La gouvernance des données à caractère personnel RICOUART-MAILLET Martine BRM AVOCATS

Documents pareils
REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

Sur les informations traitées

Big Data et le droit :

DÉLIBÉRATION N DU 4 FÉVRIER 2014 DE LA COMMISSION DE CONTRÔLE

et développement d applications informatiques

Charte d exploitation et de demande d accès aux Géoservices. Plateforme Territoriale GUYANE SIG

PROFILAGE : UN DEFI POUR LA PROTECTION DES DONNEES PERSONNELLES Me Alain GROSJEAN Bonn & Schmitt

France Luxembourg Suisse 1

Vu la Convention Européenne de Sauvegarde des Droits de l Homme et des Libertés Fondamentales du Conseil de l Europe du 4 novembre 1950 ;

Quelles sont les informations légales à faire figurer sur un site Internet?

Vu la Loi n du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

LA RESPONSABILITE CIVILE ET PENALE EN MATIERE DE SANTE AU TRAVAIL : BREF ETAT DES LIEUX

CONSULTATION PUBLIQUE SUR LA CREATION D UN REGISTRE NATIONAL DES CREDITS AUX PARTICULIERS

Les bases de données clients dans le cadre du commerce B2B : Quelques aspects juridiques

Nathalie Métallinos Avocat à la Cour d'appel de Paris

COMMUNE DE BOUFFEMONT

DELIBERATION N DU 17 SEPTEMBRE 2014 DE LA COMMISSION DE CONTROLE

DELIBERATION N DU 12 MARS 2014 DE LA COMMISSION DE CONTRÔLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE À LA MISE EN ŒUVRE

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

LES OUTILS. Connaître et appliquer la loi Informatique et Libertés

MARCHE PUBLIC DE TRAVAUX

Article 1. Enregistrement d un nom de domaine

Big Data: les enjeux juridiques

Rôle de l Assurance Qualité dans la recherche clinique

Le BIG DATA. Les enjeux juridiques et de régulation Claire BERNIER Mathieu MARTIN. logo ALTANA CABINET D AVOCATS

Règlement d INTERPOL sur le traitement des données

DELIBERATION N DU 20 MAI 2015 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE A LA MISE EN ŒUVRE DE LA

LIVRET SERVICE. Portail Déclaratif Etafi.fr

Cybersurveillance: quelle sécurité Internet en interne et en externe pour l entreprise? 23/03/2012

DEMANDE D AUTORISATION D UN SYSTEME DE VIDEOPROTECTION

REGLEMENT DU GRAND JEU DE L ETE MITOSYL LINGETTES

Adresse : Ville : Pays : Code Postal:

Les données à caractère personnel

RÈGLEMENT. sur la collaboration avec les intermédiaires

INCIDENTS DE SECURITE : cadre juridique et responsabilités de l'entreprise

Les Matinales IP&T. Les données personnelles. Le paysage changeant de la protection des données personnelles aux Etats-Unis et en Inde

Condition générales d'utilisation sur le site et pour toute prestation gratuite sur le site

Vu la Convention de sauvegarde des droits de l homme et des libertés fondamentales du Conseil de l Europe du 4 novembre 1950 ;

Impact des règles de protection des données Sur l industrie financière. Dominique Dedieu ddedieu@farthouat.com

DELIBERATION N DU 3 MAI 2010

Référentiel de qualification de prestataires de services sécurisés d informatique en nuage (cloud computing) - référentiel d'exigences

Guide juridique de l'e-commerce 7 règles à connaître pour la sécurisation juridique et la valorisation d'un site e-commerce

ACCOMPAGNEMENT A LA CERTIFICATION ISO 9001 DE L AGENCE POUR LA RECHERCHE ET L INNOVATION EN CHAMPAGNE-ARDENNE - CARINNA

Vu la Loi n du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;

Privacy is good for business.

