Upload
vuongdat
View
218
Download
4
Embed Size (px)
Citation preview
D é v e l o p p e r l a c a p a c i t é d e s g r a n d e s e n t r e p r i s e s à i n t é g r e r e t m a î t r i s e r l e n u m é r i q u e
© C
op
yri
gh
t C
IGR
EF
20
16
–To
us
dro
its r
éser
vés
© C
op
yri
gh
t C
IGR
EF
20
11
–To
us
dro
its r
éser
vés
Données Personnelles & Architecture des SI
Groupe de travail AFAI, CIGREF & TECH IN France
Réunion plénière du 14 décembre 2016
1
D é v e l o p p e r l a c a p a c i t é d e s g r a n d e s e n t r e p r i s e s à i n t é g r e r e t m a î t r i s e r l e n u m é r i q u e
© C
op
yri
gh
t C
IGR
EF
20
16
–To
us
dro
its r
éser
vés
© C
op
yri
gh
t C
IGR
EF
20
11
–To
us
dro
its r
éser
vés
Régis DelayatVP CIGREF, Administrateur AFAI, DSI SCOR
2
D é v e l o p p e r l a c a p a c i t é d e s g r a n d e s e n t r e p r i s e s à i n t é g r e r e t m a î t r i s e r l e n u m é r i q u e
© C
op
yri
gh
t C
IGR
EF
20
16
–To
us
dro
its r
éser
vés Plus de 80 pays imposent des contraintes sur les données personnelles
Fort (incl. GDPR)
Modéré
3
Limité
Est personnelle toute donnée
permettant l’identification d’un individu
Identification (nom, prénom, genre, âge, adresse…)
Vie personnelle (habitudes de vie, préférences
religieuses, politiques, sexuelles…)
Vie professionnelle (CV, formation, profession,
contrat de travail…)
Comportement (messagerie, réseaux sociaux,
recherches web, consommation en ligne...)
Localisation (déplacements, gps, gsm…)
Données économiques et financières (revenus,
situation financière et fiscale…)
Données sensibles (santé, médicales, infractions,
condamnations…)
D é v e l o p p e r l a c a p a c i t é d e s g r a n d e s e n t r e p r i s e s à i n t é g r e r e t m a î t r i s e r l e n u m é r i q u e
© C
op
yri
gh
t C
IGR
EF
20
16
–To
us
dro
its r
éser
vés Impact sur les systèmes d’information
Services contenant des données personnelles et
nécessitant une analyse approfondie pour assurer le niveau de protection requis (à compléter)
SI Cœur de MétierModèle interne
Finance
Analytics
Trésorerie
Voyages / Frais
Juridique
PlanningAchats Budget & Coûts
CRM
GED
Intranet Messagerie Bureautique
SIRH
Services à valeur-ajoutée
Front-office
Back-office
Site web Réseau Social d’Entreprise
Contrôle interne
Audit
Big Data
4
D é v e l o p p e r l a c a p a c i t é d e s g r a n d e s e n t r e p r i s e s à i n t é g r e r e t m a î t r i s e r l e n u m é r i q u e
© C
op
yri
gh
t C
IGR
EF
20
16
–To
us
dro
its r
éser
vés Mesures potentielles de protection des données à mettre en place
5
Cloud
Cloud
Cloud
Exemples d’actions
à entreprendre :
• Choix d’architectures des SI
système globalisé vs.
multi-instancié / délocalisé
• Contrôles des accès
administrateurs des fournisseurs
• BCR, DTA : accès transfrontières
au sein de l’entreprise
• Contrôles des accès logiques
• Sécurisation des données
anonymisation, pseudonymisation,
encryptage, etc…
• Sécurité du SI (SOC…)
• Localisation des sauvegardes
/ archivages
• Purge
Cloud
D é v e l o p p e r l a c a p a c i t é d e s g r a n d e s e n t r e p r i s e s à i n t é g r e r e t m a î t r i s e r l e n u m é r i q u e
© C
op
yri
gh
t C
IGR
EF
20
16
–To
us
dro
its r
éser
vés CIGREF : l’entreprise 2020 à l’ère du numérique
Réinventer les
modèles d’affaires…ou disparaître !
