Mise en conformité au Règlement Général de Protection des Données à caractère personnel (RGPD) 2017 Tous droits réservés Virtualegis/Nystek Editions

Documents pareils
REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

Etude réalisée dans le contexte de la conférence AFCDP sur la NOTIFICATION DES «ATTEINTES AUX TRAITEMENT DE DONNEES PERSONNELLES»

France Luxembourg Suisse 1

INCIDENTS DE SECURITE : cadre juridique et responsabilités de l'entreprise

Conditions Générales d utilisation de l Application «Screen Mania Magazine»

Communication sur l'obligation faite aux banques d'établir une convention de compte au bénéfice de leur clientèle

ISO conformité, oui. Certification?

Auditabilité des SI Retour sur l expérience du CH Compiègne-Noyon

Délibération n du 27 septembre 2010

R E G U L A T I O N & S E N S I B I L I S A T I O N : L A C O N F O R M I T E EN 3 ETAPES

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France

Etude d impact CIL Volet «Effort» F.A.Q Foire Aux Questions

Le BIG DATA. Les enjeux juridiques et de régulation Claire BERNIER Mathieu MARTIN. logo ALTANA CABINET D AVOCATS

Les Matinales IP&T. Les données personnelles. Le paysage changeant de la protection des données personnelles aux Etats-Unis et en Inde

Nathalie Métallinos Avocat à la Cour d'appel de Paris

Sélection d un Consultant chargé d accompagner le GIM-UEMOA dans le processus de mise en place d un Plan de Continuité de l Activité (PCA)

LA RESPONSABILITE CIVILE ET PENALE EN MATIERE DE SANTE AU TRAVAIL : BREF ETAT DES LIEUX

et développement d applications informatiques

ACTUALITÉS ASSURANCES & RISQUES FINANCIERS

Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799

Conditions d utilisation du service

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014

Quelles assurances proposer? Focus sur le cloud computing

Big Data et le droit :

PROFILAGE : UN DEFI POUR LA PROTECTION DES DONNEES PERSONNELLES Me Alain GROSJEAN Bonn & Schmitt

CONSULTATION PUBLIQUE SUR LA CREATION D UN REGISTRE NATIONAL DES CREDITS AUX PARTICULIERS

Les nouveaux guides de la CNIL. Comment gérer des risques dont l impact ne porte pas sur l organisme

Le partenaire des directions financières

SANS SEC 504 : Techniques de hacking, exploitation de failles et gestion des incidents

Perdu dans la jungle des droits d accès?

DEMANDE D AUTORISATION D UN SYSTEME DE VIDEOPROTECTION

Les bases de données clients dans le cadre du commerce B2B : Quelques aspects juridiques

GROUPE GRANDS MOULINS DE STRASBOURG

Agrément des hébergeurs de données de santé. 1 Questions fréquentes

Excellence. Technicité. Sagesse

UE 4 Comptabilité et Audit. Le programme

5 novembre Cloud, Big Data et sécurité Conseils et solutions

Symantec Control Compliance Suite 8.6

LIVRET SERVICE. Portail Déclaratif Etafi.fr

Les outils «cloud» dédiés aux juristes d entreprises. Cadre juridique

La fonction d audit interne garantit la correcte application des procédures en vigueur et la fiabilité des informations remontées par les filiales.

SARL NGP INFORMATIQUE au capital de 45059, RCS Rennes NAF 4741Z siège social 9, square du 8 mai RENNES CONDITIONS GENERALES

2012 / Excellence. Technicité. Sagesse

Présentation de l Université Numérique de Paris Île-de-France

1. Décret exécutif n du 20 Janvier 2009, modifié et complété, fixant la réglementation relative à l'exercice de la profession d'agent

Créer un tableau de bord SSI

CHARTE ETHIQUE ACHATS

Les fiches déontologiques Multicanal

SCP Célice, Blancpain et Soltner, SCP Nicolaý, de Lanouvelle et Hannotin, avocat(s) REPUBLIQUE FRANCAISE AU NOM DU PEUPLE FRANCAIS

Transposition de l article 8 de la directive européenne 2012/27 relative à l efficacité énergétique

Risk Assurance & Advisory Services Pour un management des risques performant et «résilient»

Règlement d INTERPOL sur le traitement des données

Atelier A7. Audit de la gestion globale des risques : efficacité ou conformité?

