L'Impact du Règlement Général sur la Protection des Données personnelles (RGPD) sur les Sociétés Africaines
Nacima LAMACHI-ELKILANI ACSS
Avocat IP/IT Europe-Afrique Data Protection Officier
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Hapsis
Toute organisation publique ou privée traitant d’informations relatives aux personnes doit respecter un certain nombre de règles concernant la collecte, l’utilisation, la divulgation et la conservation des données.
Au sommaire de ce webinar :
- Un rappel de vos obligations ;
- Les changements majeurs attendus avec la réforme de 2015 ;
- Comment se préparer pour renforcer votre business ?
Le chrono est lancé pour la mise en application de la GDPR ! Dès le 25 mai 2018, toute entreprise dans le monde qui collecte, traite et stocke des données personnelles de citoyens européens devra être en conformité.
Dans cet eBook, vous découvrirez les actions à mener pour être GDPR compliant à temps mais également des avis d'experts, d'entreprises et de nos partenaires Segeco, IBM et le cabinet Lexing Alain Bensoussan avocats.
Envie de savoir où en sont les entreprises françaises dans leur mise en conformité ? Nous vous livrons également les résultats de notre étude « Maturité des entreprises en France : règlement européen sur la protection des données ».
Témoignages : Volkswagen, Orange, Laboratoires Servier, IBP
Suivez Umanis les réseaux sociaux :
- Linkedin : http://bit.ly/Inc-umanis
- Twitter : http://bit.ly/tw-umanis
- Facebook : http://bit.ly/face-umanis
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Johan-André Jeanville
Capital Games organise une conférence le mercredi 22 mai, de 9h à 17h au Centre de Conférences de Microsoft, à Issy-les-Moulineaux. Elle permettra aux professionnels du jeu vidéo de monter en compétences sur les nouvelles méthodes de production de jeux connectés, parmi lesquelles l'analyse de données.
Présentation du cabinet Altana sur la Réglementation des données.
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Hapsis
Toute organisation publique ou privée traitant d’informations relatives aux personnes doit respecter un certain nombre de règles concernant la collecte, l’utilisation, la divulgation et la conservation des données.
Au sommaire de ce webinar :
- Un rappel de vos obligations ;
- Les changements majeurs attendus avec la réforme de 2015 ;
- Comment se préparer pour renforcer votre business ?
Le chrono est lancé pour la mise en application de la GDPR ! Dès le 25 mai 2018, toute entreprise dans le monde qui collecte, traite et stocke des données personnelles de citoyens européens devra être en conformité.
Dans cet eBook, vous découvrirez les actions à mener pour être GDPR compliant à temps mais également des avis d'experts, d'entreprises et de nos partenaires Segeco, IBM et le cabinet Lexing Alain Bensoussan avocats.
Envie de savoir où en sont les entreprises françaises dans leur mise en conformité ? Nous vous livrons également les résultats de notre étude « Maturité des entreprises en France : règlement européen sur la protection des données ».
Témoignages : Volkswagen, Orange, Laboratoires Servier, IBP
Suivez Umanis les réseaux sociaux :
- Linkedin : http://bit.ly/Inc-umanis
- Twitter : http://bit.ly/tw-umanis
- Facebook : http://bit.ly/face-umanis
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Johan-André Jeanville
Capital Games organise une conférence le mercredi 22 mai, de 9h à 17h au Centre de Conférences de Microsoft, à Issy-les-Moulineaux. Elle permettra aux professionnels du jeu vidéo de monter en compétences sur les nouvelles méthodes de production de jeux connectés, parmi lesquelles l'analyse de données.
Présentation du cabinet Altana sur la Réglementation des données.
Gdpr : impacts sur l'organisation et plan d'actionsCaroline Meot
En partenariat avec Halian, Ageris GROUP a animé le 13/12/2016 au Luxembourg un workshop décideurs sur le sujet du GDPR et du plan d'actions de mise en conformité.
Voici une synthèse de la dynamique présentation de Denis VIROLE, expert protection de l'information
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra PartnersJedha Bootcamp
L'événement
Qu'en est-il du RGPD depuis sa promulgation en 2016 ? Adopté & promulgué depuis plus de 3 ans, la compliance RGPD se lisait alors sur toutes les lèvres. En constance évolution, nous vous proposons ce soir, de mieux comprendre les tenants & aboutissants du règlement, et de se tenir au courant de ses actualités.
