Massimo 810 PRO
IT + Culture = <3
Le règlement général pour la protection des données
RGPD, depuis Mai 2018
Association culturelle dédiée au numérique et aux sciences informatique
810 accompagne publics et organisations à concevoir des services numériques respectueux de la vie privée, accessibles a tous et toutes et éco-conçus
Massimo Bruni
Ingénieur informatique et méthodes / Délégué à la protection des données
Spécialisé en amélioration continue des organisations
Approche processuelle du RGPD
Années
4
DPO
Années
2
Responsable sécurité IT
ITIL (cf. ISO 9001)
5
Certifications
Années
7
Responsable qualité, méthodes
Présentation générale
le RGPD et les individus
le RGPD dans les organisations
PRÉSENTATION GÉNÉRALE
De quoi parle-t-on ?
Donnée à caractère personnel
"Toute information se rapportant à une personne physique identifiable directement ou indirectement"
Numéro de sécurité sociale
Numéro de passeport
Adresse postale
{diplome, date de naissance, dernier poste occupe, code postal}
Traitement de données
Dès qu'il y a collecte, il y a traitement
"une opération, ou ensemble d’opérations, portant sur des données, quel que soit le procédé utilisé"
Cf. La CNIL
Pourquoi est-ce important ?
Quels sont les risques induits par les traitements de données personnelles ?
...
x
=
Risque
Impact
Effet
Menace
Cause (qui ? quoi ?)
Un employé malveillant récupère mes données bancaires
Mon compte en banque est vidé
x
R1
=
Un virus sur mon PC récupère les identifiants de mon drive
Usurpation d'identité, photos personnelles diffusées, etc.
x
R2
=
Small data
Individus
Big data
Sociétés
Des acteurs privés influent sur les élections nationales de pays étrangers.
2016 : Découverte du logiciel espion, Pegasus, qui surveille media et opposants politiques
2013 : Affaire Wikileaks qui dévoile les écoutes mondiales de la NSA
Des États surveillent des ressortissants d'autres États.
⚖️ Réguler le continent ⚖️
pour
💰 peser 💰
RGPD
Les enjeux
individuels
sociétaux
économiques
LE RGPD ET LES INDIVIDUS
RGPD
Sensibilité
Nom
Prenom
Code postal
...
Compte bancaire
adresse IP
revenus
NIR
Religion
Orientation sexuelle
Santé
MaJ 2022
Appartenance syndicale
"La donnée personnelle est un attribut de la personne physique"
Elle doit donc consentir a leur traitement
Dans la majorité des cas.
(*)
(*)
consentement
image source : L'atelier CNIL
révocable
éclairé
spécifique
libre
univoque
De nouveaux droits !
droit à l'information
droit d'accès
droit de rectification
droit d'opposition
droit d'effacement
droit de limitation
droit à la portabilité
droit de ne pas faire l'objet d'un décision exclusivement fondée sur un traitement automatisé.
🚫 🤖
droit de recours (CNIL)
Comment exercer vos droits ?
Dans la plupart des cas, un simple e-mail suffit
Les modèles de courriers de la CNIL, ici
LE RGPD ET LES ORGANISATIONS
RGPD
Permettre aux gens d'exercer leurs droits
PLAN
Sécuriser les données de façon adaptée
Avoir des partenaires conformes
Aborder la conformité comme un processus d’amélioration continue
Synthèse : vos obligations
Les risques de la non-conformite
Permettre aux gens d'exercer leurs droits
Photo by Marija Zaric on Unsplash, ici
mentions légales
consentement
licéité
droit à l'information
droit d'accès
droit de rectification
droit d'opposition
droit d'effacement
droit de limitation
droit à la portabilité
droit de recours (CNIL)
droit de ne pas faire l'objet d'un décision exclusivement fondée sur un traitement automatisé.
droit à l'information
Objectif :
Informer les personnes concernées pour qu'elles puissent consentir en connaissance de cause
Qui sont les personnes concernées ?
Ressources humaines
Client·es
Partenaires
Gestion des ressources humaines
Site / Newsletter
Gestion budgétaire/comptable
pour tout site web...