CODE DE DEONTOLOGIE DE LA COMMUNICATION DIRECTE ELECTRONIQUE

Augmenter l efficacité et la sécurité avec la gestion des identités et le SSO

DU CORRESPONDANT INFORMATIQUE ET LIBERTES

DOCUMENT D ENTREE EN RELATION. D.E.R. Maj

DELIBERATION N DU 25 MARS 2015 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE A LA MISE EN ŒUVRE DU

1. Procédure. 2. Les faits

GUIDE DE LA GÉOLOCALISATION DES SALARIÉS. Droits et obligations en matière de géolocalisation des employés par un dispositif de suivi GSM/GPS

Politique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PUBLIÉ

ACTE D ENGAGEMENT (AE)

PROTÉGER VOS BASES DE DONNÉES

Tableau de Bord. Clas 1.1 Conduite d'un projet de communication

Fidéliser sa clientèle par l ing

Schéma Régional d Intelligence Economique (SRIE) de la région CENTRE

ACTE D'ENGAGEMENT (AE)

GROUPE DE TRAVAIL Données Clients & Prospects. Guide pratique du CIL pour l accompagnement d un projet de gestion de relation client (CRM)

Le contrat Cloud : plus simple et plus dangereux

Les fiches déontologiques Multicanal

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

ecrm: Collecter et exploiter les données prospects et clients en toute légalité en France

DELIBERATION N DU 20 MAI 2015 DE LA COMMISSION DE CONTROLE

MARCHÉS PUBLICS DE PRESTATIONS INTELLECTUELLES ACTE D ENGAGEMENT. A- Objet du marché et procédure appliquée

CHARTE DE L ING. Code relatif à l utilisation de coordonnées électroniques à des fins de prospection directe

Prestations d audit et de conseil 2015

DELIBERATION N DU 28 JUILLET 2014 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE A LA MISE EN ŒUVRE DU

Code Ethics FR v1.indd 1 06/10/11 16:10

Le Dossier Médical Personnel et la sécurité

Annexe 3. : du représentant légal : Prénom du représentant : Adresse : permanente du demandeur. Téléphone portable professionnel :

Objet du marché : Location et entretien de vêtements de travail pour les agents du service technique de la ville de Caudebec en Caux

MINISTÈRE DE L ÉDUCATION DES ÉTATS-UNIS. Bureau des Droits Civiques (BDC) Formulaire de plainte pour discrimination

Maîtrise Responsabilité Sécurité Contrôle 1

Atelier Fichier Client

MARCHES PUBLICS DE TRAVAUX ACTE D'ENGAGEMENT MARCHÉ DE TRAVAUX, DE CRÉATION ET D ENTRETIEN DES VOIRIES COMMUNALES

XAGA. Les XAGApps : Des Progiciels de Gestion et de Gouvernance à la carte pour managers

PASSEPORT POUR LA MISE EN SITUATION PROFESSIONNELLE -MSP- HABILITATION DE L ARCHITECTE DIPLÔMÉ D ÉTAT À EXERCER LA MAITRISE D ŒUVRE EN SON NOM PROPRE

MAPA N 2012/2 RÈGLEMENT DE CONSULTATION MARCHÉ PUBLIC MAITRISE D ŒUVRE POUR LA CONSTRUCTION D UNE SALLE COMMUNALE JUIN 2012

Veuillez transmettre à Hertz Eastern Region Credit Dept. (416) FICHE D INFORMATION CLIENT NOM DE L ENTREPRISE

Agrément des hébergeurs de données de santé. 1 Questions fréquentes

SOUSCRIPTION DES CONTRATS D ASSURANCE DE LA COMMUNAUTÉ DE COMMUNES DE L ORÉE DE LA BRIE

Les outils «cloud» dédiés aux juristes d entreprises. Cadre juridique

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014

Communication sur l'obligation faite aux banques d'établir une convention de compte au bénéfice de leur clientèle

REGLEMENT GENERAL DU JEU ACTIV RADIO SMS 2015

VILLE DE MIOS Service Commande publique Place du XI Novembre MIOS

TRAVAUX D INSTALLATION DE VIDEOSURVEILLANCE

DÉMATÉRIALISATION DES DOCUMENTS ET AUTOMATISATION DES PROCESSUS UN PREMIER PAS VERS LA BANQUE SANS PAPIER

MARCHE PUBLIC DE SERVICES. MARCHE A PROCEDURE ADAPTEE Passé en application de l article 28 du code des marchés publics ACTE D ENGAGEMENT

Le Bon chasseur ne part pas sans fusil ni cartouche!

