1. Gestion pratique d’implémentation:
le dossier RGPD = boite à outils
J a c q u e s F o l o n , P h . D .
P r o f . I C H E C
M e . C o n f . U n i v. L i è g e
P r o f i n v i t é U n i v. s a i n t L o u i s
C o - f o u n d e r g d p r f o l d e r. e u
J a c q u e s @ g d p r f o l d e r. e u
6. 1. Le but: le dossier GDPR
2. DPO or not DPO?
3. Les décisions de la direction
4. La partie visible d’abord
5. La partie risquée d’abord
6. Je ne veux pas être sous-traitant
7. Les DB existantes
8. Les droits des personnes
9. Les mesures techniques
10. Les mesures organisationnelles
11. Les RH
12. Les DPIA
13. Le registre
14. Le Dossier RGPD
7. But à atteindre :
avoir un dossier complet
Obligation de moyen
8. On va le construire ensemble !
Il ne sera jamais fini !
9. 1. Le but: le dossier GDPR
2. DPO or not DPO?
3. Les décisions de la direction
4. La partie visible d’abord
5. La partie risquée d’abord
6. Je ne veux pas être sous-traitant
7. Les DB existantes
8. Les droits des personnes
9. Les mesures techniques
10. Les mesures organisationnelles
11. Les RH
12. Les DPIA
13. Le registre
14. Le Dossier RGPD
11. • Soutien de la direction
• Description de fonction
• Certification ?
• Plan d’actions
• Chef de projet
• Correspondants RGPD
• Avis et recommandations à la direction
• Rapport annuel (Analyse-bilan-plan)
• KPI
12. LE GDPR CA PEUT ETRE POSITIF
MEILLEURE CONNAISSANCE DES PROCESSUS INTERNES
13.
14. 1. Le but: le dossier GDPR
2. DPO or not DPO?
3. Les décisions de la direction
4. La partie visible d’abord
5. La partie risquée d’abord
6. Je ne veux pas être sous-traitant
7. Les DB existantes
8. Les droits des personnes
9. Les mesures techniques
10. Les mesures organisationnelles
11. Les RH
12. Les DPIA
13. Le registre
14. Le Dossier RGPD
15. • Le DPO ne décide pas !
• Décisions à prendre
• Acter les décisions
• Quid en cas de désaccord?
• Exemples de décisions
16. 1. Le but: le dossier GDPR
2. DPO or not DPO?
3. Les décisions de la direction
4. La partie visible d’abord
5. La partie risquée d’abord
6. Je ne veux pas être sous-traitant
7. Les DB existantes
8. Les droits des personnes
9. Les mesures techniques
10. Les mesures organisationnelles
11. Les RH
12. Les DPIA
13. Le registre
14. Le Dossier RGPD
18. • Le site Internet
• Double opt-in
• Conservation des accords (contrat,
consentement)
• Cookies
• Marketing digital
• La collecte des données papier
• Bulletins d’inscriptions
• Privacy policies (plusieurs !!!)
19. 1. Le but: le dossier GDPR
2. DPO or not DPO?
3. Les décisions de la direction
4. La partie visible d’abord
5. La partie risquée d’abord
6. Je ne veux pas être sous-traitant
7. Les DB existantes
8. Les droits des personnes
9. Les mesures techniques
10. Les mesures organisationnelles
11. Les RH
12. Les DPIA
13. Le registre
14. Le Dossier RGPD
20. • Données sensibles
• RH
• Secrets d’affaires
• Identifier les départements à
risques
• On commence par sécuriser les
worst case
• Procédure en cas de vol/perte
21. 1. Le but: le dossier GDPR
2. DPO or not DPO?
3. Les décisions de la direction
4. La partie visible d’abord
5. La partie risquée d’abord
6. Je ne veux pas être sous-traitant
7. Les DB existantes
8. Les droits des personnes
9. Les mesures techniques
10. Les mesures organisationnelles
11. Les RH
12. Les DPIA
13. Le registre
14. Le Dossier RGPD
22. Vous avez des sous-traitants ?
Vous êtes sous-traitant?
23. 1. Le but: le dossier GDPR
2. DPO or not DPO?
3. Les décisions de la direction
4. La partie visible d’abord
5. La partie risquée d’abord
6. Je ne veux pas être sous-traitant
7. Les DB existantes
8. Les droits des personnes
9. Les mesures techniques
10. Les mesures organisationnelles
11. Les RH
12. Les DPIA
13. Le registre
14. Le Dossier RGPD
24. • Inventaire
• Responsable
• Shadow IT
• Mise en conformité
• Quantité vs qualité
• Que met-on dans le dossier RGPD?
