Impacts RGPD Sociétés Marocaines
Présentation ActeCil Nos forces : Nos implantations : Proximité Flexibilité Ouverture à l’International Mutualisation des démarches Qualité de service Approche méthodologique Proche de vous et présent à l’International, les consultants ACTECIL utilisent les mêmes méthodologies et outils, gage de qualité et de réussite pour vos projets. Nos implantations : En France : A l’international : ActeCil Alsace ActeCil Franche-Comté ActeCil Grand Ouest ActeCil Ile de France ActeCil Sud Est ActeCil Sud Ouest ActeCil Océan Indien ActeCil Caraïbe ActeCil Maghreb ActeCil Nouvelle Calédonie ActeCil Afrique de l’Ouest
Présentation Les + d’ActeCil ActeCil, c’est aussi 9 labels CNIL : Spécialiste de la Protection des Données à Caractère Personnel depuis plus de 10 ans Effectif de 40 personnes Approches méthodiques et reproductibles tenant compte des impératifs métiers Logiciel de Gouvernance RGPD le plus performant du marché Plus de 600 références clients ActeCil, c’est aussi 9 labels CNIL : ACTECIL a été la première société de conseil dans le domaine de la protection des données à caractère personnel à être labellisée Gouvernance Informatique et Libertés. 5 labels CNIL pour ses audits 3 labels CNIL pour ses formations 1 label CNIL Gouvernance Label Audit de traitements nominatifs 2015-376 Label Audit de traitements Secteur Bailleurs 2014-505 Label Audit de traitements Secteur CCAS 2017-089 Label Audit de traitements Secteur Collectivités 2017-203 Label Audit de traitements Secteur Vidéosurveillance 2016-223 Label Formation Secteur Bailleur 2015-192 Label Formation Secteur Santé 2015-193 Label Formation CIL/DPO 2015-447 Label Gouvernance 2015-441
Directement applicable 1. Le cadre légal b. Le cadre légal Loi Informatique et Libertés De 1978 RGPD en vigueur depuis le 25 mai 2016 Loi Lemaire du 7 octobre 2016 RGPD applicable à partir du 25 mai 2018 Directive 95 / 46 CE du 24 octobre 1995 Loi 09-08 Période de transition Loi de transposition Directement applicable France : le 4 août 2004 Nombreuses évolutions technologiques depuis 1995 (internet, réseaux sociaux, cloud, biométrie, mobiles) 28 pays de l’UE … 28 transpositions… Réduit la complexité de l’application et les démarches administratives Assure une protection adaptée des données personnelles des résidents de l’UE Répond aux besoins des autorités de contrôle (coopération, cohérence, assistance mutuelle) Pourquoi un nouveau Règlement ? Nombreuses évolutions technologiques depuis 1995 28 pays de l’UE … 28 transpositions… Réduit les écarts et les démarches administratives Assure une protection adaptée des données personnelles des résidents de l’UE Répond aux besoins des autorités de contrôle (coopération, cohérence, assistance mutuelle)
RGPD = 1. Le cadre légal Code de la route de l’Economie Numérique b. Le cadre légal RGPD Les objectifs du RGPD Renforcer les droits des personnes et les protéger à l’ère du tout numérique. = Code de la route de l’Economie Numérique Responsabiliser les acteurs traitant des données. Notre Objectif : vous apprendre à conduire dans cet environnement Renforcer la coopération entre les autorités de protection des données pour crédibiliser la régulation et adopter des décisions communes lorsque les traitements de données seront transnationaux. Rien n’est interdit par défaut mais tout est encadré
RGPD 1. Le cadre légal Même si vous n’êtes pas établi dans l’UE, si : b. Le cadre légal RGPD Les Cibles du RGPD / Extraterritorialité Même si vous n’êtes pas établi dans l’UE, si : vos « activités de traitement sont liées o à l’offre de biens ou de services à des personnes concernées dans l’UE ; ou au suivi du comportement de ces personnes, dans la mesure où il s'agit d'un comportement qui a lieu au sein de l'Union » (article 3 du règlement européen). renforce les droits des résidents européens sur leurs données et responsabilise l’ensemble des acteurs traitant ces données (responsables de traitement et sous-traitants) qu’ils soient ou non établis au sein de l’Union européenne
2. Les définitions et mots-clés d. Les nouveaux concepts du Règlement Européen ACCONTABILITY Suppression des formalités préalables Obligation de mettre en œuvre des procédures internes permettant de démontrer la conformité REGISTRE DE TRAITEMENT Liste des traitements effectués par un organisme ou pour le compte d’un client Organismes > 250 employés (aussi si traitements réguliers, données sensibles, condamnations ou infractions…) DÉLÉGUÉ A LA PROTECTION DES DONNÉES (DPO) Chargée de mettre en œuvre la conformité RGPD au sein de l’organisme qui l’a désigné, successeur du CIL Obligatoire dans certains cas (organismes publics, données sensibles, suivi régulier et systématique à grande échelle) PORTABILITÉ Possibilité de récupérer ses données personnelles dans un format ouvert et lisible pour les stocker ou les transmettre d’un système d’informations à un autre ANALYSE D’IMPACT (PIA) Obligatoire avant tout traitement susceptible d’engendrer des risques pour les personnes concernées Permet d’évaluer la probabilité et la gravité du risque pour déterminer les mesures appropriées à prendre
