Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Atelier 8 - RGPD - Conférence Thierry Preel 2019

445 views

Published on

Le RGPD, c’est pour moi ?

Published in: Marketing
  • Be the first to comment

  • Be the first to like this

Atelier 8 - RGPD - Conférence Thierry Preel 2019

  1. 1. Le RGPD, c’est pour moi ? Règlement Général sur la Protection des Données CDT Tarn le 31/01/2019
  2. 2. RGPD : qu'est-ce que c'est ? • Règlement Général sur la Protection des Données • GDPR (General Data Protection Regulation) • Règlement européen du 14 avril 2016 • protection des données personnelles en Europe • protéger les personnes physiques de toute exploitation frauduleuse ou non désirée des informations relatives à leur vie privée, professionnelle ou publique. DP : Données à caractère personnel
  3. 3. De la Loi informatique liberté au RGPD • Loi informatique et liberté, depuis 1978 : • Finalité-Pertinence-Droits de personnes-Sécurité des données • Règlement 2016/679 : • Privacy by design / Privacy by default • Définir les objectifs • Analyser les fonctionnalités • Définir les dispositifs de sécurité • Accountability : Autocontrôle • Constituer un dossier documenté prouvant les points précédents
  4. 4. L’impact dans vos activités • Renforcer les exigences concernant la gestion des DP : • consentement à l’acquisition • Rétention • Sécurité • Stockage • Protection • Sous-traitants Le règlement impose des obligations dont la responsabilité est susceptible d’être engagée en cas de manquement. DP : Données à caractère personnel
  5. 5. De nouvelles obligations • Le droit à l'oubli • Le consentement clair et explicite • Le droit de transférer • Le droit d'être informé
  6. 6. Quelles sont les sanctions ? • Réparation intégrale du préjudice pour toute personne ayant subi un dommage matériel ou moral. • Sanctions administratives : • jusqu’à 10 ou 20 millions d’euros • jusqu’à 2% ou 4% du chiffre d'affaires annuel mondial En vigueur depuis le 25 mai 2018.
  7. 7. Des opportunitéspour… • Mettre à jour sa sécurité. • Fiabiliser son Système d’information. • Rassurer son client. • Valoriser l’image de marque. • Améliorer l’efficacité commerciale • Augmenter la productivité • Optimiser les investissements • …
  8. 8. Se mettre en conformité: le principed’ « Accountability» Tenir un registre (Obligatoire pour les entreprises employant + 250 salariés) • Pour conserver une trace des actions. • Elément de base le suivi et les contrôles • Mettre en œuvre des mesures qui respectent les principes de protection des données dès la conception et de protection des données par défaut. • Utiliser des études d'impact sur la protection des données, le cas échéant. • La CNIL fourni un modèle simple
  9. 9. Qu'entend-onpar « traitement" ? • Opération ou ensemble d’opérations, • Collecte, enregistrement, consultation, modification, utilisation, transmission, diffusion … • Il a un objectif , une finalité, un but … légal et légitime. • Facturer, livrer, communiquer …
  10. 10. Qu'entend-onpar "données personnelles"? • Toutes informations relatives à une personne, • qu’elles se rapportent à sa vie privée, professionnelle ou publique • Tout ce qui permet de relier une information à une personne physique.
  11. 11. Etape 1 : Etablir sa cartographie • Lister les traitements • Pour chaque traitement : • Définir les finalité • Identifier les données personnelles collectées, envoyées, enregistrées • Pour chaque donnés ou groupe de DP : • Définir sa durée de conservation • Décrire son usage licite
  12. 12. Exemple de cartographie Activités: Réservation Facturation Gestion des prospects Paie - Registre du personnel Mise à disposition des accès Wifi Gestion du site internet Communication ( newsletter, email, brochures…) Sécurisation des données sur sites
  13. 13. Pointsde vigilance: • Cohérence entre • L’information • La finalité • La durée de conservation • La sécurité • Cas spécifiques : • Sous traitance
  14. 14. Etape 2 : L’analyse des risques • Mesure d ’écart entre la règle et la pratique • Minimisation des données en conformité avec la finalité • Durée de conservation • Information de la personne • Recueil du consentement • Respect des droits (accès ,portabilité, rectification, à l’oubli …) • Sécurisation : • Accès illégitime • Modification non désirée • Disparition de données
  15. 15. Les obligations: • Transparence et traçabilité • Consentement clair et explicite • Protection des données • Droit d'oubli et de transfert
  16. 16. Des règles de bon sens: • La responsabilité • La pertinence sur la finalité • Exemple : • https://www.domainedubuc.com/politique-de-confidentialite • Sécuriser les données de l’activité • La sécurité en 42 mesures • https://www.ssi.gouv.fr/uploads/2017/01/guide_hygiene_informatique_anssi.pdf
  17. 17. Des règles de bon sens: • La transparence : • Rassurer les clients, donneurs d'ordres • Exemple de mention légales : • http://www.hotel-orleans-albi.com/a-propos.php • Déclaration sous 72h d’une violation du système • https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles
  18. 18. Des règles de bon sens: • La confiance : • Limiter la conservation des données • Information CNIL: • https://www.cnil.fr/fr/limiter-la-conservation-des-donnees • Sensibiliser les salariés • Information CNIL: • https://www.cnil.fr/fr/rgpd-en-pratique-proteger-les-donnees
  19. 19. Etape3 : Etablir la liste des taches : • Pour l’ensemble des DP d’un traitement ou un sous groupe de DP plus « sensibles » Préciser la criticité DP (gravité x vraisemblance) Vérifier la conformité (totale ou partielle) Identifier des moyens d’y parvenir Valoriser les différentes solutions • Choisir les actions prioritaires
  20. 20. Les pointsà retenir : • Gouvernance : • Le registre et mettre en place les mesures. • Responsabilité : • Mesures techniques et organisationnelles appropriées. • Limitation relative au stockage • Le temps nécessaire à l'accomplissement de l'objectif qui était poursuivi lors de leur collecte. • Notification d'une violation • Obligatoirement signaler une violation dans les 72 heures . • Droit des personnes physiques • Suppression ou correction des « DP » à la demande de la personne.
  21. 21. Et maintenant c’est à vous Vos personnes ressources : Pour les offices de tourisme: Aurélie BONFIGLIO: DPO du CDT Pour les professionnels du tourisme: Formations CCI, votre office de tourisme, des consultants …
  22. 22. Sources utiles: • CNIL : • https://www.cnil.fr/cnil-direct/question/1253?visiteur=part • Commission Européenne : • https://ec.europa.eu/info/law/law-topic/data-protection/reform_fr • Modèle de registre : • https://www.cnil.fr/fr/RGDP-le-registre-des-activites-de-traitement

×