Matinale RGPD La gouvernance des données à caractère personnel RICOUART-MAILLET Martine BRM AVOCATS En partenariat avec
en bref : Situé à Euratechnologies Propriété intellectuelle (Droit d auteur, Marques, Brevets, Bases de données) Nouvelles technologies (Protection des données personnelles, Contrats Informatiques, Consommation) La Gouvernance des données à caractère personnel 2
La Gouvernance des données à caractère personnel 3
Les Enjeux d une gouvernance des données 1) Satisfaction client : éthique 2) Satisfaction des équipes : respect des valeurs 3) Image de marque 4) Conformité 5) Eviter les lourdes sanctions lourdes à venir Le premier réseau des Professionnels du Marke<ng 4
Les gains ü Synergie et collaboration entre les équipes ü Gestion et valorisation optimisées du patrimoine ü Amélioration de la sécurité informatique globale ü Réduction des risques juridiques, médiatiques et financiers ü Différenciation/concurrence Le premier réseau des Professionnels du Marke<ng 5
Les impacts et risques Données prospects, clients Données RH Le premier réseau des Professionnels du Marke<ng 6
Employeur Le premier réseau des Professionnels du Marke<ng 7
Notions essentielles Donnée à caractère personnel : toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement : classique ou sensible Traitement de données à caractère personnel : toute opération ou tout ensemble d opérations portant sur de telles données, quel que soit le procédé utilisé (bases de données RH, clients, prospects ) Responsable de traitement de données à caractère personnel : la personne, l autorité publique, le service ou l organisme qui détermine ses finalités et ses moyens. Il peut être conjoint. Sous-traitant : Jusqu à maintenant agissait pour le compte du responsable de traitement, assurait la sécurité des données Avec le RGPD : obligations plus lourdes du sous-traitant Destinataire : Personne habilitée à recevoir les données (légalement, contractuellement, selon habilitation Le premier réseau des Professionnels du Marke<ng 8
Textes applicables Le premier réseau des Professionnels du Marke<ng 9
Evolution par rapport à la directive 95/46/CE Le premier réseau des Professionnels du Marke<ng 10
Le Règlement Européen Mai 2018 Le premier réseau des Professionnels du Marke<ng 11
Principes fondamentaux du traitement des données LICEITE, LOYAUTE ET TRANSPARENCE INFORMATION SALARIÉS, CLIENTS, ADMINISTRÉS LIMITATION DES FINALITÉS DETERMINEES, EXPLICITES, LEGITIMES MINIMISATION DES DONNEES PAS DE MESURES QUI NE TROUVENT UNE JUSTIFICATION LÉGITIME EXACTITUDE MISE À JOUR LIMITATION DE LA CONSERVATION DUREE DE CONSERVATION GEREE SECURITÉ ET CONFIDENTIALITÉ LOGIQUE, PHYSIQUE, ORGANISATIONNELLE, CONTRACTUELLE (L IMPOSER AUX SOUS- TRAITANTS) RESPONSABILITE (ACCOUNTABILITY) = RGPD Le premier réseau des Professionnels du Marke<ng 12
Le Règlement Européen Obligatoire pour = - Les administrations publiques - La gestion de données sensibles à grande échelle - Surveillance des personnes à grand échelle DPO ACCOUNT ABILITY Tenue d un registre (+250 salariés), politique de protection des données, responsabilisation, analyses d impact, documentation, process RENFOR CEMENT INFO ET CONSEN TEMENT RENFOR CEMENT DES SANCTIO NS Consentement plus qualifié Informations supplémentaires Notification des violations de données GUICHET UNIQUE Rattachement siège social du responsable de traitement Jusqu à 20 millions ou 4% du CA mondial (1 e palier: 10 millions ) Le premier réseau des Professionnels du Marke<ng 13
Accountability : repenser l organisation de la conformité : la règle des 4 P Pilote(s) : Equipe conformité et DPO Politique de protection des données Process documentés Preuves et traçabilité Le premier réseau des Professionnels du Marke<ng 14
La notion d accountability : quels objectifs? L accountability désigne l obligation pour les entreprises de : Etablir une politique de protection des données Mettre en œuvre des mécanismes et procédures internes permettant la mise en conformité et son maintien Se responsabiliser (plus de déclaration à faire) mais procéder à de analyses d impact Documenter et traçer ses process Le premier réseau des Professionnels du Marke<ng 15
Accountability Allègement apparent des formalités Formalités limitées auprès de la CNIL Mais nécessité de tenir un registre des activités de traitement pour les entreprises de plus de 250 salariés (RT et STT) Mais des obligations renforcées Privacy by default & by design : déployer des process permettant de tenir compte de la protection des données dès la conception et par défaut, Mentionner ces exigences au cahier des charges aux prestataires extérieurs En interne, établir des process qui obligent tous les chefs de projet à se poser les bonnes questions Analyses d impact Notification obligatoire des failles de sécurité (RT et ST) Le premier réseau des Professionnels du Marke<ng 16
Le CIL/DPO = pilote 1. Informer et conseiller le RT et le ST 2. Aider à la mise en place de la documentation et des process 3. Veiller à la bonne réalisation des études d impact 4. Contrôler le respect du règlement, du droit de l UE et des Etats membres 5. Etre l interlocuteur de la CNIL 6. Tenir compte du risque associé aux opérations selon la finalité de chaque traitement * Obligatoire à compter du 25 mai 2018 eu égard aux traitements de données effectués (surveillance à grande échelle et systématique) et données de santé - Interne ou externe Le premier réseau des Professionnels du Marke<ng 17
