Capgemini Institut 0144742410
24 rue du Gouverneur général Eboué 92136 Issy les Moulineaux
RGPD : réglement européen sur la protection des données personnelles Paris
RGPD : réglement européen sur la protection des données personnelles Paris
RGPD : réglement européen sur la protection des données personnelles Paris
RGPD : réglement européen sur la protection des données personnelles Paris
RGPD : réglement européen sur la protection des données personnelles Paris
RGPD : réglement européen sur la protection des données personnelles Paris
RGPD : réglement européen sur la protection des données personnelles Paris
RGPD : réglement européen sur la protection des données personnelles Paris
DURéE
2 jours
DATES
5-6 février 2018
15-16 mars 2018
23-24 mai 2018
21-22 juin 2018
30-31 août 2018
11-12 octobre 2018
15-16 novembre 2018
13-14 décembre 2018
LIEU
Paris
PRIX
1 965 € ht (2 358 € ttc)
Sommaire du séminaire
    Séminaires technique Institut Capgemini

    RGPD : réglement européen sur la protection des données personnelles

    >  Mise en conformité de l’entreprise et impact sur le système d’Information




    Le 25 mai 2018, le règlement européen de protection des données personnelles entre en vigueur. Il est à application directe et immédiate dans tous les pays membres pour toute entreprise dans le monde qui collecte, stocke et traite des données personnelles de citoyens européens dont l’utilisation peut directement ou indirectement permettre de les identifier.

    Le RGPD renforce le droit des personnes et change le rapport avec l’autorité de contrôle pour passer d’un régime déclaratif à une logique de responsabilisation et de justification de la protection des données personnelles (accountability) par les entreprises elles-mêmes. Il est par ailleurs basé sur des principes de co-responsabilité des sous-traitants et de « Privacy by design ».

    Outre ses volets juridiques, règlementaires et organisationnels, le RGPD implique une évolution lourde du système d’information, la mise en œuvre d’outils logiciels (chiffrement, pseudonymisation) et de processus adaptés. Pour certaines entreprises, il constitue l’un des plus grands chantiers informatiques de ces dernières années.

    Au-delà de l’obligation de mise en conformité, le RGPD apparait comme une opportunité majeure d’avantage concurrentiel et de renforcement des liens de confiance avec les clients et collaborateurs de l’entreprise. Fin 2017, seulement 17 % des entreprises sont en conformité. Or les amendes sont importantes : 4% du CA ou 20 M€.

    LE Mot de l’intervenant

    « Ce séminaire vous propose une synthèse des différents volets de mise en œuvre du RGPD (Règlement européen sur la protection des données personnelles) : règlementaires, organisationnels, techniques, informatiques et méthodologiques. Il fait également le point sur les premiers retours d’expérience et l’évolution des offres des fournisseurs et sous-traitants. Il est destiné aux responsables métiers, juridiques, informatiques qui veulent apprécier dans leur globalité les différents paramètres du chantier de mise en conformité. »

    Bernard Laur



    Contexte d’évolution
    du cadre règlementaire


    • Différences clefs entre lois nationales de protection des données et RGPD.
    • Remplacement de la directive 94/46/CE et de la Loi Informatique et Libertés. Place de e-Privacy.
    • Cas des données transfrontalières. Remplacement de l’accord Safe Harbor / US par le Privacy Shield.
    • Place des clauses contractuelles, BCR (Binding Corporate Rules), règles internes d’entreprise.
    • Rôle de la CNIL, de l’Anssi, du G29, du CEPD.
    • Positionnement des différents contextes existants : LSI/LCEN, Patriot Act, PCI-DSS, Sox, loi pour une république numérique, etc.

    Un cadre règlementaire unifié pour l’ensemble
    de l’UE


    Trois objectifs

    • Renforcer le droit des personnes
    • Responsabiliser les acteurs
    • Crédibiliser la régulation

    Un champ d’application étendu

    • Entreprises concernées en Europe et dans le monde
    • Guichet unique pour l’ensemble de l’UE
    • Coopération entre autorités au sein du CEPD (Comité européen de protection des données)

    Un renforcement des droits personnels

    • Consentement renforcé et développement des droits d’accès, modification, oubli, portabilité des données, cas des enfants, actions collectives, droit à réparation

    Une approche globale de la conformité et de nouveaux outils

    • Protection des données dès la conception et par défaut.
    • Etudes d’impact sur la vie privée.
    • Registre des traitements, codes de conduite.
    • Notification aux autorités et personnes concernées.

