Aborder le RGPD en pratique Un plan daction
Aborder le RGPD en pratique: Un plan d'action sur la confidentialité et la sécurité des systèmes Hassan El Khaldi, Responsable Commercial France, One. Trust Hugo Woog, Ingénieur Solution, One. Trust Antoine Trilliard, Directeur des SI, Mairie de Chelles
Les impacts du RGPD
La vie privée est un problème de société es qu In d ni ch iv id te us es ip u Éq Sécurité Confidentialité Données personnelles
Bien plus qu'une mise à jour de la politique de confidentialité Le RGPD exige des entreprises qu'elles gèrent autrement les données des citoyens de l’UE « « Rita Heimes, Association internationale des professionnels de la protection de la vie privée (IAPP) Les données sont-elles traitées pour d’autres entreprises ? Dans ce cas, ceci s'adresse à vous.
Mettre en œuvre + Documenter et justifier Base juridique du traitement Politique, notification, transparence Protection des données dès la conception et par défaut Analyses d'impact sur la protection des données Responsabilité conjointe entre les fournisseurs et les sous-traitants ultérieurs Missions du délégué à la protection des données Obligations de consentement Cookies, suivi en ligne et réforme Marketing Déclaration d’une violation de données dans les 72 heures Registres des activités de traitement Portabilité et effacement des données (droit à l'oubli) Droits des personnes concernées Transferts internationaux de données Codes de conduite et certifications Équilibre entre les risques, l’état de l'art et les coûts x 2 Démontrer la conformité et la responsabilité Art. 5 & 24
Le RGPD ne concerne PAS uniquement les amendes de 4 % Arrêt de l’utilisation ou la suppression des données 4% ou 20 M€ 2% ou 10 M€ Avertissement Demandes d’accès aux données « déni de service » de personnes concernées Réclamations au nom de la personne concernée (recours collectif) Les amendes sont calculées en fonction de plusieurs facteurs : • Contrôles déjà en place • Nature, gravité, étendue et durée de la violation • Les types de données à caractère personnel concernés par la violation • Mesures prises par le responsable du traitement ou le soustraitant pour atténuer, annuler ou informer les parties concernées (ainsi que l’APD) lors d’une violation
Qui est en charge de la réalisation ?
Structure type de l’équipe projet Rôles provisoires du « projet » Rôles permanents du « programme » Rapport du conseil JURIDIQUE DSI / RSSI / Dir. Commercial Variable Transverse sur le RGPD Groupe de travail Juridiques spécialisés en vie privée Opérations sur la confidentialité DPD Rédaction de la politique Application de la politique Supervision Produit Marketing Juridique SI Finance RH Experts en protection de la vie privée
Déployer des processus métier avec la méthode « Agile » • Agile • ITIL • Achats / Acquisition • Finance ✓ ✓ Tâches simplifiées Plateforme d’intégration continue Sprints avec suivis itératifs Adaptabilité au changement Droits d’auteur © 2018 ONETRUST LLC. Tous droits réservés. 11
Agrandissez votre équipe L’équipe de la protection des données Experts en protection de la vie privée RH Ingénierie Marketing Commerce Droits d’auteur © 2018 ONETRUST LLC. Tous droits réservés. Finance 12
Conformité opérationnelle: Implémenter la gestion de la protection de la vie privée en 10 étapes
Étape 1 - Analyse des lacunes • ? Articles 5 & 24
Étape 2 - Registres des activités de traitement • ? Générer un inventaire centralisé pour répondre aux exigences de l'article 30 Articles 6, 30 & 32
Étape 3 - DPIA et Privacy by Design 1 Préliminaire (présélection) • ? Y a-t-il des répercussions ? 1 à 10 questions Ex : Des données à caractère personnel sont -elles concernées ? 2 Évaluation des risques (PIA) Existe-t-il un risque élevé (déclencheur de DPIA) ? 20 à 40 questions Ex : Documenter les flux de données et afficher la Pb. D Articles 25, 35 & 36 3 4 DPIA Consultation de l'APD Puis-je atténuer les risques ? Demander de l’aide (Préjudices vs Avantages) Workflow & questions supplémentaires Ex : Risques pour les individus, impressions des personnes concernées, avis du DPD Les avantages potentiels prévalent-ils sur les risques ?
Étape 4 - Gestion des risques et des contrats fournisseurs Nouveau fournisseur • Axée sur les risques Article 28 & 29 Enregistrement fournisseur o Fréquence : Niveau de risque Expiration évaluation / contrat Initiation des évaluations & des contrats Suivi de la relation Réduction des risques • Jalons clés du cycle de vie contractuel o Résiliation o Renouvellement • Règles internes o Évaluations annuelles • Directives o Recommandations de l’APD chef de file Droits d’auteur © 2018 ONETRUST LLC. Tous droits réservés. Exclusif et confidentiel. Documentations & rapports 17
Étape 5 - Traitement des demandes personnes concernées Articles 12 à 21
Étape 6 - Révision du consentement et des notifications Article 7 • ?