L'agenda
18h30 - 19h15 : La conférence
19h15 - 19h30 : Q&A
19h30 - 20h : discutons autour d'un verre avec les speakers & participants !
Le Règlement Général sur la Protection des Données (RGPD) entrera en vigueur à la fin de la semaine, le 25 mai plus précisément.
Cette infographie présente les principaux points contenus dans le RGPD dans le but de comprendre les normes qui s'appliqueront à toutes les entités qui manipulent des données personnelles.
Protection des données personnelles | Fabien Venries d'Orange GroupRennes Atalante
Intervention 1/4 de la Matinale Rennes Atalante "Protection des données personnelles" du 28 septembre 2017 :
Fabien Venries, Head of Privacy & Marketing stream, Data Strategy & Governance d’Orange Group - Protection des données personnelles.
Afcdp 2017 mesures de protection des dcpDenis VIROLE
Lors de l'Université des CIL AFCDP 2017, j'ai eu le plaisir d'animer un atelier "Le CIL et la sécurité des données à caractère personnel : une vision synthétique des dispositifs techniques et organisationnels à mettre en œuvre"
earlegal #5 - Radiographie du délégué à la protection des données Lexing - Belgium
earlegal du 19 et du 24 mai 2017
Jean-François Henrotte, Fanny Coton et Lexing répondent, après une brève introduction aux questions suivantes:
Dans quel cas une entreprise doit-elle désigner un Délégué à la protection des données (DPD) ?
Quel DPD désigner ?
Comment les missions du DPD s’insèrent-elles dans le quotidien de l’entreprise ?
Quels aspects doivent être réglés dans le contrat du DPD ?
Vidéo du petit déjeuner-débat organisé par Lexing et le Groupe Larcier.
Toutes les vidéos des Earlegal sont accessibles ici : www.earlegal.be
Coupon promo à 9.99€ : https://www.udemy.com/rgpd-les-fondamentaux/?couponCode=SLIDERGPD2018
D’une portée et d’une application plus étendues que l’actuelle loi sur la protection des données, le GDPR de l’UE étend les droits des individus en matière de données et exige des organisations qu’elles élaborent des politiques et des procédures claires pour protéger les données personnelles et qu’elles adoptent des mesures techniques et organisationnelles appropriées. Les organisations Européennes ont jusqu’en mai 2018 pour se conformer à la nouvelle loi, sous peine d’amendes pouvant aller jusqu’à 4 % du chiffre d’affaires annuel ou 20 millions d’euros – le montant le plus élevé étant retenu.
Dispensée par un praticien expérimenté dans le domaine de la protection des données, cette formation s’appuie sur notre vaste expérience pratique acquise en matière de conformité aux lois sur la protection des données et aux normes de sécurité de l’information, telles que la norme ISO 27001.
Contenu de la formation complète :
_3h30 de vidéos
_Des exercices et des discussions ouvertes
Coupon : https://www.udemy.com/rgpd-les-fondamentaux/?couponCode=SLIDERGPD2018
Competitic gestion des données personnelles et obligations - numerique en e...COMPETITIC
Respectez vos obligations liées la gestion des données personnelles
Quelles sont les obligations et recommandations de la CNIL ?
Qui est concerné par ces obligations ?
Comment respecter ces obligations ?
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...NP6
(re)Découvrez les impacts du Règlement Général sur la Protection des Données (RGPD) sur votre activité grâce à l’analyse et aux recommandations de notre partenaire, le cabinet international Bird & Bird.
Le RGPD, Règlement Général sur la Protection des Données (en anglais GDPR : General Data Protection Regulation) sera d’application directe le 25 Mai 2018. Il a pour objectif de renforcer et unifier la protection des données à caractère personnel. Il ne reste donc à présent que quelques mois aux entreprises pour repenser leur gouvernance en matière de protection des données personnelles et se mettre en conformité au RGPD.