«Marketing /site web et la protection des données à caractère personnel»

SERVICES TECHNIQUES CENTRE HOSPITALIER. d AURILLAC. 1er congrès de l AFGRIS

Conditions Générales du RME

La protection des associés en droit congolais et en droit OHADA

Privacy is good for business.

Contrat d agence commerciale

AUDIT CONSEIL CERT FORMATION

FPP 5 rue de Vienne PARIS COLLEGE : «VENTE AUX CONSOMMATEURS»

Identification : ERDF-FOR-CF_41E Version : V1 Nombre de pages : 8. Document(s) associé(s) et annexe(s)

(Document adopté par la Commission le 19 janvier 2006)

CHARTE DU CORRESPONDANT MODELE TYPE

CONVENTION D UNIDROIT SUR LE CREDIT-BAIL INTERNATIONAL (Ottawa, le 28 mai 1988)

Prestations d audit et de conseil 2015

Taux variables et accession à la propriété

Cahier des Clauses Techniques Particulières

SGS ICS - CONDITIONS GÉNÉRALES POUR LES SERVICES DE CERTIFICATION

Comité réglementation et simplification du conseil national de l industrie 16 mai 2014

LE CHAMP D APPLICATION

CONVENTION ENTRE LES SOUSSIGNÉS

SMART SAVINGS : PROTECTION DES CLIENTS DANS LA PROCEDURE D EPARGNE

CONDITIONS GENERALES DE VENTE

GPIH - CCTP D AUDIT D INTRUSION ET D AUDIT DE LA PLATEFORME DE SECURITE GESTION ET PRESTATIONS INFORMATIQUES POUR L HABITAT GIE - GPIH

INDICATIONS DE CORRECTION

Assurance de l entreprise en difficulté

BANK AL-MAGHRIB Le Gouverneur DN 49/G/2007 Rabat, le 31 août 2007 Directive relative à la fonction "conformité"

Journal Officiel de la République Tunisienne 10 septembre 2013 N 73. Page 2634

CGV SOUSCRIPTION ET ACHAT SUR LE SITE INTERNET NORD ECLAIR. Informations

BANQUE, ASSURANCE ET BIG DATA

CGV - SOUSCRIPTION ET ACHAT SUR LES SITES INTERNET du Groupe LE MESSAGER

Les responsabilités des professionnels de santé

ETUDE SERDALAB SOMMAIRE «GED ET GESTION DE CONTENU : MARCHE, BESOINS ET TENDANCES »

Responsabilité Civile Entreprise

Consolidation de fondamentaux

Auteur : Françoise NICOLAS, Responsable Qualité. Approuvé par : Michel ROUVELLAT, Président. Dernière date de mise à jour : 01 avril 2015

Les données à caractère personnel

Etaient présents Madame Souad El Kohen, Messieurs Driss Belmahi, Abdelaziz Benzakour et Omar Seghrouchni ;

Comment rénover efficacement son parc immobilier?

Réponses aux questions de la page 2 du questionnaire RESPONS sur la responsabilité sociale des cadres

CONTRAT D ASSISTANCE PREMUNIL

Votre. complémentaire SANTÉ. Livret du salarié

PROCEDURES DE CONTROLE INTERNE RAPPORT CONTROLE INTERNE. Enjeux du Contrôle interne au sein du Groupe Cegedim

Etude réalisée en partenariat avec le réseau de CMA et la CRMA de Bretagne, le syndicat Mixte MEGALIS et la Région Bretagne

Conditions Générales de Location de Matériel et de Prestation de Services Musicaux (FESTI LOCA)

Administration en Ligne e-démarches. Console du gestionnaire. Guide utilisateur. Aout 2014, version 2.1

Transcription:

Mise en conformité au Règlement Général de Protection des Données à caractère personnel (RGPD)

RGPD Mise en conformité des systèmes d information, des procédures et de la documentation 1 Dates et chiffres clés 2 Les principales nouveautés du RGPD par rapport au droit actuel 3 Les étapes de la mise en conformité 4 Notre offre d assistance à la gouvernance informatique et libertés 5 Informations de contact

Dates clés Petit rappel historique La loi informatique et libertés Nouvelles obligations légales pour les responsables de traitement. 1995 Modification de la loi informatique et libertés Transposition tardive de la directive européenne dans le droit français. 2016 Loi pour la République Numérique Renforcement des droits, création de droits, augmentation des sanctions. Deadline 1978 Directive européenne 95/46 2004 La directive 95/46 adapte le droit des données personnelles (CIL). Adoption du RGPD Responsabilisation des acteurs, renforcement des droits, adaptation et uniformisation du droit. 2017 2018

