Aleth Gueguen - gdpr4saas.eu
@pl4n3th
Aleth Gueguen - gdpr4saas.eu
@pl4n3th
Aleth Gueguen - gdpr4saas.eu
@pl4n3th
Aleth Gueguen - gdpr4saas.eu
@pl4n3th
Aleth Gueguen - gdpr4saas.eu
@pl4n3th
Anticipate, identify, and prevent invasive events before they happen;
anticipate privacy issues before they reach the user.
The user should not have to take actions to secure their privacy, and consent for data sharing should not be assumed.
It must be a core function of the product or service, not an add-on.
Aleth Gueguen - gdpr4saas.eu
@pl4n3th
That is, both privacy and security are important, and no unnecessary trade-offs need to be made to achieve both.
This means engaging in proper data minimization, retention and deletion processes.
Aleth Gueguen - gdpr4saas.eu
@pl4n3th
Privacy standards must be visible, transparent, open, documented and independently verifiable. Your processes, in other words, must stand up to external scrutiny.
This means giving users granular privacy options, maximized privacy defaults, detailed privacy information notices, user-friendly options and clear notification of changes.
Aleth Gueguen - gdpr4saas.eu
@pl4n3th
Aleth Gueguen - gdpr4saas.eu
@pl4n3th
Traitements ,
Catégories de PD traitées,
Objectifs poursuivis,
Acteurs
Flux
Aleth Gueguen - gdpr4saas.eu
@pl4n3th
Minimiser les données collectées
S'assurer du fondement légal avant tout traitement
Assurer l’intégrité et la résilience des données
Aleth Gueguen - gdpr4saas.eu
@pl4n3th
Responsable du traitement
DPO, point de contact
Finalité du traitement
Catégories de de données
Sous-traitant et transfert
Durée de conservation
Intérêts légitime –si c’est le cas
Droit accès, rectification, ...
Droit de réclamer auprès de la CNIL
Aleth Gueguen - gdpr4saas.eu
@pl4n3th
➡️ C’est du marketing !
short statement
Corresponding longer statement
Layered privacy policy
source : http://ico.org.uk/media/for-organisations/documents/1596/privacy-in-mobile-apps-dp-guidance.pdf
Attention au choix d’un service tiers parce que “c’est gratuit”
Vérifier soigneusement l’utilisation des données collectées
Transfert hors EU ? Est-ce bien nécessaire ?
Signer un “DPA” -> https://gdpr4saas.eu/providers-list
Aleth Gueguen - gdpr4saas.eu
@pl4n3th
Savoir où les données sont. Physiquement et virtuellement
Connaitre le flux de données reçues et transmises à partir de l'application
Évaluer la sécurité
Aleth Gueguen - gdpr4saas.eu
@pl4n3th
Sécurisation des identifiants de compte
Password Manager / carnet papier à clé
Identifiants compromis = violation de données
Partage d’identifiant = violation de donnée
Contrôle d'accès aux données
qui fait quoi avec quelles données
Aleth Gueguen - gdpr4saas.eu
@pl4n3th
GG drive - Dropbox = NON
Attention à la dissémination :
Aleth Gueguen - gdpr4saas.eu
@pl4n3th
Demande d’accès :
- accès
- rectification
- suppression
- portabilité
Aleth Gueguen - gdpr4saas.eu
@pl4n3th
Escalade et notification à la CNIL
Prévenir les fuites futures
Forcer la déconnexion des sessions en cours
Notifier les utilisateurs (si besoin)
Aleth Gueguen - gdpr4saas.eu
@pl4n3th
Contrôler en détail les librairies, outils, framework utilisés dans le cadre de développements spécifiques
Aleth Gueguen - gdpr4saas.eu
@pl4n3th
Prévoir une durée maximale de vie des données
Dépend des contraintes légales
Quelles méthodes de suppression, si :
Aleth Gueguen - gdpr4saas.eu
@pl4n3th
Automatiser la suppression des données inutiles
Supprimées = gone / no flag
Cron job, Queues, webhooks
Cas des pages personnelles : retourner un 404
Aleth Gueguen - gdpr4saas.eu
@pl4n3th
In backups
Keep list of Ids
Stored in separate DB or backup
In 3rd party services
Notify for deletion
Verify completion
If you are the API provider = expose endpoint
Aleth Gueguen - gdpr4saas.eu
@pl4n3th
Pseudonymisation for test & staging
Check for PD in logs (debug, run, ...)
Anonymisation for Machine Learning & Statistics
Aggregation : at least 8 persons share same attribute
Aleth Gueguen - gdpr4saas.eu
@pl4n3th
Know how you restore from backup
Plan for it
Test it
Aleth Gueguen - gdpr4saas.eu
@pl4n3th
Accès RectificationSuppression
Portabilité
Aleth Gueguen - gdpr4saas.eu
@pl4n3th
Optimal default values for privacy at account creation
Enforce user choice in code
All fields in user table should be editable by user
Consent (marketing, ML, analytics, …)
one field by consent
linked to Record of Processing Activities
@pl4n3th
gdpr4saas.eu - Aleth Gueguen
Ne pas conserver l’adresse IP
Utiliser un service conforme par défaut (Matomo)
pas de dépôt de cookie sans autorisation explicite
Sauf cookie de session
Aleth Gueguen - gdpr4saas.eu
@pl4n3th
Is it covered in activity purpose?
Do you need consent?
Upate privacy notice?
link to consent form
button to send notification email for new consent
link to 3rd party Data Processing Agreement
Ce qui n’est pas clair
Ce que j’ai appris
Aleth Gueguen - gdpr4saas.eu
@pl4n3th
Licéité, loyauté, transparence
Données personnelles
Traitement
Responsable de traitement / sous-traitant
Droit des personnes
Privacy by design & by default
Notification de violation de données
Sécurité
Transfer / Privacy Shield
Aleth Gueguen
gdpr4saas.eu