Gdpr : impacts sur l'organisation et plan d'actionsCaroline Meot
En partenariat avec Halian, Ageris GROUP a animé le 13/12/2016 au Luxembourg un workshop décideurs sur le sujet du GDPR et du plan d'actions de mise en conformité.
Voici une synthèse de la dynamique présentation de Denis VIROLE, expert protection de l'information
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra PartnersJedha Bootcamp
L'événement
Qu'en est-il du RGPD depuis sa promulgation en 2016 ? Adopté & promulgué depuis plus de 3 ans, la compliance RGPD se lisait alors sur toutes les lèvres. En constance évolution, nous vous proposons ce soir, de mieux comprendre les tenants & aboutissants du règlement, et de se tenir au courant de ses actualités.
L'agenda
18h30 - 19h15 : La conférence
19h15 - 19h30 : Q&A
19h30 - 20h : discutons autour d'un verre avec les speakers & participants !
Le Règlement Général sur la Protection des Données (RGPD) entrera en vigueur à la fin de la semaine, le 25 mai plus précisément.
Cette infographie présente les principaux points contenus dans le RGPD dans le but de comprendre les normes qui s'appliqueront à toutes les entités qui manipulent des données personnelles.
Protection des données personnelles | Fabien Venries d'Orange GroupRennes Atalante
Intervention 1/4 de la Matinale Rennes Atalante "Protection des données personnelles" du 28 septembre 2017 :
Fabien Venries, Head of Privacy & Marketing stream, Data Strategy & Governance d’Orange Group - Protection des données personnelles.
Afcdp 2017 mesures de protection des dcpDenis VIROLE
Lors de l'Université des CIL AFCDP 2017, j'ai eu le plaisir d'animer un atelier "Le CIL et la sécurité des données à caractère personnel : une vision synthétique des dispositifs techniques et organisationnels à mettre en œuvre"
earlegal #5 - Radiographie du délégué à la protection des données Lexing - Belgium
earlegal du 19 et du 24 mai 2017
Jean-François Henrotte, Fanny Coton et Lexing répondent, après une brève introduction aux questions suivantes:
Dans quel cas une entreprise doit-elle désigner un Délégué à la protection des données (DPD) ?
Quel DPD désigner ?
Comment les missions du DPD s’insèrent-elles dans le quotidien de l’entreprise ?
Quels aspects doivent être réglés dans le contrat du DPD ?
Vidéo du petit déjeuner-débat organisé par Lexing et le Groupe Larcier.
Toutes les vidéos des Earlegal sont accessibles ici : www.earlegal.be
Coupon promo à 9.99€ : https://www.udemy.com/rgpd-les-fondamentaux/?couponCode=SLIDERGPD2018
D’une portée et d’une application plus étendues que l’actuelle loi sur la protection des données, le GDPR de l’UE étend les droits des individus en matière de données et exige des organisations qu’elles élaborent des politiques et des procédures claires pour protéger les données personnelles et qu’elles adoptent des mesures techniques et organisationnelles appropriées. Les organisations Européennes ont jusqu’en mai 2018 pour se conformer à la nouvelle loi, sous peine d’amendes pouvant aller jusqu’à 4 % du chiffre d’affaires annuel ou 20 millions d’euros – le montant le plus élevé étant retenu.
Dispensée par un praticien expérimenté dans le domaine de la protection des données, cette formation s’appuie sur notre vaste expérience pratique acquise en matière de conformité aux lois sur la protection des données et aux normes de sécurité de l’information, telles que la norme ISO 27001.
Contenu de la formation complète :
_3h30 de vidéos
_Des exercices et des discussions ouvertes
Coupon : https://www.udemy.com/rgpd-les-fondamentaux/?couponCode=SLIDERGPD2018
Competitic gestion des données personnelles et obligations - numerique en e...COMPETITIC
Respectez vos obligations liées la gestion des données personnelles
Quelles sont les obligations et recommandations de la CNIL ?
Qui est concerné par ces obligations ?
Comment respecter ces obligations ?
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...NP6
(re)Découvrez les impacts du Règlement Général sur la Protection des Données (RGPD) sur votre activité grâce à l’analyse et aux recommandations de notre partenaire, le cabinet international Bird & Bird.
