D é v e l o p p e r l a c a p a c i t é d e s g r a n d e s e n t r e p r i s e s à i n t é g r e r e t m a î t r i s e r l e n u m é r i q u e

© C

op

yri

gh

t C

IGR

EF

20

16

–To

us

dro

its r

éser

vés

© C

op

yri

gh

t C

IGR

EF

20

11

–To

us

dro

its r

éser

vés

Données Personnelles & Architecture des SI

Groupe de travail AFAI, CIGREF & TECH IN France

Réunion plénière du 14 décembre 2016

1

D é v e l o p p e r l a c a p a c i t é d e s g r a n d e s e n t r e p r i s e s à i n t é g r e r e t m a î t r i s e r l e n u m é r i q u e

© C

op

yri

gh

t C

IGR

EF

20

16

–To

us

dro

its r

éser

vés

© C

op

yri

gh

t C

IGR

EF

20

11

–To

us

dro

its r

éser

vés

Régis DelayatVP CIGREF, Administrateur AFAI, DSI SCOR

2

D é v e l o p p e r l a c a p a c i t é d e s g r a n d e s e n t r e p r i s e s à i n t é g r e r e t m a î t r i s e r l e n u m é r i q u e

© C

op

yri

gh

t C

IGR

EF

20

16

–To

us

dro

its r

éser

vés Plus de 80 pays imposent des contraintes sur les données personnelles

Fort (incl. GDPR)

Modéré

3

Limité

Est personnelle toute donnée

permettant l’identification d’un individu

Identification (nom, prénom, genre, âge, adresse…)

Vie personnelle (habitudes de vie, préférences

religieuses, politiques, sexuelles…)

Vie professionnelle (CV, formation, profession,

contrat de travail…)

Comportement (messagerie, réseaux sociaux,

recherches web, consommation en ligne...)

Localisation (déplacements, gps, gsm…)

Données économiques et financières (revenus,

situation financière et fiscale…)

Données sensibles (santé, médicales, infractions,

condamnations…)

D é v e l o p p e r l a c a p a c i t é d e s g r a n d e s e n t r e p r i s e s à i n t é g r e r e t m a î t r i s e r l e n u m é r i q u e

© C

op

yri

gh

t C

IGR

EF

20

16

–To

us

dro

its r

éser

vés Impact sur les systèmes d’information

Services contenant des données personnelles et

nécessitant une analyse approfondie pour assurer le niveau de protection requis (à compléter)

SI Cœur de MétierModèle interne

Finance

Analytics

Trésorerie

Voyages / Frais

Juridique

PlanningAchats Budget & Coûts

CRM

GED

Intranet Messagerie Bureautique

SIRH

Services à valeur-ajoutée

Front-office

Back-office

Site web Réseau Social d’Entreprise

Contrôle interne

Audit

Big Data

4

D é v e l o p p e r l a c a p a c i t é d e s g r a n d e s e n t r e p r i s e s à i n t é g r e r e t m a î t r i s e r l e n u m é r i q u e

© C

op

yri

gh

t C

IGR

EF

20

16

–To

us

dro

its r

éser

vés Mesures potentielles de protection des données à mettre en place

5

Cloud

Cloud

Cloud

Exemples d’actions

à entreprendre :

• Choix d’architectures des SI

système globalisé vs.

multi-instancié / délocalisé

• Contrôles des accès

administrateurs des fournisseurs

• BCR, DTA : accès transfrontières

au sein de l’entreprise

• Contrôles des accès logiques

• Sécurisation des données

anonymisation, pseudonymisation,

encryptage, etc…

• Sécurité du SI (SOC…)

• Localisation des sauvegardes

/ archivages

• Purge

Cloud

D é v e l o p p e r l a c a p a c i t é d e s g r a n d e s e n t r e p r i s e s à i n t é g r e r e t m a î t r i s e r l e n u m é r i q u e

© C

op

yri

gh

t C

IGR

EF

20

16

–To

us

dro

its r

éser

vés CIGREF : l’entreprise 2020 à l’ère du numérique

Réinventer les

modèles d’affaires…ou disparaître !

