Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

of

Etes-vous Gdpr compliant? Slide 1 Etes-vous Gdpr compliant? Slide 2 Etes-vous Gdpr compliant? Slide 3 Etes-vous Gdpr compliant? Slide 4 Etes-vous Gdpr compliant? Slide 5 Etes-vous Gdpr compliant? Slide 6 Etes-vous Gdpr compliant? Slide 7 Etes-vous Gdpr compliant? Slide 8 Etes-vous Gdpr compliant? Slide 9 Etes-vous Gdpr compliant? Slide 10 Etes-vous Gdpr compliant? Slide 11 Etes-vous Gdpr compliant? Slide 12 Etes-vous Gdpr compliant? Slide 13 Etes-vous Gdpr compliant? Slide 14 Etes-vous Gdpr compliant? Slide 15 Etes-vous Gdpr compliant? Slide 16 Etes-vous Gdpr compliant? Slide 17 Etes-vous Gdpr compliant? Slide 18 Etes-vous Gdpr compliant? Slide 19 Etes-vous Gdpr compliant? Slide 20 Etes-vous Gdpr compliant? Slide 21 Etes-vous Gdpr compliant? Slide 22 Etes-vous Gdpr compliant? Slide 23 Etes-vous Gdpr compliant? Slide 24 Etes-vous Gdpr compliant? Slide 25 Etes-vous Gdpr compliant? Slide 26 Etes-vous Gdpr compliant? Slide 27 Etes-vous Gdpr compliant? Slide 28 Etes-vous Gdpr compliant? Slide 29 Etes-vous Gdpr compliant? Slide 30 Etes-vous Gdpr compliant? Slide 31 Etes-vous Gdpr compliant? Slide 32 Etes-vous Gdpr compliant? Slide 33 Etes-vous Gdpr compliant? Slide 34 Etes-vous Gdpr compliant? Slide 35 Etes-vous Gdpr compliant? Slide 36 Etes-vous Gdpr compliant? Slide 37 Etes-vous Gdpr compliant? Slide 38 Etes-vous Gdpr compliant? Slide 39 Etes-vous Gdpr compliant? Slide 40 Etes-vous Gdpr compliant? Slide 41 Etes-vous Gdpr compliant? Slide 42 Etes-vous Gdpr compliant? Slide 43 Etes-vous Gdpr compliant? Slide 44 Etes-vous Gdpr compliant? Slide 45 Etes-vous Gdpr compliant? Slide 46 Etes-vous Gdpr compliant? Slide 47 Etes-vous Gdpr compliant? Slide 48 Etes-vous Gdpr compliant? Slide 49 Etes-vous Gdpr compliant? Slide 50 Etes-vous Gdpr compliant? Slide 51 Etes-vous Gdpr compliant? Slide 52 Etes-vous Gdpr compliant? Slide 53 Etes-vous Gdpr compliant? Slide 54 Etes-vous Gdpr compliant? Slide 55 Etes-vous Gdpr compliant? Slide 56 Etes-vous Gdpr compliant? Slide 57 Etes-vous Gdpr compliant? Slide 58 Etes-vous Gdpr compliant? Slide 59 Etes-vous Gdpr compliant? Slide 60 Etes-vous Gdpr compliant? Slide 61 Etes-vous Gdpr compliant? Slide 62 Etes-vous Gdpr compliant? Slide 63 Etes-vous Gdpr compliant? Slide 64 Etes-vous Gdpr compliant? Slide 65 Etes-vous Gdpr compliant? Slide 66 Etes-vous Gdpr compliant? Slide 67 Etes-vous Gdpr compliant? Slide 68 Etes-vous Gdpr compliant? Slide 69 Etes-vous Gdpr compliant? Slide 70 Etes-vous Gdpr compliant? Slide 71 Etes-vous Gdpr compliant? Slide 72 Etes-vous Gdpr compliant? Slide 73 Etes-vous Gdpr compliant? Slide 74 Etes-vous Gdpr compliant? Slide 75 Etes-vous Gdpr compliant? Slide 76 Etes-vous Gdpr compliant? Slide 77 Etes-vous Gdpr compliant? Slide 78 Etes-vous Gdpr compliant? Slide 79 Etes-vous Gdpr compliant? Slide 80
Upcoming SlideShare
What to Upload to SlideShare
Next
Download to read offline and view in fullscreen.