CONTRAT DE MAINTENANCE INFORMATIQUE MISE A JOUR SITE INTERNET

Réponses aux questions de la page 2 du questionnaire RESPONS sur la responsabilité sociale des cadres

Le concept de veille. Définitions. Définition de l AFNOR

I.V.R. Ingénierie des Voiries et Réseaux

Audit et Inspection Les contraintes extérieures B.Malivoir

NOTIONS DE RESPONSABILITE

DEPARTEMENT DES BOUCHES DU RHONE MARCHE PUBLIC DE TRAVAUX ACTE D ENGAGEMENT COMMUNE DE CABANNES HOTEL DE VILLE CABANNES

Transcription:

Matinale RGPD La gouvernance des données à caractère personnel RICOUART-MAILLET Martine BRM AVOCATS En partenariat avec

en bref : Situé à Euratechnologies Propriété intellectuelle (Droit d auteur, Marques, Brevets, Bases de données) Nouvelles technologies (Protection des données personnelles, Contrats Informatiques, Consommation) La Gouvernance des données à caractère personnel 2

La Gouvernance des données à caractère personnel 3

Les Enjeux d une gouvernance des données 1) Satisfaction client : éthique 2) Satisfaction des équipes : respect des valeurs 3) Image de marque 4) Conformité 5) Eviter les lourdes sanctions lourdes à venir Le premier réseau des Professionnels du Marke<ng 4

Les gains ü Synergie et collaboration entre les équipes ü Gestion et valorisation optimisées du patrimoine ü Amélioration de la sécurité informatique globale ü Réduction des risques juridiques, médiatiques et financiers ü Différenciation/concurrence Le premier réseau des Professionnels du Marke<ng 5

Les impacts et risques Données prospects, clients Données RH Le premier réseau des Professionnels du Marke<ng 6

Employeur Le premier réseau des Professionnels du Marke<ng 7

Notions essentielles Donnée à caractère personnel : toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement : classique ou sensible Traitement de données à caractère personnel : toute opération ou tout ensemble d opérations portant sur de telles données, quel que soit le procédé utilisé (bases de données RH, clients, prospects ) Responsable de traitement de données à caractère personnel : la personne, l autorité publique, le service ou l organisme qui détermine ses finalités et ses moyens. Il peut être conjoint. Sous-traitant : Jusqu à maintenant agissait pour le compte du responsable de traitement, assurait la sécurité des données Avec le RGPD : obligations plus lourdes du sous-traitant Destinataire : Personne habilitée à recevoir les données (légalement, contractuellement, selon habilitation Le premier réseau des Professionnels du Marke<ng 8

Textes applicables Le premier réseau des Professionnels du Marke<ng 9

Evolution par rapport à la directive 95/46/CE Le premier réseau des Professionnels du Marke<ng 10

Le Règlement Européen Mai 2018 Le premier réseau des Professionnels du Marke<ng 11

Principes fondamentaux du traitement des données LICEITE, LOYAUTE ET TRANSPARENCE INFORMATION SALARIÉS, CLIENTS, ADMINISTRÉS LIMITATION DES FINALITÉS DETERMINEES, EXPLICITES, LEGITIMES MINIMISATION DES DONNEES PAS DE MESURES QUI NE TROUVENT UNE JUSTIFICATION LÉGITIME EXACTITUDE MISE À JOUR LIMITATION DE LA CONSERVATION DUREE DE CONSERVATION GEREE SECURITÉ ET CONFIDENTIALITÉ LOGIQUE, PHYSIQUE, ORGANISATIONNELLE, CONTRACTUELLE (L IMPOSER AUX SOUS- TRAITANTS) RESPONSABILITE (ACCOUNTABILITY) = RGPD Le premier réseau des Professionnels du Marke<ng 12