Multiplier les
partenariats:seul on ne peut
plus rien !Repenser
l’organisation pour mieux
innover
Valoriser
les données et créer la confiance
Maîtriser les
nouveaux risques numériques
Promouvoir un
nouveau cadre réglementaire et normatif adapté
Développer
la culture numérique des femmes et des
hommes
Renforcer
le e-leadership des Dirigeants
Attirer et fidéliser
les meilleurs talents
“Valoriser les données et créer la confiance” a été
identifié comme l’un des 9 enjeux majeurs pour les
grandes entreprises à horizon 2020, à travers les
défis suivants :
- Exploiter le capital « données »
- Garantir la qualité des données
- Promouvoir l’éthique dans l’usage des données
- Protéger les données
- Mettre en place un management global de la
donnée
6
D é v e l o p p e r l a c a p a c i t é d e s g r a n d e s e n t r e p r i s e s à i n t é g r e r e t m a î t r i s e r l e n u m é r i q u e
© C
op
yri
gh
t C
IGR
EF
20
16
–To
us
dro
its r
éser
vés
Groupe de Travail AFAI, CIGREF, TECH IN France : Evaluer l’impact des réglementations sur les données personnelles sur l’architecture des SI
7
• Cartographier les obligations réglementaires sur les données personnelles
• Inventorier les données personnelles embarquées dans les différents services
• Identifier les écarts entre les usages en vigueur et les règles de conformité
• Emettre des recommandations concrètes, applicables opérationnellement par les fournisseurs de services logiciels (on-premise ou SaaS), et/ou par les entreprises utilisatrices (en fonction des choix d’architectures)
D é v e l o p p e r l a c a p a c i t é d e s g r a n d e s e n t r e p r i s e s à i n t é g r e r e t m a î t r i s e r l e n u m é r i q u e
© C
op
yri
gh
t C
IGR
EF
20
16
–To
us
dro
its r
éser
vés
© C
op
yri
gh
t C
IGR
EF
20
11
–To
us
dro
its r
éser
vés Agenda
9h IntroductionRégis Delayat, Vice-président CIGREF, Administrateur AFAI, DSI SCOR
9h15 Les points clés du GDPRMe Mariez, De Gaulle, Fleurance et Associés
9h35 Bref panorama des autres environnements réglementaires mondiauxFabrice Naftalski, EY
9h55 Le point de vue du régulateurEdouard Geffray, CNIL
10h25 Pause
10h45 Table-ronde : préparation des entreprises Fabrice Naftalski, EYFenitra Ravelomanantsoa, AXAJawaherAllala, Systnaps
11h30 Feuille de route AFAI-CIGREF-TECH IN FranceStanislas de Rémur, Vice-président TECH IN et Président d’Oodrive
12h Conclusion
8
D é v e l o p p e r l a c a p a c i t é d e s g r a n d e s e n t r e p r i s e s à i n t é g r e r e t m a î t r i s e r l e n u m é r i q u e
© C
op
yri
gh
t C
IGR
EF
20
16
–To
us
dro
its r
éser
vés
© C
op
yri
gh
t C
IGR
EF
20
11
–To
us
dro
its r
éser
vés
Me MariezAvocat, Cabinet De Gaulle, Fleurance et Associés
9
Panorama du règlement général sur la protection
des données - RGPD
Jean-Sébastien Mariez, avocat, [email protected]
14 novembre 2016
▪ Directive (UE) 2016/1148 du Parlement européen et du Conseil du6 juillet 2016 concernant des mesures destinées à assurer unniveau élevé commun de sécurité des réseaux et des systèmesd'information dans l'Union.