1 Like

Share

Download to read offline

Etes-vous Gdpr compliant?

Download to read offline

A moins d'un mois de l'entrée en vigueur de ce nouveau règlement européen de protection des données personnelles, il est grand temps pour les entreprises de se mettre en conformité. Ce diaporama revient sur les principales dispositions du RGPD et les éléments à mettre en place du côté des entreprises, notamment dans le cadre des campagnes marketing.

Related Books

Free with a 30 day trial from Scribd

See all

Etes-vous Gdpr compliant?

  1. 1. Etes-vous GDPR Compliant? Martine FOURNIER @MartineFournie8 avril 2018 1
  2. 2. • I – Objectifs et champ du RGPD • II – Les droits renforcés des personnes • III – Les nouvelles obligations des entreprises • IV – Comment se mettre en conformité • Conclusion : le RGPD une opportunité? avril 2018 2
  3. 3. I - Objectifs et champ du RGPD avril 2018 3
  4. 4. Données personnelles et traitement de données… Quezako?avril 2018 4
  5. 5. avril 2018 5 Qu’est-ce qu’une donnée personnelle?
  6. 6. Quelles données sont considérées comme personnelles? avril 2018 6  Un produit acheté par un client  Une date de naissance  Un numéro de contrat salarié  Un stock produits  Un numéro de carte bancaire  Un numéro de référence client  Le CA de l’entreprise
  7. 7. Quelles données sont considérées comme personnelles? avril 2018 7 ■ Un produit acheté par un client ■ Une date de naissance ■ Un numéro de contrat salarié  Un stock produits ■ Un numéro de carte bancaire ■ Un numéro de référence client  Le CA de l’entreprise
  8. 8. Définition des données à caractère personnelavril 2018 8 Exemples : - Numéro de téléphone - Un identifiant - Des données de localisation - Une adresse IP - Les données des objets connectés… Certaines données sont considérées comme sensibles (santé, vie sexuelle, origine raciale, opinions politiques, religieuses ou syndicales) et doivent être recueillies avec le consentement exprès de la personne. Toute information qui permet d’identifier directement ou indirectement une personne physique.
  9. 9. avril 2018 9 Qu’est-ce qu’un traitement de données?
  10. 10. Quelles actions sont considérées comme des traitements de données? avril 2018 10  Une collecte de données via un concours marketing  La revente de données à des distributeurs  Un sondage du personnel sur la future fête de fin d’année  Le calcul de la paie du personnel  L’hébergement des données clients sur un serveur  Une note papier sur les clients à rappeler dans la journée
  11. 11. Quelles actions sont considérées comme des traitements de données? avril 2018 11 ■ Une collecte de données via un concours marketing ■ La revente de données à des distributeurs ■ Un sondage du personnel sur la future fête de fin d’année ■ Le calcul de la paie du personnel ■ L’hébergement des données clients sur un serveur  Une note papier sur les clients à rappeler dans la journée
  12. 12. Définition du traitement de données à caractère personnelavril 2018 12 Exemples : - Collecte - Enregistrement - Organisation - Conservation - Adaptation - Modification Mais aussi : - Extraction - Consultation - Utilisation - Diffusion - Destruction Toute opération effectuée manuellement ou informatiquement appliquée à des données personnelles.
  13. 13. avril 2018 13 RGPD : Règlement Général sur la Protection des Données GDPR : General Data Protection Regulation
  14. 14. Pourquoi le RGPD? avril 2018 14
  15. 15. Pourquoi le RGPD? avril 2018 15
  16. 16. Un règlement européen avril 2018 16 C’est un texte lourd (99 articles) et sans doute fondateur. Constitutionnel? « Pour moi, le RGPD est un texte historique. C’est un texte qui, demain, se comparera peut-être au code civil et aux droits sociaux » Gilles Babinet, Digital Champion, avril 2018 Les Etats membres sont contraints de l’appliquer directement sans transposition dans leur loi.
