Rencontre RGPD - Réglementation Générale sur la Protection des Données - Agence d'attractivité de l'Alsace - ResOT Alsace

 
Rencontre RGPD - Réglementation Générale sur la Protection des Données - Agence d'attractivité de l'Alsace - ResOT Alsace
Agence d’attractivité de l’Alsace

Rencontre RGPD -
Réglementation Générale sur
la Protection des Données

 Alexandre ASTIER

 Château KIENER, 24 Rue de Verdun
 30 janvier 2018
Rencontre RGPD - Réglementation Générale sur la Protection des Données - Agence d'attractivité de l'Alsace - ResOT Alsace
OBJECTIFS DE LA RENCONTRE

   Présentation GROUPE COFIME

   La nouvelle réglementation RGPD

       Champ d’application de la réglementation

       Traitement de données personnelles

   Analyse préliminaire du périmètre RGPD des offices de tourismes

       Processus et supports impactés

       Données personnelles collectées et traitées

   Quelques mots sur la méthodologie à mettre en œuvre

       Outils de mise en conformité

       Conduite du projet

   Questions - Réponses

                                                                                                                                                                                                          2

              © 2018 Groupe Cofimé
              Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent   Pierre SCOTTE 22/01/2018
Rencontre RGPD - Réglementation Générale sur la Protection des Données - Agence d'attractivité de l'Alsace - ResOT Alsace
QUI SOMMES NOUS ?

                                                                                                                                                                                            3

© 2018 Groupe Cofimé
Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent   Pierre SCOTTE 22/01/2018
Rencontre RGPD - Réglementation Générale sur la Protection des Données - Agence d'attractivité de l'Alsace - ResOT Alsace
GROUPE COFIME 1/3

 1er groupe d’expertise comptable, d’audit
  et de conseil indépendant en Alsace,

 10 agences, en Alsace, Belfort et Paris,
                                                                                                                                                                              Oberhausbergen
 Nos équipes rassemblent plus de 210                                                                                                                                         Illkirch
  collaborateurs,
                                                                                                                                                                              Obernai
 Le groupe COFIME est membre du réseau                                                                                                                                       Sélestat
  HLB International, présent dans 130 pays,
  avec 1900 associés et 17 000                                                                                                                                                Colmar (Siège)
  collaborateurs,                                                                                                                                                             Munster

 Labélisé Alsace Excellence.                                                                                                                                                 Rouffach
                                                                                                                                                                              Didenheim
                                                                                                                                                                              Belfort
                                                                                                                                                                              Paris
                                                                                                                                                                                                            4

            © 2018 Groupe Cofimé
            Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent       Pierre SCOTTE 22/01/2018
Rencontre RGPD - Réglementation Générale sur la Protection des Données - Agence d'attractivité de l'Alsace - ResOT Alsace
GROUPE COFIME 2/3

 L’expertise-comptable avec un savoir-faire reconnu,

 Le pôle CONSEIL proposant 6 familles de mission,

 Un département spécialisé en audit légal et contractuel:

 Le conseil en matière juridique, fiscale, sociale,

 La formation grâce à notre organisme agréé EVALIS,

 Une expertise informatique avec PROGYS (ESN)

                                                                                                                                                                                                         5

             © 2018 Groupe Cofimé
             Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent   Pierre SCOTTE 22/01/2018
Rencontre RGPD - Réglementation Générale sur la Protection des Données - Agence d'attractivité de l'Alsace - ResOT Alsace
GROUPE COFIME 3/3

                                                                                                                  Conseil
        Audit légal
                                                        Expertise                                                 juridique,                                                 Conseil              Formation
        et
                                                        comptable                                                 social et
        contractuel
                                                                                                                  patrimonial
• Audit légal                           • Mise en place d’une                                      • Conseil juridique et fiscal                              • Support à la transaction   Formations sur-mesure
                                          comptabilité adaptée et                                    (création et transmission                                                             dispensées en INTRA ou en
 Commissariat aux                                                                                                                                            • Risques et gouvernance
                                          tenue de comptes                                           d’entreprises, statuts,                                                               INTER par notre organisme
  comptes normes
                                                                                                     contrats)                                                                             agréé EVALIS :
  françaises, IFRS, HB2                 • Etablissement des                                                                                                   • Stratégies de
                                          comptes consolidés                                       • Conseil patrimonial                                        développement                • Passeport entreprise
 Commissariat aux
  apports et à la fusion                • Etablissement des                                          (audit, organisation
                                          comptes et des                                             patrimoniale,                                            • Optimisation des             • Gestion sociale
 Attestations                                                                                                                                                  organisations                  et Paie
                                          déclarations fiscales                                      optimisation fiscale)
  d’opérations
                                        • Recherche de                                             • Conseil social                                           • Digitalisation et            • Comptabilité
• Audit contractuel
                                          financements et gestion                                    (recrutements, contrats                                    innovation                     générale
• Audit de fraude                         des relations avec les                                     de travail, intéressement,
                                          organismes bancaires et                                                                                             • Techniques financières       • Pilotage de la
• Audit informatique                                                                                 prévoyance, retraite)
                                          financiers                                                                                                                                           Performance
• Audit d’acquisition                   • Etablissement des paies
                                                                                                                                                                                             • Gouvernance
• Evaluation d’entreprise               • Domiciliation                                                                                                                                        et Contrôle
                                                                                                                                                                                               interne

