Capgemini Institut 0144742410
24 rue du Gouverneur général Eboué 92136 Issy les Moulineaux
RGPD : réglement européen sur la protection des données personnelles Paris
RGPD : réglement européen sur la protection des données personnelles Paris
RGPD : réglement européen sur la protection des données personnelles Paris
RGPD : réglement européen sur la protection des données personnelles Paris
RGPD : réglement européen sur la protection des données personnelles Paris
DURéE
2 jours
DATES
27-28 novembre 2017
5-6 février 2018
15-16 mars 2018
23-24 mai 2018
21-22 juin 2018
LIEU
Paris
PRIX 2017
1 910 € ht (2 292 € ttc)
Sommaire du séminaire
    Séminaires technique Institut Capgemini

    RGPD : réglement européen sur la protection des données personnelles

    >  Mise en conformité de l’entreprise et impact sur le système d’Information




    Le 25 Mai 2018, le règlement européen de protection des données personnelles entre en vigueur. Il est à application directe et immédiate dans tous les pays membres pour toute entreprise dans le monde qui collecte, stocke et traite des données personnelles de citoyens européens dont l’utilisation peut directement ou indirectement permettre de les identifier.

    Le RGPD renforce le droit des personnes et change le rapport avec l’autorité de contrôle pour passer d’un régime déclaratif à une logique de responsabilisation et de justification de la protection des données personnelles (accountability) par les entreprises elles-mêmes. Il est par ailleurs basé sur des principes de co-responsabilité des sous-traitants et de « Privacy by design ».

    Le règlement e-Privacy complète le RGPD et précise la manière dont les éditeurs de services de communications électroniques garantiront la confidentialité des échanges.

    Outre ses volets juridiques et organisationnels, le RGPD implique la mise en œuvre d’outils logiciels (chiffrement, pseudonymisation) et de processus adaptés au sein du système d’information. Pour certaines entreprises, il constitue l’un des plus grands chantiers informatiques de ces dernières années.

    Au-delà de l’obligation de mise en conformité, le RGPD apparait comme une opportunité majeure d’avantage concurrentiel et de renforcement des liens de confiance avec les clients et collaborateurs de l’entreprise. Fin 2017, seulement 17 % des entreprises sont en conformité. Or les amendes sont importantes : 4% du CA ou 20 M€.



    Chronologie d’évolution du cadre règlementaire


    • Différences clefs entre lois nationales de protection des données et le RGPD.
    • Remplacement de la directive 94/46/CE du 24 Octobre 1995 et de la Loi Informatique et Libertés de 1978.
    • L’invalidation de l’accord Safe Harbor avec les US et son remplacement par le Privacy Shield. Le cas des données transfrontalières. Quelles réserves du G29 (Groupement des CIL Européennes)?
    • Les deux nouvelles réglementations : RGPD / GPRD et e-privacy.
    • Quelle place pour l’utilisation des clauses contractuelles, BCR (Binding Corporate Rules), règles internes d’entreprise.
    • Quels champs d’application des trois textes : RGPD, Patriot Act et Privacy Shield ?
    • Quelle place pour la loi pour une république numérique ?

    Un cadre règlementaire unifié pour l’ensemble de l’UE


    Trois objectifs

    • Renforcer le droit des personnes
    • Responsabiliser les acteurs
    • Crédibiliser la régulation

    Un champ d’application étendu

    • Toute entreprise sur le territoire européen et dans le monde
    • Responsabilisation des sous-traitants
    • Guichet unique pour l’ensemble de l’UE
    • Coopération entre autorités au sein du CEPD (Comité européen de protection des données)

    Un renforcement des droits personnels

    • Consentement renforcé et charge de la preuve
    • Développement des droits d’accès, modification, oubli
    • Nouveaux droits : portabilité des données, traitement des données des enfants, actions collectives, droit à réparation

    Une approche globale de la conformité et de nouveaux outils

    • Protection des données dès la conception et par défaut (Privacy by design / by default)
    • Etudes d’impact sur la vie privée (EIVP/PIA)
    • Registre des traitements, codes de conduite, certification
    • Notification des failles de sécurité (aux autorités et personnes concernées)

    Une responsabilisation forte de l’entreprise et de son écosystème

    • Nomination d’un DPO (Digital Protection Officer), de responsables de traitements
    • Implication des sous-traitants et contrôle des transferts hors de l’UE.
    • Possibilité de règles d’entreprise contraignantes (BCR), de clauses contractuelles type approuvées CE

    Des sanctions renforcées

    • Sanctions administratives et amendes importantes de 10 à 20 M€ et de 2 à 4 % du CA.

