PRSENTATION MED IT LE GDPR SES CONTRAINTES ET

PRÉSENTATION MED IT LE GDPR, SES CONTRAINTES ET SES OPPORTUNITÉS … Mercredi 29 novembre 2017 Externe MED-IT Version 1. 0

Agenda 1. GDPR en 3 slides 2. Pourquoi prendre ce sujet rapidement ? 3. Adopter une démarche pragmatique et outillée 4. Les clés pour échouer … Le GDPR, contraintes et opportunités MED-IT 2

LE GDPR, SES CONTRAINTES ET SES OPPORTUNITÉS … Oui … et en quoi cela vous concerne ? Vous avez une entité Européenne ? La pénalité en cas de non respect peut aller jusqu’à 4% de votre CA mondial Vous avez des clients Européens, qui vous confient des DCP ? Vos clients vous contraignent contractuellement, Faute de quoi, vous perdrez vos marchés … Vous êtes censés appliquer les « bonnes pratiques » Le GDPR, contraintes et opportunités MED-IT 3

LE GDPR, SES CONTRAINTES ET SES OPPORTUNITÉS … De la nécessité d’un règlement européen de protection des données personnelles Explosion du volume et de la précision des données personnelles Fuites massives de données personnelles Faible application des cadres légaux / peu de sanctions Droits des personnes concernées limités et peu respectés Moyens limités des régulateurs locaux / besoin de décentraliser & responsabiliser Le GDPR, contraintes et opportunités Explosion Cloud et Saas / nécessité de cadrer les prestataires & tiers MED-IT 4

LE GDPR, SES CONTRAINTES ET SES OPPORTUNITÉS … La protection des données en Europe c’est quoi? AVANT LE 25 MAI 2018 APRÈS LE 25 MAI 2018 Une même loi applicable de la même façon dans les 29 pays européens Des directives émise par la commission Européenne et des interprétations dans chaque pays Des spécificités nationales demeurent et basées sur le règlement européen 29 autorités de contrôle et des délégués à la protection des données GDPR 29 lois nationales de protection des données personnelles En France, des déclarations et des autorisations auprès de l’autorité de contrôle Le GDPR, contraintes et opportunités Une seule autorité de contrôle et un seul délégué à la protection des données Des analyses d’impact sur la vie privée MED-IT 5

LE GDPR, SES CONTRAINTES ET SES OPPORTUNITÉS … Le GDPR vient renforcer certaines obligations déjà existantes et en créer de nouvelles GOUVERNANCE TRAITEMENTS ET CONFORMITÉ COLLECTE, PROTECTION ET CONSERVATION DES DCP DROIT DES PERSONNES CONCERNÉES IDENTIFICATION ET NOTIFICATION DES VIOLATIONS RELATIONS AVEC LES TIERS GESTION DES PROJETS Data Privacy Program Inventaire et registre Consentement Accès et rectification Identification / détection Responsabilité du sous-traitant Accountability Organisation dédiée Suivi et contrôles Information Droit à l’oubli / à la limitation Notification Obligations du sous-traitant Etude d’impacts Communication Audit Protection Droit à la portabilité Contrôle du sous-traitant Privacy by design Traitement de la violation Nouveau avec le GDPR Renfort avec le GDPR Le GDPR, contraintes et opportunités MED-IT 6

LE GDPR, SES CONTRAINTES ET SES OPPORTUNITÉS … Et concrètement, si je prends mon temps … 1. Sanctions 2. Perte de business Pénalités pouvant aller jusqu’à 4% du CA mondial Impacts opérationnels : § Obligation du sous-traitant de prévenir le responsable de traitement § Notification à l’autorité de contrôle dans les 72 heures § Documentation de la violation Si la violation entraîne un risque important pour la personne concernée, obligation de la prévenir dans les plus brefs délais … Vos clients Européens ne peuvent plus maintenir vos contrats si vous n’y intégrez pas : § Détails sur le traitement lui-même (finalité, objet et durée du traitement, etc. ) § Mise à disposition de toute information prouvant le respect des obligations § Accord de réalisation & contributions à des audits du responsable du traitement ou d’un tiers mandaté § Notification immédiate du Responsable du traitement en cas de violation du GDPR (art. 28 -3 h du GDPR) § Engagement renforcés en cas de sous-traitant secondaire 3. Altération de mon image … Le GDPR, contraintes et opportunités MED-IT 7

LE GDPR, SES CONTRAINTES ET SES OPPORTUNITÉS … Adopter une démarche pragmatique et outillée … Evaluation générale de la maturité Cartographie 2 – 6 semaines 1 – 3 mois 5 - 20 j/h 10 - 40 j/h Outillage Disponibilité Sponsor Granularité Ne pas confondre finalité – traitement – application … Fiche détaillée de traitement Registre des traitements Analyse de conformité par traitement 1 – 3 mois 2 j par traitement Granularité (10 à 80 traitements) Ne pas confondre finalité – traitement – application … Le GDPR, contraintes et opportunités Alignement 6 à 12 mois Charges très variables … Quelques chantiers complexes : chiffrement, anonymisation, oubli, … MED-IT Privacy dans les projets 1 mois 10 – 20 j/h PIA simple Change Mgt Mode Agile 8

LE GDPR, SES CONTRAINTES ET SES OPPORTUNITÉS … Les clés pour échouer … Avancer en solo § Ne pas impliquer activement tous les métiers concernés § § Ne pas obtenir leur adhésion, ne pas prendre de sponsor Ne pas identifier et débloquer de budget (DG – Directions métiers – Direction Juridique – DSI – RSSI – Conformité …) § Ne pas y voir une opportunité Prendre son temps § § Oublier l’éparpillement des données (défaut de maîtrise des risques ou de traçabilité, droit à l’oubli …) Ne pas y voir un projet d’architecture (d’entreprise ou de DSI, en commençant par un inventaire …) Ne pas responsabiliser (les propriétaires de données / traitement / CDO / DPO / …) § § § Ne pas s‘appuyer sur des outils éprouvés Passer du temps sur les procédures Ne pas trancher sur les points structurants et décisionnels … Le GDPR, contraintes et opportunités MED-IT 9

Merci Contacts : Hervé MORIZOT, Directeur Associé herve. morizot@formind. fr 06 70 45 77 58 Grégory DEMULE, Directeur Commercial gregory. demule@formind. fr 07 86 28 95 17 formind @formind www. formind. fr MED-IT