Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Présentation de Laurent Ducol - Saint Gobain archives

2,780 views

Published on

Journée d'études de l'AAF du 30 mars "Open data et protection des données personnelles: où en sommes-nous ?"

Published in: Data & Analytics
  • Be the first to comment

  • Be the first to like this

Présentation de Laurent Ducol - Saint Gobain archives

  1. 1. LE DÉPLOIEMENT DU RGDP CHEZ SAINT- GOBAIN AAF – Table ronde du 30 mars 2018
  2. 2. PLAN  Une co-intervention  la démarche de mise en conformité de Saint-Gobain  Appréhender le cas des archives à conserver à titre historique 2 / Le déploiement du RGDP chez Saint-Gobain - table ronde du 30 mars 2018
  3. 3. LUCY SAVARY - 2012-2015 : Juriste et Développeur Informatique (Service des contrôles) - CNIL (Autorité Française de Protection des Données) 2015-2017 : Compliance Officer (Data Protection) - BNP Paribas Depuis 2016 : Chargé d’enseignement « Contrôles et Sanctions de la CNIL » à Paris Nanterre (DU DPO) Depuis 2017 : Legal Privacy Expert - Saint-Gobain et Chargé d’enseignement « Sécurité des Systèmes d’Information (SSI) » à Paris 1 Panthéon-Sorbonne (Master 2 Droit de l’économie numérique) Membre du jury de l’ISEP (l’Ecole d’Ingénieurs du numérique) pour 2018 3 / Le déploiement du RGDP chez Saint-Gobain - table ronde du 30 mars 2018
  4. 4. Chiffre d’affaires 40,8Md€ LE GROUPE SAINT-GOBAIN – CONTEXTE – CHIFFRES CLÉS 2017 4 Présent dans 67pays Plus de 75 %des ventes réalisées sur le marché de l’habitat : construction neuve, rénovation, infrastructures et génie civil Un des 100principaux groupes industriels dans le monde avec environ 950 sites de production Plus de179 000collaborateurs et plus de 100nationalités représentées Plus de 4 100 points de vente Créé il y a plus de 350 ans 650 entités légales sur 30 pays Le déploiement du RGDP chez Saint-Gobain - table ronde du 30 mars 2018 La sanction en cas de non respect du RGPD = 4% du CA mondial
  5. 5. CHRONOLOGIE DE MISE EN CONFORMITÉ  Information sur le nouveau règlement, enjeux et deadline (mai-juin 2017)  Inventaire et analyse de la situation des traitements dans chaque filiale du groupe (av. 30/11/2017)  Mise en place d’un registre pour un premier inventaire (Gathering Tool / Excel puis outil de Data Protection Managerment dédié en cours d’acquisition / paramétrage, intégration du référentiel archives)  Définition d’une politique groupe (printemps 2018)  Déclinaison d’un programme de formation (e-learning en cours de sélection), fiches pratiques, toolkits, vidéo (idem), sensibilisation, etc.  Structuration d’un réseau de correspondants par société et répartition de l’animation du réseau entre les juristes du périmètre 5 / Le déploiement du RGDP chez Saint-Gobain - table ronde du 30 mars 2018
  6. 6. LES 4 ETAPES VERS LA MISE EN CONFORMITÉ (MAI 2018) L’INVENTAIRE FOCUS sur un chantier majeur : l’inventaire des traitements  Une questionnaire pour aider à la réflexion  Une liste sur Excel  une démarche d’accountability (vérifier la conformité) : Et toujours selon 5 « golden rules » (mises à jour avec le nouveau RGPD) 6 / Programme de sensibilisation et de formation LE REGISTRE LA POLITIQUE GENERALE L’INVENTAIRE LE REGISTRE POLITIQUE GENERALE PROGRAMME DE SENSIBILISATION Le déploiement du RGDP chez Saint-Gobain - table ronde du 30 mars 2018
  7. 7. LE REGISTRE SAINT-GOBAIN ARCHIVES  Gestion administrative du personnel (supprimer ce qui est disponible à travers des outils partagés avec la RH – cf. certains fichiers RH - paye)  Contrôle d’accès  Gestion administrative des fournisseurs  Gestion des bases documentaires et des archives : outil de gestion physique et outil mixte d’archivage électronique  Evaluation de la qualité de service (sondage intéressement)  Communication / animation réseau interne / externe  Suivi du temps de travail mensuel des salariés (déclaration EHS) 7 traitement dont nous sommes responsables 7 / Le déploiement du RGDP chez Saint-Gobain - table ronde du 30 mars 2018
  8. 8. CALENDRIER DE DÉPLOIEMENT DU PROJET 8 / Le déploiement du RGDP chez Saint-Gobain - table ronde du 30 mars 2018