Multiplier les

partenariats:seul on ne peut

plus rien !Repenser

l’organisation pour mieux

innover

Valoriser

les données et créer la confiance

Maîtriser les

nouveaux risques numériques

Promouvoir un

nouveau cadre réglementaire et normatif adapté

Développer

la culture numérique des femmes et des

hommes

Renforcer

le e-leadership des Dirigeants

Attirer et fidéliser

les meilleurs talents

“Valoriser les données et créer la confiance” a été

identifié comme l’un des 9 enjeux majeurs pour les

grandes entreprises à horizon 2020, à travers les

défis suivants :

- Exploiter le capital « données »

- Garantir la qualité des données

- Promouvoir l’éthique dans l’usage des données

- Protéger les données

- Mettre en place un management global de la

donnée

6

D é v e l o p p e r l a c a p a c i t é d e s g r a n d e s e n t r e p r i s e s à i n t é g r e r e t m a î t r i s e r l e n u m é r i q u e

© C

op

yri

gh

t C

IGR

EF

20

16

–To

us

dro

its r

éser

vés

Groupe de Travail AFAI, CIGREF, TECH IN France : Evaluer l’impact des réglementations sur les données personnelles sur l’architecture des SI

7

• Cartographier les obligations réglementaires sur les données personnelles

• Inventorier les données personnelles embarquées dans les différents services

• Identifier les écarts entre les usages en vigueur et les règles de conformité

• Emettre des recommandations concrètes, applicables opérationnellement par les fournisseurs de services logiciels (on-premise ou SaaS), et/ou par les entreprises utilisatrices (en fonction des choix d’architectures)

D é v e l o p p e r l a c a p a c i t é d e s g r a n d e s e n t r e p r i s e s à i n t é g r e r e t m a î t r i s e r l e n u m é r i q u e

© C

op

yri

gh

t C

IGR

EF

20

16

–To

us

dro

its r

éser

vés

© C

op

yri

gh

t C

IGR

EF

20

11

–To

us

dro

its r

éser

vés Agenda

9h IntroductionRégis Delayat, Vice-président CIGREF, Administrateur AFAI, DSI SCOR

9h15 Les points clés du GDPRMe Mariez, De Gaulle, Fleurance et Associés

9h35 Bref panorama des autres environnements réglementaires mondiauxFabrice Naftalski, EY

9h55 Le point de vue du régulateurEdouard Geffray, CNIL

10h25 Pause

10h45 Table-ronde : préparation des entreprises Fabrice Naftalski, EYFenitra Ravelomanantsoa, AXAJawaherAllala, Systnaps

11h30 Feuille de route AFAI-CIGREF-TECH IN FranceStanislas de Rémur, Vice-président TECH IN et Président d’Oodrive

12h Conclusion

8

D é v e l o p p e r l a c a p a c i t é d e s g r a n d e s e n t r e p r i s e s à i n t é g r e r e t m a î t r i s e r l e n u m é r i q u e

© C

op

yri

gh

t C

IGR

EF

20

16

–To

us

dro

its r

éser

vés

© C

op

yri

gh

t C

IGR

EF

20

11

–To

us

dro

its r

éser

vés

Me MariezAvocat, Cabinet De Gaulle, Fleurance et Associés

9

Panorama du règlement général sur la protection

des données - RGPD

Jean-Sébastien Mariez, avocat, jsmariez@dgfla.com

14 novembre 2016

▪ Directive (UE) 2016/1148 du Parlement européen et du Conseil du6 juillet 2016 concernant des mesures destinées à assurer unniveau élevé commun de sécurité des réseaux et des systèmesd'information dans l'Union.