Le RGPD, Règlement Général sur la Protection des Données (en anglais GDPR : General Data Protection Regulation) sera d’application directe le 25 Mai 2018. Il a pour objectif de renforcer et unifier la protection des données à caractère personnel. Il ne reste donc à présent que quelques mois aux entreprises pour repenser leur gouvernance en matière de protection des données personnelles et se mettre en conformité au RGPD.
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?Boris Clément
Comment accélerer la mise en conformité des données de son entreprise ?
Nous vous présentons les 6 étapes clés de la mise en conformité RGPD.
En bonus, on vous présente un outil tout en un :
Un espace RGPD pour vos utilisateurs pour une gestion automatique de leurs données personnelles.
Essayez le portail RGPD
https://initiative-crm.com/produit/crm-rgpd-gestion-donnees-personnelles
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018David Blampain
Sensibilisation GDPR et RGPD. PME/Administrations/Universités. Slides de la présentation réalisée pour la LME, Hainaut développement et l'IDEA pour 82 participants. Merci à eux :)
[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnumFrenchTechCentral
Les experts de la CNIL et du CNNum décryptent avec vous les enjeux d’une stratégie cybersécurité dans le cadre de vos projets et partagent leurs recommandations pour anticiper les risques.
Cybersécurité & protection des données personnellesMohamed MDELLA
L'Intervention de Mohamed MDELLAH dans le cadre du Workshop régional co-organisé par l'UIT et AICTO portant sur l'expérience de Tunisie Telecom en matière de protection des données personnelles en rapport avec le Cloud Computing
Présentation du partenariat VIRTUALEGIS-NYSTEK : offre conjointe pour un #accompagnement de la mise en #conformité au #RGPD et de la sécurité de votre #SI, avec, le cas échéant, une mise en conformité ou une #certification #ISO 27001-5
Analyse d’impact : comment adapter la démarche au degré de maturité de mon entreprise ? – Denis VIROLE – Directeur des services d’Ageris Group, Gérant de Virole Conseil Formation
Un grand nombre d’entreprises ont traité les risques qui pèsent sur leurs systèmes d’information par l’application de règles et de bonnes pratiques mises en œuvre par les informaticiens de manière quasi auto justifiée. Mais ces derniers sont peu habitués à conduire une analyse de risque orientée « métiers », graduée selon une échelle définie et endossée au final par la direction générale. Le DPO ne va-t-il pas rencontrer plusieurs difficultés pour faire appliquer la bonne méthode par l’ensemble des parties prenantes ? Faut-il suivre la démarche proposée par la CNIL de manière exhaustive ou faut-il adapter la méthode à son contexte ? Quels sont les pièges à éviter ? Jusqu’à quel niveau faut-il pousser l’analyse ? Comment formaliser les règles de protection ? Comment présenter les résultats de l’analyse au Responsable du Traitement afin qu’il puisse la valider en toute connaissance de cause ? Quelle répartition des tâches entre les acteurs concernés ? Comment intégrer la démarche EIVP dans la gestion de projets de manière coordonnée ? Afin de proposer une démarche pragmatique, l’animateur modélisera plusieurs scenarii, adaptés à la maturité de l’organisme et au type de traitement.
Presque toutes les entreprises sont engagées dans un processus de transformation digitale. Cette transformation génère de nouveaux risques et les attaques ciblant les applications web sont actuellement la cause principale des violations de données. Si la plupart des WAF (pare-feu applicatif) permettent de faire face aux menaces les plus courantes et déjà identifiées, ils sont pourtant inadaptés pour contrer les attaques avancées qui ne cessent de se développer à un rythme effréné.
Karim ZGUIOUI - Systems Engineer North Africa - F5
Les entreprises qui cherchent à maîtriser les défis liés à la gestion d’accès doivent établir des politiques d’accès granulaires pour différents services en prenant en compte non seulement l’identité d’un utilisateur mais également un contexte. F5 Access Policy Manager permet d’évaluer le niveau de sécurité d’un utilisateur, de procéder à une authentification à l’aide de mécanismes avancés comme SAML, NTLM, OAuth, MFA, etc. et d’assurer le SSO auprès de certaines applications pour garantir l’accès à une ressource particulière.
