Vers une nouvelle gouvernance de la donnée personnelle 10 juin 2016 Nathalie Laneret Group DPO, CIPP/E
Les acteurs de la gouvernance Chef d’entreprise/ top management Délégué à la protection des données/ DPO/ CIL Direction des systèmes d’information/ Sécurité Informatique/ CISO Direction Juridique Direction de la conformité/ compliance Direction des risques Audit interne Communication …. et d’autres encore!
Parties Prenantes externes Le rôle central du DPO Contact cybersécurité Parties Prenantes internes Parties Prenantes externes Cybersécurité et Juridique DPO Anciens salariés Ventes Autorités Publiques Candidats Clients Fournisseurs Prospects Missions du DPO (art. 39 RGPD): Informer et conseiller Contrôler le respect des textes Participer aux analyses d’impact Coopérer avec l’autorité de contrôle Tenir compte du risque en fonction de la nature du traitement Ressources Humaines Salariés Juridique Stratégie de l’entreprise Comité d’Entreprise IT/ CISO Service Achats Marketing & Communication
Les outils de la gouvernance Objectif Outil Identifier les traitements et les flux de données personnelles et le niveau de maturité de l’organisation Cartographie des traitements - Questionnaire de maturité Identifier les données et traitements à risque pour prioriser les actions Cartographie et évaluation des risques en fonction de leur probabilité et sévérité Etablir les règles applicables en lien avec l’écosystème de l’organisation Charte informatique, classification des données, management des incidents, utilisation des outils personnels (BYOD)…. Diffuser les règles Formations, e-learning, webinar, serious games, exercises de simulation Contrôler l’application des règles Audits internes et externes Sanctionner le non-respect des règles Selon les règles du règlement intérieur et du droit du travail local Adapter les règles aux nouveaux risques et en fonction des incidents / sanctions Réévaluation des risques, révision des procédures, mise à jour des formations
Les BCR - la gouvernance certifiée Champ d’application: Responsable de Traitement – Sous-Traitant Prévention Protection Détection Réaction Anticipation Responsabilité du responsable de traitement Mises à jour Protection des données dès conception Conflits de règles Formation Champ d’application Définition Droits des personnes Responsabilité des salariés Cooperation avec les autorités de protection Gouvernance Audits Programme de conformité global (mise en place d’une organisation, des procédures, des formations, des audits) destiné à mettre en place des standards uniformes au sein d’un Groupe approuvé par les 28 autorités de protection des données personnelles de l’UE
Les nouvelles sanctions administratives VIOLATIONS MINEURES VIOLATIONS IMPORTANTES VIOLATIONS FONDAMENTALES Mesures correctives, avertissement, ordre, rappel à l’ordre, retrait de certification… Absence de notification à la personne d’une faille de sécurité Non-respect du droit de rectification des données personnelles Jusqu’à 10 000 000 EUR ou 2% du CA Global Absence de coopération avec l’autorité de contrôle Non désignation d’un DPO gravité Jusqu’à 20 000 000 EUR ou 4% du CA Global Non respect des règles sur les transferts internationaux de données Non respect de la licéité, loyauté, transparence du traitement
Les circonstances atténuantes et aggravantes Art 83 RGPD: Chaque autorité de contrôle veille à ce que les amendes administratives soient dans chaque cas effectives, proportionnées et dissuasives Aggravant Avantages financiers obtenus du fait de la violation Récidive Négligence Atténuant Coopération avec l’autorité Mesures correctives pour atténuer le dommage Notification de la violation à l’autorité Bonne foi Circonstances aggravantes ou atténuantes: Gravité de la violation et personnes concernées Mesures techniques ou organisationnelles mises en œuvre Application de codes de conduite ou de mécanismes de certification