                                                                                                      International Desk

                                                                                                                                                                                                                              6

                        © 2018 Groupe Cofimé
                        Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent             Pierre SCOTTE 22/01/2018
Rencontre RGPD - Réglementation Générale sur la Protection des Données - Agence d'attractivité de l'Alsace - ResOT Alsace
PLAN DE LA
                                          PRESENTATION

                                                                                                                                                                                            7

© 2018 Groupe Cofimé
Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent   Pierre SCOTTE 22/01/2018
Rencontre RGPD - Réglementation Générale sur la Protection des Données - Agence d'attractivité de l'Alsace - ResOT Alsace
PARTIE I – REGLEMENTATION ET CHAMP D’APPLICATION

   Evolution de la législation

   Une réglementation dynamique

   La territorialité de la réglementation

   Définition, traitement et violation d’une donnée personnelle

   Les grands principes de la protection des données

   Les démarches de la protection des données et rôle du DPO

   Principe de coresponsabilité et champ d’application

   Les sanctions

                                                                                                                                                                                                         8

             © 2018 Groupe Cofimé
             Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent   Pierre SCOTTE 22/01/2018
PARTIE II – ANALYSE PRELIMINAIRE DU PERIMETRE RGPD DES
OFFICES DE TOURISME

 Les données personnelles au cœur des offices de tourisme

 Première analyse des processus impactés par la RGPD

 Recenser les systèmes d’information traitant et stockant des données

 Principales données personnelles collectées et traitées

 Exemples de risques

                                                                                                                                                                                                        9

            © 2018 Groupe Cofimé
            Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent   Pierre SCOTTE 22/01/2018
PARTIE III – METHODOLOGIE A METTRE EN OEUVRE

 Registre automatisé des activités de traitements

 Etablir un plan de travail

 Réaliser les analyses d’impact (Privacy Impact Assessment)

 Livrables et maintien de la conformité

 La conduite de ce projet

 Planning

                                                                                                                                                                                                       10

           © 2018 Groupe Cofimé
           Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent   Pierre SCOTTE 22/01/2018
REGLEMENTATION ET
                                      CHAMP D’APPLICATION

                                                                                                                                                                                            11

© 2018 Groupe Cofimé
Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent   Pierre SCOTTE 22/01/2018
EVOLUTION DE LA LEGISLATION (1/3)

   Directive 2016-279 du 24 avril 2016 sur le RGPD                                                                                                                               1978

      Abroge la directive 95/46/CE du 24 octobre 1995,

      Entrée en vigueur le 25 mai 2018.

 Projet de loi du 13 décembre 2017                                                                                                                                              2004

      Présenté en Conseil des ministres par la Ministre de la Justice,

      Adapter la loi Informatique et libertés au nouveau cadre
       juridique européen,
                                                                                                                                                                             25 Mai 2018
      Pouvoir de contrôle étendu de la CNIL.

                                                                                                                                                                                                            12

            © 2018 Groupe Cofimé
            Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent       Pierre SCOTTE 22/01/2018
EVOLUTION DE LA LEGISLATION (2/3)

   CNIL : Autorité compétente en matière de RGPD

        Accompagner / conseiller,

        Contrôler / sanctionner.

   Actualité : accompagne ET sanctionne

        Mise à disposition d’un logiciel de PIA, qui permet de réaliser des analyses d’impact,

        DARTY sanctionné le 10 janvier 2018 à hauteur de 100.000€ pour ne pas avoir
         suffisamment sécurisé les données de clients ayant effectué une demande en ligne de
         service après-vente.

                                                                                                                                                                                                        13

            © 2018 Groupe Cofimé
            Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent   Pierre SCOTTE 22/01/2018
EVOLUTION DE LA LEGISLATION (3/3)

 Normes et dispenses

   La CNIL intervient également dans la définition du cadre de référence pour le traitement et la
   collecte de données spécifiques, pour un secteur ou une activité précise.

   Ces précisions réglementaires sont disponibles sur le site de la CNIL et définies par le biais de :

      Dispenses (DI),
      Normes simplifiées (NS),
      Autorisations Uniques (AU),
      Actes réglementaires Uniques (RU),
      Méthodologie de référence (MR).