▪ “Privacy Shield” (suite à annulation du Safe Harbour par la CJUE –Arrêt Shrems, C-362/14, 6 oct. 2015)
▪ Règlement (UE) 2016/679 du Parlement européen et du Conseil du27 avril 2016 relatif à la protection des personnes physiques àl'égard du traitement des données à caractère personnel et à lalibre circulation de ces données, et abrogeant la directive 95/46/CE(règlement général sur la protection des données) ( 1 ) (règlementgénéral sur la protection des données - RGPD)
• nouveau socle d’obligations directement applicables dans tous les Étatsmembres d’ici mai 2018 ;
• modifie la directive 1995/46/CE du 24 octobre 1995 qui était jusqu’alors letexte de référence.
11
2. Environnement règlementaire renouvelé
12
I. Renforcement des droits du citoyen européen
II. Une responsabilité accrue pour le Responsable de traitement et le
Sous-traitant
III. Outils pour assurer le respect des principes et obligations
01/02/2017
PLAN
1301/02/2017
I. Renforcement des droits du citoyen européen – 1
Citoyen
Recueil du
consentement
Voies de recours
et
d’indemnisation
Transparence
de
l’information
Droit à …Accès
Rectification
Suppressionl’Oubli
à la
limitation du traitement
Portabilité
Opposition
au filtrage
14
Focus - Encadrement stricte du profilage - Article 22
01/02/2017
Renforcement des droits du citoyen européen – 2
• « droit de ne pas faire l’objet d’une décision fondée exclusivement sur un
traitement automatisé » si la décision produit des effets juridique concernant
la personne concernée ou l’affecte de manière significative
• induit la mise en place de mesures appropriées afin d’obtenir une
intervention humaine
• question du consentement explicite aux activités « Big Data »
1501/02/2017
II. Une responsabilité accrue pour le Responsable
de traitement et le Sous-traitant – 1
Accoun
tability
Privacy by
Design / by
Default
Responsabilité Sanction
Sécurité
Pseudonymisation
Chiffrement
Confidentialité
Intégrité
▪ Focus – Obligation du Sous-traitant - Article 28
• Déterminer les rôles et responsabilités de chacun au vu des obligation issues du RGDP – par exemple :
mise en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau desécurité adapté au risque.
• Insérer les mentions contractuelles requises :
• Le sous-traitant agit uniquement instruction documentée du responsable du traitement ;
• Engagement de confidentialité des personnes autorisées à traiter les données ;
• Mise en œuvres des mesures visant à garantir un niveau de sécurité adapté au risque ;
• Autorisation ou information préalable au recrutement d’un sous-traitant et obligation de répercuter les
obligations du contrat conclu avec le responsable de traitement ;
• Obligation d’assistance du responsable de traitement dans la gestion des droits prévus au Chap. III du
RGDP (information, rectification, effacement, portabilité, opposition, profilage, etc…) ;
• Obligation d’assistance du responsable de traitement pour respecter les obligations liées à la sécurité des données, la notification des violations de données et les études d’impact ;
• Suppression et destruction des données sous réserve des obligations légales de conservation ;
• Obligation de documentation et de mise à disposition des « informations nécessaires pour apporter la
preuve du respect des obligations prévues au présent article et pour permettre la réalisation d’audit » ;
• Notification des violations de données au responsable de traitement.
• Encourager l’application par le sous-traitant d’un code de conduite ou d’un mécanisme de
certification.
16
Une responsabilité renforcée pour le Responsable
de traitement et le Sous-traitant – 2
17
Focus – Obligation de notification des failles de sécurité
01/02/2017
Une responsabilité accrue pour le Responsable de
traitement et le Sous-traitant – 3
▪ «violation de données à caractère personnel» : « une violation de la sécurité entraînant, de manière accidentelleou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personneltransmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données;»
▪ Art. 33 du Règlement – notification à l’autorité de contrôle compétente
Qui a la charge de l’obligation : le responsable de traitement MAIS le sous-traitant doit l’informer sans délai de toute violation ;
Dans quel délai : en principe sans délai et au plus tard 72h après avoir eu connaissance de la faille ;
Contenu de la notification : cf. Art. 33.3.
