat
HLB International, présent dans 130 pays,
avec 1900 associés et 17 000 Colmar (Siège)
collaborateurs, Munster
Labélisé Alsace Excellence. Rouffach
Didenheim
Belfort
Paris
4
© 2018 Groupe Cofimé
Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent Pierre SCOTTE 22/01/2018
GROUPE COFIME 2/3
L’expertise-comptable avec un savoir-faire reconnu,
Le pôle CONSEIL proposant 6 familles de mission,
Un département spécialisé en audit légal et contractuel:
Le conseil en matière juridique, fiscale, sociale,
La formation grâce à notre organisme agréé EVALIS,
Une expertise informatique avec PROGYS (ESN)
5
© 2018 Groupe Cofimé
Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent Pierre SCOTTE 22/01/2018
GROUPE COFIME 3/3
Conseil
Audit légal
Expertise juridique, Conseil Formation
et
comptable social et
contractuel
patrimonial
• Audit légal • Mise en place d’une • Conseil juridique et fiscal • Support à la transaction Formations sur-mesure
comptabilité adaptée et (création et transmission dispensées en INTRA ou en
Commissariat aux • Risques et gouvernance
tenue de comptes d’entreprises, statuts, INTER par notre organisme
comptes normes
contrats) agréé EVALIS :
françaises, IFRS, HB2 • Etablissement des • Stratégies de
comptes consolidés • Conseil patrimonial développement • Passeport entreprise
Commissariat aux
apports et à la fusion • Etablissement des (audit, organisation
comptes et des patrimoniale, • Optimisation des • Gestion sociale
Attestations organisations et Paie
déclarations fiscales optimisation fiscale)
d’opérations
• Recherche de • Conseil social • Digitalisation et • Comptabilité
• Audit contractuel
financements et gestion (recrutements, contrats innovation générale
• Audit de fraude des relations avec les de travail, intéressement,
organismes bancaires et • Techniques financières • Pilotage de la
• Audit informatique prévoyance, retraite)
financiers Performance
• Audit d’acquisition • Etablissement des paies
• Gouvernance
• Evaluation d’entreprise • Domiciliation et Contrôle
interne
International Desk
6
© 2018 Groupe Cofimé
Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent Pierre SCOTTE 22/01/2018
PLAN DE LA
PRESENTATION
7
© 2018 Groupe Cofimé
Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent Pierre SCOTTE 22/01/2018
PARTIE I – REGLEMENTATION ET CHAMP D’APPLICATION
Evolution de la législation
Une réglementation dynamique
La territorialité de la réglementation
Définition, traitement et violation d’une donnée personnelle
Les grands principes de la protection des données
Les démarches de la protection des données et rôle du DPO
Principe de coresponsabilité et champ d’application
Les sanctions
8
© 2018 Groupe Cofimé
Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent Pierre SCOTTE 22/01/2018PARTIE II – ANALYSE PRELIMINAIRE DU PERIMETRE RGPD DES
OFFICES DE TOURISME
Les données personnelles au cœur des offices de tourisme
Première analyse des processus impactés par la RGPD
Recenser les systèmes d’information traitant et stockant des données
Principales données personnelles collectées et traitées
Exemples de risques
9
© 2018 Groupe Cofimé
Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent Pierre SCOTTE 22/01/2018PARTIE III – METHODOLOGIE A METTRE EN OEUVRE
Registre automatisé des activités de traitements
Etablir un plan de travail
Réaliser les analyses d’impact (Privacy Impact Assessment)
Livrables et maintien de la conformité
La conduite de ce projet
Planning
10
© 2018 Groupe Cofimé
Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent Pierre SCOTTE 22/01/2018REGLEMENTATION ET
CHAMP D’APPLICATION
11
© 2018 Groupe Cofimé
Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent Pierre SCOTTE 22/01/2018EVOLUTION DE LA LEGISLATION (1/3)
Directive 2016-279 du 24 avril 2016 sur le RGPD 1978
Abroge la directive 95/46/CE du 24 octobre 1995,
Entrée en vigueur le 25 mai 2018.
Projet de loi du 13 décembre 2017 2004
Présenté en Conseil des ministres par la Ministre de la Justice,
Adapter la loi Informatique et libertés au nouveau cadre
juridique européen,
25 Mai 2018
Pouvoir de contrôle étendu de la CNIL.