   Exemple :

      Dispense DI-008 : Associations : gestion des membres et donateurs

                                                                                                                                                                                                        14

            © 2018 Groupe Cofimé
            Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent   Pierre SCOTTE 22/01/2018
UNE REGLEMENTATION DYNAMIQUE

Qui oblige les entreprises à:
                                                                                                                                                                                 Déclaration
    Justifier et rendre compte de sa conformité et des moyens mis en place à
     tout moment afin d’assurer la protection des données auprès de ses clients                                                                                                    initiale

    Documenter les mesures mises en place

                                                                                                                                                                               Auto-certification
                                                                                                                                                                                permanente de
                                                                                                                                                                                  conformité

                                                                                                                                                                                                               15

              © 2018 Groupe Cofimé
              Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent        Pierre SCOTTE 22/01/2018
TERRITORIALITE DU REGLEMENT APPLICABLE

       Aux traitements de données personnelles sur le territoire de l’UE, indépendamment de la
        nationalité ou de la résidence des personnes concernées,
       Aux entreprises de droit européen traitant des données personnelles de personnes vivant sur le
        territoire de l’EU,
       Aux entités offrant des biens ou des services à des personnes se trouvant sur le territoire de l’UE.
                                                                                                                                                                                                    16

        © 2018 Groupe Cofimé
        Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent   Pierre SCOTTE 22/01/2018
DEFINITION, TRAITEMENT ET VIOLATION DE DONNEES A
CARACTERE PERSONNEL (1/2)
                                                                                                                                                                                                -
   Les données à caractère personnel (art.4 RGPD):
    Toute information se rapportant à une personne physique identifiée ou identifiable,
    directement ou indirectement (…).
    Exemples données directes : noms et prénoms, photo d’identité, adresse email nominative,
    numéro de sécurité sociale.
    Exemples données indirectes : numéro de téléphone, numéro de badge, plaque
    d’immatriculation, référence d’un diplôme, relevés comptables, numéro de contrat, adresse
    IP, etc., permettent d’identifier indirectement la personne, par recoupement avec des
    données directement « identifiantes ».
   Les données à caractère personnel sensibles:
    Exemples: Numéro de SS, données bancaires et salariales…
   Les données à caractère personnel de santé:
    Exemples: Décompte de remboursement, feuilles de soin…
   Les données à caractère personnel médicales:
    Exemples: Dossier médical, questionnaires médicaux…
                                                                                                                                                                                                +
                                                                                                                                                                                                        17

            © 2018 Groupe Cofimé
            Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent   Pierre SCOTTE 22/01/2018
DEFINITION, TRAITEMENT ET VIOLATION DE DONNEES A
CARACTERE PERSONNEL (2/2)
   Donnée dite « particulière » ou « sensible »
    Origines ethniques, les opinions politiques, philosophiques ou religieuses…

   Traitement de données
    Collecte, enregistrement, conservation, consultation, utilisation, destruction, archivage
    (procédés automatisés ou non)

   Destinataire (interne ou externe)
    Personne physique ou morale qui reçoit communication de données

   Finalité
    Utilisation finale de la donnée collectée et traitée

   Recueil du consentement et transparence de l’information

   Violation de données
    Destruction, perte, altération, divulgation non autorisée de données à caractère personnel,
    de manière accidentelle ou illicite, ou l'accès non autorisé à de telles données.

                                                                                                                                                                                                        18

            © 2018 Groupe Cofimé
            Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent   Pierre SCOTTE 22/01/2018
PRINCIPES DE LA PROTECTION DES DONNEES

   Principe de loyauté
    Tout traitement de donnée personnelle doit être légal, et transparent

   Principe de proportionnalité
    Collecter et traiter des données pertinentes pour la finalité envisagée et exprimée

   Principe de minimisation
    Seules les données nécessaires à la finalité définie doivent être collectées et traitées

   Principe de réactivité
    Les données doivent être exactes, tenues à jour et justifier de la conformité

   Principe de sécurité
    Dispositifs et procédures de sécurité mis en place et exigés des sous-traitants

   Principe de conservation limitée
    La durée de conservation est corrélée à la finalité

   Principe d’information
    Les personnes concernées disposent de droits d’accès, de rectification, d’effacement, de portabilité

                                                                                                                                                                                                        19

            © 2018 Groupe Cofimé
            Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent   Pierre SCOTTE 22/01/2018
DEMARCHES DE LA PROTECTION DES DONNEES

   Privacy by Design

     Protection des données à intégrer dès la conception d’un service ou produit
     Surveillance tout au long du cycle de vie des données

   Security by Default

     Concevoir et adapter les collectes et les traitements des données
     Gestion des habilitations et des droits d’accès

   « Accountability »

     Etre en mesure de démontrer à tout moment que l’entreprise est en conformité

                                                                                                                                                                                                       20

           © 2018 Groupe Cofimé
           Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent   Pierre SCOTTE 22/01/2018
PRINCIPE DE CORESPONSABILITE

 Toutes les parties prenantes s’échangeant des services ou prestations, responsables de traitements
  et sous-traitants, seront coresponsables :
       Responsable du traitement : Personne physique ou morale qui détermine les finalités et les
        moyens du traitement;
       Sous-traitant : Personne physique ou morale, qui traite des données à caractère personnel
        pour le compte du responsable du traitement;