Exception : « sauf s’il est improbable qu’il en résulte un risque pour les droits et libertés des personnes concernées »
▪ + Art. 34 du Règlement – notification aux personnes concernées
Réservée au cas où « il est probable que la violation des données à caractère personnel résulte en un risque d’atteinte aux droits et libertés des personnes concernées »
Contenu de la notification : : cf. Art. 34.2.
Exceptions cf. Art. 34.3.
▪ NB : le Règlement encourage l’autorégulation via la rédaction de codes de conduites qui pourraient préciser lesconditions de notification des violations de données personnelles (cf. Art.40)
1801/02/2017
Focus – Obligation de notification des failles de sécurité « bis »
Une responsabilité renforcée pour le Responsable
de traitement et le Sous-traitant – 4
▪ "incident" : “any event having an actual adverse effect on the security of networks and information systems”
▪ Art. 4 de la Directive NIS - acteurs du marché soumis à l’obligation :
« opérateurs de services essentiels », et
« fournisseur de services numériques » :
• services de Cloud computing,
• moteurs de recherche ; et
• plateforme de e-commerce
dès lors que les services sont prestés « normalement contre rémunération, à distance, par voie électronique et à lademande individuelle d'un destinataire de services » (cf. Art. 1.b. Directive 2015/1535)
Dérogation : pas applicable aux entreprises de moins de 50 salariés et/ou dont le CA annuel ne dépasse pas 10 millions d’euros – cf. art. 16 (11)
▪ Art. 16 de la Directive NIS - obligations à la charge des fournisseur de services numériques
notification à l’autorité compétente ou au CSIRT réservé aux cas où le fournisseur a accès aux informations permettant de déterminer si l’incident à un « impact significatif » cf. Art. 16 (4) ;
notification du public dans les cas où il serait dans l’intérêt général de divulguer l’incident.
▪ NB : la Directive prévoit (i) l’adoption par la Commission d’actes délégués et (ii) encourage lesautorités nationales à adopter des lignes directrices et/ou des instructions visant à préciser lescirconstances dans lesquelles la notification est requise.
Gouvernance de la
conformité
Etudes d’impact
Tenue d’un registre
Nomination d’un DPO
Codes de conduite
Certification
Procédures documentation
et de conservation
Dispositifs techniques
1901/02/2017
III. Outils pour garantir le respect des principes et obligations
Jean-Sébastien Mariez [email protected] / 06 42 07 19 56
De Gaulle Fleurance & Associés9 rue Boissy d’Anglas – 75008 Paris – France – Tél.: +33 (0)1 56 64 00 00 – Fax.: +33 (0)1 56 64 00 01
222 avenue Louise – 1050 Bruxelles – Belgique – Tél.: +32 (0)2 644 01 64 – Fax.: +32 (0)2 644 31 16
www.degaullefleurance.com
Merci de votre attention.
D é v e l o p p e r l a c a p a c i t é d e s g r a n d e s e n t r e p r i s e s à i n t é g r e r e t m a î t r i s e r l e n u m é r i q u e
© C
op
yri
gh
t C
IGR
EF
20
16
–To
us
dro
its r
éser
vés
© C
op
yri
gh
t C
IGR
EF
20
11
–To
us
dro
its r
éser
vés
Fabrice NaftalskiEY
21
A Global perspective: Overview of non-EU data protection law frameworks
By Fabrice Naftalski
Partner, Attorney at Law
Page 24
International framework
OECD
1980
Council of
Europe1981
European Union1995
APEC
2005UN Guidelines
(1990)
Organization for Economic Cooperation and Development (OECD) Guidelines on the Protection of Privacy and Trans-border Flows of Personal Data (1980, updated in 2013)
Council of Europe Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data (1981)
Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data (1995)
Asia-Pacific Economic Cooperation Privacy Framework (2005)
Guidelines for the Regulation of Computerized Personal Data Files, as adopted by General Assembly resolution 45/95 (1990)
Data protection Regulation will replace the current Data Protection Directive 95/46/EC as from May 2018.
