Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Webinar EEIE #08 : Le RGPD

310 views

Published on

Support de présentation du Webinar EEIE n°8 animé par Marc Stoltz sur le thème du RGPD.

Published in: Internet
  • Be the first to comment

  • Be the first to like this

Webinar EEIE #08 : Le RGPD

  1. 1. 1
  2. 2. Votre intervenant : Marc STOLTZ Consultant en sûreté et gestion de crise ➢ Master 2 de l’Ecole Européenne d’Intelligence Economique ➢ Formateur au sein de l’EEIE depuis 2016 ➢ Réserviste - Référent Cyber Menace DCPJ/SDLP Mais encore… Précédemment : ➢ Responsable analyses sécuritaires & économiques ➢ Cadre au sein de la Direction du Renseignement Militaire ➢ Responsable de la cellule de veille stratégique du GIGN ➢ Officier de Police Judiciaire 2
  3. 3. Le RGPD 3 Entré en vigueur le 25 mai 2018, le RGPD est le texte de référence européen en matière de protection des données à caractère personnel. 3 objectifs : ➢ Renforcer les droits des personnes ➢ Responsabiliser les acteurs traitants des données à caractère personnel ➢ Crédibiliser la régulation grâce à une coopération renforcée entre les autorités nationales en charge 2016 !!!
  4. 4. ➢ Chaque pays de l’U.E. doit avoir une autorité de contrôle. ➢ Chaque unité de contrôle est membre du CEPD. ➢ Le CEPD remplace le G29: ❖ Conseil à la Commission Européenne ❖ Promotion de la coopération entre les différents Etats-membres RGPD et idées reçues… Quelles sont les autorités de référence ? 4
  5. 5. Petit rappel Sémantique RGPD ➢Donnée à caractères personnels (DCP): toute information se rapportant à une personne physique identifiée ou identifiable. ➢DPD/DPO : Délégué à la Protection des Données ➢Organe de contrôle : autorité désignée et habilitée pour conseiller et contrôler les actions de mise en conformité. 5
  6. 6. Pourquoi le RGPD ? ➢ 36% des petites entreprises victimes de fuites de données en 2019, ➢ 48% des moyennes entreprises, ➢ 53% des grandes entreprises ➢ … et vous ? 6
  7. 7. Quel est votre niveau de mise en conformité ? Parlons de vous… 7
  8. 8. Je ne sais pas par où commencer… Je n’ai pas pris d’informations sur le sujet… 8
  9. 9. Pourquoi ? Grâce aux clients, la loi ! Les exigences métier (Santé, juristes…), 9
  10. 10. Le RGPD : un frein à votre activité ? ➢ Harmonisation des réglementations au sein de l’Europe ; ➢ Renforcement du droit des personnes ; ➢ Protection au-delà de l’Europe ; ➢ Attestation de protection des données et de compliance. RGPD et idées reçues… 10
  11. 11. Le RGPD est-il compliqué à respecter ? ➢ Applicable à toutes les entités ; ➢ Procédure adaptée selon l’activité et la taille ; ➢ Sécurisation des systèmes d’information déjà en place ; ➢ Sensibilisation des personnels ; ➢ Soutien actif de la CNIL. RGPD et idées reçues… 11
  12. 12. 12 Les 6 droits renforcés ou créés Droits d’accès Gestion des consentements Rectification des données Droit à l’oubli Limitation des traitements Portabilité des données
  13. 13. 13 Les obligations des entités Cartographie et tenue d’un registre des traitements de données Désignation d’un DPO Analyse d’impact Minimisation des données collectées Protection des données Notification de violation
  14. 14. 14 Exiger la compliance de ses partenaires Augmenter son efficacité Renforcer sa cybersécurité Optimiser sa stratégie marketing … Mais aussi :
  15. 15. Mener le projet de mise en conformité ! ➢ Evaluer les étapes dans le temps ➢ Classer et prioriser les mesures obligatoires et souhaitables ➢ Ne pas négliger la protection physique et la protection numérique ➢ Identifier les mesures spécifiques à l’activité ➢ Intégrer un PCA RGPD : mais que devons-nous faire ? 15
  16. 16. La nomination du DPO (art. 39) ➢ Il mène le projet de mise en conformité en interne et en externe ➢ Il a plusieurs missions en plus de la mise en conformité : conseil, sensibilisation, contrôle ➢ Il doit être indépendant et hors de tout conflit d’intérêts ➢ Il doit être associé à tous les thèmes traitant de DCP ➢ Il coopère avec l’autorité de contrôle ➢ Il doit bénéficier d’un budget et d’une équipe (référents par métier) RGPD : mais que devons-nous faire ? 16
  17. 17. 17 Cartographier les DCP RGPD : mais que devons-nous faire ?
  18. 18. 18 Cartographier les DCP