                                                                                        PRESTATAIRE

                                             Sous-traitant (traitements de son client)                                                                                        SOUS-TRAITANT DU
     CLIENT
                                                                                                                                                                                 PRESTATAIRE
                                             Responsable de ses traitements

                                                                                                          CORESPONSABLES
                                                                                                                                                                                                               21

              © 2018 Groupe Cofimé
              Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent        Pierre SCOTTE 22/01/2018
ROLE DU DELEGUE A LA PROTECTION DES DONNEES (DPO)

   La désignation d’un délégué est obligatoire pour :
          Les autorités ou les organismes publics,
          Les organismes dont les activités de base les amènent à réaliser un suivi régulier et
           systématique des personnes à grande échelle,
          Les organismes dont les activités de base les amènent à traiter à grande échelle des
           données dites « sensibles » ou relatives à des condamnations pénales et infractions.

   En dehors des cas de désignation obligatoire, la désignation d’un délégué à la protection des
    données est encouragée par la CNIL.
                                                                                                                                                                        Direction
   Missions du DPO                                                                                                                                                     Générale

          Informer et conseiller
          Faire réaliser la cartographie                                                                                                Métiers                                          CNIL
          Contrôler le respect du règlement RGPD
          Sensibiliser et former le personnel
                                                                                                                                                                     DPO
          Coopérer avec l'autorité de contrôle
                                                                                                                                                    Juridique                       DSI

                                                                                                                                                                                                                            22

             © 2018 Groupe Cofimé
             Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent                      Pierre SCOTTE 15/01/2018
LES SANCTIONS

   Droit aux recours auprès d’une autorité de contrôle en cas de préjudice subi

   Amendes administratives

     Non conformité avec la règlementation : jusqu’à 10 millions d’euros ou jusqu’à 2% du chiffre
      d’affaires annuel mondial

     Violation des droits des personnes : jusqu’à 20 millions d’euros ou jusqu’à 4% du chiffre
      d’affaires annuel mondial

   Sanctions pénales

       Article 226-16 (respect des formalités préalables à la mise en œuvre du traitement)
       Article 226-17 (obligation de sécurité des données)
       Article 226-21 (détournement de la finalité)
       Article 226-22 (transfert de données hors UE)

                                                                                                                                                                                                         23

             © 2018 Groupe Cofimé
             Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent   Pierre SCOTTE 22/01/2018
PERIMETRE RGPD DES
                                       OFFICES DE TOURISME

                                                                                                                                                                                            24

© 2018 Groupe Cofimé
Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent   Pierre SCOTTE 22/01/2018
DONNEES PERSONNELLES, ELEMENT INCONTOURNABLE DES
OFFICES DE TOURISME
   Les missions des Offices de Tourisme, à l’image de celles reprises ci-dessous, nécessitent de
    collecter et traiter des données personnelles :

       Accueillir et conseiller les touristes,

       Collecter, trier et hiérarchiser l’information touristique,

       Alimenter et mettre à jour des bases de données touristiques,

       Développer des outils de diffusion de l'information,

       Concevoir et lancer des campagnes de communication,

       …

                                                                                                                                                                                                        25

            © 2018 Groupe Cofimé
            Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent   Pierre SCOTTE 22/01/2018
PREMIERE ANALYSE DES PROCESSUS IMPACTES

                         ENTREPRISES                                                                                                                                    PARTICULIERS
 PROSPECTION (Newsletters particuliers et professionnels , demande de documentation…)

 MARKETING / EVENEMENTIEL (Contacts salons, workshop, visites guidées, WE gourmands…)

 SITE INTERNET

 BASE DE DONNEES (prospects, fournisseurs, prestataires, clients, achats de BDD)

 COMPTABILITE / FINANCE

 GRC (billetterie / réservations / cartes…)                                                                                   GESTION FOURNISSEURS

 GESTION DU PERSONNEL ET PAIE                                                                                                  GESTION PRESTATAIRES

                                                                                                                                                                                                                  26

            © 2018 Groupe Cofimé
            Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent             Pierre SCOTTE 22/01/2018
SYSTEMES D’INFORMATIONS TRAITANT ET STOCKANT DES
DONNEES
   Un nombre important de systèmes d’information (SI) et de supports informatique, développés
    en interne ou par un sous-traitant informatique :

      Systèmes d’information GRC / Prospection / Statistiques,

      Système d’information de gestion des prestataires,

      Système d’information de gestion des fournisseurs,

      Sites internet,

      Applications mobiles,

      Système d’information RH,

      Système d’informations comptables,

      Système d’informations bancaires,

      Infrastructure informatique : ordinateurs, téléphones portables, tablettes…

                                                                                                                                                                                                        27

            © 2018 Groupe Cofimé
            Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent   Pierre SCOTTE 22/01/2018
PRINCIPALES DONNEES COLLECTEES ET TRAITEES

