Sensibilisation au RGPD

The Shifters

Aleth Gueguen

gdpr4saas.eu

Droit unifié de l'UE

D'autres pays mènent des études pour adopter des lois sur la protection de la vie privée

Aleth Gueguen

gdpr4saas.eu

Concepts clés

Aleth Gueguen

gdpr4saas.eu

Qu’est-ce qu’une donnée à caractère personnel

catégorie particulière, traitement interdit par défaut

origine raciale ou ethnique,

opinions politiques,

convictions religieuses, philosophiques,

appartenance syndicale,

données génétiques,

données biométriques

données concernant la santé

données concernant la vie sexuelle ou l'orientation sexuelle

Aleth Gueguen

gdpr4saas.eu

Comprendre ce qu'est une donnée personnelle

On peut inférer, croiser des informations non personnelles pour identifier quelqu'un = données personnelles.

Aleth Gueguen

gdpr4saas.eu

Code Postal + date de naissance + genre = identification possible à 80%

Le traitement au sens RGPD

Collecte

Enregistrement

Organisation

Structuration

Conservation

Adaptation ou modification

Extraction

Consultation

Utilisation

Communication par transmission

Diffusion ou toute autre forme de mise à disposition

Rapprochement ou interconnexion

Limitation

Effacement ou destruction

Aleth Gueguen

gdpr4saas.eu

Fondement légal des traitements

Consentement

Nécessaire à l’exécution d’un contrat

Respect d’une obligation légale

Sauvegarde des intérêts vitaux de la personne concernée

Mission d’intérêt public

Intérêt légitime

gdpr4saas.eu

Responsable du traitement vs Sous-traitant

Fait appel uniquement à des sous-traitants qui présentent des garanties suffisantes pour répondre aux exigences du RGPD

Uniquement sur instructions documentées du contrôleur

Assiste et alerte le contrôleur

Autorisation écrite préalable pour recruter un autre sous-traitant

Partage des responsabilités

Aleth Gueguen

gdpr4saas.eu

Les droits personnels

Information

Rectification

Portabilité (dans certains cas)

Accessiblité

Suppression

Objet/restriction (dans certains cas)

Aleth Gueguen

gdpr4saas.eu

Loi informatique & liberté

Information

Responsable du traitement

DPO, point de contact

Finalité du traitement

Catégories de de données

Sous-traitant et transfert

Aleth Gueguen

gdpr4saas.eu

​Informations suplémentaires

Source des données

Information au + tard 1 mois après la collecte ou au moment de la 1ère communication

Si communication à 1 autre destinataire, au + tard à la 1ère communication

Collecte via 1 source externe

(pas auprès de la personne concernée)

Aleth Gueguen

gdpr4saas.eu

Sécurité : article 32

En fonction des connaissances, du coût de mise en œuvre, portée, contexte , risques pour droits et libertés des personnes concernées

Notification de violation de données

Aleth Gueguen

gdpr4saas.eu

Transfert de données

Décision d’adéquation,

Binding Corporate Rule,

Clause Contractuelle standard

Privacy Shield

Par défaut, transferts hors EU interdit

Aleth Gueguen

gdpr4saas.eu

Registre des activités de traitement

Outil :

Document obligatoire à présenter aux autorités de contrôle 

Remplace la demande d'autorisation

Aleth Gueguen

gdpr4saas.eu

Garder une trace du consentement

Savoir quelles données exporter / divulguer / effacer

Garder une trace de l'accord de traitement des données (DPA)

Documenter la conformité des nouvelles fonctionnalités

La CNIL fournit un exemple simplifié

Intervention de l’autorité de contrôle

Utilisation des données personnelles pour une démarche marketing abusive

Vente de données sans consentement

Aleth Gueguen

gdpr4saas.eu

Fuite de données

Exemples de cas

Si non conformité

1ère étape : enquête

2ème étape : mise en demeure

3ème étape : arrêt de la collecte ou du processus

Aleth Gueguen

gdpr4saas.eu

4ème étape : pénalité financière

Étapes pour un alignement RGPD

Aleth Gueguen

gdpr4saas.eu

1. Désigner un pilote
2. Cartographier ses données et leurs traitements
3. Lister les sous-traitants. Signer les accords
4.  Évaluer les risques. Adapter le S.I.
5. Mettre en place les procédures
6. Rédiger le registre des traitements

Guide de la CNIL : 

https://www.cnil.fr/sites/default/files/atoms/files/pdf_6_etapes_interactifv2.pdf

Cartographier ses données

Traitements ,

Catégories de PD traitées,

Objectifs poursuivis,

Acteurs

• internes
• externes : sous-traitants

Flux

Aleth Gueguen

gdpr4saas.eu

S.I. et

application du  RGPD

Conception

Minimiser les données collectées

S'assurer du fondement légal avant tout traitement

Assurer l’intégrité et la résilience des données

Sécurité

Sécurisation des identifiants de compte

          Password Manager / carnet papier à clé

          Identifiants compromis = violation de données​

          Partage d’identifiant = violation de donnée

Contrôle d'accès aux données         

          qui fait quoi avec quelles données

Pas de stockage en dehors des fournisseurs approuvés

GG drive - Dropbox = NON

Attention à la dissémination :

• transfert de listes par email
• destinataires non habilités
• données personnelles dans service externe (Slack)

Cycle de vie des données

Prévoir une durée maximale de vie des données

Dépend des contraintes légales

Quelles méthodes de suppression, si :

• demande d'un membre
• quand le membre quitte l’association

Code

Modules, librairies, API

Contrôler en détail les librairies, outils, framework utilisés dans le cadre de développements spécifiques

• Rechercher la présence de fuite malveillante
• Désactiver les modules problématiques

Analytics & Cookies

Analytique :

          Ne pas conserver l’adresse IP

Action positive pour autoriser les cookies

          pas de dépôt de cookie sans autorisation explicite

          Sauf cookie de session

Ce qu’il faut retenir

Licéité, loyauté, transparence

Données personnelles

Traitement

Responsable de traitement / sous-traitant

Droit des personnes

Privacy by design & by default

Notification de violation de données

Sécurité

Transfer / Privacy Shield

Aleth Gueguen

gdpr4saas.eu

Merci :)

Aleth Gueguen

gdpr4saas.eu