Karim ZGUIOUI - Systems Engineer North Africa - F5
Séduites par une vaste gamme d'applications de productivité, réunies sur une même plate-forme, de nombreuses entreprises s’intéressent à Office 365. Mais celles qui franchissent le pas se rendent compte que les enjeux de sécurité du cloud ne sont pas aussi simples à résoudre qu’elles le pensaient.
La plate-forme Office 365 réunit des outils de communication, de création de contenu et de partage au sein d’un environnement cloud ouvert à tous les utilisateurs et compatibles avec tous les appareils. Cette plate-forme
unique concentre ainsi tous les enjeux de sécurité auxquelles l’entreprise doit faire face. Il est donc impératif de
bien réfléchir à cette question.
Retrouvez nous pour ce workshop pour en savoir plus sur les implications de sécurité et les éléments clés à
prendre en considération pour toute entreprise ayant adopté ou prévoyant de passer à Office 365.
Abderezak OUARET - Business Development Manager North Africa - SYMENTEC
Les équipes de sécurité ont besoin de solutions de cyber sécurité de pointe (Arbor Edge Defense) , capables
de détecter et d’arrêter tous les types de menaces cybernétiques - qu’elles soient des menaces entrantes
(DDOS & Advanced Threat) ou des communications malveillantes sortantes à partir de périphériques internes
compromis. De manière aussi importante, ces solutions doivent également pouvoir s'intégrer dans la pile de sécurité existante d'une organisation et / ou consolider des fonctionnalités afin de réduire les coûts, la complexité et les
risques.
La conférence a pour objectif de montrer l’évolution des menaces DDOS et Advanced threat sur le volet de la
complexité et aussi la volumétrie. Cette évolution a un impact directe sur les solutions à mettre en place pour faire face à ce changement.
NETSCOUT AED (Arbor Edge Defence) est une telle solution pour répondre efficacement à cette
problématique. La position unique d'AED sur le bord du réseau (c'est-à-dire entre le routeur et le pare-feu), son moteur de traitement de paquets sans état et les informations de menace basées sur la réputation qu'elle reçoit du flux ATLAS Threat Intelligence de NETSCOUT lui permettent de détecter et d'arrêter automatiquement les menaces entrantes et les communications sortantes. des hôtes internes compromis - agissant essentiellement en tant que première et dernière ligne de défense pour les organisations.
Moncef ZID - Arbor Networks Sales Manager France and North Africa - Netscout
Le 10 Juin 2018, l’Algérie promulguait la loi sur la protection des données à caractère personnel. Pour les entreprises, cette loi induit un changement de paradigme dans la protection des données personnelles et induit un profond changement dans leur organisation, où la protection des données personnelles devra désormais faire partie intégrante de leur stratégie (privacy by design, cartographies des données et des processus de
traitement , etc.).
Cela suscite de nombreuses réflexions, notamment : Sommes nous prêts à adapter nos activités pour se
conformer aux nouvelles exigences?, sommes-nous contient de ce qui nous attend en terme de charge det ravail et d'investissements?, avons nous les personnes pour le faire? par où commencer ? et surtout quelles
démarches adopter?
Un spécialiste de la sécurité des SI vient d'entamer cette mission dans son entreprise et propose de partager
avec nous son approche et la démarche adoptée.
Rabah HACHICHI - Spécialiste Cyber Securité et Data Protection - BNP PARIBAS EL DJAZAIR
Cela fait une dizaine d’année que la fonction RSSI a été créée, mais à ce moment-là les RSSI ne se doutait pas qu’ils seraient un jour à la fois managers, techniciens, gestionnaires des risques organisationnels, réglementaires, stratégiques et opérationnels et souvent-même gestionnaires de projets, et ce, pour pouvoir garantir un niveau de sécurité optimal.
Pour cela, les compétences techniques d’un RSSI ainsi que ses qualités organisationnelles et managériales doivent être au rendez-vous pour pouvoir être l’interlocuteur des managers, des techniciens, des utilisateurs lambda, des partenaires et des tiers, mais aussi, pour prendre en charge les aspects juridiques, réglementaires et normatifs
De plus, il est connu que le RSSI change souvent de rythme : un jour en situation de crise pour la gestion d’un incident de sécurité avéré, et le lendemain, en rédaction de procédures et en sensibilisation des utilisateurs.