▪ “Privacy Shield” (suite à annulation du Safe Harbour par la CJUE –Arrêt Shrems, C-362/14, 6 oct. 2015)

▪ Règlement (UE) 2016/679 du Parlement européen et du Conseil du27 avril 2016 relatif à la protection des personnes physiques àl'égard du traitement des données à caractère personnel et à lalibre circulation de ces données, et abrogeant la directive 95/46/CE(règlement général sur la protection des données) ( 1 ) (règlementgénéral sur la protection des données - RGPD)

• nouveau socle d’obligations directement applicables dans tous les Étatsmembres d’ici mai 2018 ;

• modifie la directive 1995/46/CE du 24 octobre 1995 qui était jusqu’alors letexte de référence.

11

2. Environnement règlementaire renouvelé

12

I. Renforcement des droits du citoyen européen

II. Une responsabilité accrue pour le Responsable de traitement et le

Sous-traitant

III. Outils pour assurer le respect des principes et obligations

01/02/2017

PLAN

1301/02/2017

I. Renforcement des droits du citoyen européen – 1

Citoyen

Recueil du

consentement

Voies de recours

et

d’indemnisation

Transparence

de

l’information

Droit à …Accès

Rectification

Suppressionl’Oubli

à la

limitation du traitement

Portabilité

Opposition

au filtrage

14

Focus - Encadrement stricte du profilage - Article 22

01/02/2017

Renforcement des droits du citoyen européen – 2

• « droit de ne pas faire l’objet d’une décision fondée exclusivement sur un

traitement automatisé » si la décision produit des effets juridique concernant

la personne concernée ou l’affecte de manière significative

• induit la mise en place de mesures appropriées afin d’obtenir une

intervention humaine

• question du consentement explicite aux activités « Big Data »

1501/02/2017

II. Une responsabilité accrue pour le Responsable

de traitement et le Sous-traitant – 1

Accoun

tability

Privacy by

Design / by

Default

Responsabilité Sanction

Sécurité

Pseudonymisation

Chiffrement

Confidentialité

Intégrité

▪ Focus – Obligation du Sous-traitant - Article 28

• Déterminer les rôles et responsabilités de chacun au vu des obligation issues du RGDP – par exemple :

mise en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau desécurité adapté au risque.

• Insérer les mentions contractuelles requises :

• Le sous-traitant agit uniquement instruction documentée du responsable du traitement ;

• Engagement de confidentialité des personnes autorisées à traiter les données ;

• Mise en œuvres des mesures visant à garantir un niveau de sécurité adapté au risque ;

• Autorisation ou information préalable au recrutement d’un sous-traitant et obligation de répercuter les

obligations du contrat conclu avec le responsable de traitement ;

• Obligation d’assistance du responsable de traitement dans la gestion des droits prévus au Chap. III du

RGDP (information, rectification, effacement, portabilité, opposition, profilage, etc…) ;

• Obligation d’assistance du responsable de traitement pour respecter les obligations liées à la sécurité des données, la notification des violations de données et les études d’impact ;

• Suppression et destruction des données sous réserve des obligations légales de conservation ;

• Obligation de documentation et de mise à disposition des « informations nécessaires pour apporter la

preuve du respect des obligations prévues au présent article et pour permettre la réalisation d’audit » ;

• Notification des violations de données au responsable de traitement.

• Encourager l’application par le sous-traitant d’un code de conduite ou d’un mécanisme de

certification.

16

Une responsabilité renforcée pour le Responsable

de traitement et le Sous-traitant – 2

17

Focus – Obligation de notification des failles de sécurité

01/02/2017

Une responsabilité accrue pour le Responsable de

traitement et le Sous-traitant – 3

▪ «violation de données à caractère personnel» : « une violation de la sécurité entraînant, de manière accidentelleou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personneltransmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données;»

▪ Art. 33 du Règlement – notification à l’autorité de contrôle compétente

Qui a la charge de l’obligation : le responsable de traitement MAIS le sous-traitant doit l’informer sans délai de toute violation ;

Dans quel délai : en principe sans délai et au plus tard 72h après avoir eu connaissance de la faille ;

Contenu de la notification : cf. Art. 33.3.