                                                                                                                                                                                                              -
   Première analyse des données personnelles collectées et traitées
    Coordonnées (nom, prénom, email, téléphone, adresse…) des :
      Prospects : personnes et professionnels                                                                                     Prestataires
      Clients                                                                                                                     Associations
      Membres de l’association                                                                                                    Candidats postulant au sein des OT
      Collaborateurs                                                                                                              Elus
      Fournisseurs                                                                                                                Commerçants

   Principales données sensibles collectées et traitées ou pouvant potentiellement l’être :

    Données bancaires :                                                                Données de santé :                                                          Numéro de Sécurité sociale :
       Collaborateurs                                                                        Collaborateurs                                                            Collaborateurs
       Clients                                                                               Clients
       Membres de l’association
                                                                                                                                                                                                              +
                                                                                                                                                                                                                      28

           © 2018 Groupe Cofimé
           Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent                  Pierre SCOTTE 22/01/2018
EXEMPLES DE RISQUES

   Exemples de sources de risques au vue des processus métier :

      Multiplicité des bases de données et de leurs supports,

      Durée de conservation et destruction des données,

      Gestion des habilitations aux différents SI et supports,

      Sensibilisation des collaborateurs concernés : qui peuvent être nombreux et dispersés,

      Sauvegardes et archives,

        Gestion des sous-traitants / prestataires,

      Gestion des emails,

      Cybercriminalité,

      Chiffrement (cryptage).

                                                                                                                                                                                                        29

            © 2018 Groupe Cofimé
            Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent   Pierre SCOTTE 22/01/2018
QUELQUES MOTS SUR LA
                                       METHODOLOGIE A METTRE
                                       EN OEUVRE

                                                                                                                                                                                            30

© 2018 Groupe Cofimé
Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent   Pierre SCOTTE 22/01/2018
ETAPE 2: ETABLIR UN PLAN DE TRAVAIL

   Les responsables de traitement doivent , sauf exceptions, établir un registre des activités de traitement des
    données sous format électronique contenant :

        Les informations de la cartographie,                                                                                                                                           Qui ?

        Les coordonnées du responsable de traitements et du DPO,
        Les catégories de personnes concernées,
                                                                                                                                                                   Pourquoi ?                                 Où ?
        Les délais de conservation des données,
        Supports de stockage et de traitement,                                                                                                                                         Quoi ?
        Les mesures de sécurité en place.

                                                                                                                                                                              Jusqu’à
                                                                                                                                                                                                 Comment ?
                                                                                                                                                                              quand ?

   Exception à la tenue d’un registre :
    « Entreprise ou organisation comptant moins de 250 employés, sauf si le traitement qu'elles effectuent est
    susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s'il n'est pas
    occasionnel ou s'il porte notamment sur les catégories particulières de données ».

                                                                                                                                                                                                                            31

             © 2018 Groupe Cofimé
             Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent                      Pierre SCOTTE 15/01/2018
ETAPE 1: REGISTRE DES ACTIVITES DE TRAITEMENTS

                                                                              • Le nom et les coordonnées du responsable du traitement, du représentant
       Qui ?                                                                    du responsable du traitement et du DPO
                                                                              • Liste des sous-traitants

                                                                              • Les catégories de données personnelles
      Quoi ?                                                                  • Les données sensibles
                                                                              • Les catégories de personnes concernées

    Pourquoi ?                                                                • Finalité du traitement effectué
                                                                              • Sous-finalité si applicable

                                                                              • Le lieu où les données sont hébergées
        Où ?                                                                  • Les catégories et types de destinataires
                                                                              • Les destinataires dans les pays tiers ou organisations internationales

 Jusqu’à quand ?                                                              • Les délais de détention et d’effacement des différentes catégories de
                                                                                données

   Comment ?                                                                  • Les mesures de sécurité techniques et organisationnelles appropriées afin
                                                                                de garantir un niveau de sécurité adapté au risque

                                                                                                                                                                                                   32

       © 2018 Groupe Cofimé
       Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent   Pierre SCOTTE 22/01/2018
ETAPE 1: REGISTRE DES ACTIVITES DE TRAITEMENTS

                                                                                    Identification du traitement
                Nom du                                            Date de                 Date de mise                          Description du                                       Finalité(s) du   Référence documents
     N°                                  Process
              traitement                                          création                   à jour                              traitement                                           traitement            internes
     T1

                                                                                        Identification des acteurs
                                  Coordonnées du                                                                                                                                      Délégué à la
  Responsable(s) de                                                                                                              Coordonnées du
                                  Responsable de                                    Sous-traitants                                                                                   protection des   Coordonnées du DPD
     traitement                                                                                                                   sous-traitant
                                    traitement                                                                                                                                       données (DPD)

                                                                                     Données, processus, supports
      Données                                                        Catégories                                                       Description
                                 Données                                                                             Durées de                          Supports des Transfert
    personnelles                                                      personnes                       Destinataires              fonctionnelle du cycle
                                 sensibles                                                                          conservation                          données     Hors UE
collectées et traitées                                               concernées                                                   de vie des données

