Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Rgpd presentation

195 views

Published on

Sensibilisation au RGPD

Published in: Education
  • Be the first to comment

  • Be the first to like this

Rgpd presentation

  1. 1. LE RÈGLEMENT GÉNÉRAL SUR LA PROTECTION DES DONNÉES Miléna GASPARIAN SM des Inforoutes
  2. 2. RÈGLEMENT GÉNÉRAL SUR LA PROTECTION DES DONNÉES - Introduction - Renforcement des droits des personnes - Définitions de grandes notions - Le traitement de données et la tenue du registre - Les acteurs - La CNIL - Le responsable de traitement et le sous-traitant - Le Data Protection Officer - Les obligations des entreprises
  3. 3. Introduction • RGPD = Règlement général sur la protection des données • Vise à : renforcer les droits des personnes ; responsabiliser les acteurs traitant des données ; crédibiliser la régulation • L’objectif du RGPD est d’avoir des règles communes à tous les Etats de l’UE. Il ne nécessite pas de transposition et est applicable directement. • Le règlement a été voté en 2016, les entreprises ayant 2 ans pour se conformer (jusqu’au 25 mai 2018) • Champ d’application : entreprises réalisant la collecte, le traitement, l’utilisation de données personnelles des personnes physiques. • Sont concernés ainsi tous les organismes qui traitent des données personnelles pour le compte d’un autre organisme, dans le cadre d’un service ou d’une prestation.
  4. 4. Introduction Et avant RGPD ? • Loi du 6 janvier 1978, dite loi sur Informatique et Libertés • La France pionnière en matière de protection des données personnelles • Mise en place de la Commission nationale de l’Informatique et des Libertés (autorité administrative indépendante)
  5. 5. Renforcement des droits des personnes • Renforcement du consentement et transparence • Mise à disposition d’une information claire, intelligible, aisément accessible aux personnes concernées. • Expression du consentement définie : les usagers doivent être informés de l’usage de leurs données et doivent en principe donner leur accord pour le traitement de celles-ci ou pouvoir s’y opposer. • De nouveaux droits • Droit à la portabilité des données (permet la récupération des données fournies) • Conditions particulières concernant le traitement des données des enfants • Introduction du principe des actions collectives • Droit à la réparation des dommages matériel ou moral • Etc…
  6. 6. Définitions de grandes notions • Traitement : L'article 4 du règlement définit un traitement comme « toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction; » • Données personnelles : toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée ») ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale; • Objectifs : objectif principal d’une application informatique de données personnelles. Exemples de finalité : gestion des recrutements, gestion des clients, enquête de satisfaction, surveillance des locaux, etc.
  7. 7. Le traitement de données et la tenue du registre • Recensement des traitements de données personnelles à mettre en œuvre • Registre des traitements :
  8. 8. Le principe d'accountability • Une notion que l'on trouve dans les textes antérieurs (ISO 29100...) • Applications plus larges données par le RGPD: • Obligation généralisée de tenir un registre de toutes les activités de traitement (obligation étendue non seulement aux responsables de traitement mais aussi aux sous-traitants). • Avant, avec la loi Informatique et Libertés, le CIL (correspondant informatique et libertés) était chargé de la tenue du registre (mais seulement pour les traitements exonérés de déclaration auprès de la CNIL). • Registre permettant plus aisément d'avoir une vue d'ensemble des activités de traitements menées. • Doivent tenir un registre de données: • Les entreprises de plus de 250 personnes • Les entreprises de moins de 250 personnes, lorsqu'elles détiennent des données sensibles. • Les organismes publics
  9. 9. Les acteurs • La CNIL : bien que les déclarations, les autorisations disparaissent, la CNIL garde son pouvoir de contrôle. • Le responsable de traitements : celui « qui détermine les finalités et les moyens d’un traitement » (article 4 du règlement européen – définitions). Il met en œuvre des mesures techniques et organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. • Le sous-traitant : traite des données personnelles pour le compte, sur instruction et sous l’autorité d’un responsable de traitement. • Le Data Protection Officer : le véritable chef d’orchestre, celui qui va veiller au respect du RGPD
  10. 10. La Commission Nationale de l’Informatique et Libertés • Le RGPD remplace de nombreuses obligations précédemment imposées par la CNIL. • Le non-respect du RGPD peut entrainer une amende allant de 2% à 4% du chiffre d'affaires de l'entreprise (montant limité à 20M€). • La plupart des formalités préalables actuelles auprès de la CNIL (déclarations, autorisations) vont disparaître, au profit d’une logique de conformité continue. • Toutefois la CNIL garde tous ses pouvoirs quant au contrôle et aux recommandations, afin de se conformer au RGPD. Elle continuera à procéder à des vérifications dans les locaux des organismes, en ligne, sur audition et sur pièces • Par ailleurs, la CNIL accompagne activement les entreprises durant cette période de transition.
  11. 11. Le responsable de traitement et Le sous-traitant • Une très grande variété de prestataires de services a la qualité de sous-traitant au sens juridique du terme. Sont notamment concernés par le règlement européen : • Les prestataires de services informatiques (hébergement, maintenance,…), les intégrateurs de logiciels, les sociétés de sécurité informatique, les entreprises de service du numérique. • Les agences de marketing ou de communication. • Tout organisme offrant un service ou une prestation impliquant un traitement de données à caractère personnel pour le compte d’un autre organisme. • Un organisme public ou une association peut également être amené à recevoir une telle qualification.
  12. 12. Le responsable de traitement et le sous-traitant Exemple tiré du site de la CNIL
  13. 13. Le Data Protection Officer • Le délégué est chargé de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des traitements mis en œuvre par cet organisme. • Sa désignation est obligatoire dans certains cas. Un délégué, interne ou externe, peut être désigné pour plusieurs organismes sous conditions. • Pour garantir l’effectivité de ses missions, le délégué : • doit disposer de qualités professionnelles et de connaissances spécifiques, • doit bénéficier de moyens matériels et organisationnels, des ressources et du positionnement lui permettant d’exercer ses missions.
  14. 14. Le Data Protection Officer Suite • La désignation d’un délégué est obligatoire pour : • Les autorités ou les organismes publics, • Les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle, • Les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions. • Le délégué à la protection des données peut par ailleurs être mutualisé c’est-à-dire désigné pour plusieurs organismes sous certaines conditions. • Le DPO est le successeur naturel du CIL (Correspondant Informatique et Libertés). Leurs statuts sont similaires. • En revanche le RGPD pose des règles spécifiques quant à la qualification du DPO et sa formation continue.
  15. 15. Et pour finir... Les conseils de la CNIL

×