Étape 7 - Gestion des incidents et violations 1 Articles 33 & 34 2 3 4 Cartographie des données à jour Gestion des fournisseurs Mesures de sécurité techniques et organisationnelles Politiques écrites sur la confidentialité et les risques 5 6 7 8 Formations internes Mécanismes de rapports Obligations de notification Documentation sur les violations
Étape 8 - Surveillance et mise à jour des propriétés web • ? Directive e. Privacy
Étape 9 - Formation • ? Responsabilité • ?
Étape 10 - Surveillance continue Responsabilité • Réexaminer et mettre à jour les mesures techniques et organisationnelles • ? • Tester et auditer • Améliorer la communication • Réexaminer. Réviser. Répéter.
Plateforme complète de gestion de la confidentialité Outils de gestion du programme de confidentialité Automatisation des évaluations Réaliser des évaluations PIA, AIPD, Pb. D et de responsabilité Articles 5, 24 & 25 à 14 du RGPD Gestion des risques fournisseurs Vérifier tout sous-traitant ultérieur afin de remédier aux risques Articles 24, 28, 29, 32, 44 et 49 du RGPD Inventaire et cartographie des données Garder les registres de traitement et de flux des données à jour Articles 6, § 30 & article 32 du RGPD Outils de conformité relatifs au marketing et aux sites web Gestion des droits de la personne concernée Analyse de conformité du site Web Gérer le cycle de vie des demandes de suppression et d'accès ainsi que toutes autres demandes personnes concernées Automatiser la détection des méthodes de suivi pour la conformité du site Web Articles 7 & 12 à 22 du RGPD Gestion des incidents & violations Gestion du consentement aux cookies Analyse des saisies et workflow de notifications d’incidents Activer les bandeaux de cookies interactifs et automatiser la génération de politique de cookies Articles 33 & 34 du RGPD Articles 4, § 11, article 7 & 21 du RGPD, e. Privacy Gestion générale du consentement et des préférences Intégrer le consentement et les préférences dans tous les formulaires Web, les courriers électroniques, les appels téléphoniques, etc. Articles 4, § 11 & article 7 du RGPD
PROGRAMME DES ATELIERS - 2018 Ateliers gratuits sur le RGPD 4. 5 crédits IAPP CPE Programme de certification One. Trust dans de nombreuses villes Série de webinaires mensuels sur le RGPD Organisé par des cabinets d’avocats & d’experts-conseil renommés S’INSCRIRE DÈS AUJOURD’HUI Privacy. Connect. com Amsterdam Dublin Düsseldorf Varsovie Vienne Manchester Genève Londres Zurich Paris Lisbonne Helsinki Madrid Tallinn Rome Stockholm Bruxelles Berlin Munich Oslo Prague Barcelone Budapest Hambourg Belfast Milan Athènes « C'était la meilleure conférence sur le RGPD à laquelle j’ai assisté. C’était non seulement un aperçu de haut niveau des exigences du règlement, mais surtout une expérience pédagogique approfondie pour mes collègues et moi-même. » Bucarest Copenhague Seattle Portland Chicago Vancouver Toronto New York Atlanta Houston Denver San Francisco Los Angeles Boston Washington Austin Charlotte Phoenix Sydney Singapour Melbourne Hong Kong Auckland Tel Aviv Dubaï Abu Dhabi Doha
Projet One. Trust de la Ville de CHELLES A. TRILLARD 20/11/2018
Enjeux, historique et objectifs • Les enjeux – Créer le recueil de traitement des données personnelles – Le tenir à jour – Répondre à minima au cadre réglementaire du RGPD • Historique & Etat des lieux – – Déclarations CNIL plus ou moins à jour Pas de recueil Gérer par défaut par la direction Juridique Nomination du DPO mi-mai partagé sur d’autres missions • Les objectifs, trouver l’outil permettant de : – – Réaliser le Recueil (fichier excel oublié ) Simplifier les interactions avec les responsables de données Automatiser les réponses aux différents articles du RGPD Permettre d’intégrer les études d’impact A. TRILLARD 20/11/2018
Analyse des solutions du marché • Démo de 4 solutions pour la plupart de société de conseil – Solution en cours de réalisation, incomplète – Solution « artisanale » (sous excel, …) – Solution souvent mono-utilisateur • Et la solution One TRUST, choix retenu pour – – • Véritable progiciel Son mode formulaire La suite de solution (solution complète) Grosse référence dans le secteur privé Inconvénient de la Solution : – Demo en anglais mais solution bien livrée en français – Aucune référence dans le secteur territorial – Mode saas hébergé en Allemagne A. TRILLARD 20/11/2018
Méthodologie et retour sur expérience • Le projet débuté en octobre : méthodologie pas à pas • Etape 1 : – Prise en mains du Logiciel En cours – Référencement des ressources (base de données, fichiers à plat, …) En cours – Intégration dans le logiciel des ressources des traitements En cours – Réalisation et validation des questionnaires sur un échantillon de traitement Pas Débutée • Les premiers constats – Difficulté pour le DPO et la DSI à trouver du temps – Besoin de temps de concertation DPO – DSI : – Le paramétrage – Les processus – Les procédures – Avant d’intégrer les responsables de traitement • Etape 2 : – Référencement des traitements Pas Débutée – Intégration des traitements Pas Débutée • Etape 3 : – Les études d’impacts, …. . A. TRILLARD 20/11/2018
Merci, des questions? A. TRILLARD 20/11/2018
- Slides: 29