Sensibilisation au RGPD

The Shifters

Aleth Gueguen

gdpr4saas.eu

Droit unifié de l'UE

Loi unifiée dans 27 pays

 

Guichet unique

 

Norme mondiale

D'autres pays mènent des études pour adopter des lois sur la protection de la vie privée

Aleth Gueguen

gdpr4saas.eu

Concepts clés

Licéité, loyauté, transparence

Finalités déterminées, explicites et légitimes

Informer les personnes sur ce que vous faites avec leurs données
Responsabilité / rendre compte sur sa conformité

Aleth Gueguen

gdpr4saas.eu

Nom,

numéro d'identification,

donnée de localisation,

identifiant en ligne

Qu’est-ce qu’une donnée à caractère personnel

catégorie particulière, traitement interdit par défaut

origine raciale ou ethnique,

opinions politiques,

convictions religieuses, philosophiques,

appartenance syndicale,

données génétiques,

données biométriques

données concernant la santé

données concernant la vie sexuelle ou l'orientation sexuelle

Aleth Gueguen

gdpr4saas.eu

Comprendre ce qu'est une donnée personnelle

On peut inférer, croiser des informations non personnelles pour identifier quelqu'un = données personnelles.

Aleth Gueguen

gdpr4saas.eu

Code Postal + date de naissance + genre = identification possible à 80%

Le traitement au sens RGPD

Collecte

Enregistrement

Organisation

Structuration

Conservation

Adaptation ou modification

Extraction

Consultation

Utilisation

Communication par transmission

Diffusion ou toute autre forme de mise à disposition

Rapprochement ou interconnexion

Limitation

Effacement ou destruction

Aleth Gueguen

gdpr4saas.eu

Fondement légal des traitements

Consentement

Nécessaire à l’exécution d’un contrat

Respect d’une obligation légale

Sauvegarde des intérêts vitaux de la personne concernée

Mission d’intérêt public

Intérêt légitime

gdpr4saas.eu

Responsable du traitement : détermine les finalités et les moyens du traitement

Responsable du traitement vs Sous-traitant

Sous-traitant :

traitement  pour le compte du responsable du traitement

Fait appel uniquement à des sous-traitants qui présentent des garanties suffisantes pour répondre aux exigences du RGPD

 

Uniquement sur instructions documentées du contrôleur

Assiste et alerte le contrôleur

Autorisation écrite préalable pour recruter un autre sous-traitant

Partage des responsabilités

Aleth Gueguen

gdpr4saas.eu

Les droits personnels

Information

Rectification

Portabilité (dans certains cas)

Accessiblité

Suppression

Objet/restriction (dans certains cas)

Aleth Gueguen

gdpr4saas.eu

Loi informatique & liberté

Information

Responsable du traitement

DPO, point de contact

Finalité du traitement

Catégories de de données

Sous-traitant et transfert

Aleth Gueguen

gdpr4saas.eu

Durée de conservation

Intérêts légitime –si c’est le cas

Droit accès, rectification, ...

Droit de réclamer auprès de la CNIL

​Informations suplémentaires

Source des données

Information au + tard 1 mois après la collecte ou au moment de la 1ère communication

Si communication à 1 autre destinataire, au + tard à la 1ère communication

Collecte via 1 source externe

(pas auprès de la personne concernée)

Aleth Gueguen

gdpr4saas.eu

Sécurité : article 32

En fonction des connaissances, du coût de mise en œuvre, portée, contexte , risques pour droits et libertés des personnes concernées

Dans les 72 heures

Aux personnes, si susceptibles d'affecter leurs droits et libertés

Notification de violation de données

Aleth Gueguen

gdpr4saas.eu

Transfert de données

Décision d’adéquation,

Binding Corporate Rule,

Clause Contractuelle standard

Privacy Shield

Par défaut, transferts hors EU interdit

Aleth Gueguen

gdpr4saas.eu

Registre des activités de traitement

Outil :