                                                                                                       Mesures de sécurité
                            Mesures sur les données                                     Mesures de sécurité du système                                                Mesures organisationnelles

                                                                                                                                                                                                                                      33

                    © 2018 Groupe Cofimé
                    Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent                         Pierre SCOTTE 22/01/2018
ETAPE 2: ETABLIR UN PLAN DE TRAVAIL

   Etablir le registre de traitement des données sous format électronique
   Définir les mentions légales obligatoires à fournir lors de la collecte
    Ces mentions légales sont généralement délivrée via les Politiques de confidentialité (sites web,
    services cloud, applications, formulaire de collecte de données…). Exemples de mentions :
         Identité et coordonnées du responsable du traitement,
         Finalités du traitement,
         Coordonnées du DPO,
         Durée de conservation des données,
         Droit d’accès / Droit de rectification / Droit d’opposition / Droit à l’effacement («droit à l'oubli / Droit à la
          limitation / Droit à la portabilité.

   Prise en charge des demandes d’exercice des droits
       Disposer d’un outil permettant aux personnes d’exercer leur droits,
       Toute demande d’une personne souhaitant exercer ses droits doit être traitée dans un délai d’un mois. Au
        besoin ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes,
       Les données doivent donc être facilement accessibles et modifiables. Une copie de ses données doivent
        alors être fournie à la personne si elle exerce son droit d’accès.

                                                                                                                                                                                                         34

             © 2018 Groupe Cofimé
             Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent   Pierre SCOTTE 22/01/2018
ETAPE 2: ETABLIR UN PLAN DE TRAVAIL

   Adapter sa gestion contractuelle avec les clients / fournisseurs SI / sous-traitants
    Ex : Mentionner dans les contrats :
       L’ensemble des modalités de sécurité mises en œuvre autour des données (sécurité de l’information),
       Les engagements du prestataire concernant (i) la publication des mentions obligatoires sur l’outil fourni, (ii)
        les modalités de maintien à jour de la documentation de sécurité, (iii) les modalités d’exécution de
        l’accountability,
       L’exigence de coopération entre les deux parties, notamment en cas d’analyse d’impact, d’audit ou de
        contrôle.

   Nommer un DPO
       Nommer un DPO interne ou externe,
       S’assurer que le DPO nommé soit indépendant et dispose des capacités professionnelles et juridiques
        nécessaires,
       Définir les missions et responsabilités du DPO,
       Mise en place d’un reporting RGPD à la direction.

                                                                                                                                                                                                         35

             © 2018 Groupe Cofimé
             Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent   Pierre SCOTTE 22/01/2018
ETAPE 2: ETABLIR UN PLAN DE TRAVAIL

   Formation des collaborateurs

     Sensibilisation des collaborateurs à l’impacte de la RGPD et à la notion de donnée personnelle,
     Etablissement et présentation d’un glossaire technique,
     Traitement des données et notification des violations de données personnelles.

   Identification des risques de traitements nécessitant une analyse d’impact

    Traitements jugés à risque en raison de leur nature ou des données traitées et devant faire l’objet
    d’une analyse d’impact (PIA) :

     Traitement de données sensibles,
     Traitement à grande échelle (niveau régional, national, supranational),
     Traitements considérés par la CNIL comme critiques en termes de libertés publiques.

                                                                                                                                                                                                        36

            © 2018 Groupe Cofimé
            Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent   Pierre SCOTTE 22/01/2018
ETAPE 2: ETABLIR UN PLAN DE TRAVAIL

   S’assurer du consentement à collecter

    Etre en mesure de démontrer que la personne concernée a donné son consentement au traitement de données
    à caractère personnel la concernant

     La demande est présentée sous une forme compréhensible et aisément accessible,
     La demande est formulée en des termes clairs et simples,

   Prévoir une procédure de signalement

    Le responsable de traitement dispose de maximum 72h (24h en cas d’extrême urgence dans le projet de loi)
    pour notifier à la CNIL une violation de données :

       La nature de la violation de données, les catégories et le nombre approximatif de personnes concernées,
       Le nom et les coordonnées du DPO ou d'un autre point de contact,
       Les conséquences probables de la violation de données à caractère personnel,
       Les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation.