12
© 2018 Groupe Cofimé
Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent Pierre SCOTTE 22/01/2018EVOLUTION DE LA LEGISLATION (2/3)
CNIL : Autorité compétente en matière de RGPD
Accompagner / conseiller,
Contrôler / sanctionner.
Actualité : accompagne ET sanctionne
Mise à disposition d’un logiciel de PIA, qui permet de réaliser des analyses d’impact,
DARTY sanctionné le 10 janvier 2018 à hauteur de 100.000€ pour ne pas avoir
suffisamment sécurisé les données de clients ayant effectué une demande en ligne de
service après-vente.
13
© 2018 Groupe Cofimé
Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent Pierre SCOTTE 22/01/2018EVOLUTION DE LA LEGISLATION (3/3)
Normes et dispenses
La CNIL intervient également dans la définition du cadre de référence pour le traitement et la
collecte de données spécifiques, pour un secteur ou une activité précise.
Ces précisions réglementaires sont disponibles sur le site de la CNIL et définies par le biais de :
Dispenses (DI),
Normes simplifiées (NS),
Autorisations Uniques (AU),
Actes réglementaires Uniques (RU),
Méthodologie de référence (MR).
Exemple :
Dispense DI-008 : Associations : gestion des membres et donateurs
14
© 2018 Groupe Cofimé
Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent Pierre SCOTTE 22/01/2018UNE REGLEMENTATION DYNAMIQUE
Qui oblige les entreprises à:
Déclaration
Justifier et rendre compte de sa conformité et des moyens mis en place à
tout moment afin d’assurer la protection des données auprès de ses clients initiale
Documenter les mesures mises en place
Auto-certification
permanente de
conformité
15
© 2018 Groupe Cofimé
Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent Pierre SCOTTE 22/01/2018TERRITORIALITE DU REGLEMENT APPLICABLE
Aux traitements de données personnelles sur le territoire de l’UE, indépendamment de la
nationalité ou de la résidence des personnes concernées,
Aux entreprises de droit européen traitant des données personnelles de personnes vivant sur le
territoire de l’EU,
Aux entités offrant des biens ou des services à des personnes se trouvant sur le territoire de l’UE.
16
© 2018 Groupe Cofimé
Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent Pierre SCOTTE 22/01/2018DEFINITION, TRAITEMENT ET VIOLATION DE DONNEES A
CARACTERE PERSONNEL (1/2)
-
Les données à caractère personnel (art.4 RGPD):
Toute information se rapportant à une personne physique identifiée ou identifiable,
directement ou indirectement (…).
Exemples données directes : noms et prénoms, photo d’identité, adresse email nominative,
numéro de sécurité sociale.
Exemples données indirectes : numéro de téléphone, numéro de badge, plaque
d’immatriculation, référence d’un diplôme, relevés comptables, numéro de contrat, adresse
IP, etc., permettent d’identifier indirectement la personne, par recoupement avec des
données directement « identifiantes ».
Les données à caractère personnel sensibles:
Exemples: Numéro de SS, données bancaires et salariales…
Les données à caractère personnel de santé:
Exemples: Décompte de remboursement, feuilles de soin…
Les données à caractère personnel médicales:
Exemples: Dossier médical, questionnaires médicaux…
+
17
© 2018 Groupe Cofimé
Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent Pierre SCOTTE 22/01/2018DEFINITION, TRAITEMENT ET VIOLATION DE DONNEES A
CARACTERE PERSONNEL (2/2)
Donnée dite « particulière » ou « sensible »
Origines ethniques, les opinions politiques, philosophiques ou religieuses…
Traitement de données
Collecte, enregistrement, conservation, consultation, utilisation, destruction, archivage
(procédés automatisés ou non)
Destinataire (interne ou externe)
Personne physique ou morale qui reçoit communication de données
Finalité
Utilisation finale de la donnée collectée et traitée
Recueil du consentement et transparence de l’information
Violation de données
Destruction, perte, altération, divulgation non autorisée de données à caractère personnel,
de manière accidentelle ou illicite, ou l'accès non autorisé à de telles données.
