Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

La Duck conf : "Hey ! Ton appli est elle GDPR ready"

113 views

Published on

Présentation du talk de Fabien Dupré & Arthur Mahé - Accenture Security
Depuis mai 2018, le Règlement Général sur la Protection des
Données encadre les traitements de données à caractère
personnel en renforçant la responsabilité des entreprises.
Voyons dans quelle mesure vous pouvez accompagner votre
entreprise dans la mise en conformité de ses traitements.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

La Duck conf : "Hey ! Ton appli est elle GDPR ready"

  1. 1. Fabien Dupré Arthur Mahé 29 janvier 2019 HEY! TON APPLI EST-ELLE GDPR READY?
  2. 2. Copyright © 2019 Accenture Security. All rights reserved. 3 CONFORMITÉ DES APPLICATIONS MÉTIERS AU RGPD : UN NOUVEAU RÔLE POUR L’ARCHITECTE D'ENTREPRISE Fabien Dupré Senior Manager Accenture Sécurité fabien.dupre@accenture.com Arthur Mahé Consultant Accenture Sécurité arthur.mahe@accenture.com Depuis mai 2018, le Règlement Général sur la Protection des Données encadre les traitements de données à caractère personnel en renforçant la responsabilité des entreprises. Il impacte notamment l’activité de relation client, ainsi que les applications qui la supporte. Voyons dans quelle mesure vous pouvez accompagner votre entreprise dans la mise en conformité de ses traitements. Pitch
  3. 3. Copyright © 2019 Accenture Security. All rights reserved. 4 CHAMP D’APPLICATION Sont concernés : La réglementation s’applique aux traitements de données à caractère personnel effectués sur le territoire Européen quelque soit la citoyenneté de la personne concernée Les traitements localisés sur le territoire Européen de données à caractère personnel des citoyens Européens ? Les traitements localisés sur le territoire Chinois de données à caractère personnel des citoyens Chinois ? Les traitements localisés sur le territoire Chinois de données à caractère personnel des citoyens Européens ? Les traitements localisés sur le territoire Européen de données à caractère personnel des citoyens Chinois ?
  4. 4. Copyright © 2019 Accenture Security. All rights reserved. LES PRINCIPALES OBLIGATIONS DE LA RÉGLEMENTATION 5 Pénalités élevées Renforcement des droits et obligations Principe d’extraterritorialité Harmonisation au sein de l’UE Entrée en application au 25 mai 2018 Gestion des sous-traitants Délégué à la protection des données Principe de responsabilité Information en cas de violation Privacy by Design Exercice des droits des personnes concernées Registre des traitements Analyse d’impacts sur la vie privée
  5. 5. Copyright © 2019 Accenture Security. All rights reserved. 6 QU’ENTEND-ON PAR TRAITEMENT? Définition de traitement : « Toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, […] la limitation, l'effacement ou la destruction. » Droits des personnes Registre des traitements Protection de la vie privée Desdevoirs… …pourrépondre àdesdroits Si l’approche par application est trop simpliste, celle qui consiste à différencier la donnée selon son cycle de vie est bien trop complexe à décliner opérationnellement
  6. 6. Copyright © 2019 Accenture Security. All rights reserved. 7 REGISTRE DES TRAITEMENTS Identifier la juste granularité pour la description des traitements est primordial pour viser une conformité « pragmatique » au GDPR Granularité des traitements Effortdemiseenconformité Takeaways • Viser entre 50 et 100 traitements par entité juridique • Outiller le registre pour rapprocher les traitements groupe des traitements locaux • Utiliser l’anonymisation (processus irréversible) permet de réduire l’effort de mise conformité registre des traitements
  7. 7. Copyright © 2019 Accenture Security. All rights reserved. 8 PROTECTION DE LA VIE PRIVÉE La protection des données à caractère personnel suit l’ensemble des étapes nécessaires à la mise à disposition d’un nouveaux produit / service (de la conception à l’arrêt) Qualification Définition Réalisation Mise en œuvre Analyse d’Impacts sur la Vie Privée (DPIA) Méthode projet Privacy by design Inclut les mesures du Privacy by Default* Pré-DPIA Inclut les mesures identifiées par le DPIA Takeaways • Respecter stricto-sensu les 10 critères du G29 • Proposer des modèles d’architecture en fonction des critères identifiés • Prévoir une architecture d’anonymisation par défaut pour les environnements hors production (*) s’applique également à l’existant
  8. 8. Copyright © 2019 Accenture Security. All rights reserved. 9 DROITS DES PERSONNES Guider les personnes concernées dans l’exercice de leurs droits pour gagner en efficacité et renforcer l’image client Takeaways • Automatiser au maximum l’exercice des droits pour soulager le Service Client • S’appuyer sur les solutions de Data Lineage pour identifier les flux de données • Sécuriser vos données pour éviter qu’une fonctionnalité d’accès devienne une vulnérabilité Interface Service Consommateurs Responsable applicatif Applications Miseàdisposition de«8droits»
  9. 9. Copyright © 2019 Accenture Security. All rights reserved. 10 SYNTHÈSE Champ d’application « La réglementation s’applique aux traitements de données à caractère personnel effectués en Europe » Qu’entend-on par traitement ? « Un traitement reflète une activité Métier en lien avec des données à caractère personnel dans un formalisme imposé » Registre des traitements « Identifier la juste granularité pour la description des traitements » Droits des personnes «Standardiser les interfaces et normaliser les processus de réponse aux droits des personnes concernées » Protection de la vie privée « Intégrer le processus de Privacy by Design aux méthodologies projets existantes »

×