  19. 19. Utiliser un outil d’ILM (Information Lifecycle Management) ➢ Saisine des DCP ➢ Vecteurs de transmission interne et externe (Europe et étranger) ➢ Stockage informatique et papier ➢ Logiciels de gestion et site Internet ➢ Suppression des DCP Maîtriser le cycle de vie des DCP RGPD : mais que devons-nous faire ? Sachant que toute demande sur les DCP, doit obtenir une réponse dans un délai d’un mois et en cas de difficulté, obligation de le signaler et informer de la possibilité d’introduire une réclamation auprès d’une autorité de contrôle et de former un recours juridictionnel. 19
  20. 20. Les analyses d’impact ou Privacy Impact Assessment (EIVP – PIA) A l’aide d’une matrice des risques : ➢ Traitement des DCP, ➢ Nécessité et proportionnalité de traitement, ➢ Identification des risques résultant du traitement. Si le niveau de risque demeure peu élevé : pas besoin d’analyse d’impact, comme pour les traitements listés par l’autorité de contrôle (art. 35-5) et/ou possédant une base légale avec une analyse déjà effectuée (art. 35-10) RGPD : mais que devons-nous faire ? 20
  21. 21. Les contrats et avenants avec les partenaires Ils définissent les modalités du traitement et le niveau de co-responsabilité : ➢ L’objet, ➢ La durée, ➢ La nature, ➢ La finalité, ➢ Le type de DCP traitées, ➢ Les catégories de personnes concernées. Pour le sous-traitant : ➢ Traitement uniquement sur instruction, ➢ Obligation contractuelle des personnes autorisées à traiter, ➢ Sécurité du traitement, ➢ Facilitation des obligations du RGPD (accès, rectification, suppression, portabilité, etc.), ➢ Exigences de fin de prestation, ➢ Alerte et mise à disposition des éléments de contrôle. RGPD : mais que devons-nous faire ? 21
  22. 22. Ouvrir un registre des activités de traitement ➢ Repère de conformité des traitements (1ère obligation de preuve) ➢ Faciliter les contrôles ➢ Suivre les cycles des DCP ➢ Remplace l'obligation d'effectuer des formalités préalables de déclaration des traitements (sauf exception). RGPD : mais que devons-nous faire ? 22
  23. 23. En cas d’incident → Détecter et notifier Il est obligatoire de notifier toute violation de DCP dans les 72 heures à l’autorité de contrôle ➢ Mettre en place une veille ciblée ; ➢ Contrôler régulièrement pour détecter, localiser et identifier toute violation de DCP ; ➢ Notifier les éléments à l’autorité de contrôle dans les 72h ; ➢ Annoncer les mesures prises ; ➢ Communiquer aux titulaires des DCP dans le délai le plus court, sauf si : ❖ Les DCP sont chiffrées en amont ou lorsque les mesures correctives sont adaptées, ❖ L’information individuelle des personnes nécessite des «efforts disproportionnés» (recourir à un mode de communication publique selon l’article 34). RGPD : mais que devons-nous faire ? 23
  24. 24. Les principales infractions ciblées par la ➢ Défaut de cartographie à jour ➢ Divulgation maladroite ou malveillante ➢ Défaut de dispositifs de chiffrement et d’anonymisation / pseudonymisation ➢ Défaut de communication en cas d’incident ➢ Stockage illégitime de DCP RGPD : et en cas de contrôle ? 24
  25. 25. Les modalités de transferts hors Europe ➢ Décision d’adéquation de la Commission ➢ Fourniture de garanties Ou sous dérogations : ➢ Consentement explicite de la personne ➢ Nécessité pour un contrat lié à la personne ➢ Cas d’intérêts vitaux ➢ Cadre d’un registre pour informer le public (sous conditions) ➢ Transfert non répétitif (sous conditions) RGPD : pour aller plus loin ! 25
  26. 26. En conclusion ➢ Désigner un DPO formé et légitime ; ➢ Analyser l’impact relatif à la protection des DCP ; ➢ Sécuriser les DCP ; ➢ Empêcher les accès non autorisés; ➢ Limiter les accès selon le principe du droit d’en connaître; ➢ Mettre en place des moyens de contrôle et de détection ; ➢ Sensibiliser et responsabiliser pour éviter fuites et erreurs humaines ; ➢ Ne pas négliger les actes de malveillance internes et externes ; ➢ Envisager la renégociation des contrats, notamment avec l’étranger ou négocier un contrat spécifique pour le traitement des données ; ➢ Tenir des registres documentés et opérationnels sur les traitements ; ➢ Notifier à l’autorité de contrôle (CNIL) toute violation de données. 26
  27. 27. SAS RESILIO www.resilio.fr RCS 820 925 832 Organisme de formation n° 75400130540 DIRECCTE NOUVELLE-AQUITAINE Marc STOLTZ +33 614 815 056 marc@resilio.fr

×