2. Les définitions et mots-clés d. Les nouveaux concepts du Règlement Européen PRIVACY BY DESIGN / PRIVACY BY DEFAULT Développer des produits/services en prenant en compte, dès leur conception et tout au long de leur cycle de vie, les aspects liés à la protection des données à caractère personnel. CONSENTEMENT RENFORCÉ Volonté exprimée par une action positive précédée par une information claire, intelligible et aisément accessible. Preuve du consentement et possibilité de le retirer à tout moment. PROFILAGE Toute forme de traitement automatisé de données pour évaluer certains aspects du comportement d’une personne Ex: le rendement au travail, la situation économique, la santé, les préférences personnelles, les déplacements... SECURITE PHYSIQUE/LOGIQUE/JURIDIQUE : Outisl PSEUDONYMISATION,….. Technique permettant de réduire la corrélation d’un ensemble de données avec l’identité originale d’une personne concernée. Par exemple, le remplacement de l’identité par un autre identifiant. Profiling : donnée collectée via des outils online (cookies, traceurs, etc.) et utilisables au sein d’une DMP. Ces données peuvent inclure l’historique des achats de la personne sur un site, sa navigation, les pages et onglets cliqués, et l’ensemble des actions effectuées par l’internaute susceptibles de donner une information relative à son comportement d’achat, ses centres d’intérêts, etc. Les données comportementales permettent notamment les campagnes de display et de retargeting. Des données comportementales peuvent être personnelles si elles identifient indirectement un individu, ou si elles sont matchées avec des données personnelles. NOTIFICATION DES VIOLATIONS DE DONNÉES En cas de violation de données, tout organisme dispose de max 72h pour en informer la CNIL, les personnes affectées par la violation (en cas de risque important) et de documenter les mesures prises
Recenser par écrit les instructions de votre client 3. Impacts: Une mise en Pratique Attentes et obligations : Prestataires : Une obligation de transparence et de traçabilité un contrat ou un autre acte juridique précisant les obligations de chaque partie Recenser par écrit les instructions de votre client Demander l’autorisation écrite de votre client Mettre à la disposition de votre client toutes les informations nécessaires pour démontrer le respect de vos obligations ….. Profiling : donnée collectée via des outils online (cookies, traceurs, etc.) et utilisables au sein d’une DMP. Ces données peuvent inclure l’historique des achats de la personne sur un site, sa navigation, les pages et onglets cliqués, et l’ensemble des actions effectuées par l’internaute susceptibles de donner une information relative à son comportement d’achat, ses centres d’intérêts, etc. Les données comportementales permettent notamment les campagnes de display et de retargeting. Des données comportementales peuvent être personnelles si elles identifient indirectement un individu, ou si elles sont matchées avec des données personnelles. Attentes et obligations : Prestataires : Sécurité organisationnelle pas uniquement technique PSSI, PRA, PCA,…….
Utilisation d’APM pour la tenue des registres et 6. Contribuer à la conformité de mon organisme Implémentation : Obligation des résultats passant par des moyens et des ressources Registre des traitements (RT/ST) Utilisation d’APM pour la tenue des registres et la notification de toute création, modification et suppression d’un traitement Démo APM Se connecter à APM Fiche descriptive d’un traitement (statuts et workflows) Notifier la modification d’un traitement Existant Ajout Modif…
Complétude d’une fiche : comment faire 6. Contribuer à la conformité de mon organisme f. Mise et maintien en conformité Registre des traitements (RT/ST) Complétude d’une fiche : comment faire Démo APM Se connecter à APM Fiche descriptive d’un traitement (statuts et workflows) Notifier la modification d’un traitement Existant Ajout Modif…
6. Contribuer à la conformité de mon organisme f. Mise et maintien en conformité Restitution et proposition d’un plan d’action Tenue obligatoire du registre des activités de traitement selon le cas (sous-traitant / responsable de traitement Protection de la vie privée dès la conception et par défaut dans tout projet Notification des violations de données Analyse d’impact sur la vie privée et mesures de sécurité adaptées aux risques Consentement renforcé et nouveaux droits des personnes concernées Responsabilisation des sous-traitants Assistance aux ACTIONS MISE EN CONFORMITE
Registre des traitements, analyse d’impact Présentation Privacy Compliance : Solutions 360°clés en main GOUVERNANCE Bonnes pratiques Méthodologies Référentiels Métier Outillages Contractualisation Sensibilisation Acteurs LOGICIEL GOUVERNANCE Registre des traitements, analyse d’impact sur la vie privée, référentiels E-ASSISTANCE Conseils ponctuels CONSULTING Audit, diagnostic, Etats des lieux FORMATIONS Protection des données MISSIONS DPO Externe ou mutualisé
Merci de votre attention STAND 1 Face CNDP