  17. 17. avril 2018 17 Les objectifs du RGPD • 1. Redonner au client la maîtrise de ses données – En l’informant des données que l’on collecte sur lui et de ce qu’on en fait – En lui permettant de disposer pleinement de ses données ( accès, rectification, suppression, portabilité…) • 2. Responsabiliser les entreprises dans la gestion de leurs données clients • 3. Faire peser ces même règles sur les entreprises hors UE – En terme de données personnelles (ex GAFA) qui proposent des produits ou services visant des résidents de l’Union Européenne ou bien ayant trait au suivi de leur comportement au sein de l’Union – En faire un avantage concurrentiel pour les entreprises qui s’y sont conformé.
  18. 18. Qui est concerné par le RGPD? avril 2018 18 Le RGPD s’applique à toute entreprise Entreprise publique Entreprise privée Sous-traitants En cas de non respect, les sanctions peuvent aller jusqu’à 4% du CA mondial.
  19. 19. II – Les droits renforcés des personnes avril 2018 19
  20. 20. avril 2018 20 Comment le RGPD renforce le droit des personnes?
  21. 21. Droit des personnes avril 2018 21 DROIT A L’INFORMATION Droit d’accès et de rectification Droit d’opposition Droit à l’effacement Droit à la limitation du traitement Portabilité des données Droit au retrait du consentement Droit d’opposition au profilage Renforcement de la protection des mineurs AjoutsduGDPRActuellement +
  22. 22.  L’identité du responsable du traitement  Les finalités du traitement  Les destinataires des données Le droit à l’information avril 2018 22  Accès / Rectification / Suppression des données concernant la personne Avec le GDPR Actuellement  La base juridique du traitement  Le droit de la personne concernée de retirer à tout moment son consentement  La durée de conservation des données ou les critères utilisés pour déterminer cette durée  Les coordonnées du DPO…  Transfert des données Hors UE: garantie prises, moyens d’y accéder  Droit à la portabilité  Droit d’introduire une réclamation auprès d’une autorité Avant même le début du traitement, les informations doivent être fournies sous une forme claire et compréhensive.
  23. 23. Quels sont les droits ou obligations ajoutés par le RGPD? avril 2018 23  L’obligation pour les entreprises de rendre accessibles à leurs clients, les coordonnées du DPO (Data Protection Officer)  Le droit à la portabilité pour les consommateurs  Le droit pour le client de retirer à tout moment son consentement  L’obligation pour les entreprises de rendre disponible la durée de conservation des données le concernant  Le droit d’accès pour le client aux données le concernant.
  24. 24. Quels sont les droits ou obligations ajoutés par le RGPD? avril 2018 24 ■ L’obligation pour les entreprises de rendre accessibles à leurs clients, les coordonnées du DPO (Data Protection Officer) Oui : cela fait partie des nouvelles obligations ■ Le droit à la portabilité pour les consommateurs Oui : cela fait partie des nouvelles obligations ■ Le droit pour le client de retirer à tout moment son consentement Oui : cela fait partie des nouvelles obligations ■ L’obligation pour les entreprises de rendre disponible la durée de conservation des données le concernant Oui : cela fait partie des nouvelles obligations  Le droit d’accès pour le client aux données le concernant. Non : ce droit existait auparavant.
  25. 25. Droit d’accès et de rectification avril 2018 25 Le DROIT D’ACCES permet à la personne qui le souhaite : - d’avoir confirmation que des données personnelles la concernant sont traitées ou non, - D’obtenir copie de ces données - D’obtenir les information concernant ses droits Le DROIT DE RECTIFICATION permet à la personne qui le souhaite : - De faire rectifier ses données personnelles lorsque ces dernières sont inexactes.
  26. 26. Quelles sont les affirmations justes? avril 2018 26  Un mari peut obtenir la rectification des données personnelles de son épouse, s’il en fait la demande.  L’exercice du droit d’accès entraîne obligatoirement des frais pour celui qui en fait la demande.  Le client, qui découvre, après accès à ses données personnelles, qu’une erreur dans sa date de naissance existe, peut demander sa rectification.
  27. 27. Quelles sont les affirmations justes? avril 2018 27  Un mari peut obtenir la rectification des données personnelles de son épouse, s’il en fait la demande. Non, les données de son épouse ne lui sont pas accessibles.  L’exercice du droit d’accès entraîne obligatoirement des frais pour celui qui en fait la demande. Non, cela peut être gratuit ou légèrement payant (montant raisonnable).  Le client, qui découvre, après accès à ses données personnelles, qu’une erreur dans sa date de naissance existe, peut demander sa rectification. Oui, cela fait partie du droit de rectification.