Plus que quelques mois Pour se mettre en conformité et valoriser un avantage concurrentiel Deadline : 25/05/2018 Avantage concurrentiel De lourdes sanctions Un préjudice d image Les entreprises soumises au RGPD doivent se mettre en totale conformité avant le 25/05/2018. Les plus grandes entreprises sont en cours de mise en conformité. Elles ne pourront contracter qu avec des entreprises conformes. Communication valorisante A partir du 25/05/2018, l entreprise non-conforme risque d être condamnée à hauteur de 20.000.000 ou de 4% du chiffre d affaires annuel. En cas de non-conformité, le risque de préjudice d image est accru par la possibilité de la CNIL de rendre publiques ses décisions

RGPD Mise en conformité des systèmes d information, des procédures et de la documentation 1 Dates et chiffres clés 2 Les principales nouveautés du RGPD par rapport au droit actuel 3 Les étapes de la mise en conformité 4 Notre offre d aide à la gouvernance informatique et libertés 5 Informations de contact

A qui s applique le RGPD? Etes-vous concernés? Toute entreprise traitant des DCP et ayant une activité professionnelle sur le territoire de l UE Quel que soit son secteur d activité, Qu elle soit publique ou privée, Quel que soit le type (sensibles ou non) et le nombre des données traitées, Quelles que soient les modalités du traitement (automatisé en tout ou en partie ou non automatisé). Toute entreprise établie hors UE, lorsqu elle traite des DCP concernant des personnes se trouvant sur le territoire de l UE lorsque : les activités de traitement sont liées à l'offre de biens ou de services dans l'ue, les activités de traitement sont liées au suivi du comportement de ces personnes.

Les grands principes de la RGPD La RGPD responsabilise les entreprises et renforce les droits des personnes Privacy By Design Privacy By Default Accountability Sécurité renforcée Lors de la conception ou du développement du SI interne, des produits ou services fournis aux tiers : intégration de la protection des données. Mesures techniques Méthodologies dans les process métier. Lors du traitement : Résultat de la mise en place de mesures techniques et organisationnelles : par défaut, seules les données à caractère personnel nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Le RGPD a responsabilisé les entreprises traitant des DCP Mise en place de méthodologies et de procédures internes permettant de démontrer le respect des règles relatives à la protection des DCP (outils : registres, certification, codes de conduite) Moyens pour garantir confidentialité, intégrité, disponibilité et résilience constantes des SI et services, Moyens pour garantir la disponibilité des données et l accès dans des délais appropriés, Procédures de test, d analyse et d évaluation de l efficacité des mesures techniques et org.

Les grands principes de la RGPD La RGPD responsabilise les entreprises et renforce les droits des personnes Notif. des violations Plus de transparence Consentement éclairé Droits des personnes Notification à la CNIL des violations de DCP (accès, alteration, destruction...) dans le délai maximum de 72H. Sauf si la violation n est pas susceptible d engendrer un risque pour les droits et libertés + dans les meilleurs délais aux personnes si risque elevé pour les droits et libertés. Données collectées auprès de la personne : identité du RT et du DPO, finalité(s), base(s) juridique(s), destinataires, durée, exercice des droits, faculté de réclamation, caractère réglementaire ou contractuel + le cas échéant : intérêt légitime, flux hors UE, droit de retirer le consentement, décision automatisée. Le RT doit être en mesure de démontrer le consentement A partir d une demande de consentement claire et simple sous une forme compréhensible et aisément accessible. Nouveau : droit de retirer son consentement à tout moment. Règles spécifique pour l accès des mineurs aux services en ligne. Objectif : rendre plus effective la maîtrise de ses données par la personne intéressée elle-même. Outre les droits d accès, de rectification et d opposition au traitement, le RGPD conforte le «droit à l oubli» (effacement, déréférencement ) et institue un nouveau droit, le droit à la portabilité

Le data protection officer - DPO Le DPO au centre du système mis en place par le RGPD Un expert de la protection des données personnelles Le DPO, qui devra justifier de compétences en matière juridique ainsi que d une expérience en matière de protection des données, sera obligatoire : Dans le secteur public, Si le traitement exige un suivi régulier et systématique à grande échelle des personnes», S il s agit d un «traitement à grande échelle» de données sensibles. Le DPO est optionnel, mais souvent indispensable, dans les autres cas. Le DPO externe Le cabinet VIRTUALEGIS, s appuyant sur son expérience ainsi que sur l outil de gouvernance informatique et libertés en mode SaaS PRIVACIL, proposera, à partir du 25 mai 2018, aux entreprises ne disposant pas de DPO en interne, une désignation en tant que DPO externe.

