RGPD
Comment faire ?

Aleth Gueguen - gdpr4saas.eu

@pl4n3th

Qui je suis ?

  • Consultante indépendante
  • Développe des applicatifs métiers pour les PME
  • Accompagne au RGPD depuis 2017

Aleth Gueguen - gdpr4saas.eu

@pl4n3th

Qu’est-ce que vous avez retenu à propos du RGPD ?

Aleth Gueguen - gdpr4saas.eu

@pl4n3th

Intégrer le RGPD dès le début

= avantage concurentiel

Aleth Gueguen - gdpr4saas.eu

@pl4n3th

RGPD : cadre de référence gouvernance des données

Comprendre la philosophie :
Privacy by Design

Aleth Gueguen - gdpr4saas.eu

@pl4n3th

1 Proactive not reactive—preventative not remedial

Anticipate, identify, and prevent invasive events before they happen;

anticipate privacy issues before they reach the user.

2 Privacy must be the default setting.

The user should not have to take actions to secure their privacy, and consent for data sharing should not be assumed.

3 Embed privacy into design  

It must be a core function of the product or service, not an add-on.

Aleth Gueguen - gdpr4saas.eu

@pl4n3th

That is, both privacy and security are important, and no unnecessary trade-offs need to be made to achieve both.

4 Retain full functionality (positive-sum, not zero-sum)

5 End-to-end lifecycle protection of user data

This means engaging in proper data minimization,  retention and deletion processes.

Aleth Gueguen - gdpr4saas.eu

@pl4n3th

7 Respect user privacy—keep it user-centric  

6 Maintain visibility and transparency—keep it open  

Privacy standards must be visible, transparent, open, documented and independently verifiable. Your processes, in other words, must stand up to external scrutiny.

This means giving users granular privacy options, maximized privacy defaults, detailed privacy information notices, user-friendly options and clear notification of changes.

Aleth Gueguen - gdpr4saas.eu

@pl4n3th

Comment s’y prendre ?

  • Désigner un⋅e responsable “vie privée”
  • Connaitre ses données 
  • Informer les utilisateurs
  • Valider les fournisseurs
  • Évaluer la sécurité
  • Documenter les process
  • Former les collaborateurs
  • Intégrer un privacy center (B2C)
  • Registre des traitements

Aleth Gueguen - gdpr4saas.eu

@pl4n3th

Cartographier ses données

Traitements ,

Catégories de PD traitées,

Objectifs poursuivis,

Acteurs

  • internes
  • externes : sous-traitants

Flux

Aleth Gueguen - gdpr4saas.eu

@pl4n3th

Conception

Minimiser les données collectées

S'assurer du fondement légal avant tout traitement

Assurer l’intégrité et la résilience des données

Aleth Gueguen - gdpr4saas.eu

@pl4n3th

Informer ses utilisateurs

Responsable du traitement

DPO, point de contact

Finalité du traitement

Catégories de de données

Sous-traitant et transfert

Durée de conservation

Intérêts légitime –si c’est le cas

Droit accès, rectification, ...

Droit de réclamer auprès de la CNIL

Aleth Gueguen - gdpr4saas.eu

@pl4n3th

➡️ C’est du marketing !

short statement

Corresponding longer statement

Layered privacy policy

source : http://ico.org.uk/media/for-organisations/documents/1596/privacy-in-mobile-apps-dp-guidance.pdf

Validation des fournisseurs

Attention au choix d’un service tiers parce que “c’est gratuit”
Vérifier soigneusement l’utilisation des données collectées

Transfert hors EU ? Est-ce bien nécessaire ?