  28. 28. Droit à l’effacement avril 2018 28  Les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées  Le consentement a été retiré  La personne s’est opposée au traitement  Les données ont fait l’objet d’un traitement illicite  En vertu d’une obligation légale  Quand les données ont été collectées lorsque la personne était mineure. MOTIFS DE DROIT A L’EFFACEMENT LES EXCEPTIONS A CE DROIT  La liberté d’expression et d’information  Une obligation légale  L’intérêt public  L’archivage dans l’intérêt public, la recherche scientifique ou historique, …  La constatation, l’exercice et la défense des droits en justice
  29. 29. Droit à la portabilité des données avril 2018 29 Le DROIT A LA PORTABILITE DES DONNEES offre aux personnes la possibilité de récupérer les données qu’elles-mêmes ont fournies à l’entreprise (pour changer d’opérateur télécom par exemple). La demande est valable lorsque le traitement est fondé :  Sur le recueil du consentement de la personne concernée  Sur l’exécution du contrat entre la personne concernée et le Responsable de Traitement  Sur un traitement informatique ( car la portabilité ne joue que sur les données ayant fait l’objet d’un traitement informatisé) Technique  Lorsque c’est techniquement possible, la portabilité doit pouvoir se faire d’un Responsable de traitement à un autre  La portabilité doit se faire dans un format : Structuré, Couramment utilisé , Lisible par une machine Validité
  30. 30. Droit d’opposition avril 2018 30 Le DROIT D’OPPOSITION permet à la personne qui le souhaite : - De s’opposer à tout moment à un traitement de ses données personnelles Le RESPONSABLE DES TRAITEMENTS doit alors cesser le traitement dans les meilleurs délais. Quelques exceptions : - Si le responsable des traitements peut prouver qu’il s’agit d’un motif impérieux (lutte contre la fraude, les impayés…) - -dans le cas de la recherche scientifique, d’obligations légales…
  31. 31. Conclusion : les nouveaux droits des consommateurs avril 2018 31
  32. 32. Conclusion : les nouveaux droits des consommateurs avril 2018 32
  33. 33. III – Les nouvelles obligations des entreprises avril 2018 33
  34. 34. Les 6 règles d’or avril 2018 34 • La collecte des informations des clients doit être:  Loyale: ils doivent en être informés  Transparente: elle ne peut être faite à leur insu  Légale: reposer sur un des fondements prévus par le GDPR • exemple: intérêt légitime, obligation légale, exécution du contrat, consentement… 1 Loyauté, transparence et légalité du traitement.
  35. 35. Les 6 règles d’or avril 2018 35 • « Vous êtes le DRH d’une entreprise, répondez à cette affirmation: » • « Vous avez le droit de communiquer le fichier de paie du personnel à des marketeurs pour utilisation à des fins de prospection directe » (OUI/NON) • Non, • car cela est contraire au principe du GDPR: • • Limitation des finalités du traitement. • C’est-à-dire qu’il est interdit de détourner l’objectif initial du traitement: dans ce cas, un fichier de paie ne doit servir qu’à la paie du personnel 2 2
  36. 36. Les 6 règles d’or avril 2018 36 • « Vous êtes le Responsable Commande/Livraison d’un concessionnaire automobile, répondez à cette affirmation: » • « Vous avez le droit de collecter la date de naissance de votre client » (OUI/NON) • Non, • car cela est contraire au principe du GDPR: • • C’est-à-dire qu’il est interdit de collecter des données qui ne sont pas nécessaires au regard des objectifs du traitement 3 3 Minimisation des données
  37. 37. Les 6 règles d’or avril 2018 37 • « Vous êtes le responsable facturation d’une PME. • Votre n’avez pas actualisé votre base de données des débiteurs depuis un mois, bien que certains clients aient réglé leurs factures entretemps. • Etes-vous en règle ? » (OUI/NON) • Non, • car cela est contraire au principe du GDPR, vous n’êtes pas en règle: • C’est-à-dire qu’il est obligatoire que les données traitées soient exactes et tenues à jour. 4 4 Principe d’exactitude
