Règlement général sur la protection des données

Documents pareils
REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

PROTÉGER VOS BASES DE DONNÉES

France Luxembourg Suisse 1

PROFILAGE : UN DEFI POUR LA PROTECTION DES DONNEES PERSONNELLES Me Alain GROSJEAN Bonn & Schmitt

Conditions Générales d utilisation de l Application «Screen Mania Magazine»

LES OUTILS. Connaître et appliquer la loi Informatique et Libertés

DEMANDE D AUTORISATION D UN SYSTEME DE VIDEOPROTECTION

Les bases de données clients dans le cadre du commerce B2B : Quelques aspects juridiques

ANNEXE A LA CIRCULAIRE SUR LE CONTROLE INTERNE ET L AUDIT INTERNE TABLE DES MATIERES

Big Data: les enjeux juridiques

Le BIG DATA. Les enjeux juridiques et de régulation Claire BERNIER Mathieu MARTIN. logo ALTANA CABINET D AVOCATS

NOTIONS DE RESPONSABILITE

Charte d exploitation et de demande d accès aux Géoservices. Plateforme Territoriale GUYANE SIG

REUNION D'INFORMATION SUR L'ACTIVITE DE GUIDAGE ET DE TRANSPORT

Belgique-Bruxelles: Logiciels de gestion de la relation clientèle 2013/S Avis de marché. Fournitures

Belgique-Bruxelles: Matériel de réseau 2015/S Avis de marché. Fournitures

Erol GIRAUDY et Martine ROBERT LE GUIDE JURIDIQUE DU PORTAIL INTERNET/INTRANET

FICHE N 2 LA GESTION COMMERCIALE DES CLIENTS ET PROSPECTS POUR LE SECTEUR DES ASSURANCES (NS 56)

Nathalie Métallinos Avocat à la Cour d'appel de Paris

Les données à caractère personnel

Politique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PUBLIÉ

Règlement d INTERPOL sur le traitement des données

Les nouveaux guides de la CNIL. Comment gérer des risques dont l impact ne porte pas sur l organisme

Règlement de Fonctionnement

MESURE DE L ÉNERGIE ET DES FLUIDES

Fonctionnalités HSE PILOT. Groupe QFI

RAPPORT DE TRANSPARENCE ORCOM SCC

LES BASES JURIDIQUES DE LA RESPONSABILITE & DE L ASSURANCE EN MATIERE DE RECHERCHE BIOMEDICALE DIU-FARC-TEC 04/11/2009 1

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

Délibération n du 27 septembre 2010

COMMERCIALISATION A DISTANCE DE SERVICES FINANCIERS BROCHURE D INFORMATION. Résumé

d autre part, par toutes personnes physique ou morale souhaitant procéder à un achat via le site

Groupe Banque européenne d investissement. Politique de vidéosurveillance

Unité de Recherche Clinique St Louis - Lariboisière Fernand Widal Le 03 Février 2012

LA RESPONSABILITE CIVILE ET PENALE EN MATIERE DE SANTE AU TRAVAIL : BREF ETAT DES LIEUX

SYNDIC. - Création d une immatriculation obligatoire de toutes les copropriétés au sein d un registre national.

RESPONSABILITE DU DIRIGEANT EN DROIT DU TRAVAIL

Conditions Générales du RME

Quelles assurances proposer? Focus sur le cloud computing

La responsabilité des directeurs d unité

RISQUE SPORTIF ET ASSURANCE

Fax: Soumission des offres et des demandes de participation par voie électronique (URL):

NE PAS DIFFUSER AUX ETATS UNIS, AU CANADA OU AU JAPON COMMUNIQUE PUBLIE EN APPLICATION DU REGLEMENT GENERAL DE L AUTORITE DES MARCHES FINANCIERS

Soumission des offres et des demandes de participation par voie électronique (URL):

Big Data et le droit :