L autorité de régulation française : la CNIL Une autoriété de contrôle partenaire du CIL et bientôt du DPO Un partenaire des entreprises La CNIL a un double visage : c est une autorité de contrôle qui sanctionne en cas de constatation de non-conformité. Mais c est aussi un partenaire des entreprises (service des CIL, labellisation, certifications, codes de conduite, etc.) et des usagers des services. Le service des CIL (futur service des DPO) Les deux CIL externes du cabinet VIRTUALEGIS ont accès en permanence au services de la CNIL via un extranet dédié et dans les locaux de la CNIL (à Paris 7e arrondissement, 3 Place de Fontenoy).

RGPD Mise en conformité des systèmes d information, des procédures et de la documentation 1 Dates et chiffres clés 2 Les principales nouveautés du RGPD par rapport au droit actuel 3 Les étapes de la mise en conformité 4 Notre offre d aide à la gouvernance informatique et libertés 5 Informations de contact

Les 6 étapes de la mise en conformité au RGPD Selon la CNIL Etape 1 : désigner un pilote, un «chef d orchestre qui exercera une mission d information, de conseil et de contrôle en interne». Par hypothèse, la personne qui sera désignée délégué à la protection des données (DPO). Etape 2 : cartographier les traitements de données. Pas de mesure concrète de l impact du RGPD sur les données traitées sans recensement précis des traitements. Utiliser le registre existant (CIL) ou créer un registre. Etape 3 : prioriser les actions à mener. Sur la base du registre, identifier les actions à mener pour se conformer aux obligations actuelles et à venir. Prioriser ces actions au regard des risques sur les droits des personnes concernées. Etape 4 : gérer les risques. Si des traitements de DCP susceptibles d'engendrer des «risques élevés pour les droits et libertés des personnes intéressées» ont été identifiés, obligation de mener, pour chaque traitement concerné, une analyse d'impact (EIVP ou PIA). Etape 5 : organiser les processus internes. Mise en place des procédures internes qui garantissent la protection des données à tout moment, en prenant en compte à l avance l ensemble des événements qui peuvent survenir. Etape 6 : documenter. Pour prouver la conformité au règlement, il est nécessaire de constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement.

RGPD Mise en conformité des systèmes d information, des procédures et de la documentation 1 Dates et chiffres clés 2 Les principales nouveautés du RGPD par rapport au droit actuel 3 Les étapes de la mise en conformité 4 Notre offre d assistance complète à la gouvernance informatique et libertés 5 Informations de contact

Notre approche Offre conjointe : conformité et sécurité Partie conformité et juridique : VIRTUALEGIS, cabinet d avocats ayant 20 années d expérience du droit de l informatique, reconnu en droit des données personnelles (Magazine DECIDEURS : forte notoriété, cours à l ENSAE) ayant en son sein deux avocats CIL expérimentés. Pilote : Pascal ALIX, Virtualegis Partie informatique et sécurité NYSTEK Editions a des experts DSI/RSSI, ayant plus de 15 ans d expérience dans la gouvernance de la Sécurité des Systèmes d Informations, la conformité, la certification, le réglementaire PCI DSS, SOX, Bâle, ISO 27001 Pilote : Frédéric Gouth, Nystek Editions

L offre conformité et juridique Une prestation fiabilisée par l expérience des avocats et le réseau de l AFCDP L accompagnement dans les 6 étapes de la mise en conformité : 1. Constitution d une équipe conformité et passage au RGPD, 2. La cartographie des traitements : en commun, à l aide d un outil en mode Saas avec échanges sécurisés, 3. Identification des actions à mener après avoir listé les écarts de conformité et priorisation en fonction des risques, 4. Analyse des risques (analyse d impact) pour les droits et libertés des personnes avec l outil EIVP proposé par le cabinet, 5. Détermination des processus internes à mettre en place ou modifier, 6. Documentation de la conformité : une partie de la documentation est éditée en temps réel et une partie est établie séparément (chartes, conditions, mentions, etc.). A partir de mai 2018 : l accompagnement du futur DPO ou la désignation Partenaire :

