Massimo 810 PRO
IT + Culture = <3
RGPD, depuis Mai 2018
Association culturelle dédiée au numérique et aux sciences informatique
810 accompagne publics et organisations à concevoir des services numériques respectueux de la vie privée, accessibles a tous et toutes et éco-conçus
Massimo Bruni
Ingénieur informatique et méthodes / Délégué à la protection des données
Spécialisé en amélioration continue des organisations
Approche processuelle du RGPD
Années
4
DPO
Années
2
Responsable sécurité IT
ITIL (cf. ISO 9001)
5
Certifications
Années
7
Responsable qualité, méthodes
De quoi parle-t-on ?
"Toute information se rapportant à une personne physique identifiable directement ou indirectement"
Numéro de sécurité sociale
Numéro de passeport
Adresse postale
{diplome, date de naissance, dernier poste occupe, code postal}
"une opération, ou ensemble d’opérations, portant sur des données, quel que soit le procédé utilisé"
Cf. La CNIL
...
x
=
Effet
Cause (qui ? quoi ?)
Un employé malveillant récupère mes données bancaires
Mon compte en banque est vidé
x
R1
=
Un virus sur mon PC récupère les identifiants de mon drive
Usurpation d'identité, photos personnelles diffusées, etc.
x
R2
=
2016 : Découverte du logiciel espion, Pegasus, qui surveille media et opposants politiques
2013 : Affaire Wikileaks qui dévoile les écoutes mondiales de la NSA
Sensibilité
Nom
Prenom
Code postal
...
Compte bancaire
adresse IP
revenus
NIR
Religion
Orientation sexuelle
Santé
MaJ 2022
Appartenance syndicale
Dans la majorité des cas.
(*)
(*)
consentement
image source : L'atelier CNIL
révocable
éclairé
spécifique
libre
univoque
droit à l'information
droit d'accès
droit de rectification
droit d'opposition
droit d'effacement
droit de limitation
droit à la portabilité
droit de ne pas faire l'objet d'un décision exclusivement fondée sur un traitement automatisé.
droit de recours (CNIL)
Dans la plupart des cas, un simple e-mail suffit
Permettre aux gens d'exercer leurs droits
Sécuriser les données de façon adaptée
Avoir des partenaires conformes
Aborder la conformité comme un processus d’amélioration continue
Synthèse : vos obligations
Les risques de la non-conformite
Photo by Marija Zaric on Unsplash, ici
mentions légales
consentement
licéité
droit à l'information
droit d'accès
droit de rectification
droit d'opposition
droit d'effacement
droit de limitation
droit à la portabilité
droit de recours (CNIL)
droit de ne pas faire l'objet d'un décision exclusivement fondée sur un traitement automatisé.
droit à l'information
Gestion des ressources humaines
Site / Newsletter
Gestion budgétaire/comptable
L'utilisateur doit consentir activement, en connaissance de cause, aux traitements
pour un consentement éclairé
et une conservation finie des données
Des mentions légales claires et toujours accessibles
→ Observez le footer des sites que vous visitez
→ Observez comment le consentement vous est demande quand vous creez un compte sur une plateforme.
Photo de regularguy.eth sur Unsplash
sensibilité données
mesures de sécurité
Plus une données est sensible, plus elle doit être sécurisée
Pas tous les responsables d'entreprises sont des experts en cybersécurité...
clauses contractuelles
privacy by design
loyauté
coresponsabilité
Michael Dziedzic sur Unsplash, ici
Attention avec qui on travaille ! Tous nos partenaires doivent être conformes
Avoir des clauses contractuelles RGPD
Ne pas inciter les gens a utiliser des services non conformes
Le RGPD conditionne l’écriture des contrats.
clauses contractuelles
La conformité doit donc être pensée dès la phase de conception d'un projet.
privacy by design
(*)
Loyauté
(*)
On ne collecte que les informations nécessaires. On les conserve seulement le temps qu'il faut.
minimisation
privacy by default
Quand vous remplissez un formulaire, web ou non, demandez-vous si les champs sont nécessaires ?
Le genre est-il si souvent nécessaire ?
sensibilisation
Pablo Lancaster Jones sur Unsplash, ici
Respecte-t-elle la vie privée des individus ?
Fonctionnalités RGPD + Rédaction de contrat
Test fonctionnalités RGPD
Suivi des réclamations RGPD
Quelle valeur cherche-t-on a créer ?
Comment faire ? Avec quels partenaires ?
Planification et réalisation (+ tests)
Maintien en service et suivi quotidien
Analyse de l'existant pour amelioration
Une information ne reste confidentielle que si les personnes qui y ont accès, la garde confidentielle.
... donc tous les employés sont concernés
registre des traitements
Photo d'Eden Constantino sur Unsplash, ici
Nommer un·e délégué·e à la protection des données qui pilote et suit tout le processus de conformité RGPD.
Formaliser un registre des traitements
Disposer d'une politique de confidentialité pour chaque traitement.
Disposer de clauses contractuelles RGPD
Suivre et traiter les réclamations RGPD
Hasan Almasi sur Unsplash, ici
Impact plus fort qu'une autre faille de sécurité puisque l'opinion publique est directement concernée.
Les sanctions sont publiques (e.g)
< 2% CA ou 10M€
Non respect de l'organisation du RGPD
< 4% CA ou 20M€
Détournement des finalités
Opacité des mentions legales (e.g transferts)
Aléatoire
Vous avez 30 jours pour répondre aux demandes des personnes concernées.
Suite a une plainte
(association ou personne concernées)
(Version Slides)
Quelques cadeaux en souvenir, ici
Exemple du registre 810, ici
By Massimo 810
55 slides total + exo. Idéalement arriver à "RGPD & organisations" avant la moitié du temps pour pouvoir faire l'exercice.