RGPD et mise en conformité - Règlement Général à la Protection des Données - IBC Dialog
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
DATA CONFORMITE CONSEIL RGPD Règlement Général à la Protection des Données et mise en conformité Christine DUVAL Consultante dans la Protection des données personnelles
La Data ?
Zoom sur les données Pourquoi le RGPD ? Etre en conformité,
personnelles Enjeux c’est quoi ?
& opportunités
Qu’est ce qu’une donnée personnelle ? Art 4 du RGPD Toute information se rapportant à une personne physique susceptible d’être identifiée directement ou indirectement L’adresse IP d’un pc ou d’un smartphone associée aux informations détenues par un fournisseur d’accès internet est susceptible de permettre d’identifier une personne
Collecte
de
Formulaire
en ligne données
Les données sensibles
Les données sensibles sont celles qui font apparaître,
directement ou indirectement
• Les origines raciales ou ethniques d’une personne
• les opinions politiques, philosophiques ou religieuses
d’une personne
• l’appartenance syndicale d’une personne
• des informations relatives à la santé d’une
personne
• des Informations sexuelles relatives à une personne
La collecte et le traitement de ces données sont interdits sans
le consentement préalable de la personne !
Les données à risque
• données génétiques,
• données relatives aux infractions pénales, aux
condamnations etc.,
• données comportant des appréciations sur les
difficultés sociales des personnes,
• données biométriques
La collecte et le traitement de ces données sont interdits
sans le consentement préalable de la personne !
Vidéosurveillance Prospection
commerciale par
email
Annuaire
du personnel
Traitement Accès aux
de locaux par badge
Questionnaire
données
qualité
Procédure de
Dispositif d’écoute recrutement
téléphonique
vos fichiers
clients,
La Data dans adhérents,
l’entreprise patients etc
Le patrimoine informationnel de votre entreprise à protéger
Pourquoi le RGPD ?
Zoom sur les données Pourquoi le RGPD ? Etre en conformité,
personnelles Enjeux c’est quoi ?
& opportunités
90% Richesse produite
des données par le Big Data
disponibles aujourd’hui
ont été produites ces 2 en 2020
dernières années dans
le monde
203
Mds de dollarsContexte actuel
60 %
des attaques et vols
• Nouvelles technologies
• Cyberattaques à répétition de données ont
• Externalisation informatique (données concerné une PME
hébergées chez prestataires en Inde / en 2017
Afrique)
• Cloud computing : hébergement de Source : Ministère de
données sur des supports de stockage l’Intérieur
géographiquement mouvants
Réaction du législateur européen
• canaliser le flux d’informations
• assurer la protection de la vie privée dans l’univers digitalApplication du RGPD
TPE/PME, start up, sociétés du CAC 40, banques, assurances,
cybermarchands, SSII, fournisseurs de services SaaS, éditeurs
d’applications mobiles ou autres dispositifs connectés, syndicats, C.E,
associations etc.
• à tous les secteurs d’activités,
• public ou privé
• quelle que soit la taille de l’organisation
• dès lors que des citoyens européens sont concernésObjectifs du RGPD
Responsabiliser
davantage les
entreprises en
développant
l’auto-contrôle.
Uniformiser Renforcer
au niveau européen le droit des personnes
la réglementation sur la (droit à l’accès, droit à
protection des données. l’oubli, droit à la portabilité,
etc.)Renforcer le relationnel client
LA CONFIANCE
Une meilleure image
grâce aux CERTIFICATIONS de la CNIL
Avantage concurrentiel
Opportunité de DIFFERENCIATIONSensibiliser les utilisateurs !
Sensibiliser les utilisateurs
• Informez et sensibilisez les personnes manipulant les données
• Rédigez une charte informatique et lui donner une force contraignante Ex de charte informatiqueAuthentifier les utilisateurs • Définissez un identifiant (login) unique à chaque utilisateur • Adoptez une politique de mot de passe utilisateur conforme au recommandation de la CNIL • Obligez l’utilisateur à changer son mot de passe après réinitialisation • Limitez le nombre de tentatives d’accès à un compte
Gérer les habilitations
• Définissez des profils d’habilitation
• Supprimez les permissions d’accès obsolètes
• Réaliser une revue annuelle des habilitationsSécuriser les postes de travail Prévoyez une procédure de verrouillage automatique de session Utilisez des antivirus régulièrement mis à jour Installez un « pare-feu » (firewall) logiciel
Nouveautés RGPD
Désignation d’un DPO / CIL Privacy by design
Accountability ou documenter sa
conformité
Renforcement des droits des
La co-responsabilité avec le
personnes et preuve du
sous traitant
consentement renforcée
Intensification des sanctions
Actions collectives
Sécurité et notification des failles
de sécurité dans les 72 hLe DPO (data protection officer)
Désignation obligatoire du CIL ou DPO sous certaines conditions
Par les responsables de traitement et les sous traitants
Suivi régulier
Données
et
sensibles
Secteur systématique
+
public de pers. à
Données
grande
pénales
échelle
Désignation du DPO via le site de la CNILData Protection Officer / Délégué à la Protection des Données Mission d’information, de conseil et de contrôle. Externe, interne ou mutualisé Interface avec la CNIL Conseil, alerte, recommande, forme Désigné sur la base d’une lettre de mission par le R.T Affectation de ressources humaines et financières Associé en amont à toutes les questions relatives aux D.P
Prouver ma conformité : Documenter ou « Accountability »
En tant que responsable du traitement,
je documente ma mise en conformité
Procédures internes
à mettre en placeProuver ma conformité : Documenter ou« Accountability » Le REGISTRE le registre doit être vu comme un outil du principe d’« accountability », c’est-à-dire de responsabilité inscrit à l’article 20 du RGPD Cela implique notamment que le responsable du traitement soit à même de pouvoir démontrer la conformité des activités de traitement.