18
© 2018 Groupe Cofimé
Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent Pierre SCOTTE 22/01/2018PRINCIPES DE LA PROTECTION DES DONNEES
Principe de loyauté
Tout traitement de donnée personnelle doit être légal, et transparent
Principe de proportionnalité
Collecter et traiter des données pertinentes pour la finalité envisagée et exprimée
Principe de minimisation
Seules les données nécessaires à la finalité définie doivent être collectées et traitées
Principe de réactivité
Les données doivent être exactes, tenues à jour et justifier de la conformité
Principe de sécurité
Dispositifs et procédures de sécurité mis en place et exigés des sous-traitants
Principe de conservation limitée
La durée de conservation est corrélée à la finalité
Principe d’information
Les personnes concernées disposent de droits d’accès, de rectification, d’effacement, de portabilité
19
© 2018 Groupe Cofimé
Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent Pierre SCOTTE 22/01/2018DEMARCHES DE LA PROTECTION DES DONNEES
Privacy by Design
Protection des données à intégrer dès la conception d’un service ou produit
Surveillance tout au long du cycle de vie des données
Security by Default
Concevoir et adapter les collectes et les traitements des données
Gestion des habilitations et des droits d’accès
« Accountability »
Etre en mesure de démontrer à tout moment que l’entreprise est en conformité
20
© 2018 Groupe Cofimé
Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent Pierre SCOTTE 22/01/2018PRINCIPE DE CORESPONSABILITE
Toutes les parties prenantes s’échangeant des services ou prestations, responsables de traitements
et sous-traitants, seront coresponsables :
Responsable du traitement : Personne physique ou morale qui détermine les finalités et les
moyens du traitement;
Sous-traitant : Personne physique ou morale, qui traite des données à caractère personnel
pour le compte du responsable du traitement;
PRESTATAIRE
Sous-traitant (traitements de son client) SOUS-TRAITANT DU
CLIENT
PRESTATAIRE
Responsable de ses traitements
CORESPONSABLES
21
© 2018 Groupe Cofimé
Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent Pierre SCOTTE 22/01/2018ROLE DU DELEGUE A LA PROTECTION DES DONNEES (DPO)
La désignation d’un délégué est obligatoire pour :
Les autorités ou les organismes publics,
Les organismes dont les activités de base les amènent à réaliser un suivi régulier et
systématique des personnes à grande échelle,
Les organismes dont les activités de base les amènent à traiter à grande échelle des
données dites « sensibles » ou relatives à des condamnations pénales et infractions.
En dehors des cas de désignation obligatoire, la désignation d’un délégué à la protection des
données est encouragée par la CNIL.
Direction
Missions du DPO Générale
Informer et conseiller
Faire réaliser la cartographie Métiers CNIL
Contrôler le respect du règlement RGPD
Sensibiliser et former le personnel
DPO
Coopérer avec l'autorité de contrôle
Juridique DSI
22
© 2018 Groupe Cofimé
Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent Pierre SCOTTE 15/01/2018LES SANCTIONS
Droit aux recours auprès d’une autorité de contrôle en cas de préjudice subi
Amendes administratives
Non conformité avec la règlementation : jusqu’à 10 millions d’euros ou jusqu’à 2% du chiffre
d’affaires annuel mondial
Violation des droits des personnes : jusqu’à 20 millions d’euros ou jusqu’à 4% du chiffre
d’affaires annuel mondial
Sanctions pénales
Article 226-16 (respect des formalités préalables à la mise en œuvre du traitement)
Article 226-17 (obligation de sécurité des données)
Article 226-21 (détournement de la finalité)
Article 226-22 (transfert de données hors UE)
23
© 2018 Groupe Cofimé
Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent Pierre SCOTTE 22/01/2018PERIMETRE RGPD DES
OFFICES DE TOURISME
24
© 2018 Groupe Cofimé
Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent Pierre SCOTTE 22/01/2018DONNEES PERSONNELLES, ELEMENT INCONTOURNABLE DES
OFFICES DE TOURISME