    Les concepts fondamentaux


    Accountability

    • Obligation de démontrer la conformité à tout moment.
    • Qui est responsable dans l’organisation ?
    • Faut-il tout documenter ?
    • Etre ISO 27001 donne-t-il une garantie d’ « accountability » ?

    Traitement

    • Toute manipulation de données [personnelles] depuis la collecte jusqu’à la suppression
    • Qu’est la notion de traitement légitime de la donnée ?
    • Qui est responsable de traitement (RT)?

    Consentement

    • Manifestation de volonté claire, libre, explicite, univoque d’acceptation d’un traitement.
    • Comment « notariser » ce consentement ?
    • Certains cas de traitement sans consentement peuvent-ils rester licites ?

    Co-responsabilité

    • Engagement des sous-traitants à mettre en œuvre des mesures de protection adéquates.
    • Quelles mesures ? Quels engagements en cas de fuite de données ?

    Données personnelles

    • Informations identifiant directement ou indirectement une personne physique.
    • Comment traiter cookie ou adresse IP ? Apport du règlement ePrivacy. Impact sur le Web Marketing et DMP ?

    Droit à accès, modification, oubli

    • Droit d’obtenir consultation, modification, effacement dans les meilleurs délais.
    • Quel délai ? Quelle procédure de validation ? Quelles données historiques conserver ?

    Droit à la portabilité

    • Droit de transférer des données entre organisations
    • Quelle différence avec le droit d’accès (existant sous la CNIL) ?
    • S’applique-t-il à toutes les données ?

    Minimisation des données

    • Obligation de se limiter aux données strictement nécessaires à la finalité poursuivie.
    • Quelles sont-elles ? Quel impact sur le Big Data ?

    Privacy by design

    • Garantie que la protection des données personnelles est assurée dès la conception des applications, sites Web et autres systèmes IT.
    • Quelles sont les bonnes pratiques, outils, méthodes à mettre en place ?
    • Quelle répartition des tâches entre les parties (DPO, DSI, RT) ?

    Privacy by default

    • Garantie apportée lorsque les mesures de sécurisation sont intégrées nativement dans le service.
    • Est-ce un niveau par défaut ?
    • Peut-on l’utiliser pour les applications existantes ?

    Violation de données (Databreach)

    • Obligation de déclaration aux autorités dans les 72 heures.
    • Dans quels cas ? Sous quelle forme ?
    • Quand faut-il également informer les personnes concernées ?

    Principales mesures découlant du RGPD


    Création des DPO (Data Protection Manager)

    • Du correspondant CIL au DPO.
    • Quand est-il obligatoire ?
    • Quel profil ? A qui reporte-t-il ? Partager un DPO ?
    • Lignes directrices du G29 sur le statut et les missions du DPO.

    Maintenance de registre

    • Obligatoire, y compris pour tout organisme hors UE
    • Informations à fournir : finalité, catégories de données, données sensibles, personnes concernées
    • Quels outils d’aide à sa création / gestion ?

    Réalisation d’analyse d’impact (PIA – Protection Impact Assessment)

    • Réalisation préalable à la conception du traitement des données
    • Quels traitements doivent faire l’objet d’un DPIA ? Qui doit y contribuer ?
    • Quelle méthodologie ? description et finalité du processus, proportionnalité aux objectifs, risques supportés par les données, mesures de protection prises, respect du RGPD.
    • Dans quel cas consulter l’autorité ?
    • Quels outils d’aide à réalisation ?

    “Privacy by design” et “by default”

    • Principes fondamentaux intégrés aux programmes dès la conception : mesures proactives et préventives, protection implicite, sécurité de bout en bout, de la création à l’effacement des données, visibilité totale et permanente.
    • Le profilage est-il compatible avec la privacy ?
    • Les traitements Big Data sont-ils elligibles ?
    • Vers une restriction du patrimoine informationnel ?

