OÙ, QUI, QUOI

Périmètres du RGPD :
     OÙ : en Europe ou pour la protection des citoyens européens, que le traitement de l'information ait lieu ou non dans l'UE.
     QUI : toutes les entreprises qui possèdent des données sur des citoyens européens (même si l'entreprise est hors EU) ainsi que tous les sous-traitants des entreprises. Le personnage central est le DPO (data protection officer) ou délégué à la protection des données
     QUOI : toutes les données personnelles (nom, adresse mail, physique, IP, age, sexe, téléphone, données de comportement comme habitudes d'achat ou trajets fréquents, données de santé ou financières...). Toutes les données nominatives ou non anonymisées autrement dit toute information se rapportant à une personne identifiable

Le périmètre large du RGPD a des impacts forts sur tous les métiers de l'entreprise...

PIA : Privacy Impact Assessment

PIA : Analyse d'impact sur la protection des données

1

Etudier toutes les implications de l'application du RGPD sur l'entreprise, tant au niveau des procédures, des contrats de sous-traitance, du stockage de données, sécurité...

2

Conduire une analyse d’impact relative à la protection des données, qui est obligatoire pour certains traitements à partir de Mai 2018 et évaluer les failles informatiques

3

Faciliter l’appropriation des guides PIA de la CNIL grace à des outils.

4

Sécurité informatique, cybersécurité et PCA : plan de continuité d'activité

---

Lien pour télécharger le logiciel PIA de la CNIL

Les 4 processus visés par le RGPD

Acquisition, Stockage, Traitement et Information du client

1 : Acquisition des données

fin de opt-in, remplacé par un consentement explicite
Pas de cases cochées par défaut
information claire et précise des objectifs de la collecte de donnée informer des droits

2 : Stockages des données

Dans UE
anonymisation
Autorisation d'accès par personne autorisée
durée de conservation
registre des concentements des utilisateurs

3 : Traitement des données

profilage et analyse comportementale, profil type... possible si concentement du client

4 : Information de l'utilisateur

Le concentement du client
Arret des opérations sur demande du client : registre des demandes d'opposition
Information sur le traitement et l'utilité des infos collectées

Le consentement

Caractéristiques du consentement

1

Donné librement

2

Spécifique à une entreprise ou un traitement

3

Totalement éclairé : en toute connaissance de cause.
avec l'information complète nécessaires

4

Non ambigüe

---

LES 99 ARTICLES DU RGPD

Loi N°679 du 27 avril 2016

ART 99

Date d'application le 25 mai 2018

ART 37 +38 +39

Rôles du DPO (Data Protection Officer) ou "délégué à la protection des données"

ART 10

Cartographie

Art 25 + 32

Anonymisation (pseudonymisation) chiffrement confidentialité

ART 7 + 13 + 14

Consentement de l'utilisateur

ART 83

Sanctions (maximum 4% du CA mondial)

---

LIENS

Lien vers la CNIL : les 99 articles en texte
Lien vers la CNIL : les 99 articles en dataviz (ci-contre)
Lien vers site EU les 99 articles en 24 langues pour les 28 pays
PDF simple des 99 articles

Les 6 étapes de la mise en place

1 : DÉSIGNER UN PILOTE

Pour piloter la gouvernance des données personnelles de votre structure, vous aurez besoin d'un véritable chef d’orchestre qui exercera une mission d’information, de conseil et de contrôle en interne : le délégué à la protection des données. En attendant 2018, vous pouvez d’ores et déjà désigner un « correspondant informatique et libertés », qui vous donnera un temps d'avance et vous permettra d'organiser les actions à mener.

2 : CARTOGRAPHIER

CARTOGRAPHIER VOS TRAITEMENTS DE DONNÉES PERSONNELLES Pour mesurer concrètement l’impact du règlement européen sur la protection des données que vous traitez, commencez par recenser de façon précise vos traitements de données personnelles. L'élaboration d'un registre des traitements vous permet de faire le point.

3 : PRIORISER

PRIORISER LES ACTIONS À MENER Sur la base de votre registre, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées.