Samir ALLILOUCHE - RSSI - CNEP BANQUE
Aujourd'hui, il devient de plus en plus possible aux employés de travailler n'importe où et n'importe quand, ainsi la mobilité et le cloud computing font désormais une partie intégrante de toutes les organisations. Les navigateurs deviennent naturellement l'outil d'accès au travail, au même titre que les appareils mobiles. Avec un certain nombre de navigateurs sur le marché utilisant un certain nombre de modules complémentaires, il devient presque impossible d'assurer la sécurité contre les menaces et les attaques basées sur un navigateur, comme
le ransomware par exemple. Les navigateurs aussi constituent un point d'entrée principal pour les cyber-attaques. Il est temps de penser à gérer les navigateurs comme les terminaux pour sceller la sécurité de notre environnement.
Amine BEYAOUI - Consultant Senior, Afrique Francophone - ManageEngine
L’explosion du périmètre de l’infrastructure informatique impose d’en redéfinir sa sécurisation. Les usages des utilisateurs sont de plus en plus pointus et les métiers imposent des contraintes de production, bien sûr, mais aussi de flexibilité, d’agilité et d’expérience utilisateur. Nous y voilà : c’est tout simplement grâce à ces utilisateurs que nous allons pouvoir redéfinir notre périmètre. Les actions et les permissions qui leurs seront accordés vont constituer la base d’une stratégie IAM. Celle-ci devient essentielle et de plus en plus stratégique car elle impacte et lie directement l’expérience des utilisateurs avec l’infrastructure informatique. Le PAM est
une composante cruciale de l’IAM, puisque s’agit des accès et des permissions qui sont accordés aux utilisateurs « à hauts privilèges » : ceux qui peuvent tout faire, tout détruire… ceux que recherchent les hackers ! On pense bien sûr, à protéger les admin internes, et autres équipes IT, mais maitrisez-vous vraiment tous ces utilisateurs privilégiés ?
Alexis SERRANO - Channel Manager - South EMEA- BeyondTrust
Pour prioriser efficacement vos efforts, vous devez d'abord comprendre vos applications - ses composantes clés
et ses domaines de vulnérabilité. Considérez les plates-formes sur lesquelles l'application réside ; les données
qui transitent entre un utilisateur et une application ; le DNS qui résout l'adresse IP pour accéder à l'application; les serveurs Web et d'application ; et les API associées qui sont utilisées par d'autres applications et systèmes.
F5 améliore de façon unique la stratégie de sécurité que votre entreprise souhaite adopter avec des solutions et des services de sécurité définis par des politiques et des contrôles robustes et simplifie la gestion efficace des facteurs de risque qui sont en constante évolution. « Si vous voulez protéger les outils qui pilotent votre business, cela signifie protéger les
applications qui les font fonctionner »
Karim ZGUIOUI - Systems Engineer North Africa - F5
Tout système sécurisé doit pouvoir identifier tous ses aspects et la partie principale de tout système est les utilisateurs. Internet est le système mondial le plus utilisé de la période actuelle. Cependant, en raison de l'absence de réglementation, l'identification des utilisateurs d'Internet est un processus difficile.
Les technologies émergentes telles que le blockchain peuvent être utilisées pour introduire une identité numérique dans la sécurisation de nos données et pour rendre l'utilisation d'Internet plus fiable.
Ayham Ahmed MADI - Software engineer - GEP TECHNOLOGIES
1. L’impact du Règlement Général sur la Protection des
Données personnelles (« RGPD »)
sur les sociétés africaines
5 avril 2018
Nacima Lamalchi-Elkilani
Avocat IP/IT Europe-Afrique
Data Protection Officer
A SECURE DIGITAL AFRICA
03-05 avril 2018, Hôtel Sheraton, Oran
2. 1. De quoi parle-t-on ?
Données personnelles :
Toute information identifiant directement ou
indirectement une personne physique (ex. nom,
no d’immatriculation, no identification nationale,
no de téléphone, photographie, date de
naissance, commune de résidence, empreinte
digitale, adresse IP, données génétiques, photo,
vidéo, voix etc.).