Conditions générales de location à quai du bateau ORCA

SGS ICS - CONDITIONS GÉNÉRALES POUR LES SERVICES DE CERTIFICATION

Commission nationale de l informatique et des libertés

NE PAS EXTERNALISER SA RESPONSABILITÉ

Connaître les Menaces d Insécurité du Système d Information

SARL NGP INFORMATIQUE au capital de 45059, RCS Rennes NAF 4741Z siège social 9, square du 8 mai RENNES CONDITIONS GENERALES

CONDITIONS GENERALES VENTE

Recommandations sur le Cloud computing

GUIDE SUR L ASSISTANCE A LA MAÎTRISE D'OUVRAGE EN INFORMATIQUE

DOCUMENT D ENTREE EN RELATION. D.E.R. Maj

P0 AUTO-ENTREPRENEUR DECLARATION DE DEBUT D'ACTIVITE RESERVE AU CFE U

Conditions d'utilisation de la plateforme Défi papiers

CONVENTION DE PARTENARIAT AGENCES

Charte d hébergement de site web

Manuel Management Qualité ISO 9001 V2000. Réf Indice 13 Pages : 13

Condition générales d'utilisation sur le site et pour toute prestation gratuite sur le site

Procédure Juridique de mise en place d une base de données biométriques

Leçon 2. La formation du contrat

TABLEAU COMPARATIF

Autorisation pour le négoce ou le courtage de déchets. Informations pour remplir le formulaire de demande

Nous constatons de nos jours

CONDITIONS GENERALES DE VENTE DU SITE PROTIFAST.COM

Cahier des Clauses Techniques Particulières

ACCORD DE SOUS-LICENCE ET DE CERTIFICATION

SMART SAVINGS : PROTECTION DES CLIENTS DANS LA PROCEDURE D EPARGNE

Communication et suivi des problèmes via le Helpdesk NKCN

DEMANDE D AUTORISATION D UN SYSTÈME DE VIDÉOSURVEILLANCE

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

FICHE DE DESCRIPTION DE POSTE SOUS DIRECTION DES PERSONNELS CONTRACTUELS BUREAU DES VOLONTAIRES INTERNATIONAUX RH3D DESCRIPTION DU POSTE

CHARTE DES BONS USAGES DES MOYENS NUMERIQUES DE L UNIVERSITE

Dernière date de mise à jour : 31 mai 2015 ARTICLE 1 : DEFINITIONS CONDITIONS GENERALES DE VENTE

CFDT, representee par Messieurs Christian GUITTER, Christophe VEILLON et Jean-Luc FEUILLAS

LES NOUVELLES CONTRAINTES EN MATIERE DE MARCHES PUBLICS

CONTRAT DE MAINTENANCE INFORMATIQUE MISE A JOUR SITE INTERNET

Estelle Marcault. 20/01/2012 URC Paris Nord 1

Privacy is good for business.

IDENTITÉ DU PROPOSANT (personne morale ou physique)

Cet accord est la première illustration de l application de la loi du 31 janvier 2007 de modernisation du dialogue social.

RÉPONSE DU CONSEIL D'ETAT à l interpellation Amélie Cherbuin Comment soutenir nos ressortissants américains?

L Audit Interne vs. La Gestion des Risques. Roland De Meulder, IEMSR-2011

Fiche info financière Assurance-vie Top Protect Financials 08/2018 1

CIRCULAIRE CDG90 COMITE TECHNIQUE COMITE D HYGIENE, DE SECURITE ET DES CONDITIONS DE TRAVAIL COMMISSION ADMINISTRATIVE PARITAIRE

REGLEMENT DE LA CONSULTATION (R.C.)

Paris, le 8 juillet 2010 N 20/02-10

Guy RAYMOND Maitre de Conferences ä la Faculte de Droit et des Sciences sociales de Poitiers Professeur ä l'ecole superieure de Commerce de Poitiers

Stratégie nationale en matière de cyber sécurité

REGLEMENT DU GRAND JEU DE L ETE MITOSYL LINGETTES

GUICHET D ENTREPRISES INSCRIPTION PERSONNE PHYSIQUE

En devenant majeur-e, vous devenez responsable de vos actes, c est-à-dire que vous en mesurez toutes les conséquences.