Signer un “DPA” -> https://gdpr4saas.eu/providers-list

Aleth Gueguen - gdpr4saas.eu

@pl4n3th

Stockage des données utilisateurs

Savoir où les données sont. Physiquement et virtuellement

Connaitre le flux de données reçues et transmises à partir de l'application

Évaluer la sécurité

  • encryption
  • sandboxing

Aleth Gueguen - gdpr4saas.eu

@pl4n3th

Validation des fournisseurs

Support clients / utilisatrices

Sécurisation des identifiants de compte

          Password Manager / carnet papier à clé

          Identifiants compromis = violation de données​

          Partage d’identifiant = violation de donnée

Contrôle d'accès aux données         

          qui fait quoi avec quelles données

Aleth Gueguen - gdpr4saas.eu

@pl4n3th

Pas de stockage en dehors des fournisseurs approuvés

GG drive - Dropbox = NON

 

Attention à la dissémination :

  • transfert de listes par email
  • destinataires non habilités
  • données personnelles dans service externe (Slack)

Aleth Gueguen - gdpr4saas.eu

@pl4n3th

Demande d’accès :

- accès

- rectification

- suppression

- portabilité

Aleth Gueguen - gdpr4saas.eu

@pl4n3th

Documenter vos procédures

Escalade et notification à la CNIL

Prévenir les fuites futures

Forcer la déconnexion des sessions en cours 

Notifier les utilisateurs (si besoin)

Aleth Gueguen - gdpr4saas.eu

@pl4n3th

Documenter vos procédures

Notification violation de données

Code

Modules, librairies, API

Contrôler en détail les librairies, outils, framework utilisés dans le cadre de développements spécifiques

  • Rechercher la présence de fuite malveillante
  • Désactiver les modules problématiques

Aleth Gueguen - gdpr4saas.eu

@pl4n3th

Cycle de vie des données

Prévoir une durée maximale de vie des données

Dépend des contraintes légales

Quelles méthodes de suppression, si :

  • demande d'un utilisateur
  • quand l’utilisatrice supprime son compte

Aleth Gueguen - gdpr4saas.eu

@pl4n3th

Data management

Ne pas conserver de données obsolètes/périmées

Automatiser la suppression des données inutiles

Supprimées = gone / no flag

Cron job, Queues, webhooks

Cas des pages personnelles : retourner un 404

Aleth Gueguen - gdpr4saas.eu

@pl4n3th

Data management

Personal Data Suppression

In backups

          Keep list of Ids

          Stored in separate DB or backup

In 3rd party services

           Notify for deletion

           Verify completion

If you are the API provider = expose endpoint

Aleth Gueguen - gdpr4saas.eu

@pl4n3th

Code

Use of Personal Data

Pseudonymisation for test & staging

Check for PD in logs (debug, run, ...)

Anonymisation for Machine Learning & Statistics

Aggregation : at least 8 persons share same attribute

 

Aleth Gueguen - gdpr4saas.eu

@pl4n3th

System security

Recovery plan

Know how you restore from backup

Plan for it

Test it 

Aleth Gueguen - gdpr4saas.eu

@pl4n3th

Donner accès aux données : “Privacy center”

Accès RectificationSuppression

Portabilité

Aleth Gueguen - gdpr4saas.eu

@pl4n3th

Data Subjects Rights

Back-end

Optimal default values for privacy at account creation

Enforce user choice in code

All fields in user table should be editable by user

Consent (marketing, ML, analytics, …)

           one field by consent

           linked to Record of Processing Activities 

@pl4n3th

gdpr4saas.eu - Aleth Gueguen

Analytics & Cookies

Analytique :

          Ne pas conserver l’adresse IP

          Utiliser un service conforme par défaut (Matomo)

Action positive pour autoriser les cookies

          pas de dépôt de cookie sans autorisation explicite

          Sauf cookie de session

Aleth Gueguen - gdpr4saas.eu

@pl4n3th

Record of Processing Activities

New feature design stage

Is it covered in activity purpose?

Do you need consent?

Upate privacy notice?

Record of processing activities as micro-app

          link to consent form

          button to send notification email for new consent

          link to 3rd party Data Processing Agreement

À vos bloc-notes

Ce qui n’est pas clair

Ce que j’ai appris

Aleth Gueguen - gdpr4saas.eu

@pl4n3th

Ce qu’il faut retenir

Licéité, loyauté, transparence

Données personnelles

Traitement

Responsable de traitement / sous-traitant

Droit des personnes

Privacy by design & by default

Notification de violation de données

Sécurité

Transfer / Privacy Shield

Aleth Gueguen

gdpr4saas.eu

RGDP - 1Kubator - 07 2020

By Aleth @ smarttleads

RGDP - 1Kubator - 07 2020

  • 265