    Une responsabilisation forte de l’entreprise et de son écosystème

    • Nomination d’un DPO (Digital Protection Officer), de responsables de traitements
    • Implication des sous-traitants et contrôle des transferts hors de l’UE.
    • Possibilité de règles d’entreprise contraignantes.

    Des sanctions renforcées

    • Sanctions administratives et amendes importantes.

    Synthèse du texte
    et concepts fondamentaux


    Analyse du règlement et de ses fondements: principes, droit de la personne, responsabilités, transfert de données, autorités de contrôle, coopération, et cohérence, etc.

    Traitement

    • Depuis la collecte jusqu’à la suppression ?
    • Qu’est la notion de traitement légitime de la donnée ?
    • Qui est responsable de traitement (RT)?

    Consentement

    • Comment manifester une volonté claire, explicite et « notariser » ce consentement ?
    • Le traitement sans consentement licite

    Co-responsabilité

    • Quelle responsabilité des sous-traitants ?
    • Quels engagements en cas de fuite de données ?

    Données personnelles et sensibles

    • Quelles informations identifient directement ou indirectement une personne physique ? Différenciation données personnelles / sensibles.
    • Comment traiter cookie, adresse IP, biométrie, photos, etc ?

    Droit à accès, consultation, modification, effacement, oubli

    • Quel délai ? Quelle procédure de validation ? Quelles données historiques conserver ?
    • Quels conflits avec les « compliances » existantes ?

    Droit à la portabilité des données

    • Différences avec le droit d’accès? S’applique-t-il à toutes les données ?

    Minimisation des données

    • Que sont les « données strictement nécessaires à la finalité poursuivie ». Quel impact sur le Big Data ?

    Privacy by design

    • Comment assurer la protection des données dès la conception des applications, sites Web et autres systèmes IT ? Les travaux de référence (Ann Kavoukian - Ontario).
    • Les 7 principes fondamentaux. Les bonnes pratiques, outils, méthodes à mettre en place.
    • Quelle répartition des tâches entre les parties (DPO, DSI, RSSI, RT) ?
    • Etre ISO 27001 est-il nécessaire?

    Privacy by default

    • Quelle garantie apportée par les mesures de sécurisation intégrées nativement dans le service ?
    • Peut-on l’utiliser pour des applications existantes ?

    Violation de données

    • Comment satisfaire l’obligation de déclaration aux autorités dans les 72 heures ?
    • Dans quels cas ? Sous quelle forme ?
    • Quand faut-il également informer les personnes concernées ?

    Données transfrontalières

    • Transferts fondés sur une décision d’adéquation, sur des garanties appropriées.
    • Différents cas de figure : au sein de l’UE/hors UE, pays ayant des règlementations proches, hors règlementation. Cas des US (Privacy shield).

    Communication et information

    • Problématique d’information des intéressés et de sensibilisation des collaborateurs d’entreprise

    Code de conduite et certification

    • Vers l’approbation de codes de conduite, l’accréditation de certifications et labels?

    Mesures d’« accountability » découlant du RGPD


    Création des DPO (Data Protection Manager)

    • Du correspondant CIL au DPO.
    • Quand est-il obligatoire ?
    • Quel profil ? A qui reporte-t-il ? Partager un DPO ?
    • Lignes directrices du G29 sur le statut et les missions du DPO.

    Maintenance de registre

    • Informations à fournir : finalité, catégories de données, personnes concernées. Quel formalisme ?
    • Quels outils logiciels d’aide à sa création / gestion ?

    Réalisation d’analyse d’impact (PIA – Protection Impact Assessment)

    • Quels traitements y sont soumis ? Qui doit y contribuer ?
    • Place de la méthodologie eBios. Description et finalité du processus, proportionnalité aux objectifs, risques supportés, mesures de protection prises, etc. Quels outils logiciels d’aide à la réalisation ?
    • Dans quel cas consulter l’autorité ?

    "Privacy by design" et "by default"

    • Principes fondamentaux à intégrer aux programmes dès la conception : mesures proactives et préventives, protection implicite, sécurité de bout en bout, visibilité totale et permanente.
    • Le profilage, le Big Data sont-ils compatibles avec la privacy ?
    • Vers une restriction du patrimoine informationnel ?