25. 1. Le but: le dossier GDPR
2. DPO or not DPO?
3. Les décisions de la direction
4. La partie visible d’abord
5. La partie risquée d’abord
6. Je ne veux pas être sous-traitant
7. Les DB existantes
8. Les droits des personnes
9. Les mesures techniques
10. Les mesures organisationnelles
11. Les RH
12. Les DPIA
13. Le registre
14. Le Dossier RGPD
26. PROTÉGEZ LES DONNÉES DE VOS CLIENTS
ET MONTREZ LEUR QUE VOUS LE FAITES
2
6
TRANSPARENCE
INFORMATIONS LORS DE LA COLLECTE
DROIT D'ACCES
DROIT DE RECTIFICATION
DROIT A L'EFFACEMENT
DROIT A LA LIMITATION DU TRAITEMENT
PORTABILITE
DROIT D'OPPOSITION AU PROFILAGE
27. Imaginez une demande
Que fait-on ?
Qui contacter?
Comment répondre?
Qui répond?
Est-on certain de répondre en un mois?
28. 1. Le but: le dossier GDPR
2. DPO or not DPO?
3. Les décisions de la direction
4. La partie visible d’abord
5. La partie risquée d’abord
6. Je ne veux pas être sous-traitant
7. Les DB existantes
8. Les droits des personnes
9. Les mesures techniques
10. Les mesures organisationnelles
11. Les RH
12. Les DPIA
13. Le registre
14. Le Dossier RGPD
29. • Certification?
• Plan de sécurité?
• Analyse de risques
• Il faut une référence
• Voir DPIA CNIL
• Déclaration vs. Réalité
• IAM ?
40. Privacy by design & information lifecycle
• Privacy by design is key in various essential phases of the
information lifecycle u
building new IT systems for storing or accessing personal data;
developing policies or strategies that have privacy implications; u
embarking on a data sharing initiative;
using data for new purposes.
70. 7 0
Quelles sont les questions à se poser??
• Les personnes sont-elles ce qu’elles
disent être??
• Sont-elles des membres réels de
notre communauté ?
• Ont-elles reçu les autorisations
nécessaires ?
• Le respect de leurs données
personnelles est-il mis en place?
71. 7 1
Exemples de questions
• Quel mot type de mot de passe donner?
• Quelles sont les activités autorisées?
• Quelles sont les activités interdites?
• A quelle catégorie de personne cette
nouvelle identité doit-elle être attachée?
• A quel moment du processus d’entrée les
autorisations doivent-elles être données?
• Quelles modalités de contrôle sont mises
en place?
• Peut-on prouver tout cela à un auditeur ?
• Quid de l’e-discovery?
72. 1. Le but: le dossier GDPR
2. DPO or not DPO?
3. Les décisions de la direction
4. La partie visible d’abord
5. La partie risquée d’abord
6. Je ne veux pas être sous-traitant
7. Les DB existantes
8. Les droits des personnes
9. Les mesures techniques
10. Les mesures organisationnelles
11. Les RH
12. Les DPIA
13. Le registre
14. Le Dossier RGPD
76. • le registre des incidents
les décisions de la direction
les raisons des choix
les transferts à l’APD
Le non transfert
les droits d’accès
…
77. 1. Le but: le dossier GDPR
2. DPO or not DPO?
3. Les décisions de la direction
4. La partie visible d’abord
5. La partie risquée d’abord
6. Je ne veux pas être sous-traitant
7. Les DB existantes
8. Les droits des personnes
9. Les mesures techniques
10. Les mesures organisationnelles
11. Les RH
12. Les DPIA
13. Le registre
14. Le Dossier RGPD
78. • Un bon partenaire
• Principe de transparence
• CC 81
• Clauses de confidentialité
• Charte informatique
• Quid des syndicats?
• Données sensibles
79. 1. Le but: le dossier GDPR
2. DPO or not DPO?
3. Les décisions de la direction
4. La partie visible d’abord
5. La partie risquée d’abord
6. Je ne veux pas être sous-traitant
7. Les DB existantes
8. Les droits des personnes
9. Les mesures techniques
10. Les mesures organisationnelles
11. Les RH
12. Les DPIA
13. Le registre
14. Le Dossier RGPD
80. • Outil de la CNIL
• Comment faire?
• Qui autour de la table?
• On commence par quoi?
• Actualisation?
81. 1. Le but: le dossier GDPR
2. DPO or not DPO?
3. Les décisions de la direction
4. La partie visible d’abord
5. La partie risquée d’abord
6. Je ne veux pas être sous-traitant
7. Les DB existantes
8. Les droits des personnes
9. Les mesures techniques
10. Les mesures organisationnelles
11. Les RH
12. Les DPIA
13. Le registre
14. Le Dossier RGPD
84. • Quel format choisir?
• Comment faire?
• Anticiper les simultanéités
• Log de non-conformité
• Méthode de classement
• Il faut retrouver les preuves!
85. 1. Le but: le dossier GDPR
2. DPO or not DPO?
3. Les décisions de la direction
4. La partie visible d’abord
5. La partie risquée d’abord
6. Je ne veux pas être sous-traitant
7. Les DB existantes
8. Les droits des personnes
9. Les mesures techniques
10. Les mesures organisationnelles
11. Les RH
12. Les DPIA
13. Le registre
14. Le Dossier RGPD