3. Vous détenez tous des fichiers contenant des
données personnelles :
- Fichiers RH : vidéosurveillance, badgage…
- Données clients/prospects : newsletters, sites…
- Fichiers banque/assurance : scoring, fraude
- Données de santé
- Données chez les opérateurs de communications
électroniques…
4. Conséquence :
Responsable de traitement » (RT) : personne
physique ou morale, l'autorité publique, le
service ou un autre organisme qui détermine les
finalités et les moyens du traitement
« Sous-traitant » (ST) : personne physique ou
morale, autorité publique, service ou organisme
qui traite des données au nom et pour le
compte du RT
5. Légitime
Justifié dans un
but défini
Minimisée
Adéquates,
nécessaires
Exacte, limitée
dans le temps:
mise à jour
Transparente:
Information des
personnes
Confidentialité
Mesures
appropriées
Conformité !
Les 5 grands principes
5
6. 2. Cadre juridique en Afrique
20 législations relatives à la protection des données personnelles et
seulement 8 autorités de contrôle
REGION PAYS AUTORITE DE CONTRÔLE
AFRIQUE DE
L’OUEST
CAP-VERT Pas d’autorité
BURKINA FASO Commission de l’informatique et des libertés (cil.bf)
SENEGAL Commission des données personnelles (cdp.sn)
BENIN
Commission nationale de l’informatique et des
libertés (cnilbenin.bj)
GHANA Data Protection Commission (dataprotection.org.gh)
CÔTE D’IVOIRE Pas d’autorité
MALI Pas d’autorité
GUINEE CONAKRY Pas d’autorité
NIGER Pas d’autorité
7. REGION PAYS AUTORITE DE CONTRÔLE
AFRIQUE DU
NORD
MAROC
Commission nationale des données personnelles
(cndp.ma)
TUNISIE
Instance Nationale de Protection des Données
Personnelles (inpdp.nat.tn)
AFRIQUE
CENTRALE
ANGOLA Pas d’autorité
GABON
Commission de protection des données
personnelles
TCHAD Pas d’autorité
AFRIQUE
AUSTRALE
MAURICE Data Protection Office (dataprotection.govmu.org)
DJIBOUTI Pas d’autorité
SWAZILAND Pas d’autorité
AFRIQUE DU SUD Pas d’autorité
LESOTHO Pas d’autorité
ZIMBABWE Pas d’autorité
8. Et l’Algérie ?
Loi n°04-15 du 10 novembre 2004 relative aux
atteintes aux systèmes de traitement automatisés de
données (STAD)
Loi 09-04 du 5 août 2009 relative à la prévention et à la
lutte contre les infractions liées aux TIC
Projet de loi relatif à la protection des personnes
physiques en matière de traitement des données
personnelles a été adopté le 28 mars 2018 par l’APN
9. 3. Pourquoi l’Afrique est concernée par le RGPD ?
Champ extraterritorial : responsables du traitement RT ou
sous-traitants ST traitant des données de personnes se
trouvant sur le territoire de l’UE dans le cadre :
a) d’une offre de biens ou de services à ces personnes
concernées dans l'Union, à titre onéreux ou gratuit
b) du suivi du comportement de ces personnes, dans
la mesure où il s'agit d'un comportement qui a lieu au
sein de l'Union. »
10. Quels risques en cas de non-conformité ?
Sanctions financières : 10 ou 20 millions d’euros, ou, dans
le cas d’une entreprise, de 2% jusqu’à 4% du chiffre
d'affaires annuel mondial
Actions des personnes concernées
Actions en responsabilité contractuelle du RT contre le ST
Sanction de perte d’image/réputation : la presse
11. 4. L’impact du RGPD sur les sociétés africaines
Principales obligations de l’ « Accountability »
Désigner un Data Protection Officer (DPO)
Obligatoire pour le RT et le ST s’ils appartiennent au
secteur public (i) ; si leurs activités principales les
amènent à réaliser un suivi régulier et systématique à
grande échelle des personnes (ii) ou à traiter, à grande
échelle, les données dites « sensibles » ou relatives à
des condamnations pénales et à des infractions (iii).