    Echange de données avec l’étranger

    • Intégration du Privacy Shield.
    • Mise en œuvre des règles d’entreprise contraignantes, de clauses contractuelles type.

    Accountability

    • Comment démontrer la conformité à tout moment ?
    • Mise en conformité des documents commerciaux, contrats, formulaires, etc. Révision des contrats fournisseurs.
    • Que faut-il documenter ? Quelle certification ?

    Impacts sur le Système d’Information


    • Gouvernance des données

    - Inventorier les données personnelles, cartographier, redéfinir certains processus et chartes de gouvernance.

    - Définir de nouvelles règles de gestion (sauvegarde, archivage).

    - Quelle politique de gestion des accès en fonction de profils d’utilisation ?

    • Sécurité des données et du SI

    - Classifier les données, leur criticité et les techniques de chiffrement employées (cryptage, certificat, signature électronique).

    - Définir la politique de sécurité de l’information personnelle. Etablir une charte à destination des utilisateurs. Respect des normes (ISO 27001, SSAE 16).

    - Analyser la prise en compte des données personnelles à tous niveaux du SI : PRA, PCA, Cloud, BYOD, etc. Quel recours à l’EIDAS (Electronic ID and Trust Service) ?

    - Comment assurer la « pseudonymisation » ? Pour quels types de données ? Les pseudonymes sont-ils des données personnelles ?

    - Anonymisation par randomisation ou généralisation (ajout de bruit, modification de leur ordre de grandeur par K-anonymat, i-diversité,…), masquage de zones.

    • Administration des risques

    - Comment détecter une violation, s’assurer de la non diffusion de données sur le marché / le Web ?

    - Comment notifier les failles de sécurité et tenir un SLA de 72 heures ?

    - Analyse d’impact et de risques sont- elles comparables ?

    • Administration des processus

    - Quels processus pour proposer à un client de consulter ses données et assurer les droits de modification, effacement et oubli ? Quel SLA ?

    - Comment gérer la problématique d’accès aux archivages ?

    • Privacy by design

    - Comment assurer le volet informatique du « Privacy by design » ?

    - Place majeure occupée par le plan et l’Infrastructure de sécurité (PSSI).

    - Les impacts au niveau cahier des charges, programmation, tests, mise en production.

    - L’élaboration d’une charte est-elle nécessaire ?

    • « Shadow IT » et BYOD

    - Gérer les problématiques du « Shadow IT » et des projets gouvernés par les métiers sans le concours de la DSI, des données stockées sur le poste de travail ?

    • Les offres des sous-traitants et fournisseurs

    - Quelle intégration du « Privacy by design » par les éditeurs de logiciel ?

    - Quelles clauses de conformité dans les contrats de Cloud ?

    - Comment les GAFAM ont (déjà) intégré le RGPD.

    - Outils logiciels d’aide à la mise en œuvre : Inventaire des données, cartographie des processus, DLP, IAM, politique de sécurisation-protection, audit, etc.

    • L’impact du RGPD sur les secteurs et les métiers

    - Marketing, DRH, commercial.

    - e-Commerce, Programmatique, Web Marketing, Big Data et DMP.

    Les grandes étapes de mise en conformité


    Le chantier de migration initiale

    • Nommer un DPO, constituer une task force, trouver un sponsor
    • Cartographier les données personnelles, les traitements et les processus. Déterminer leur niveau de conformité via une étude d’impact. Valider l’approche « Privacy by default ».
    • Etablir le registre des traitements.
    • Réviser l’ensemble de la stratégie de sécurité du SI. Passer à ISO 27000 ?
    • Revoir les contrats de sous-traitance.
    • Quelles règles de gouvernance visant à garantir l’intégrité des données et à assurer le plus haut niveau de protection dès la conception (Privacy by design) ?
    • Comment seront traitées les demandes des personnes faisant valoir l’exercice de leurs droits ?
    • Quelle est la chaîne de responsabilités en cas de fuite de données ?
    • Quel plan d’action sur la base de cet état des lieux : travaux informatiques à engager, processus à développer.
    • Comment sensibiliser les collaborateurs à la « privacy » ?

    Maintenir la conformité sur le long terme

    • Comment systématiser la « Protection by design », planifier l’audit périodique de détection des failles de sécurité des données et de gestion des risques.
    • Comment assurer une surveillance et une évaluation permanente du niveau de risque, • anticiper et traiter rapidement les problèmes récurrents.