Les missions des Offices de Tourisme, à l’image de celles reprises ci-dessous, nécessitent de
collecter et traiter des données personnelles :
Accueillir et conseiller les touristes,
Collecter, trier et hiérarchiser l’information touristique,
Alimenter et mettre à jour des bases de données touristiques,
Développer des outils de diffusion de l'information,
Concevoir et lancer des campagnes de communication,
…
25
© 2018 Groupe Cofimé
Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent Pierre SCOTTE 22/01/2018PREMIERE ANALYSE DES PROCESSUS IMPACTES
ENTREPRISES PARTICULIERS
PROSPECTION (Newsletters particuliers et professionnels , demande de documentation…)
MARKETING / EVENEMENTIEL (Contacts salons, workshop, visites guidées, WE gourmands…)
SITE INTERNET
BASE DE DONNEES (prospects, fournisseurs, prestataires, clients, achats de BDD)
COMPTABILITE / FINANCE
GRC (billetterie / réservations / cartes…) GESTION FOURNISSEURS
GESTION DU PERSONNEL ET PAIE GESTION PRESTATAIRES
26
© 2018 Groupe Cofimé
Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent Pierre SCOTTE 22/01/2018SYSTEMES D’INFORMATIONS TRAITANT ET STOCKANT DES
DONNEES
Un nombre important de systèmes d’information (SI) et de supports informatique, développés
en interne ou par un sous-traitant informatique :
Systèmes d’information GRC / Prospection / Statistiques,
Système d’information de gestion des prestataires,
Système d’information de gestion des fournisseurs,
Sites internet,
Applications mobiles,
Système d’information RH,
Système d’informations comptables,
Système d’informations bancaires,
Infrastructure informatique : ordinateurs, téléphones portables, tablettes…
27
© 2018 Groupe Cofimé
Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent Pierre SCOTTE 22/01/2018PRINCIPALES DONNEES COLLECTEES ET TRAITEES
-
Première analyse des données personnelles collectées et traitées
Coordonnées (nom, prénom, email, téléphone, adresse…) des :
Prospects : personnes et professionnels Prestataires
Clients Associations
Membres de l’association Candidats postulant au sein des OT
Collaborateurs Elus
Fournisseurs Commerçants
Principales données sensibles collectées et traitées ou pouvant potentiellement l’être :
Données bancaires : Données de santé : Numéro de Sécurité sociale :
Collaborateurs Collaborateurs Collaborateurs
Clients Clients
Membres de l’association
+
28
© 2018 Groupe Cofimé
Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent Pierre SCOTTE 22/01/2018EXEMPLES DE RISQUES
Exemples de sources de risques au vue des processus métier :
Multiplicité des bases de données et de leurs supports,
Durée de conservation et destruction des données,
Gestion des habilitations aux différents SI et supports,
Sensibilisation des collaborateurs concernés : qui peuvent être nombreux et dispersés,
Sauvegardes et archives,
Gestion des sous-traitants / prestataires,
Gestion des emails,
Cybercriminalité,
Chiffrement (cryptage).
29
© 2018 Groupe Cofimé
Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent Pierre SCOTTE 22/01/2018QUELQUES MOTS SUR LA
METHODOLOGIE A METTRE
EN OEUVRE
30
© 2018 Groupe Cofimé
Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent Pierre SCOTTE 22/01/2018ETAPE 2: ETABLIR UN PLAN DE TRAVAIL
Les responsables de traitement doivent , sauf exceptions, établir un registre des activités de traitement des
données sous format électronique contenant :
Les informations de la cartographie, Qui ?
Les coordonnées du responsable de traitements et du DPO,
Les catégories de personnes concernées,
Pourquoi ? Où ?
Les délais de conservation des données,
Supports de stockage et de traitement, Quoi ?
Les mesures de sécurité en place.
Jusqu’à
Comment ?
quand ?
Exception à la tenue d’un registre :
« Entreprise ou organisation comptant moins de 250 employés, sauf si le traitement qu'elles effectuent est
susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s'il n'est pas
occasionnel ou s'il porte notamment sur les catégories particulières de données ».