La pierre angulaire : le registre A télécharger sur le site de la CNIL
Prouver ma conformité
Recueil Mentions
Tenue
consentement d’informations
du registre
des personnes révisées
Gestion Notification Désignation
des demandes des failles d’un DPO
de réclamation de sécurité (externe ou interne)
des clientsProuver ma conformité
Charte
Etude Code Informatique
d’impact en cas de bonne Politique de
de données conduite confidentialité dans
sensibles l’entreprise
Code de
conduite Contrats de Plan
dans le cas sous-traitance de formation
d’un contrôle revus du personnel
CNILObligation de notification des violations de données
personnelles - Art 33 RGPD
• Destruction
• Perte
• Altération
• Divulgation
• Accès non autorisé à des données personnelles,
de manière accidentelle ou illicite
Formulaire de notifications de la CNILProtéger le réseau informatique interne
• Limitez les flux réseau au strict nécessaire
• Sécurisez les accès distants des appareils informatiques nomades par VPN
• Mettez en œuvre le protocole WPA2 ou WPA2-PSK pour les réseaux Wi-Fi
Sécuriser les serveurs
• Limitez l’accès aux outils et interfaces d’administration aux seules personnes habilitées
• Installez sans délai les mises à jour critiques
• Assurez une disponibilité des données93% des entreprises ayant perdu leurs
données ou l’accès à celles-ci pendant 10
jours ou plus, ont fait faillite dans l’année
suivant la catastrophe.
En 2017, 1 entreprise sur 3 a déjà subi
un incident ou une panne qui a nécessité le
déclenchement d’un plan de reprise
d’activité
Sauvegarder et prévoir la continuité d'activité
Effectuez des sauvegardes régulières
Stockez les supports de sauvegarde dans un endroit sûr (pas forcement au bureau)Archiver vos données…
de manière sécurisée
Mettez en œuvre des modalités d’accès spécifiques
aux données archivées (ZEENDOC)
Détruisez les archives obsolètes de manière
sécurisée
Investissez dans un broyeur de document
Le référentiel de l’archivageUtiliser des fonctions cryptographiques
Utilisez des algorithmes, des logiciels et des bibliothéques
reconnues
Conservez les secrets et les clés cryptographiques de manière
sécurisée
ATELIER : UTILISER 7-ZIPLes sous-traitants ?
Infogérance
Envoi courrier Hébergement
Emailing Maintenance Organisme
sms Intégrateur logiciel public
etc
Sous traitance Agence de Association
gestion communication /
de la paie agence web
(cabinet expertise
comptable)Responsabilité partagée entre le responsable du traitement
et le sous-traitant
Uniformisation des obligations pesant sur les responsables
de traitements et les sous-traitants
Comme sous traitant,
• vous avez une obligation de conseil // client
• vous maintenez un registre des traitements de données
• vous désignez un Délégué à la protection des données (ex-CIL)
• votre responsabilité est engagée en cas de violation de DP par
exemple
33Des sanctions renforcées !
• défaut de tenue d’un registre des
2% du C.A annuel traitements,
• défaut d’étude d’impact sur la vie privée
mondial en cas de données sensibles
(orientations sexuelles, politiques,
ou informations médicales…),
10 millions € • défaut d’annonce suite à une faille
décelée, et problèmes de sécurité.
défaut de consentement,
4% du C.A annuel
•
• traitements de données illégaux,
• non-respect des droits des personnes,
mondial • manque de prudence lors des transferts
ou transfrontaliers de donnéesSe mettre en conformité
=
Nouvelle gouvernance entrepreneuriale
La vie privée est au cœur de la culture d’entreprise
Se distinguer par rapport à la concurrence
Sécuriser l’image de l’entreprise
Confiance client conservéeDATA CONFORMITE CONSEIL
Vous pouvez aussi lire