Exception : « sauf s’il est improbable qu’il en résulte un risque pour les droits et libertés des personnes concernées »

▪ + Art. 34 du Règlement – notification aux personnes concernées

Réservée au cas où « il est probable que la violation des données à caractère personnel résulte en un risque d’atteinte aux droits et libertés des personnes concernées »

Contenu de la notification : : cf. Art. 34.2.

Exceptions cf. Art. 34.3.

▪ NB : le Règlement encourage l’autorégulation via la rédaction de codes de conduites qui pourraient préciser lesconditions de notification des violations de données personnelles (cf. Art.40)

1801/02/2017

Focus – Obligation de notification des failles de sécurité « bis »

Une responsabilité renforcée pour le Responsable

de traitement et le Sous-traitant – 4

▪ "incident" : “any event having an actual adverse effect on the security of networks and information systems”

▪ Art. 4 de la Directive NIS - acteurs du marché soumis à l’obligation :

« opérateurs de services essentiels », et

« fournisseur de services numériques » :

• services de Cloud computing,

• moteurs de recherche ; et

• plateforme de e-commerce

dès lors que les services sont prestés « normalement contre rémunération, à distance, par voie électronique et à lademande individuelle d'un destinataire de services » (cf. Art. 1.b. Directive 2015/1535)

Dérogation : pas applicable aux entreprises de moins de 50 salariés et/ou dont le CA annuel ne dépasse pas 10 millions d’euros – cf. art. 16 (11)

▪ Art. 16 de la Directive NIS - obligations à la charge des fournisseur de services numériques

notification à l’autorité compétente ou au CSIRT réservé aux cas où le fournisseur a accès aux informations permettant de déterminer si l’incident à un « impact significatif » cf. Art. 16 (4) ;

notification du public dans les cas où il serait dans l’intérêt général de divulguer l’incident.

▪ NB : la Directive prévoit (i) l’adoption par la Commission d’actes délégués et (ii) encourage lesautorités nationales à adopter des lignes directrices et/ou des instructions visant à préciser lescirconstances dans lesquelles la notification est requise.

Gouvernance de la

conformité

Etudes d’impact

Tenue d’un registre

Nomination d’un DPO

Codes de conduite

Certification

Procédures documentation

et de conservation

Dispositifs techniques

1901/02/2017

III. Outils pour garantir le respect des principes et obligations

Jean-Sébastien Mariez jsmariez@dgfla.com / 06 42 07 19 56

De Gaulle Fleurance & Associés9 rue Boissy d’Anglas – 75008 Paris – France – Tél.: +33 (0)1 56 64 00 00 – Fax.: +33 (0)1 56 64 00 01

222 avenue Louise – 1050 Bruxelles – Belgique – Tél.: +32 (0)2 644 01 64 – Fax.: +32 (0)2 644 31 16

www.degaullefleurance.com

Merci de votre attention.

D é v e l o p p e r l a c a p a c i t é d e s g r a n d e s e n t r e p r i s e s à i n t é g r e r e t m a î t r i s e r l e n u m é r i q u e

© C

op

yri

gh

t C

IGR

EF

20

16

–To

us

dro

its r

éser

vés

© C

op

yri

gh

t C

IGR

EF

20

11

–To

us

dro

its r

éser

vés

Fabrice NaftalskiEY

21

A Global perspective: Overview of non-EU data protection law frameworks

By Fabrice Naftalski

Partner, Attorney at Law

Page 23

Mapping of DP Laws in the world

Source: CNIL’s website

Page 24

International framework

OECD

1980

Council of

Europe1981

European Union1995

APEC

2005UN Guidelines

(1990)

Organization for Economic Cooperation and Development (OECD) Guidelines on the Protection of Privacy and Trans-border Flows of Personal Data (1980, updated in 2013)

Council of Europe Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data (1981)

Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data (1995)

Asia-Pacific Economic Cooperation Privacy Framework (2005)

Guidelines for the Regulation of Computerized Personal Data Files, as adopted by General Assembly resolution 45/95 (1990)

Data protection Regulation will replace the current Data Protection Directive 95/46/EC as from May 2018.