31
© 2018 Groupe Cofimé
Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent Pierre SCOTTE 15/01/2018ETAPE 1: REGISTRE DES ACTIVITES DE TRAITEMENTS
• Le nom et les coordonnées du responsable du traitement, du représentant
Qui ? du responsable du traitement et du DPO
• Liste des sous-traitants
• Les catégories de données personnelles
Quoi ? • Les données sensibles
• Les catégories de personnes concernées
Pourquoi ? • Finalité du traitement effectué
• Sous-finalité si applicable
• Le lieu où les données sont hébergées
Où ? • Les catégories et types de destinataires
• Les destinataires dans les pays tiers ou organisations internationales
Jusqu’à quand ? • Les délais de détention et d’effacement des différentes catégories de
données
Comment ? • Les mesures de sécurité techniques et organisationnelles appropriées afin
de garantir un niveau de sécurité adapté au risque
32
© 2018 Groupe Cofimé
Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent Pierre SCOTTE 22/01/2018ETAPE 1: REGISTRE DES ACTIVITES DE TRAITEMENTS
Identification du traitement
Nom du Date de Date de mise Description du Finalité(s) du Référence documents
N° Process
traitement création à jour traitement traitement internes
T1
Identification des acteurs
Coordonnées du Délégué à la
Responsable(s) de Coordonnées du
Responsable de Sous-traitants protection des Coordonnées du DPD
traitement sous-traitant
traitement données (DPD)
Données, processus, supports
Données Catégories Description
Données Durées de Supports des Transfert
personnelles personnes Destinataires fonctionnelle du cycle
sensibles conservation données Hors UE
collectées et traitées concernées de vie des données
Mesures de sécurité
Mesures sur les données Mesures de sécurité du système Mesures organisationnelles
33
© 2018 Groupe Cofimé
Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent Pierre SCOTTE 22/01/2018ETAPE 2: ETABLIR UN PLAN DE TRAVAIL
Etablir le registre de traitement des données sous format électronique
Définir les mentions légales obligatoires à fournir lors de la collecte
Ces mentions légales sont généralement délivrée via les Politiques de confidentialité (sites web,
services cloud, applications, formulaire de collecte de données…). Exemples de mentions :
Identité et coordonnées du responsable du traitement,
Finalités du traitement,
Coordonnées du DPO,
Durée de conservation des données,
Droit d’accès / Droit de rectification / Droit d’opposition / Droit à l’effacement («droit à l'oubli / Droit à la
limitation / Droit à la portabilité.
Prise en charge des demandes d’exercice des droits
Disposer d’un outil permettant aux personnes d’exercer leur droits,
Toute demande d’une personne souhaitant exercer ses droits doit être traitée dans un délai d’un mois. Au
besoin ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes,
Les données doivent donc être facilement accessibles et modifiables. Une copie de ses données doivent
alors être fournie à la personne si elle exerce son droit d’accès.
34
© 2018 Groupe Cofimé
Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent Pierre SCOTTE 22/01/2018ETAPE 2: ETABLIR UN PLAN DE TRAVAIL
Adapter sa gestion contractuelle avec les clients / fournisseurs SI / sous-traitants
Ex : Mentionner dans les contrats :
L’ensemble des modalités de sécurité mises en œuvre autour des données (sécurité de l’information),
Les engagements du prestataire concernant (i) la publication des mentions obligatoires sur l’outil fourni, (ii)
les modalités de maintien à jour de la documentation de sécurité, (iii) les modalités d’exécution de
l’accountability,
L’exigence de coopération entre les deux parties, notamment en cas d’analyse d’impact, d’audit ou de
contrôle.
Nommer un DPO
Nommer un DPO interne ou externe,
S’assurer que le DPO nommé soit indépendant et dispose des capacités professionnelles et juridiques
nécessaires,
Définir les missions et responsabilités du DPO,
Mise en place d’un reporting RGPD à la direction.
35
© 2018 Groupe Cofimé
Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent Pierre SCOTTE 22/01/2018ETAPE 2: ETABLIR UN PLAN DE TRAVAIL
Formation des collaborateurs
Sensibilisation des collaborateurs à l’impacte de la RGPD et à la notion de donnée personnelle,
Etablissement et présentation d’un glossaire technique,
Traitement des données et notification des violations de données personnelles.
Identification des risques de traitements nécessitant une analyse d’impact
Traitements jugés à risque en raison de leur nature ou des données traitées et devant faire l’objet
d’une analyse d’impact (PIA) :
Traitement de données sensibles,
Traitement à grande échelle (niveau régional, national, supranational),
Traitements considérés par la CNIL comme critiques en termes de libertés publiques.