  38. 38. Les 6 règles d’or avril 2018 38 • « Vous travaillez au backoffice d’un opérateur téléphonique. • Vous pouvez conserver les factures détaillées de vos clients indéfiniment (OUI/NON) • Non, • car cela est contraire au principe du GDPR: •  Dans notre exemple, cette limitation légale est de 1 an (pour répondre à une éventuelle contestation du client)  Dans les autres cas, la durée peut être différente, mais en aucun vous ne pouvez les conserver de manière illimitée 5 5 Principe de limitation de la conservation des données
  39. 39. Les 6 règles d’or avril 2018 39 • « Vous êtes responsable du SI. Vous avez autorisé des mots de passe de 3 chiffres pour l’accès à la base de données clients de vos vendeurs. • Cette mesure de sécurité est-elle suffisante ? » (OUI/NON) • Non, • car cela est contraire au principe du GDPR: • Les entreprises doivent tout en mettre en œuvre pour garantir un niveau de sécurité approprié et adapté au risque . 6 Principe d’intégrité et de confidentialité des données 6
  40. 40. L’obligation de sécurisation des données avril 2018 40
  41. 41. L’obligation de sécurisation des données avril 2018 41
  42. 42. Les 6 règles d’or avril 2018 42 • Loyauté, transparence et légalité du traitement. • Limitation des finalités du traitement • Minimisation des données • Principe d’exactitude • Principe de limitation de la conservation des données • Principe d’intégrité et de confidentialité des données 1 2 3 4 5 6
  43. 43. IV – Comment se mettre en conformité? avril 2018 43
  44. 44. avril 2018 44 Le consentement
  45. 45. Le consentement est renforcé par le RGPD. Il doit être : avril 2018 45 Libre Eclairé Spécifique La personne concernée doit être en mesure d’accepter ou de refuser de donner son consentement Toutes les informations relatives au traitement et aux droits de la personne concernée doivent lui être communiquées directement et pas noyées dans les CGU par exemple La personne concernée doit connaître l’étendue et les conséquences du traitement dont ses données feront l’objet Doit découler d’une déclaration ou d’un acte positif et clair de la personne concernée (case à cocher, etc..). Et non d’un acte passif ( case pré-cochée, CGU…) Sans ambiguité
  46. 46. Dans le cadre d’une application mobile, j’ai besoin de traiter les données personnelles des utilisateurs pour les géolocaliser avril 2018 46  Je peux considérer que l’acceptation des CGU de mes applications par les utilisateurs vaut consentement à traiter leurs données personnelles? (oui/non)  Lorsque j’ai obtenu le consentement de mes utilisateurs pour traiter leurs données de géolocalisation, je peux ultérieurement à d’autres éditeurs d’applications? (oui/non)  Je peux garder dans mon système d’information une trace du consentement des utilisateurs? (oui/non)
  47. 47. Dans le cadre d’une application mobile, j’ai besoin de traiter les données personnelles des utilisateurs pour les géolocaliser avril 2018 47  Je peux considérer que l’acceptation des CGU de mes applications par les utilisateurs vaut consentement à traiter leurs données personnelles? (oui/non) NON: Le consentement doit être éclairé : informations apportées directement à la personne et accord de celle-ci, se manifestant par une déclaration ou un acte positif et clair de la personne concernée (tel qu’une case à cocher).  Lorsque j’ai obtenu le consentement de mes utilisateurs pour traiter leurs données de géolocalisation, je peux ultérieurement à d’autres éditeurs d’applications? (oui/non) NON: : Le responsable du traitement n’a pas le droit d’utiliser les données ultérieurement, à des fins incompatibles avec celle pour laquelle le consentement des utilisateurs a été obtenu préalablement. Dans le cas présent, j’ai demandé le consentement des utilisateurs pour traiter leurs données de géolocalisation et non pour les revendre à d’autres éditeurs.  Je peux garder dans mon système d’information une trace du consentement des utilisateurs? (oui/non) OUI: Le GDPR en fait même une obligation. Je dois pouvoir démontrer à tout moment que j’ai obtenu le consentement des utilisateurs afin de traiter leurs données personnelles. Pour ce faire, j’ai besoin de garder des traces d’obtention de ce consentement.