GDPR

Page 25

National Privacy and Data Protection Law in the World

► Common elements of privacy principles and laws

► Rights of the individual (notice, choice

and consent, access)

► Controls of the information (information

security, quality)

► Information lifecycle (collection, use and

retention, disclosure)

► Management (management and

administration, monitoring and

enforcement, penalties and sanctions)

► Differences in areas such as:

► Degree of rights of the individual

► Powers of the regulators

► Administrative processes

► Comprehensive data privacy legislation

► Eg.: Hong Kong, New Zealand, Japan,

Australia, South Korea, Argentina

► Sectorial data privacy legislation

► Brazil (general principles in the Federal

Constitution, civil code, Brazilian Internet

Act etc.)

► US Federal laws with privacy provisions

(eg.: Heath Insurance Portability and

Accountability Act, Financial Services

Modernization Act (aka Gramm-Leach-

Bliley), Computer Fraud and Abuse Act,

Driver's Privacy Protection Act, Electronic

Communications Privacy Act, Electronic,,

etc.)

EU vs US treatment of privacy

Q&

AFabrice NaftalskiPartner, Attorney at LawGlobal Head Data Protection Law Practice / CIPP/E & CIPM & EuroPrise legal Expert

Telephone +33 (0)1 55 61 10 05Mobil +33 6 07 70 87 58fabrice.naftalski@ey-avocats.com

D é v e l o p p e r l a c a p a c i t é d e s g r a n d e s e n t r e p r i s e s à i n t é g r e r e t m a î t r i s e r l e n u m é r i q u e

© C

op

yri

gh

t C

IGR

EF

20

16

–To

us

dro

its r

éser

vés

© C

op

yri

gh

t C

IGR

EF

20

11

–To

us

dro

its r

éser

vés

Edouard GeffraySecrétaire général, CNIL

28

D é v e l o p p e r l a c a p a c i t é d e s g r a n d e s e n t r e p r i s e s à i n t é g r e r e t m a î t r i s e r l e n u m é r i q u e

© C

op

yri

gh

t C

IGR

EF

20

16

–To

us

dro

its r

éser

vés

© C

op

yri

gh

t C

IGR

EF

20

11

–To

us

dro

its r

éser

vés

Pause

29

D é v e l o p p e r l a c a p a c i t é d e s g r a n d e s e n t r e p r i s e s à i n t é g r e r e t m a î t r i s e r l e n u m é r i q u e

© C

op

yri

gh

t C

IGR

EF

20

16

–To

us

dro

its r

éser

vés

© C

op

yri

gh

t C

IGR

EF

20

11

–To

us

dro

its r

éser

vés

Table-rondePréparation des entreprises pour concilier

efficacité opérationnelle et conformité

30

Animée par Loïc Rivière, Délégué général de TECH IN France, avec:

Fabrice Naftalski, EY

Fenitra Ravelomanantsoa, AXA

Jawaher Allala, Systnaps

DONNÉES PERSONNELLES ET ARCHITECTURE DES

SYSTÈMES D’INFORMATION

PERSPECTIVE UTILISATEUR : BCR

14 décembre 2016

CIGREF – Perspectiv e Utilisateur : BCR| Public | Décembre 2016

AGENDA

- Quelques chiffres sur AXA

- La décision d’adopter des BCR

- Eléments clés du projet de mise en place

de BCR

- Retours d’expérience

3

6

8

10

32 |

Quelques chiffres sur AXA

CIGREF – Perspectiv e Utilisateur : BCR| Public | Décembre 2016

Un leader mondial de l'assurance et de la gestion d'actifs

34 |

5,6Mds€

résultat opérationnel

68,5Mds€

capitaux propres

1 363Mds€

actifs sous gestion

Présence d’AXA dans le monde

présents dans 64 pays

166 000 collaborateurs

et distributeurs

pour accompagner

103 millions de clients

99Mds€

chiffre d’affaires

(chiffres 2015)

La décision d’adopter des BCR

CIGREF – Perspectiv e Utilisateur : BCR| Public | Décembre 2016

La décision d’adopter des BCR

Faciliter le déploiement des projets de convergence impliquant des flux

internationaux de données en dehors de l’Union Européenne.