36
© 2018 Groupe Cofimé
Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent Pierre SCOTTE 22/01/2018ETAPE 2: ETABLIR UN PLAN DE TRAVAIL
S’assurer du consentement à collecter
Etre en mesure de démontrer que la personne concernée a donné son consentement au traitement de données
à caractère personnel la concernant
La demande est présentée sous une forme compréhensible et aisément accessible,
La demande est formulée en des termes clairs et simples,
Prévoir une procédure de signalement
Le responsable de traitement dispose de maximum 72h (24h en cas d’extrême urgence dans le projet de loi)
pour notifier à la CNIL une violation de données :
La nature de la violation de données, les catégories et le nombre approximatif de personnes concernées,
Le nom et les coordonnées du DPO ou d'un autre point de contact,
Les conséquences probables de la violation de données à caractère personnel,
Les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation.
37
© 2018 Groupe Cofimé
Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent Pierre SCOTTE 22/01/2018ETAPE 3: REALISER LES ANALYSES D’IMPACT
4. 1.
Décision Contexte
Sources de Supports de Données à Impacts
risques données protéger potentiels
3. 2.
Risques Mesures Menaces Evènements redoutés
Exemple : Collecte et traitement de données personnelles afin de réaliser les fiches de paie
38
© 2018 Groupe Cofimé
Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent Pierre SCOTTE 22/01/2018ETAPE 3: REALISER LES ANALYSES D’IMPACT
Description Générale Description Détaillée
• Traitement considéré : Collecter les données de • Données concernées : Nom, Prénom, Adresse,
chaque employé afin d’éditer et d’envoyer les N° de SS, RIB…
fiches de paie • Destinataires : Salarié, personnes chargées de
• Finalités : Réaliser et envoyer les fiches de paie la gestion du personnel
• Enjeux (intérêt légitime) : Obligation légale • Durée de conservation : Période d’emploi de la
personne(les bulletins de paie peuvent être
• Responsable du traitement : Personnes gardés 5 ans après le départ du salarié sur un
chargées de la gestion du personnel support d’archive dédié)
• Sous-traitants : Logiciel Paie X • Description des processus et des supports :
Personne chargée de la gestion du personnel en
charge de collecter les données, de les stocker
et de les supprimer. Données collectées, 1.
traitées, et stockées sur le logiciel de paie X Contexte
(sous-traitant Y)
39
© 2018 Groupe Cofimé
Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent Pierre SCOTTE 22/01/2018ETAPE 3: REALISER LES ANALYSES D’IMPACT
Mesures Mesures de Mesures de
organisationnelles sécurité logique sécurité physique
• Ségrégation des tâches • Gestion des habilitations • Contrôle d’accès
• Risques RH ciblés et et autorisations d’accès physique dans les locaux
cartographiés aux dossiers du (badge)
• Procédure de gestion de département RH • Stockage des dossiers du
la paie formalisée et • Gestion des habilitations personnel dans des
validée et autorisations d’accès armoires verrouillées
• Reporting Régulier au du logiciel RH • Service RH intégré au
DRH et Direction • Sauvegarde Cloud des plan de continuité des
Générale données RH auprès du activités
sous-traitant
2.
Mesures
40
© 2018 Groupe Cofimé
Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent Pierre SCOTTE 22/01/2018ETAPE 3: REALISER LES ANALYSES D’IMPACT
S’assurer du respect des principes fondamentaux
Proportionnalité et nécessité :
Les finalités du traitement sont-elles déterminées, explicites et légitimes ?
Le traitement est-il licite au vu de ses fondements ?
Les données collectées sont-elles adéquates, pertinentes et limitées au regard des finalités
exprimées (minimisation des données) ?
Les données sont-elles exactes et tenues à jour ?
La durée de conservation des données est-elle justifiée par les besoins du traitement et/ou les
contraintes légales ?
Mesures protectrices des droits
Les personnes concernées sont-elles informées du traitement ?
3.
Le consentement des personnes concernées est-il obtenu ? Risques
Les personnes concernées peuvent-elles exercer leurs droits :
accès/portabilité/rectification/effacement/limitation/opposition ?
Les obligations des sous-traitants sont-elles clairement définies et contractualisées ?