  48. 48. avril 2018 48 Le Responsable de traitement
  49. 49. Le Responsable de traitement et son sous- traitantavril 2018 49 Le Responsable de Traitement Est défini par le GDPR comme celui qui détermine les moyens et les finalités du traitement. Par exemple, IBM est responsable du traitement des données de sa propre clientèle Le Sous-traitant Est défini comme la personne qui traite des données à caractère personnel pour le compte d’un responsable de traitement. Par exemple, IBM est sous- traitant quand il héberge des données de santé pour le compte d’un hôpital
  50. 50. Le Responsable de traitement et son sous- traitantavril 2018 50
  51. 51. Le Responsable de traitement et son sous- traitantavril 2018 51 Le RGPD oblige le Responsable des traitements à effectuer une analyse d’impact sur la vie privée. Cette analyse d’impact sur la vie privée est OBLIGATOIRE Lorsqu’un traitement est susceptible d’engendrer un RISQUE ELEVE POUR LES DROITS ET LES LIBERTES des personnes. Par exemple, le traitement à grande échelle de données qualifiées de sensibles par le GDPR.
  52. 52. Analyse d’impact? avril 2018 52 • Un établissement bancaire désire mettre en place un traitement fondé sur le profilage automatique de ses clients en vue de leur délivrer des crédits. Doit-il faire au préalable une analyse d’impact sur la vie privée ? (OUI/NON)
  53. 53. Analyse d’impact? avril 2018 53 • Un établissement bancaire désire mettre en place un traitement fondé sur le profilage automatique de ses clients en vue de leur délivrer des crédits. Doit-il faire au préalable une analyse d’impact sur la vie privée ? (OUI/NON) OUI: Car ce traitement présente un risque élevé . En effet il est fondé sur le profilage automatique produisant des effets juridiques (obtention ou refus du crédit)
  54. 54. Le Responsable de traitement et son sous- traitantavril 2018 54 Le RGPD oblige le Responsable des traitements à une protection des données dès la conception (PRIVACY BY DESIGN) ainsi qu’une protection des données par défaut (PRIVACY BY DEFAULT). Cette OBLIGATION doit être respectée dès la conception du traitement. Les mesures mise en œuvre doivent garantir que, par défaut, seules les DONNEES NECESSAIRES à chaque finalité spécifique du traitement sont traitées. « Mesure qui consiste à prévoir la protection des données dès la conception d’un traitement ». Prévoir dès la conception une purge des données régulièrement Privacy by Design Privacy by Default « Mesure qui permet de garantir que par défaut seules les données nécessaires sont traitées »  Une application nécessitant la géolocalisation ne doit pas rendre active celle-ci tant que l’utilisateur n’a pas donné son consentement.
  55. 55. Privacy by design – Privacy by default avril 2018 55  Une entreprise souhaite procéder au traitement des données de ses clients. Doit-elle prévoir la purge de ces données dès la conception du traitement, préalablement à sa mise en œuvre? (oui/non)
  56. 56. Privacy by design – Privacy by default avril 2018 56  Une entreprise souhaite procéder au traitement des données de ses clients. Doit-elle prévoir la purge de ces données dès la conception du traitement, préalablement à sa mise en œuvre? (oui/non) OUI: cette fonctionnalité doit être prévue préalablement car la conservation des données doit être limitée dans le temps. C’est une mesure de Privacy by Design.
  57. 57. notifier Défaut de sécurité et de confidentialité avril 2018 57 Le GDPR rend OBLIGATOIRE la notification de toute VIOLATION DE DONNEES PERSONNELLES quelques soient le secteur d’activité. Obligations du Responsable de Traitement Obligations du Sous-traitant notifier A l’autorité de protection des données (CNIL) dans les meilleurs délais et si possible dans les 72 H sauf si la violation n’est pas susceptible d’engendrer un risque. A chaque personne concernée dans les meilleurs délais en cas de risque élevé sauf en cas de mesures de protection comme le chiffrement des données. Toute violation au Responsable de Traitement dans les meilleurs délais.
  58. 58. Défaut de sécurité et de confidentialité avril 2018 58