Document obligatoire à présenter aux autorités de contrôle 

Remplace la demande d'autorisation

Aleth Gueguen

gdpr4saas.eu

Garder une trace du consentement

Savoir quelles données exporter / divulguer / effacer

Garder une trace de l'accord de traitement des données (DPA)

Documenter la conformité des nouvelles fonctionnalités

La CNIL fournit un exemple simplifié

Intervention de l’autorité de contrôle

Utilisation des données personnelles pour une démarche marketing abusive

Vente de données sans consentement

Aleth Gueguen

gdpr4saas.eu

Fuite de données

Exemples de cas

Si non conformité

1ère étape : enquête

2ème étape : mise en demeure

3ème étape : arrêt de la collecte ou du processus

Aleth Gueguen

gdpr4saas.eu

4ème étape : pénalité financière

Étapes pour un alignement RGPD

Aleth Gueguen

gdpr4saas.eu

  1. Désigner un pilote
  2. Cartographier ses données et leurs traitements
  3. Lister les sous-traitants. Signer les accords
  4.  Évaluer les risques. Adapter le S.I.
  5. Mettre en place les procédures
  6. Rédiger le registre des traitements

Guide de la CNIL : 

https://www.cnil.fr/sites/default/files/atoms/files/pdf_6_etapes_interactifv2.pdf

Cartographier ses données

Traitements ,

Catégories de PD traitées,

Objectifs poursuivis,

Acteurs

  • internes
  • externes : sous-traitants

Flux

Aleth Gueguen

gdpr4saas.eu

S.I. et

application du  RGPD

@pl4n3th

gdpr4saas.eu - Aleth Gueguen

Conception

Minimiser les données collectées

S'assurer du fondement légal avant tout traitement

Assurer l’intégrité et la résilience des données

@pl4n3th

gdpr4saas.eu - Aleth Gueguen

Sécurité

Sécurisation des identifiants de compte

          Password Manager / carnet papier à clé

          Identifiants compromis = violation de données​

          Partage d’identifiant = violation de donnée

Contrôle d'accès aux données         

          qui fait quoi avec quelles données

@pl4n3th

gdpr4saas.eu - Aleth Gueguen

Pas de stockage en dehors des fournisseurs approuvés

GG drive - Dropbox = NON

 

Attention à la dissémination :

  • transfert de listes par email
  • destinataires non habilités
  • données personnelles dans service externe (Slack)

@pl4n3th

gdpr4saas.eu - Aleth Gueguen

Cycle de vie des données

Prévoir une durée maximale de vie des données

Dépend des contraintes légales

Quelles méthodes de suppression, si :

  • demande d'un membre
  • quand le membre quitte l’association

@pl4n3th

gdpr4saas.eu - Aleth Gueguen

Code

Modules, librairies, API

Contrôler en détail les librairies, outils, framework utilisés dans le cadre de développements spécifiques

  • Rechercher la présence de fuite malveillante
  • Désactiver les modules problématiques

@pl4n3th

gdpr4saas.eu - Aleth Gueguen

Analytics & Cookies

Analytique :

          Ne pas conserver l’adresse IP

Action positive pour autoriser les cookies

          pas de dépôt de cookie sans autorisation explicite

          Sauf cookie de session

@pl4n3th

gdpr4saas.eu - Aleth Gueguen

Ce qu’il faut retenir

Licéité, loyauté, transparence

Données personnelles

Traitement

Responsable de traitement / sous-traitant

Droit des personnes

Privacy by design & by default

Notification de violation de données

Sécurité

Transfer / Privacy Shield

Aleth Gueguen

gdpr4saas.eu

Merci :)

Aleth Gueguen

gdpr4saas.eu

RGPD - The Shifters 2020

By Aleth @ smarttleads

RGPD - The Shifters 2020

Topo sur les principes généraux et la mise en application

  • 283