EH Intelligence by Sidetrade. Maîtriser le risque sur le bout des doigts

SERVICES TECHNIQUES CENTRE HOSPITALIER. d AURILLAC. 1er congrès de l AFGRIS

5 novembre Cloud, Big Data et sécurité Conseils et solutions

Transcription:

Séances d information 1 Règlement général sur la protection des données La conformité au nouveau règlement: comment se préparer? 18 octobre 2017 Christophe Buschmann Esch-sur-Alzette (Belval) Guillaume Byk

2 7 étapes pour préparer sa conformité 1. S'informer sur les changements à venir 2. Identifier vos traitements de données personnelles 3. Désigner un délégué à la protection des données (si applicable) 6. Organiser les processus internes 5. Identifier et gérer les risques 4. Etablir un plan d action 7. Documenter la conformité

1. S informer sur les changements à venir 1/11 3

1. S informer sur les changements à venir 2/11 a) Renforcement des droits des personnes: Définition restreinte du consentement (+ consentement du responsable parental pour les mineurs de < 16 ans); Droit à la portabilité des données; Droit à l oubli (Right to be forgotten); Le droit d être informé en cas de violation de données; Introduction du principe des actions collectives; Autres droits déjà existants ont été renforcés: Droit à l information; Droit d opposition. 4

5 1. S informer sur les changements à venir 3/11 b) Responsable du traitement & sous-traitant: Accountability: le RGPD repose sur une logique de conformité dont les acteurs (RT & ST) sont responsables (les formalités préalables, comme les notifications et autorisations, vont être fortement réduites); Risk based approach! Responsabilité des sous-traitants étendue: nouvelles obligations en matière de sécurité, de confidentialité, d accountability, de conseil auprès du RT pour la conformité à certaines obligations et de conditions de recrutement d un ST secondaire.

6 1. S informer sur les changements à venir 4/11 c) Nouveaux concepts: Délégué à la protection des données (Data Protection Officer) Notification de faille de sécurité à l autorité de contrôle L analyse d impact (Data Protection Impact Assessment) Codes de conduite, Certification Le registre des traitements Privacy by design Privacy by default Mesures de sécurités renforcés

1. S informer sur les changements à venir 5/11 d) Champ d application territorial plus large: soit un RT ou un ST sont établi sur le territoire de l UE, soit un RT ou un ST fournissent des biens et/ou des services aux résidents européens ou essaient de cibler les résidents européens; 7

1. S informer sur les changements à venir 6/11 e) Le «one stop shop» et une coopération européenne renforcée: Un point de contact pour les entreprises soit l autorité du lieu de leur siège central dans l UE, soit l établissement au sein duquel seront prises les décisions relatives aux finalités et aux modalités du traitement. Cet autorité sera désignée comme autorité «chef de file»; Coopération renforcée entre les autorités européennes pour que les entreprises reçoivent une décision unique partagée par toutes les autorités concernées. 8

1. S informer sur les changements à venir 7/11 f) Réclamations et sanctions: Réclamation: peut être introduite auprès de l autorité de la résidence habituelle, du lieu de travail de la personne concernée ou de celle où la violation aurait été commise Sanctions administratives: imposées par l autorité de contrôle en complément ou à la place des mesures correctrices Une amende peut aller, au maximum, jusqu à 20.000.000 EUR ou, dans le cas d une entreprise, à 4% de son chiffre d affaires annuel total au niveau mondial. 9

10 1. S informer sur les changements à venir 8/11 Impératif d informer les personnes clés et les décideurs + ne pas oublier de sensibiliser les collaborateurs Evaluer correctement les conséquences