  59. 59. Défaut de sécurité ou de confidentialité avril 2018 59  Une société de vente par internet découvre qu’une partie de ses données clients a été dérobée. Ces données concernent les numéros de carte bancaire de ses clients, leurs noms, leur adresses. Bien que les données ne soient pas chiffrées, cette société peut attendre 1 mois avant de prévenir la CNIL (VRAI/FAUX)
  60. 60. Défaut de sécurité ou de confidentialité avril 2018 60  Une société de vente par internet découvre qu’une partie de ses données clients a été dérobée. Ces données concernent les numéros de carte bancaire de ses clients, leurs noms, leur adresses. Bien que les données ne soient pas chiffrées, cette société peut attendre 1 mois avant de prévenir la CNIL (VRAI/FAUX) • FAUX: Cette violation de données est susceptible d’entraîner un risque pour ses clients. Le responsable de traitement de la société doit en informer la CNIL dans les meilleurs délais et si possible dans les 72H. Elle doit en informer également les clients concernés dans les meilleurs délais car il s’agit d’un risque élevé pour ces derniers.
  61. 61. Défaut de sécurité et de confidentialité avril 2018 61
  62. 62. Registre interne des activités de traitement avril 2018 62 Cette OBLIGATION s’applique aux Responsables de Traitements et à leurs sous-traitants. Le GDPR impose un certains nombre d’informations à mentionner dans ces registres. Par exemple: type de données traitées, destinataires de ces données, mesures de sécurité prises, les transferts de données, les finalités du traitement
  63. 63. Registre des traitements avril 2018 63  AMAZON fournit des services d’hébergement de données clients à des entreprises partenaires. N’étant que le sous-traitant des entreprises dont elle héberge les données clients sans être en relation directe avec lesdits clients, AMAZON n’est pas obligée de tenir un registre des activités au titre du GDPR.(vrai/faux)
  64. 64. Registre des traitements avril 2018 64  Orange fournit des services d’hébergement de données clients à des entreprises partenaires. N’étant que le sous-traitant des entreprises dont elle héberge les données clients sans être en relation directe avec lesdits clients, Orange n’est pas tenu de tenir un registre des activités au titre du GDPR.(vrai/faux) FAUX: Le GDPR ne dispense pas les sous- traitants de la tenue du registre des activités de traitement.
  65. 65. avril 2018 65 Le DPO : Data Protection Officer
  66. 66. La nomination d’un DPO est devenue obligatoire pour la majorité des entreprisesavril 2018 66 La nomination d’un DPO est OBLIGATOIRE pour les organisations publiques et dans la plupart des cas pour les entreprises privées. Le DPO est le chef d’orchestre de la protection des données personnelles dans l’entreprise. Le DPO veille au respect du GDPR dans son entreprise Il conseille le Responsable de Traitement et le sous-traitant Le DPO est le point de contact avec l’autorité de contrôle (CNIL)
  67. 67. DPO avril 2018 67  Un médecin spécialiste gère son cabinet privé dans une petite commune. Il a informatisé la gestion administrative des RDV de ses patients. Il est impératif que le médecin désigne un DPO car il traite des données personnelles. (oui/non).
  68. 68. DPO avril 2018 68  Un médecin spécialiste gère son cabinet privé dans une petite commune. Il a informatisé la gestion administrative des RDV de ses patients. Il est impératif que le médecin désigne un DPO car il traite des données personnelles. (oui/non). FAUX: Le GDPR n’oblige à désigner un DPO, que les responsables de traitement du secteur privé qui traitent des données personnelles à grande échelle ou font de la surveillance régulière et systématique, ce qui n’est pas le cas de notre médecin pour gérer ses RDV. Il n’est pas tenu de désigner un DPO.
  69. 69. Les recommandations de la CNIL pour la mise en place du projetavril 2018 69 Désigner un pilote : le DPO Cartographier vos traitements de données personnelles Prioriser les actions à mener : en fonction des risques Gérer les risques : faire une première analyse d’impact sur la protection des données Organiser les processus internes en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement Documenter la conformité et actualiser la documentation
  70. 70. Conclusion : TIPS FOR MARKETING CAMPAINS avril 2018 70