                                                                                                                                                                                                         37

             © 2018 Groupe Cofimé
             Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent   Pierre SCOTTE 22/01/2018
ETAPE 3: REALISER LES ANALYSES D’IMPACT

       4.           1.
    Décision     Contexte
                                                                        Sources de                                       Supports de                                          Données à        Impacts
                                                                          risques                                         données                                              protéger       potentiels
       3.          2.
    Risques      Mesures                                                                       Menaces                                                                            Evènements redoutés

Exemple : Collecte et traitement de données personnelles afin de réaliser les fiches de paie

                                                                                                                                                                                                                          38

                 © 2018 Groupe Cofimé
                 Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent                Pierre SCOTTE 22/01/2018
ETAPE 3: REALISER LES ANALYSES D’IMPACT

       Description Générale                                                                                              Description Détaillée

• Traitement considéré : Collecter les données de                                                          • Données concernées : Nom, Prénom, Adresse,
  chaque employé afin d’éditer et d’envoyer les                                                              N° de SS, RIB…
  fiches de paie                                                                                           • Destinataires : Salarié, personnes chargées de
• Finalités : Réaliser et envoyer les fiches de paie                                                         la gestion du personnel
• Enjeux (intérêt légitime) : Obligation légale                                                            • Durée de conservation : Période d’emploi de la
                                                                                                             personne(les bulletins de paie peuvent être
• Responsable du traitement : Personnes                                                                      gardés 5 ans après le départ du salarié sur un
  chargées de la gestion du personnel                                                                        support d’archive dédié)
• Sous-traitants : Logiciel Paie X                                                                         • Description des processus et des supports :
                                                                                                             Personne chargée de la gestion du personnel en
                                                                                                             charge de collecter les données, de les stocker
                                                                                                             et de les supprimer. Données collectées,                                               1.
                                                                                                             traitées, et stockées sur le logiciel de paie X                                     Contexte
                                                                                                             (sous-traitant Y)

                                                                                                                                                                                                             39

                 © 2018 Groupe Cofimé
                 Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent   Pierre SCOTTE 22/01/2018
ETAPE 3: REALISER LES ANALYSES D’IMPACT

    Mesures                                                       Mesures de                                                                      Mesures de
organisationnelles                                              sécurité logique                                                               sécurité physique
• Ségrégation des tâches                                 • Gestion des habilitations                                                        • Contrôle d’accès
• Risques RH ciblés et                                     et autorisations d’accès                                                           physique dans les locaux
  cartographiés                                            aux dossiers du                                                                    (badge)
• Procédure de gestion de                                  département RH                                                                   • Stockage des dossiers du
  la paie formalisée et                                  • Gestion des habilitations                                                          personnel dans des
  validée                                                  et autorisations d’accès                                                           armoires verrouillées
• Reporting Régulier au                                    du logiciel RH                                                                   • Service RH intégré au
  DRH et Direction                                       • Sauvegarde Cloud des                                                               plan de continuité des
  Générale                                                 données RH auprès du                                                               activités
                                                           sous-traitant

                                                                                                                                                                                               2.
                                                                                                                                                                                             Mesures

                                                                                                                                                                                                          40

              © 2018 Groupe Cofimé
              Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent   Pierre SCOTTE 22/01/2018
ETAPE 3: REALISER LES ANALYSES D’IMPACT

   S’assurer du respect des principes fondamentaux
     Proportionnalité et nécessité :
         Les finalités du traitement sont-elles déterminées, explicites et légitimes ?
         Le traitement est-il licite au vu de ses fondements ?
         Les données collectées sont-elles adéquates, pertinentes et limitées au regard des finalités
          exprimées (minimisation des données) ?
         Les données sont-elles exactes et tenues à jour ?
         La durée de conservation des données est-elle justifiée par les besoins du traitement et/ou les
          contraintes légales ?

     Mesures protectrices des droits
         Les personnes concernées sont-elles informées du traitement ?
                                                                                                     3.
         Le consentement des personnes concernées est-il obtenu ?                                Risques
         Les personnes concernées peuvent-elles exercer leurs droits :
          accès/portabilité/rectification/effacement/limitation/opposition ?
         Les obligations des sous-traitants sont-elles clairement définies et contractualisées ?
         En cas de transfert de données en dehors de l'Union européenne, les données sont-elles protégées
          de manière équivalente ?

                                                                                                                                                                                                       41

           © 2018 Groupe Cofimé
           Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent   Pierre SCOTTE 22/01/2018
ETAPE 3: REALISER LES ANALYSES D’IMPACT

           Matrice et cartographie des risques

                                                                                                                                                                                               Risque résiduel
Catégorie risque       Risque                                 Supports                             Principaux impacts                               Mesures en place                                                     Recommandations
                                                                                                                                                                                             Gravité / Probabilité
Accès illégitime   Accès                         Logiciels - Matériels                           Possibilité                                 - Tests d’intrusion                             Probabilité : 2            Mettre en place
aux données        numérique                                                                     d’utilisation                                 réguliers (3x/an)                             Gravité : 3                une revue
personnelles       non autorisé à                                                                malveillante des                            - Tout nouveau droit                                                       trimestrielle
                   des données                                                                   données pouvant                               accordé est soumis                                                       formalisée de
                   personnelles                                                                  causer des                                    au contrôle 4 yeux                                                       l’ensemble des
                   des                                                                           conséquences                                                                                                           droits d’accès
                   collaborateurs                                                                significatives

                                                    Maximal                     4
                              GRAVITE

                                                   Important                    3                                                 1

                                                     Limitée                    2

                                                 Négligeable                    1
                                                                                                                                                                                                                         3.
                                                                                                                                                                                                                      Risques
                                                                                                       1                          2                          3                           4

                                                                                              Négligeable                   Limitée                  Important                   Maximal
                                                                                                                                                                                                                                                42
                                                                                                                   PROBABILITE

                        © 2018 Groupe Cofimé
                        Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent                               Pierre SCOTTE 22/01/2018
ETAPE 3: REALISER LES ANALYSES D’IMPACT

                                                      Le PIA lié à la collecte et au
                                                        4. Validation
                                                  traitement    de DCPde l’analyse
                                                                           afin ded’impact
                                                                                   réaliser
                                                      les fiches de paie est-il jugé
                                                                acceptable ?