1. S informer sur les changements à venir 9/11 11

12 7 étapes pour préparer sa conformité 1. S'informer sur les changements à venir 2. Identifier vos traitements de données personnelles 3. Désigner un délégué à la protection des données (si applicable) 6. Organiser les processus internes 5. Identifier et gérer les risques 4. Etablir un plan d action 7. Documenter la conformité

2. Identifier vos traitements de données personnelles 1/3 Impossible de se conformer sans connaître: Les données collectées Les flux de données Les traitements effectués Solution: Inventaire des traitements de données dès maintenant. Obligation de tenir un registre des traitements de données dès mai 2018 (sauf exceptions). 13

14 @ CNIL @ CPVP @ CNPD & LIST

2. Identifier vos traitements de données personnelles 3/3 Les questions essentielles: QUI est en charge du traitement? QU EST-ce qui est traité? POURQUOI cela est traité? OÙ est-ce que c est traité? JUSQU À QUAND cela est traité? COMMENT c est protégé? 15

16 7 étapes pour préparer sa conformité 1. S'informer sur les changements à venir 2. Identifier vos traitements de données personnelles 3. Désigner un délégué à la protection des données (si applicable) 6. Organiser les processus internes 5. Identifier et gérer les risques 4. Etablir un plan d action 7. Documenter la conformité

3. Désigner un délégué à la protection des données (si applicable) 1/3 Délégué à la protection des données obligatoire après 25 mai 2018 si : Autorité ou organisme public Entreprise remplissant certains critères (p.ex. traitements à grande échelle de données sensibles) 17

3. Désigner un délégué à la protection des données (si applicable) 2/3 Rôle? Mission d information, de conseil, de contrôle interne et de point de contact avec l autorité de contrôle. Atout majeur pour: respecter les obligations du RGPD, dialoguer avec les autorités de contrôle, réduire les risques de contentieux. 18

19 3. Désigner un délégué à la protection des données (si applicable) 3/3 Y a-t-il un pilote à bord? Mieux vaut prévenir: Nommer déjà à partir de maintenant un «chargé de la protection des données» (interne ou externe).

20 7 étapes pour préparer sa conformité 1. S'informer sur les changements à venir 2. Identifier vos traitements de données personnelles 3. Désigner un délégué à la protection des données (si applicable) 6. Organiser les processus internes 5. Identifier et gérer les risques 4. Etablir un plan d action 7. Documenter la conformité

21 4. Etablir un plan d action 1/3 Points d attention essentiels: Utilisez que les données strictement nécessaires; Identifiez la base juridique sur laquelle se fonde votre traitement: Consentement de la personne concernée; Nécessaire à l exécution d un contrat; Obligation légale; Nécessaire à la sauvegarde des intérêts vitaux; Mission d intérêt public / Exercice de l autorité public; Intérêt légitime;

22 4. Etablir un plan d action 2/3 Points d attention essentiels: Révisez vos mentions d information; N oubliez pas vos sous-traitants: révisez l ensemble des contrats avec les sous-traitants; Prévoyez les modalités d'exercice des droits des personnes concernées (p.ex. procédure de gestion des demandes de rectification ou d accès); Vérifiez les mesures de sécurité.

23 4. Etablir un plan d action 3/3 Une vigilance particulière pour: Données sensibles (santé, opinions politiques, appartenance syndicale, infractions pénales ); Certains traitements de données (surveillance systématique à grande échelle, profilage ); Les transfers de données hors UE.

