RGPD

UN PLAN D’ACTION

POUR VOTRE MISE EN

CONFORMITÉ

Aleth Gueguen

#RGPD Un plan d’action

Données personnelles

Résidents européens

A. Gueguen 17.11.2017

#RGPD Un plan d’action

Responsable de traitement

Sous-traitant

Obligation de sécurité des traitements

Responsabilité

Protection des données dès la conception

Protection des données par défaut

B2C = B2B

Catégories de données particulières

Règlement général

=

directement applicable 

KEEP CALM
&
DOCUMENT

Registre des traitements

  • responsable
  • finalité du traitement
  • catégories personnes & données
  • destinataire(s)
  • transfert hors EU
  • délai de conservation
  • mesures de sécurité

violation de données

  • Notification à l'autorité de contrôle 72h max
  • À la personne concernée si :
    susceptible d'engendrer un risque élevé pour les droits et libertés

Délégué à la
Protection des Données

Point de contact

Garant de la conformité

Sous-traitant

Transfert dans 1 pays tiers

Droit des personnes

  • accès
  • rectification
  • oubli
  • limitation du traitement
  • portabilité
  • opposition
  • de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé

Consentement positif

SANCTIONS

 effectives, proportionnées et dissuasives

  • avertissement
  • arrêt de la collecte des données
  • arrêt du traitement des données
  • sanction financière : de 20M € à 4% du CA mondial, au plus élevé des 2.

Questions ?

Plan d’action

  • Désigner un coordinateur
  • Cartographier ses données
  • Former à la sécurité & à la conformité
  • Établir le registre des traitements
  • Nommer un DPO ?
  • Recueillir les consentements
  • Revoir les mentions & informations
  • Revoir les contrats sous-traitant
  • Mettre en œuvre les droits des personnes

Coordinateur

susciter une prise de conscience

Cartographier

  • Où sont les données
  • Quels traitements
  • Consentement ?

Former à la sécurité

& à la conformité

Les hommes

Les process

Sécurité du traitement

faire le maximum en
fonction du contexte et
de l'état des connaissances

  • Pseudonymisation / Chiffrement
  • Confidentialité / Intégrité / Disponibilité
  • Procédure d'analyse
  • Code de conduite / pack conformité CNIL

DPO ?

Analyse d'impact

risque élevé pour les droits et libertés des personnes physiques

Délégué à la Protection des Données

Interne ou externalisé

Registre des traitements

démarche continue

  • responsable
  • finalité du traitement
  • catégories personnes & données
  • destinataire(s)
  • transfert hors EU
  • délai de conservation
  • mesures de sécurité

Registre des traitements

A. Gueguen 17.11.2017

#RGPD Un plan d’action

Mentions
&
informations

Droits

Point de contact

Consentement

  • se distingue clairement d’autres questions
  • forme compréhensible
  • accessible
  • formulée en des termes clairs et simples

Recueillir les consentements

source : https://pagefair.com/blog/2017/gdpr-consent/

A. Gueguen 17.11.2017

#RGPD Un plan d’action

Services tiers
&
Sous-traitants

Obligation des sous-traitants

Data Processing Agreement

Implémentation des
droits des personnes

  • accès
  • rectification
  • oubli
  • limitation du traitement
  • portabilité
  • opposition
  • de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé

Outils

Texte officiel :

https://gdpr-info.eu/

http://www.privacy-regulation.eu/fr/index.htm

 

Article 29 Working Party+ guidelines

http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083

 

Modèle de contrat pour le transfert de données
http://ec.europa.eu/justice/data-protection/international-transfers/transfer/index_en.htm

Outils

A. Gueguen 17.11.2017

#RGPD Un plan d’action

  • Gestion de la conformité
    Privacy Perfect, OneTrust, Proteus-Cyber
  • CISPE.cloud
  • Chiffrement 
  • Tokenisation (données bancaires)
  • Gestion des accès aux données
  • Gestion des consentements
  • Découverte des données et carto des flux
  • Gestion des clés et chiffrement au niveau appli

QUESTIONS

icônes : Noun project

Maestro, By Nathan Driskell

Data map, By Viktor Vorobyev

Issue Register, By www.yugudesign.com

Ledger, By Creaticca Creative Agency

Big data, By Eliricon

Approve, By Sergio Serrano

Backup Recovery, By Creative Stall

Business solution, By VectorBakery

A. Gueguen 17.11.2017

#RGPD Un plan d’action

deck

By Aleth @ smarttleads

deck

  • 334