Des analyses d impact systématiques Les cas obligatoires En cas de : ü évalua&on systéma&que et exhaus&ve des aspects personnels de l individu reposant sur du profilage et sur base de laquelle seront prises des décisions de nature à produire des effets juridiques ou à impacter de manière importante les personnes ; ü traitement à grande échelle de catégories spéciales de données sensibles ou de données portant sur des condamna<ons ou des infrac<ons pénales ; ü surveillance systéma&que à grande échelle d une zone accessible au public. Le premier réseau des Professionnels du Marke<ng 18
Notification des violations de données A qui notifier? À la CNIL dans les 72 heures, sauf si la violation n est pas susceptible d engendrer un risque pour les personnes physiques Les individus touchés, dans les meilleurs délais, si la violation présente un «risque élevé» pour eux ou sur ordre de l autorité de contrôle 1- Process de notificatino 2- Equipe notification Le premier réseau des Professionnels du Marke<ng 19
Notions essentielles Face à un sous-traitant ü Vérifier les garanties concrètes offertes par le sous-traitant en matière de protection des données ü Encadrer les relations avec le soustraitant par le biais d un contrat écrit comportant les mentions requises ü Vérifier qu il respecte les nouvelles obligations mises à sa charge En tant que sous-traitant ü Respecter les nouvelles obligations prévues par le règlement à la charge du sous-traitant (devoir d alerte si instructions contraires à la règlementation, notification des violations au responsable, tenue d un registre, désignation d un DPO, etc.) ü Un devoir de conseil Ø Exiger des sous-traitants des preuves de conformité Ø Respecter les mentions obligatoires de l Article 28 Ø Modifier tous les contrats avant le 25 mai 2018 Le premier réseau des Professionnels du Marke<ng 20
Plan d action interne Mise en place d une équipe conformité (juridique, SI, RH, marketing) Réalisation d un audit de conformité juridique et technique Traitement des écarts Désignation d un CIL/DPO, interne ou externe, communication interne sur le DPO et ses missions Rédaction d une politique de protection des données Formation et sensibilisation des personnels Mise en place des process RGPD dans tous les services Mise en place de mesures techniques et organisationnelles fortes afin d assurer la sécurité et la confidentialité des données Analyse d impact pour les traitements les plus sensibles Le premier réseau des Professionnels du Marke<ng 21
Matinale RGPD 3 étapes essentielles de la mise en conformité Eric Hubert, Pitney Bowes En partenariat avec
Pitney Bowes Positionnement unique sur la compréhension des enjeux de la mise en oeuvre du RGPD Tous portés Pitney par Bowes la puissance des solutions Pitney Bowes 40 ans d expérience sur la gestion de la Vision Unique Client Une technologie permettant une approche : Intuitive, Agile, Et surtout Evolutive Master Data Management
Pitney Bowes et la mise en œuvre du RGPD Discover Prepare Act Génération automatisée de l inventaire des données de votre organisation Constitution d une vue unifiée des données d identification et de consentement pour faciliter l accès et la MAJ Gérez les droits d'accès, de rectification, d opposition et le consentement
Comment identifier les données à caractère personnel? Date de naissance Téléphone Données de Sexe Biometrique localisation Numéro Sécurité Adresse postale sociale Historique de Religion navigation Addresse IP Identifant fiscal Profession Cookies Web Données RFID RIB Nom Client Age Addresse Email Dossier de santé N de passport Historique de communications
Comment identifier les données à caractère personnel? À l aide des meta-données Variante Nom complet Abréviation Mot Nom alternatif Nom arbitraire Nom ambigu Nom du champ Numéro_De_Sécurité_Sociale NSS, NIR, NIRPP Secu ID_INSEE Iden<fant_Na<onal SNUM
Comment identifier les données à caractère personnel? A l aide des données elles-mêmes Variante Contenu du champ nnnnnnnnnnnnn 1720731556073 nnnnnnnnnnnnn-nn 1720731556073-19 n-nn-nnnn-nnnnnn 1-72-0731-556073 nnnnnnnnn / padding Durand, 1720731556073 4 champs 1 72 0731 556073 Masqué partiellement 1****31556073
La Classification des Données permet de définir des domaines de données et de répertorier pour chaque domaine les données identifiées Inventaire des données Le Data Discovery permet de scanner des millions de champs de tables ou de documents pour générer la «cartographie» des données à caractère personnelle d une organisation ainsi qu une documentation complète sur les meta-données et les données
Exemple de restitution sous forme de cartographie Adresse postale Prénom Date de naissance Profession Sexe Nom Permis de conduire Nom de famile Email Civilité
De l inventaire au registre des données
Une approche révolutionnaire qui procure agilité et visibilité
Vue Unique du Consentement
Vue Unique du Consentement Exemple de modèle
Vue Unique du Consentement Instanciation du modèle
Une plate-forme de gouvernance des données orientée services pour favoriser vitesse, précision et contrôle
Déploiement d un portail RGPD Vérification d identité Accès, rectification, opposition
En conclusion Le RGPD est une opportunité pour mieux gouverner vos données Client Recensement / Cartographie / Profiling Mise en œuvre d un registre de données Client pour une gouvernance centralisée des données personnelles et de consentement Fiabilisation et enrichissement L Agilité de la solution Pitney Bowes Modélisation intuitive pilotée par les métiers Evolutivité du modèle pour prendre en compte les besoins futurs Plateforme ouverte permettant de définir des règles réutilisables sans aucun développement Délai de mise en œuvre rapide Pour être prêt avant mai 2018
Merci En savoir plus : http://pbi.bz/rgpd