24 7 étapes pour préparer sa conformité 1. S'informer sur les changements à venir 2. Identifier vos traitements de données personnelles 3. Désigner un délégué à la protection des données (si applicable) 6. Organiser les processus internes 5. Identifier et gérer les risques 4. Etablir un plan d action 7. Documenter la conformité

5. Identifier et gérer les risques Lorsqu un traitement est susceptible d exposer les personnes à un risque élevé Le RT doit effectuer une analyse d'impact relative à la protection des données pour évaluer la particularité et la gravité de ce risque (Data Protection Impact Assessment - DPIA) 25

26 7 étapes pour préparer sa conformité 1. S'informer sur les changements à venir 2. Identifier vos traitements de données personnelles 3. Désigner un délégué à la protection des données (si applicable) 6. Organiser les processus internes 5. Identifier et gérer les risques 4. Etablir un plan d action 7. Documenter la conformité

27 6. Organiser les processus internes 1/5 Mise en place de procédures internes pour pouvoir anticiper les demandes et problèmes liés aux traitements de données Exemple: Une personne concernée veut faire une demande de rectification Si vous avez un site web, prévoyez un formulaire que la personne puisse remplir en ligne; Compétence interne pour le traitement de ces demandes?; Prise de décision par qui? Changement et/ou réponse négative à la personne concernée?

28 6. Organiser les processus internes 2/5 Organiser les processus implique notamment : de prendre en compte la protection des données personnelles dès la conception et par défaut (Privacy by design / Privacy by default); de sensibiliser vos collaborateurs et d'organiser la remontée d information; de traiter les réclamations et les demandes des personnes concernées quant à l exercice de leurs droits; d'anticiper les violations de données.

29 6. Organiser les processus internes 3/5 Protection des données dès la conception: Le Quoi Proactivité vs réactivité Intégrer résultats d un DPIA Intégrer les principes dans les produits, services, procédés Usage: Se mettre à la place de l utilisateur Sécurité de bout en bout Permettre aux personnes d exercer leurs droits Transparence et visibilité Lessons learned d une violation de données

6. Organiser les processus internes 4/5 Protection des données dès la conception vs Protection des données par défaut

31 6. Organiser les processus internes 5/5 Objectifs principaux: Créer une culture globale de la protection des données; Anticiper dès le départs les risques et les problèmes; Développer une gestion sécurisée de l information tout le long du cycle de vie des données; Informer en toute transparence sur l ensemble de droits.

32 7 étapes pour préparer sa conformité 1. S'informer sur les changements à venir 2. Identifier vos traitements de données personnelles 3. Désigner un délégué à la protection des données (si applicable) 6. Organiser les processus internes 5. Identifier et gérer les risques 4. Etablir un plan d action 7. Documenter la conformité

33 7. Documenter la conformité 1/3 Obligation de prouver votre conformité Preuve par la documentation (qui englobe aussi les procédures) qui doit être régulièrement réexaminée et actualisée.

7. Documenter la conformité 2/3 Documentation sur vos traitements de données personnelles: Le registre des traitements (pour les RT) ou des catégories d activités de traitements (pour les ST); Les analyses d impact relatives à la protection des données pour les traitements susceptibles d engendrer des risques élevés pour les droits et libertés des personnes; L encadrement des transferts de données hors de l UE (notamment, les clauses contractuelles types, les BCR et certifications); Le registre qui documente toutes les violations de données (celui-ci renseigne les conséquences de la violation et les mesures prises pour y remédier). L information des personnes: Les mentions d information; Les modèles de recueil du consentement des personnes concernées; Les procédures mises en place pour l exercice des droits des personnes concernées. Les contrats et autre documentation: Les contrats avec les ST; Les procédures internes en cas de violations de données; Les preuves que les personnes concernées ont donné leur consentement lorsque le traitement de leurs données repose sur cette base juridique. 34

35 7. Documenter la conformité 3/3 Ne pas oublier de documenter la gestion des flux de données: Contrats avec les sous-traitants; Contrats avec les tiers pour réutiliser les données; Les documents de vérification de la conformité des utilisateurs externes de vos données.

36 Info Pour vous aider dans la mise en œuvre de votre conformité, la CNPD procède: au développement d un outil d aide à la conformité (Compliance Support Tool); à la création de brochures; à l actualisation de son site web.

Commission nationale pour la protection des données 1, avenue du Rock n Roll L-4361 Esch-sur-Alzette (Belval) 261060-1 www.cnpd.lu info@cnpd.lu

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back