Le Règlement Européen Obligatoire pour = - Les administrations publiques - La gestion de données sensibles à grande échelle - Surveillance des personnes à grand échelle DPO ACCOUNT ABILITY Tenue d un registre (+250 salariés), politique de protection des données, responsabilisation, analyses d impact, documentation, process RENFOR CEMENT INFO ET CONSEN TEMENT RENFOR CEMENT DES SANCTIO NS Consentement plus qualifié Informations supplémentaires Notification des violations de données GUICHET UNIQUE Rattachement siège social du responsable de traitement Jusqu à 20 millions ou 4% du CA mondial (1 e palier: 10 millions ) Le premier réseau des Professionnels du Marke<ng 13

Accountability : repenser l organisation de la conformité : la règle des 4 P Pilote(s) : Equipe conformité et DPO Politique de protection des données Process documentés Preuves et traçabilité Le premier réseau des Professionnels du Marke<ng 14

La notion d accountability : quels objectifs? L accountability désigne l obligation pour les entreprises de : Etablir une politique de protection des données Mettre en œuvre des mécanismes et procédures internes permettant la mise en conformité et son maintien Se responsabiliser (plus de déclaration à faire) mais procéder à de analyses d impact Documenter et traçer ses process Le premier réseau des Professionnels du Marke<ng 15

Accountability Allègement apparent des formalités Formalités limitées auprès de la CNIL Mais nécessité de tenir un registre des activités de traitement pour les entreprises de plus de 250 salariés (RT et STT) Mais des obligations renforcées Privacy by default & by design : déployer des process permettant de tenir compte de la protection des données dès la conception et par défaut, Mentionner ces exigences au cahier des charges aux prestataires extérieurs En interne, établir des process qui obligent tous les chefs de projet à se poser les bonnes questions Analyses d impact Notification obligatoire des failles de sécurité (RT et ST) Le premier réseau des Professionnels du Marke<ng 16

Le CIL/DPO = pilote 1. Informer et conseiller le RT et le ST 2. Aider à la mise en place de la documentation et des process 3. Veiller à la bonne réalisation des études d impact 4. Contrôler le respect du règlement, du droit de l UE et des Etats membres 5. Etre l interlocuteur de la CNIL 6. Tenir compte du risque associé aux opérations selon la finalité de chaque traitement * Obligatoire à compter du 25 mai 2018 eu égard aux traitements de données effectués (surveillance à grande échelle et systématique) et données de santé - Interne ou externe Le premier réseau des Professionnels du Marke<ng 17

Des analyses d impact systématiques Les cas obligatoires En cas de : ü évalua&on systéma&que et exhaus&ve des aspects personnels de l individu reposant sur du profilage et sur base de laquelle seront prises des décisions de nature à produire des effets juridiques ou à impacter de manière importante les personnes ; ü traitement à grande échelle de catégories spéciales de données sensibles ou de données portant sur des condamna<ons ou des infrac<ons pénales ; ü surveillance systéma&que à grande échelle d une zone accessible au public. Le premier réseau des Professionnels du Marke<ng 18

Notification des violations de données A qui notifier? À la CNIL dans les 72 heures, sauf si la violation n est pas susceptible d engendrer un risque pour les personnes physiques Les individus touchés, dans les meilleurs délais, si la violation présente un «risque élevé» pour eux ou sur ordre de l autorité de contrôle 1- Process de notificatino 2- Equipe notification Le premier réseau des Professionnels du Marke<ng 19

Notions essentielles Face à un sous-traitant ü Vérifier les garanties concrètes offertes par le sous-traitant en matière de protection des données ü Encadrer les relations avec le soustraitant par le biais d un contrat écrit comportant les mentions requises ü Vérifier qu il respecte les nouvelles obligations mises à sa charge En tant que sous-traitant ü Respecter les nouvelles obligations prévues par le règlement à la charge du sous-traitant (devoir d alerte si instructions contraires à la règlementation, notification des violations au responsable, tenue d un registre, désignation d un DPO, etc.) ü Un devoir de conseil Ø Exiger des sous-traitants des preuves de conformité Ø Respecter les mentions obligatoires de l Article 28 Ø Modifier tous les contrats avant le 25 mai 2018 Le premier réseau des Professionnels du Marke<ng 20