  9. 9. RGDP : intégrer les archives historiques dans la réflexion 9 / Le déploiement du RGDP chez Saint-Gobain - table ronde du 30 mars 2018
  10. 10. CONSÉQUENCES SUR LA GESTION DES ARCHIVES Préciser le rôle du GIE dans les conventions de gestion signées avec nos clients : le GIE est sous-traitant / hébergeur de données. Cf. l’article 28 du règlement européen sur les sous-traitants et le guide sous-traitant de la CNIL Pendant la DUA  nous sommes sous-traitant  répartir la responsabilité (collecte, conservation, communication et élimination)  pas de retraitement.  Un principe d’accountability : demander la finalité de la com si nécessaire de passer par nous (si recherche élaborée). A voir si à terme un développement possible dans Darwin ? Après la DUA et en archives historiques  nous sommes responsable de traitement Expliciter la seule notion d’archives historiques qui ne suffit plus (objectifs / ex : dimension sociétale : famille de salariés, territoires d’implantation etc.) 10 / Le déploiement du RGDP chez Saint-Gobain - table ronde du 30 mars 2018
  11. 11. CONSÉQUENCES SUR LA GESTION DES ARCHIVES Archives historiques / conservation illimitée :  Nos juristes nous rappellent nous ne sommes pas dans le secteur public  Ne considèrent pas que nous devons appliquer la même règle illimitée tant que cela n’a pas été confirmé par l’autorité  Point technique :  les délais peuvent être rallongés mais pas réduits dans notre outil  Choix d’un délai dédié qui pourra être rallongé  Construire un argumentaire pour l’autorité de contrôle (souhait d’un benchmark et à terme une rencontre avec la CNIL) Impact positif : le référentiel archives intégré dans le DPM  en faire un outil de référence pour le registre 11 / Le déploiement du RGDP chez Saint-Gobain - table ronde du 30 mars 2018
  12. 12. Pour compléter la réflexion 12 / Le déploiement du RGDP chez Saint-Gobain - table ronde du 30 mars 2018
  13. 13. PROTECTION DES DONNÉES : 5 RÈGLES D’OR 1. Finalité  Déterminée, explicite et légitime 2. Conservation  Limitée au temps où les données sont utiles 3. Licéité, loyauté et transparence  Consentement : libre, spécifique, éclairé et univoque  Information : compréhensible et aisément accessible  Exercice des droits : accès, portabilité, effacement… 4. Minimisation, exactitude et pertinence des données  Seules les données nécessaires doivent être traitées 5. Intégrité / Confidentialité  Mettre en place des mesures de sécurité appropriées 13 / Le déploiement du RGDP chez Saint-Gobain - table ronde du 30 mars 2018 13 / Le cadre de la protection des données personnelles
  14. 14. CONCLUSION / QUELQUES ÉLÉMENTS DE CONTEXTE 25 mai 2018 : entrée en vigueur du RGPD (adopté en 2016) pour les TPE, PME et grands groupes qui devront désormais être capable de démontrer leur conformité (« accountability »). Ce n’est pas une nouveauté. La France a une législation sur ce sujet depuis 1978. le RGPD est annoncé depuis 2016. Certains parient : 1 - sur une tolérance de l’UE  grave erreur à plusieurs titres - elle sera certainement : • très limitée • ne concernera certainement pas les principes fondamentaux de la règlementation déjà applicables NB : ce n’est pas une nouveauté, le RGDP (annoncé en 2016) est un renforcement de l’existant (nous avons théoriquement un socle si nous étions conformes antérieurement !) 2 - sur une mauvaise analyse du marché  MAIS les acteurs se mobilisent déjà depuis 2016 : • recrutent déjà et donc les meilleurs profils seront partis (Les CIL pourront être « upgradés » par ailleurs), l’anglais monnaie courante • Les formations : rare et peu de diplômés / ne sont pas encore dimensionnées à la demande • Les outils de registres : les prestataires auront du mal à pourvoir tous les clients – constat d’un marché encore mal pourvu • La stratégie la meilleure : probablement de démarrer, d’avoir un plan de mise en conformité et d’avancer en tenant compte des REX L’usine digital de janvier 2018 : 30% des annonceurs en septembre 2017 avaient pour objectif d’intégrer un DPO au 1er trimestre 2018. 14 / Le déploiement du RGDP chez Saint-Gobain - table ronde du 30 mars 2018

×