1
12. Respecter les droits des personnes fichées
Droit d’accès, de
rectification et de
suppression
Droit à
l’effacement
(droit à l’oubli)
Droit à la limitation
du traitement
Droit à la portabilité des
donnes
Droit de s’opposer à la prise
de décision automatisée (y
compris le profilage)
14. Rédiger les processus internes :
- Rédaction des politiques de gestion de données
personnelles et confidentialité
- Procédures relatives à l'exercice des droits des
personnes concernées, notices d'information..
- Procédures d’archivage et de purge
- Charte informatique interne
- PSSI, PCA/PRA, PAS
15. Assurer la sécurité informatique
Mesures techniques et organisationnelles :
pseudonymisation, chiffrement des données
Pseudonymisation : technique qui consiste à
traiter les données à caractère personnel de sorte
qu’elles ne puissent plus être attribuées à une
personne concernée précise sans avoir recours à
des informations complémentaires, ces dernières
devant être conservées séparément.
16. Obligation de notification des failles de sécurité à l’autorité de
contrôle et à la personne concernée (art. 33 et 34 du RGPD)
Failles de sécurité
72h pour notifier à l’autorité de
contrôle (art. 33 du RGPD)
Si risque élevé : communication à la
personne concernée (art. 34 du RGPD)
Contenu de la
notification :
• Nature de la
violation ;
• Nom et coordonnées
du DPO ;
• Conséquences
probables de la
violation ;
• Mesures prises pour
y remédier.
Communication dans les
meilleurs délais qui
décrit, en des termes
clairs et simples, la
nature de la violation de
données à caractère
personnel et les
informations et mesures
visées à l’article 33
Sauf si :
• Le RT a mis en œuvre de mesures
techniques et organisationnelles
appliquées aux DP affectées ;
• Le RT a mis en œuvre des mesures
ultérieures garantissant que le
risque n’est plus susceptibles de
se matérialiser ;
• La communication exige des
efforts disproportionnés.
17. Nouvelles obligations des sous-traitants
Conclure un contrat de sous-traitance :
Objectif : définir l’étendue de la mission, les obligations
(ex: confidentialité, conditions de recrutement d’un autre
sous-traitant, gestion des droits des personnes, sort des
données à la fin du contrat…), modalités droit d’audit par
le RT, formalités de transfert
Devoirs de sécurité, de conseil et d’alerte envers le
responsable de traitement : analyses d'impact (PIA);
prévention et procédures en cas de failles de sécurité
18. Les étapes à suivre vers la conformité2
Désigner un DPO
Désignation obligatoire dans certains cas et
recommandée dans d’autres. Peut être interne ou
externe à l’entreprise. « Chef d’orchestre » de la
démonstration de conformité.
Cartographier vos
traitements de données à
caractère personnel
Registre des traitements : acteurs du traitement,
catégories de données traitées, finalités, flux
indiquant origine et destination des données,
durées de conservation, mesures de sécurité
Prioriser les actions à
mener
Minimisation des données, base juridique du
traitement, MàJ des mentions d’information,
révision des contrats et engagement des ST,
modalités et procédures d’exercice des droits
19. Les étapes à suivre2
Gérer les risques
Pré-analyse succincte
Mener une Analyse d’Impact (PIA) si risque élevé
Organiser les processus
internes
Registre des traitements, analyses d’impact (PIA)
encadrement des transferts de données hors UE,
information des personnes, modèles de recueil
du consentement
Documenter la
conformité
Politique de confidentialité des données et de
formation / sensibilisation, procédures de
gestion des failles de sécurité, de traitement
des demandes des personnes concernées, de
conservation des consentement et de gestion
des flux de données
22. Le diagnostic / état des lieux va vous permettre :
d’évaluer le Niveau de Maturité de votre organisme par rapport aux
dispositions de la loi nationale le cas échéant, mais également au RGPD
d’établir le Niveau de Risques actuel de votre organisme
de disposer d’une Feuille de Route pour initier la démarche de mise en
conformité, décomposée par service
de vous proposer une réflexion de Mise en Conformité par service
de Réfléchir sur vos processus internes pour démontrer la mise en
place de mesures organisationnelles et techniques