  71. 71. L’indispensable « politique de confidentialité »avril 2018 71 Il faudra nécessairement créer une Charte de confidentialité. Soit une pour chaque campagne marketing, soit une globale reprenant tous les traitements et opérations mis en œuvre. Cette charte doit être clairement visible au moment du recueil des données. Politique de confidentialité Charte de confidentialité Charte de vie privée… Autant de noms possibles pour un document OBLIGATOIRE Cette charte devra indiquer clairement : l’identité du Responsable de Traitement, les coordonnées du Délégué à la Protection des données, la finalité des traitements, les personnes pouvant y accéder, le type de données collectées, leur durée de conservation, l’existence du droit de demander l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, la procédure pour exercer son droit d’accès, de rectification et d’effacement.
  72. 72. La récolte des consentements durant une campagneavril 2018 72 Le consentement des individus concernant leurs données doit être positif, clair et explicite. Le procédé de collecte doit faire l’objet d’une expression séparée des autres conditions de participation à la campagne ou au concours. Un silence, une case pré-cochée ou l’inactivité de l’individu ne valent pas consentement! Le formulaire de collecte de la campagne comprendra : - Une mention d’information claire - Plusieurs cases à valider obligatoirement : - Le consentement à la collecte et à l’utilisation des données (autant de cases à cocher que de finalités : e-mailing, newsletters, sms, offres commerciales…) - L’acceptation du règlement du jeu ou de l’opération - L’acceptation de la Politique de confidentialité
  73. 73. Formulaire RGPD friendly avril 2018 73
  74. 74. Conserver la preuve du consentement avril 2018 74 L’entreprise doit être capable d’apporter la preuve du consentement.
  75. 75. Le RGPD, une opportunité pour les entreprises?avril 2018 75 L’un des objectifs du GDPR est de rétablir un cadre de confiance entre les entreprises et leurs clients. Cette confiance permettra aux entreprises qui sont conformes d’exploiter plus facilement les données de leurs clients sans crainte de se voir sanctionner. De plus, les clients seront plus enclins à solliciter les entreprises qui ont une réputation respectueuse des données personnelles De son entreprise en les allouant aux bons endroits et au juste niveau. Par exemple, introduire la privacy by design permet de ne pas se rendre compte trop tard que le traitement pour lequel on a investi n’est pas conforme et que les ressources utilisées ne pourront pas être rentabilisées. Par exemple : Etant donné que les responsables de traitement auront avec le GDPR l’obligation de ne choisir qu’un sous-traitant présentant des garanties suffisantes de conformité au GDPR, les marchés seront plus ouverts aux fournisseurs conformes qu’à ceux qui ne le sont pas. ACCROITRE LA CONFIANCE OPTIMISER LES RESSOURCES AVANTAGE CONCURRENTIEL
  76. 76. Vers un marketing plus qualitatif avec le RGPD?avril 2018 76
  77. 77. Sources avril 2018 77
  78. 78. Sources avril 2018 78
  79. 79. Pour aller plus loin… avril 2018 79 Et pour devenir un expert du RGPD, n’hésitez pas à consulter:  Le site de la CNIL  Les nombreux livres blancs, articles ou infographies que vous retrouverez en ligne  Ou encore les tutoriels vidéos, là encore, très nombreux! Et si le RGPD n’est pas votre tasse de thé, faites-vous accompagnés pour être en conformité. Là encore, de nombreux professionnels vous proposeront leurs prestations. C’est un vrai Business!
  80. 80. Retrouvez l’essentiel du marketing digital sur www.bananepourpre.fravril 2018 80
  • NizarProf

    May. 7, 2019

A moins d'un mois de l'entrée en vigueur de ce nouveau règlement européen de protection des données personnelles, il est grand temps pour les entreprises de se mettre en conformité. Ce diaporama revient sur les principales dispositions du RGPD et les éléments à mettre en place du côté des entreprises, notamment dans le cadre des campagnes marketing.

Views

Total views

1,148

On Slideshare

0

From embeds

0

Number of embeds

496

Actions

Downloads

80

Shares

0

Comments

0

Likes

1

×