    Impact sur le système d’information


    • RGPD et Gouvernance des données

    - Procéder à l’inventaire des données personnelles, cartographier, redéfinir certains processus et chartes de gouvernance.

    - Définition de nouvelles règles de gestion (suppression et purge des données).

    - Quelle politique de gestion des accès en fonction de profils d’utilisation ?

    • RGPD et Sécurité des données et du SI

    - Classifier les données, leur criticité et techniques de chiffrement employées (cryptage, certificat, signature électronique).

    - Définir la politique de sécurité de l’information personnelle et établir une charte à destination des utilisateurs du SI. Doit-elle s’adosser aux normes (ISO 27001, SSAE 16).

    - Analyser la prise en compte des données personnelles à tous niveaux du SI : PRA, PCA, cloud, RTO/RPO, BYOD, etc. Quel recours à l’EIDAS (Electronic ID and Trust Service) ?

    - Comment assurer la « pseudonymisation » ? Pour quels types de données ? Constitue-t-elle un rempart de protection ? Les pseudonymes sont-ils des données personnelles ?

    - Anonymisation par randomisation ou généralisation (ajout de bruit, modification de leur ordre de grandeur par K-anonymat, i-diversité,…)

    - Masquage de zones, marquage des données.

    • RGPD et administration des risques

    - En cas d’usurpation d’identité, comment s’assurer qu’une information n’a pas été publiée sur le marché ou sur le Web ?

    - Comment notifier les failles de sécurité et tenir un SLA de 72 heures ?

    - Analyse d’impact du RGPD et analyse de risques développée pour le respect des normes de sécurité ? Sont- elles comparables ?

    • RGPD, administration des processus et SLA

    - Comment proposer un outil qui permet à un client de voir les données collectées le concernant ?

    - Quels processus pour assurer les droits de modification, effacement et oubli ?

    - Comment gérer la problématique d’accès aux archivages ?

    • RGPD et Privacy by design

    - Comment assurer le volet informatique du « privacy by design » ?

    - Les impacts au niveau cahier des charges, programmation, tests, mise en production.

    - L’élaboration d’une charte est-elle nécessaire ?

    • RGPD et « Shadow IT »

    - Comment gérer la problématique du « Shadow IT » et des projets informatiques gouvernés par les métiers sans le concours de la DSI ?

    • Les offres des sous-traitants et fournisseurs

    - Quelle intégration du « Privacy by design » par les éditeurs de logiciel ?

    - Quelles clauses de conformité dans les contrats de Cloud ?

    - Comment les GAFAM ont (déjà) intégré le RGPD.

    - Outils logiciels d’aide à la mise en œuvre : identification des données personnelles, politique de sécurisation-protection et audit : IBM (StoredIQ, Infosphere, Optim) , HPE (Control Point, Verity), SAS, ..etc.

    Les grandes étapes de mise en conformité


    Le chantier de migration initiale

    • Nommer un DPO, constituer une task force, trouver un sponsor
    • Cartographier les données personnelles, les traitements et les processus. Déterminer leur niveau de conformité via une étude d’impact. Valider l’approche « Privacy by default ».
    • Etablir le registre des traitements.
    • Réviser l’ensemble de la stratégie de sécurité du SI
    • Revoir les contrats de sous-traitance et fournisseurs
    • Définir les règles de gouvernance visant à garantir l’intégrité des données et à assurer le plus haut niveau de protection dès la conception (Privacy by design) ?
    • Comment seront traitées les demandes des personnes faisant valoir l’exercice de leurs droits ?
    • Quelle est la chaîne de responsabilités en cas de fuite de données ?
    • Etablir un plan d’action sur la base de cet état des lieux : travaux informatiques à engager, processus à développer.
    • Sensibiliser les collaborateurs à la « privacy » par la formation et l’information.

    Maintenir la conformité sur le long terme

    • Systématiser approche et bonnes pratiques de « Protection by design » dans les cahiers des charges de toutes action de l’entreprise
    • Détection des failles de sécurité des données et de gestion des risques
    • Réaction via un audit du risque et de la sécurité
    • Surveillance et évaluation permanente du niveau de risque
    • Optimisation et prévision afin de traiter rapidement les problèmes récurrents et anticiper tout problème.