L offre conformité et juridique Une prestation fiabilisée par l outil de conformité le plus récent et le plus complet du marché Les principaux avantages de notre outil de conformité : 1. Outil conforme au RGPD, intégrant l ensemble des normes (AU, NS, etc.) de la CNIL, amélioré depuis 6 années, édité par une entreprise qui a 15 années d expérience de la conformité informatique et libertés, six fois labellisée par la CNIL, 2. Outil multiutilisateurs, avec gestion aisée des droits d accès (modifications en temps réel de l équipe conformité), fonctionnant en mode SaaS, 3. Edition automatique du registre des traitements, avec toutes les mentions exigées par le RGPD, 4. Outil intégré pour effectuer simplement des études d impact (EIVP), avec édition automatique de documents et de graphiques, 5. Espace sécurisé d échange permettant de répondre à bref délai aux diverses questions posées par les différents utilisateurs relatives à la conformité au RGDP, 6. Preuve historicisée de l ensemble des actions menées dans le cadre de la mise en conformité, Partenaire :

L offre conformité et juridique Une longue expérience du droit des T.I.C. Une longue expérience du droit des technologies de l information : https://www.virtua-legis.com, site internet du cabinet, dédié au droit des technologies de l information, existe depuis février 1999. C est l un des tous premiers sites internet d avocats en France. Le premier, historiquement, à proposer en France une consultation juridique en ligne en droit des T.I.C. avec solution de chiffrement. La clientèle du cabinet est composée majoritairement d entreprises agissant dans le secteur du numérique (éditeurs de logiciels, e-commerçants, plateformes de réseaux sociaux, ESN, etc.). Une longue expérience de la rédaction et de la standardisation de la documentation juridique (rédaction d actes-types) : Depuis 2000, nous avons conçu, créé et développé une bibliothèque de plus de 500 modèles de contrats et actes commentés par des avocats, commercialisés sur le réseau Internet, projet racheté en 2010 par une filiale de VIVENDI. Cette expérience garantit une relecture fiable de l ensemble des chartes, documents et contrats conclus avec les sous-traitants, au-delà de la présence des mentions obligatoires.

L offre sécurité informatique Une prestation fiabilisée par une grande expérience et de multiples certifications Principales prestations : 1. Analyses des risques, 2. Mise en place de mesures techniques, organisationnelles et automatisées, 3. Audits sur la Sécurité du Système d Information organisationnel, intrusion, code, social engineering, 4. Accompagnement à la conformité et à la certification ISO 27001, PCI DSS, SOX, 5. Gouvernance et rédaction de PGSSI et de PSSI, 6. Mise en place de contrôles permanents, 7. Elaboration de PCA et de PRA, 8. Sensibilisation

L offre sécurité informatique Une prestation fiabilisée par une grande expérience et de multiples certifications Plan de remédiation : NYSTEK Editions établit un rapport unique contenant le plan de remédiation bâti sur la criticité : 1. Mandatory 2. Must-have 3. Nice-to-have Le rapport explique et détaille les mesures à mettre en place pour réduire et éliminer chaque écart. Fort de notre expertise technique et notre approche pragmatique, nous nous assurons que nos clients seront en mesure de mettre en place toutes les mesures que nous avons préconisées. Nous assurons également un suivi de ce plan de remédiation afin de garantir que toutes les actions sont menées à leur terme.

L offre VIRTUALEGIS + NYSTEK Editions Une offre unique et complète pour le passage au RGPD Notre offre s appuie sur une collaboration permanente entre des experts de la fonction sécurité du SI et des expert de la conformité au RGPD, collaborant avec la CNIL, en combinant diverses compétences : Juridique Recensement des traitements Analyse d impacts Analyse et gestion des risques Gestion de la conformité Politique de Sécurité (PSSI) Sécurité du SI Notre complémentarité permet d avoir une offre unique mise à votre service!

Informations de contact Cabinet VIRTUALEGIS 5 rue Jean-Baptiste Dumas 75017 Paris Tel. : +33 (0)9 61 45 85 24 Pascal ALIX alix@virtua-legis.com Virtualegis https://www.virtua-legis.com Twitter https://twitter.com/virtualegis NYSTEK Editions 238 route de de l Empereur 92500 Rueil-Malmaison Tel. : 06 09 17 80 44 Nystek Editions contact@nystek-editions.com Nystek Editions https://www.nystek.com/ Nystek Editions https://twitter.com/contactnystek

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back