                                                      NON                                                                                  OUI

        Identification des risques                                                                                         Validation formelle et
          jugés inacceptable et                                                                                            mise en place du plan
                                                                                                                                                                            4.
          mesures d’atténuation                                                                                                   d’action                               Décision

                                                                                                                                                                                                   43

       © 2018 Groupe Cofimé
       Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent   Pierre SCOTTE 22/01/2018
ETAPE 4: LIVRABLES ET MAINTIEN DE LA CONFORMITE

    Maintien en conditions opérationnelles de l’ensemble des documents établis

    Gestion des demandes internes et externes

    Gestion des violations de données

    Analyse des nouveaux projets et produits (Privacy by design / default)

    Veille réglementaire

       Justifier                                                       Piloter                                                                   Actualiser                   Anticiper
     Documenter                                                       Informer                                                                   Améliorer                    Concevoir
    Communiquer                                                       Contrôler                                                                   Prouver                       Gérer

                                                                                                                                                                                                         44

             © 2018 Groupe Cofimé
             Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent   Pierre SCOTTE 22/01/2018
LA CONDUITE D’UN TEL PROJET

   L’intégration de ce projet au plan stratégique
   La nomination d’un Comité de Pilotage et d’une équipe dédiée                                                                                                              Experts

   Le sponsor de la direction
   Le phasage des opérations
   L’accompagnement externe                                                                                                                                                Comité
                                                                                                                                                               Chef de                                Equipe
                                                                                                                                                                projet         de                     projet
                                                                                                                                                                            pilotage

                                                                                                                                                                              Référent
                                                                                                                                                                             utilisateur

           Recenser                                                                                           Analyser

                                                      Cartographier                                                                                          Mettre en
                                                                                                                                                                                                                      45
                                                                                                                                                              place

           © 2018 Groupe Cofimé
           Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent                  Pierre SCOTTE 22/01/2018
PLANNING

                   Février 2018                                          Mars 2018                                            Avril 2018                                                Mai 2018
                                                                                                                                                                                                                   Juin - Déc 2018
              Q1                    Q2                              Q1                         Q2                       Q1                       Q2                           Q1                   Q2
          Nomination et Plan travail
          DPO                                      1             Analyse d’impact                                    Mise en place et
                                                                 (PIA)& reco                                         suivi reco. PIA  4-6
                                                                               4-6                                                                                      Tests
          Registre traitements                                                                                                                                                          4-6
MISE EN                                   2-3-6
CONFOR
MITE                                                             Proc. violation                                     Structure reporting
RGPD      Consentement +                                         données                                             DPO
                                                                                                    5-6
          Confidentialité                  5-6                                                                                                                 5

          Exercice des droits                 5-6                                                                    Formation pers.                                                                    5

                                                              Missions                                                                                                                                                           Bilan
DPO
                                                                                                                                                                                                                           1     Annuel
                                                                                                                                                                                                                                       1-5

          PHASE 1 : DIAGNOSTIC                                                   PHASE 2 : EVALUATION                                                                   PHASE 3 : TEST

                                                                                                                                                                                                        25 MAI
                                                                                                                                                                                                         2018
                                                                              Travaux                                            Etapes CNIL

                                                                                                                                                                                                                                            46

                       © 2018 Groupe Cofimé
                       Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent                            Pierre SCOTTE 22/01/2018
DES QUESTIONS?

                                                                                                                                                                                                  47

      © 2018 Groupe Cofimé
      Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent   Pierre SCOTTE 22/01/2018
Alexandre ASTIER                                                                                                 Pierre SCOTTE
           Associé                                                                                                          Consultant Senior
           Pôle CONSEIL                                                                                                     Pôle CONSEIL
           10, rue du Parc                                                                                                  10, rue du Parc
           67205 OBERHAUSBERGEN                                                                                             67205 OBERHAUSBERGEN

           alexandre.astier@hlb-cofime.com                                                                                  p.scotte@hlb-cofime.com
           +33 6 31 02 53 75                                                                                                +33 6 62 51 42 19

                                                                                                                                                                                            48

© 2018 Groupe Cofimé
Cette présentation, à votre usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent   Pierre SCOTTE 22/01/2018
Vous pouvez aussi lire
DIAPOSITIVES SUIVANTES ... Annuler