Plan d action interne Mise en place d une équipe conformité (juridique, SI, RH, marketing) Réalisation d un audit de conformité juridique et technique Traitement des écarts Désignation d un CIL/DPO, interne ou externe, communication interne sur le DPO et ses missions Rédaction d une politique de protection des données Formation et sensibilisation des personnels Mise en place des process RGPD dans tous les services Mise en place de mesures techniques et organisationnelles fortes afin d assurer la sécurité et la confidentialité des données Analyse d impact pour les traitements les plus sensibles Le premier réseau des Professionnels du Marke<ng 21

Matinale RGPD 3 étapes essentielles de la mise en conformité Eric Hubert, Pitney Bowes En partenariat avec

Pitney Bowes Positionnement unique sur la compréhension des enjeux de la mise en oeuvre du RGPD Tous portés Pitney par Bowes la puissance des solutions Pitney Bowes 40 ans d expérience sur la gestion de la Vision Unique Client Une technologie permettant une approche : Intuitive, Agile, Et surtout Evolutive Master Data Management

Pitney Bowes et la mise en œuvre du RGPD Discover Prepare Act Génération automatisée de l inventaire des données de votre organisation Constitution d une vue unifiée des données d identification et de consentement pour faciliter l accès et la MAJ Gérez les droits d'accès, de rectification, d opposition et le consentement

Comment identifier les données à caractère personnel? Date de naissance Téléphone Données de Sexe Biometrique localisation Numéro Sécurité Adresse postale sociale Historique de Religion navigation Addresse IP Identifant fiscal Profession Cookies Web Données RFID RIB Nom Client Age Addresse Email Dossier de santé N de passport Historique de communications

Comment identifier les données à caractère personnel? À l aide des meta-données Variante Nom complet Abréviation Mot Nom alternatif Nom arbitraire Nom ambigu Nom du champ Numéro_De_Sécurité_Sociale NSS, NIR, NIRPP Secu ID_INSEE Iden<fant_Na<onal SNUM

Comment identifier les données à caractère personnel? A l aide des données elles-mêmes Variante Contenu du champ nnnnnnnnnnnnn 1720731556073 nnnnnnnnnnnnn-nn 1720731556073-19 n-nn-nnnn-nnnnnn 1-72-0731-556073 nnnnnnnnn / padding Durand, 1720731556073 4 champs 1 72 0731 556073 Masqué partiellement 1****31556073

La Classification des Données permet de définir des domaines de données et de répertorier pour chaque domaine les données identifiées Inventaire des données Le Data Discovery permet de scanner des millions de champs de tables ou de documents pour générer la «cartographie» des données à caractère personnelle d une organisation ainsi qu une documentation complète sur les meta-données et les données

Exemple de restitution sous forme de cartographie Adresse postale Prénom Date de naissance Profession Sexe Nom Permis de conduire Nom de famile Email Civilité

De l inventaire au registre des données

Une approche révolutionnaire qui procure agilité et visibilité

Vue Unique du Consentement

Vue Unique du Consentement Exemple de modèle

Vue Unique du Consentement Instanciation du modèle

Une plate-forme de gouvernance des données orientée services pour favoriser vitesse, précision et contrôle

Déploiement d un portail RGPD Vérification d identité Accès, rectification, opposition

En conclusion Le RGPD est une opportunité pour mieux gouverner vos données Client Recensement / Cartographie / Profiling Mise en œuvre d un registre de données Client pour une gouvernance centralisée des données personnelles et de consentement Fiabilisation et enrichissement L Agilité de la solution Pitney Bowes Modélisation intuitive pilotée par les métiers Evolutivité du modèle pour prendre en compte les besoins futurs Plateforme ouverte permettant de définir des règles réutilisables sans aucun développement Délai de mise en œuvre rapide Pour être prêt avant mai 2018

Merci En savoir plus : http://pbi.bz/rgpd

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back