4 : GÉRER LES RISQUES

GÉRER LES RISQUES Si vous avez identifié des traitements de données personnelles susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une analyse d'impact sur la protection des données (PIA).

5 : ORGANISER

ORGANISER LES PROCESSUS INTERNES Pour assurer un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demande de rectification ou d’accès, modification des données collectées, changement de prestataire).

6 : DOCUMENTER

DOCUMENTER LA CONFORMITÉ Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.

Rôles du DPO

Art 37 38 39 : rôles du DPO (Data Protection Officer) ou "délégué à la protection des données"

1 : le DPO est un réel « chef d’orchestre »

principalement chargé d’informer et de conseiller le responsable de traitement ou le sous-traitant, mais aussi les employés. Il doit montrer que la loi et l'utilisateur sont respectés

2 : le DPO assiste les décideurs

sur les conséquences des traitements, en réaliser l’inventaire, conçoit des actions de sensibilisation et pilote en continu la conformité. Il est impliqué dans toutes les problématiques liées à la protection des données à caractère personnel.

3 : le DPO est autorisé à exercer

d’autres fonctions mais le DPO doit être indépendant et ne pas être placé en situation de conflit d’intérêts. Il est soumis à une obligation de confidentialité. Il peut travailler pour plusieurs entreprises

4 : le DPO effectue les analyses d’impact

sur la protection des données (PIA), recommande la méthodologie à suivre et les garanties à appliquer pour atténuer les risques de violation aux droits de la personne

5 : Attention, le DPO n’est pas responsable

de la conformité au RGPD à la place du responsable de traitement ou du sous-traitant et si l’avis du DPO n’est pas suivi par le responsable de traitement ou le sous-traitant, il doit documenter le processus de refus.
Un DPO peut officier dans plusieurs entreprises. Mais il doit toujours être indépendant sans conflit d’intérêts

---

SANCTIONS

Art 83 du Règlement Européen

1 : maximum 4% du CA mondial pour une violation de la vie privée des individu

2 : 2% du CA mondial pour des manquements de procédure ou de sécurité

3 : jusqu'à 5 ans d'emprisonnement en cas de non respect des formalités préalables

4 : 1500 euros par utilisateur non informé

---

DARTY

Avant l'entrée en vigueur du RGPD
Au premier semestre 2017, Darty s’est vu infliger une sanction de 100 000 euros par la CNIL « pour ne pas avoir suffisamment sécurisé les données de clients » en ligne.

Une défaillance de sécurité du formulaire en ligne de demande de service après-vente de Darty est en cause. Celle-ci permettait « d’accéder librement à l’ensemble des demandes et des données renseignées par les clients » Alertée sur les failles de sécurité, la Commission a procédé à un contrôle en date du 2 mars 2017.

« Plusieurs centaines de milliers de demandes ou réclamations contenant des données telles que les nom, prénom, adresse postale, adresse de messagerie électronique ou numéro de téléphone des clients étaient potentiellement accessibles »

Quels formulaires sont en ligne dans l'entreprise ?

Liste de quelques bases de données de l'entreprise

Où sont les sauvegardes informatiques de l'entreprise ?

Liste des opérations CLOUD de l'entreprise

BANQUES

DPS2
Les banques en plus du RGPD répondent à une autre directive européenne le DPS2 qui les oblige à une protection accrue du client et à l'ouverture des informations à des applications tierces à la demande des clients. Par exemple les agrégateurs de la fintech doivent pouvoir accéder aux informations d'un compte courant via des API (au lieu de l'actuel web scrapping).

Pourquoi les banques sont soumise à un réglement encore plus protecteur ?

Pourquoi les banques doivent livrer les informations à la demande des clients à des tiers ?

Quelle formulation ?

1 : Comment demander un email ?

...

2 : Comment demander un numéro de téléphone ?

...

3 : Comment expliquer que le traitement informatique pourra envoyer des emails ?

...

4 : Comment demander le concentement pour un stockage hors EU ?

...