L'utilisateur doit consentir activement, en connaissance de cause, aux traitements
pour un consentement éclairé
et une conservation finie des données
Des mentions légales claires et toujours accessibles
Les mentions légales permettent l'exercice du droit à l'information des personnes, et décrivent les modalités d'exercice des autres droits.
→ Observez le footer des sites que vous visitez
→ Observez comment le consentement vous est demande quand vous creez un compte sur une plateforme.
Pratiques utiles
Sécuriser les données de façon adaptée
Photo de regularguy.eth sur Unsplash
sensibilité données
mesures de sécurité
Plus une données est sensible, plus elle doit être sécurisée
Pas tous les responsables d'entreprises sont des experts en cybersécurité...
Ils et elles externalisent la responsabilité !
Avoir des partenaires conformes
clauses contractuelles
privacy by design
loyauté
coresponsabilité
Michael Dziedzic sur Unsplash, ici
La coresponsabilité
Attention avec qui on travaille ! Tous nos partenaires doivent être conformes
Avoir des clauses contractuelles RGPD
Ne pas inciter les gens a utiliser des services non conformes
La sécurité de l'information est technique et organisationnelle
Le RGPD conditionne l’écriture des contrats.
clauses contractuelles
La conformité doit donc être pensée dès la phase de conception d'un projet.
privacy by design
(*)
Loyauté
(*)
On ne collecte que les informations nécessaires. On les conserve seulement le temps qu'il faut.
minimisation
privacy by default
Quand vous remplissez un formulaire, web ou non, demandez-vous si les champs sont nécessaires ?
Pratique du quotidien
Le genre est-il si souvent nécessaire ?
Le processus de conformité RGPD
sensibilisation
Pablo Lancaster Jones sur Unsplash, ici
Respecte-t-elle la vie privée des individus ?
Fonctionnalités RGPD + Rédaction de contrat
Test fonctionnalités RGPD
Suivi des réclamations RGPD
Stratégie
Quelle valeur cherche-t-on a créer ?
Conception
Comment faire ? Avec quels partenaires ?
Transition
Planification et réalisation (+ tests)
Exploitation
Maintien en service et suivi quotidien
Amélioration continue
Analyse de l'existant pour amelioration
Le RGPD influe sur toute la chaîne de production de valeur
sensibilisation
Une information ne reste confidentielle que si les personnes qui y ont accès, la garde confidentielle.
... donc tous les employés sont concernés
Synthèse : Vos obligations
registre des traitements
Photo d'Eden Constantino sur Unsplash, ici
Pour les entreprises de services numériques et les administrations :
Nommer un·e délégué·e à la protection des données qui pilote et suit tout le processus de conformité RGPD.
Pour toutes les organisations :
Formaliser un registre des traitements
Disposer d'une politique de confidentialité pour chaque traitement.
Disposer de clauses contractuelles RGPD
Suivre et traiter les réclamations RGPD
Les risques
de la non-conformité
Hasan Almasi sur Unsplash, ici
Financiers
D'image
IMPACTS
Impact plus fort qu'une autre faille de sécurité puisque l'opinion publique est directement concernée.
Les sanctions sont publiques (e.g)
< 2% CA ou 10M€
Non respect de l'organisation du RGPD
< 4% CA ou 20M€
Détournement des finalités
Opacité des mentions legales (e.g transferts)
Plainte
Audit
VRAISEMBLANCE
Aléatoire
Vous avez 30 jours pour répondre aux demandes des personnes concernées.
Suite a une plainte
(association ou personne concernées)
Exemple pratique
Je crée un site web et sa newsletter associée
(Version Slides)
Merci
Quelques cadeaux en souvenir, ici
Exemple du registre 810, ici
L'atelier Rgpd - Dirigeant·es/TPE
By Massimo 810
L'atelier Rgpd - Dirigeant·es/TPE
55 slides total + exo. Idéalement arriver à "RGPD & organisations" avant la moitié du temps pour pouvoir faire l'exercice.