Préparer le changement de règlementation avec l’arrivée du GDPR.

Mettre en place une harmonisation sur la manière de traiter les données

personnelles au sein du Groupe.

36 |

Eléments clés du projet de mise en place de BCR au sein du Groupe AXA

CIGREF – Perspectiv e Utilisateur : BCR| Public | Décembre 2016

Etapes clés du projet BCR

38 |

Interactions avec les interlocuteurs externes Forte collaboration avec la CNIL

- Présentation de la démarche et de l’approche

- Présentation d’une première version des BCRs

- Echanges sur les BCRs avant la validation finale

Contact avec d’autres sociétés ayant adopté des BCRs

Chantiers menés par les équipes internes travaux de rédaction effectués par les Data Protection Officers du Groupe

création de sous-groupe de travail par grande thématique sur la base des critères définis par le G29

réunions hebdomadaires pour partager sur les points importants (périmètres, principe de responsabilité, etc…)

revue de la version finale par un cabinet d’avocats

Mise à jour des procédures internes pour respecter les exigences des BCR: adoption de politiques pour répondre aux exigences des BCRs (politique de

conservation des données, politique de gestion des plaintes, etc…)

Organisation de sessions de formation et d’actions de sensibilisation à la protection des données personnelles

mise en place d’un contrôle de la conformité aux standards relatifs aux données personnelles, incluant les BCR, au niveau du Groupe

Retours d’expérience

CIGREF – Perspectiv e Utilisateur : BCR| Public | Décembre 2016

Retours d’expérience

40 |

Gain de temps dans le déploiement des projets de convergences:

Mise en place par la CNIL d’une autorisation unique pour les groupes ayant

adopté des BCRs

Plus de demande d’autorisation par transfert de données

L’utilisation des BCR ne dispense pas de formalités:

tenue d’un registre BCR regroupant les informations sur les transferts de

données

mise en place de contrats sur la protection des données décrivant le projet et

le traitement de données

L’adoption des BCR constitue une excellente préparation en vue de

l’entrée en vigueur du GDPR :

Les BCRs ont permis de mettre en place les mesures techniques et

organisationnelles dédiées à la protection des données personnelles

Les travaux effectués dans le cadre du projet BCR facilite les travaux de

mise en conformité au GDPR

D é v e l o p p e r l a c a p a c i t é d e s g r a n d e s e n t r e p r i s e s à i n t é g r e r e t m a î t r i s e r l e n u m é r i q u e

© C

op

yri

gh

t C

IGR

EF

20

16

–To

us

dro

its r

éser

vés

© C

op

yri

gh

t C

IGR

EF

20

11

–To

us

dro

its r

éser

vés

Table-rondePréparation des entreprises pour concilier

efficacité opérationnelle et conformité

41

Animée par Loïc Rivière, Délégué général de TECH IN France, avec:

Fabrice Naftalski, EY

Fenitra Ravelomanantsoa, AXA

Jawaher Allala, Systnaps

D é v e l o p p e r l a c a p a c i t é d e s g r a n d e s e n t r e p r i s e s à i n t é g r e r e t m a î t r i s e r l e n u m é r i q u e

© C

op

yri

gh

t C

IGR

EF

20

16

–To

us

dro

its r

éser

vés

© C

op

yri

gh

t C

IGR

EF

20

11

–To

us

dro

its r

éser

vés

Discussion

42

D é v e l o p p e r l a c a p a c i t é d e s g r a n d e s e n t r e p r i s e s à i n t é g r e r e t m a î t r i s e r l e n u m é r i q u e