En cas de transfert de données en dehors de l'Union européenne, les données sont-elles protégées
de manière équivalente ?
41
© 2018 Groupe Cofimé
Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent Pierre SCOTTE 22/01/2018ETAPE 3: REALISER LES ANALYSES D’IMPACT
Matrice et cartographie des risques
Risque résiduel
Catégorie risque Risque Supports Principaux impacts Mesures en place Recommandations
Gravité / Probabilité
Accès illégitime Accès Logiciels - Matériels Possibilité - Tests d’intrusion Probabilité : 2 Mettre en place
aux données numérique d’utilisation réguliers (3x/an) Gravité : 3 une revue
personnelles non autorisé à malveillante des - Tout nouveau droit trimestrielle
des données données pouvant accordé est soumis formalisée de
personnelles causer des au contrôle 4 yeux l’ensemble des
des conséquences droits d’accès
collaborateurs significatives
Maximal 4
GRAVITE
Important 3 1
Limitée 2
Négligeable 1
3.
Risques
1 2 3 4
Négligeable Limitée Important Maximal
42
PROBABILITE
© 2018 Groupe Cofimé
Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent Pierre SCOTTE 22/01/2018ETAPE 3: REALISER LES ANALYSES D’IMPACT
Le PIA lié à la collecte et au
4. Validation
traitement de DCPde l’analyse
afin ded’impact
réaliser
les fiches de paie est-il jugé
acceptable ?
NON OUI
Identification des risques Validation formelle et
jugés inacceptable et mise en place du plan
4.
mesures d’atténuation d’action Décision
43
© 2018 Groupe Cofimé
Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent Pierre SCOTTE 22/01/2018ETAPE 4: LIVRABLES ET MAINTIEN DE LA CONFORMITE
Maintien en conditions opérationnelles de l’ensemble des documents établis
Gestion des demandes internes et externes
Gestion des violations de données
Analyse des nouveaux projets et produits (Privacy by design / default)
Veille réglementaire
Justifier Piloter Actualiser Anticiper
Documenter Informer Améliorer Concevoir
Communiquer Contrôler Prouver Gérer
44
© 2018 Groupe Cofimé
Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent Pierre SCOTTE 22/01/2018LA CONDUITE D’UN TEL PROJET
L’intégration de ce projet au plan stratégique
La nomination d’un Comité de Pilotage et d’une équipe dédiée Experts
Le sponsor de la direction
Le phasage des opérations
L’accompagnement externe Comité
Chef de Equipe
projet de projet
pilotage
Référent
utilisateur
Recenser Analyser
Cartographier Mettre en
45
place
© 2018 Groupe Cofimé
Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent Pierre SCOTTE 22/01/2018PLANNING
Février 2018 Mars 2018 Avril 2018 Mai 2018
Juin - Déc 2018
Q1 Q2 Q1 Q2 Q1 Q2 Q1 Q2
Nomination et Plan travail
DPO 1 Analyse d’impact Mise en place et
(PIA)& reco suivi reco. PIA 4-6
4-6 Tests
Registre traitements 4-6
MISE EN 2-3-6
CONFOR
MITE Proc. violation Structure reporting
RGPD Consentement + données DPO
5-6
Confidentialité 5-6 5
Exercice des droits 5-6 Formation pers. 5
Missions Bilan
DPO
1 Annuel
1-5
PHASE 1 : DIAGNOSTIC PHASE 2 : EVALUATION PHASE 3 : TEST
25 MAI
2018
Travaux Etapes CNIL
46
© 2018 Groupe Cofimé
Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent Pierre SCOTTE 22/01/2018DES QUESTIONS?
47
© 2018 Groupe Cofimé
Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent Pierre SCOTTE 22/01/2018Alexandre ASTIER Pierre SCOTTE
Associé Consultant Senior
Pôle CONSEIL Pôle CONSEIL
10, rue du Parc 10, rue du Parc
67205 OBERHAUSBERGEN 67205 OBERHAUSBERGEN
alexandre.astier@hlb-cofime.com p.scotte@hlb-cofime.com
+33 6 31 02 53 75 +33 6 62 51 42 19
48
© 2018 Groupe Cofimé
Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent Pierre SCOTTE 22/01/2018Vous pouvez aussi lire