© C

op

yri

gh

t C

IGR

EF

20

16

–To

us

dro

its r

éser

vés

© C

op

yri

gh

t C

IGR

EF

20

11

–To

us

dro

its r

éser

vés

Stanislas de RémurVP TECH IN France et Président d’Oodrive

43

PLÉNIÈRE

GROUPE DE TRAVAIL DONNÉES PERSONNELLES

14.12.2016

SOMMAIRE

1) Structure et feuille de route du groupe de travail

2) Fonctionnement du groupe de travail

3) Fonctionnement d’un sous groupe de travaiL

4) Les thématiques des sous-groupes

5) Calendrier

STRUCTURE ET FEUILLE DE ROUTE DU GROUPE DE TRAVAIL

Stanislas de Remur

Vice-Président de TECH IN France et Président d’Oodrive

FONCTIONNEMENT DU GROUPE DE TRAVAIL

▪ Un comité de pilotage tripartite assure le pilotage global de l’initiative, veille à

l’avancée des travaux et organise les différentes réunions ou manifestations =>

réunion tous les deux mois

▪ Trois sous-groupes de travail qui mobilisent les adhérents et dont l’objectif est

la production d’un livrable => réunion mensuelle

▪ Une plénière, organisée tous les trois mois ouvertes à tous les membres des trois

associations et aux intervenants extérieurs, contribuant à l’animation des débats

et présentant l’avancée des travaux

▪ Des auditions conduites auprès d’acteurs institutionnels ou d’entreprises non-

membres par le comité de pilotage ou les sous-groupes de travail

FONCTIONNEMENT D’UN SOUS GROUPE DE TRAVAIL

▪ Chaque sous-groupe est co-piloté par un représentant d’une organisation et

un expert (avocat, consultant…). Il permet d’organiser la réflexion de manière

cohérente. Tous les adhérents volontaires peuvent participer aux sous-groupes

▪ Ponctuellement, le sous groupe conduit des auditions auprès d’acteurs

institutionnels ou d’entreprises

▪ L’organisation qui copréside assume la co-rédaction des travaux et les

comptes rendus réguliers qui sont adressés au comité de pilotage

▪ Le sous-groupe se réunit de façon autonome, une fois par mois.

LES THÉMATIQUES DES SOUS-GROUPES 1/2

▪ SG 1 : établir une check-list des questions à se poser pour être en conformité, au

regard des systèmes existants et d’un nouveau projet, en identifiant le partage des

responsabilités entre fournisseurs et clients d’une part, et traitement des aspects

organisationnels d’autre part.

▪ SG2: proposer des exemples d’architectures « avant – après », mettant en évidence

les endroits où agir / impactés et listant les solutions possibles à mettre en place pour

être en conformité, mais aussi les limites des solutions proposées (pseudonimisation vs

anonymisation). A priori, le sous groupe de travail se basera sur les architectures

globales ou délocalisées.

▪ SG 3 : définir des clauses contractuelles types applicables dans les contrats

(référentiel unique pour les clients comme pour les fournisseurs), et traiter la question

des assurances et des labels / certifications, ainsi que celle des audits (accountability).

LES THÉMATIQUES DES SOUS-GROUPES 2/2

SG 1 • Check-list

SG 2 • Exemples d’architecture

SG 3 • BCR

GTObjectif : trois livrables ayant

une dimension juridique et

opérationnelle

CALENDRIER

▪ 17 janvier : réunion du COPIL avec les experts

▪ 30 janvier : 1ère réunion des sous groupes de travail

▪ 20 février : réunion du COPIL – audition d’industriel ou institutionnel à déterminer

17 janvier

30 janvier

20 février

MERCI DE VOTRE PARTICIPATION

Pour vous inscrire au sous-groupe de votre choix,

contacter : gtdpsi@gmail.com