GDPR
Page 25
National Privacy and Data Protection Law in the World
► Common elements of privacy principles and laws
► Rights of the individual (notice, choice
and consent, access)
► Controls of the information (information
security, quality)
► Information lifecycle (collection, use and
retention, disclosure)
► Management (management and
administration, monitoring and
enforcement, penalties and sanctions)
► Differences in areas such as:
► Degree of rights of the individual
► Powers of the regulators
► Administrative processes
► Comprehensive data privacy legislation
► Eg.: Hong Kong, New Zealand, Japan,
Australia, South Korea, Argentina
► Sectorial data privacy legislation
► Brazil (general principles in the Federal
Constitution, civil code, Brazilian Internet
Act etc.)
► US Federal laws with privacy provisions
(eg.: Heath Insurance Portability and
Accountability Act, Financial Services
Modernization Act (aka Gramm-Leach-
Bliley), Computer Fraud and Abuse Act,
Driver's Privacy Protection Act, Electronic
Communications Privacy Act, Electronic,,
etc.)
Q&
AFabrice NaftalskiPartner, Attorney at LawGlobal Head Data Protection Law Practice / CIPP/E & CIPM & EuroPrise legal Expert
Telephone +33 (0)1 55 61 10 05Mobil +33 6 07 70 87 [email protected]
D é v e l o p p e r l a c a p a c i t é d e s g r a n d e s e n t r e p r i s e s à i n t é g r e r e t m a î t r i s e r l e n u m é r i q u e
© C
op
yri
gh
t C
IGR
EF
20
16
–To
us
dro
its r
éser
vés
© C
op
yri
gh
t C
IGR
EF
20
11
–To
us
dro
its r
éser
vés
Edouard GeffraySecrétaire général, CNIL
28
D é v e l o p p e r l a c a p a c i t é d e s g r a n d e s e n t r e p r i s e s à i n t é g r e r e t m a î t r i s e r l e n u m é r i q u e
© C
op
yri
gh
t C
IGR
EF
20
16
–To
us
dro
its r
éser
vés
© C
op
yri
gh
t C
IGR
EF
20
11
–To
us
dro
its r
éser
vés
Pause
29
D é v e l o p p e r l a c a p a c i t é d e s g r a n d e s e n t r e p r i s e s à i n t é g r e r e t m a î t r i s e r l e n u m é r i q u e
© C
op
yri
gh
t C
IGR
EF
20
16
–To
us
dro
its r
éser
vés
© C
op
yri
gh
t C
IGR
EF
20
11
–To
us
dro
its r
éser
vés
Table-rondePréparation des entreprises pour concilier
efficacité opérationnelle et conformité
30
Animée par Loïc Rivière, Délégué général de TECH IN France, avec:
Fabrice Naftalski, EY
Fenitra Ravelomanantsoa, AXA
Jawaher Allala, Systnaps
DONNÉES PERSONNELLES ET ARCHITECTURE DES
SYSTÈMES D’INFORMATION
PERSPECTIVE UTILISATEUR : BCR
14 décembre 2016
CIGREF – Perspectiv e Utilisateur : BCR| Public | Décembre 2016
AGENDA
- Quelques chiffres sur AXA
- La décision d’adopter des BCR
- Eléments clés du projet de mise en place
de BCR
- Retours d’expérience
3
6
8
10
32 |
CIGREF – Perspectiv e Utilisateur : BCR| Public | Décembre 2016
Un leader mondial de l'assurance et de la gestion d'actifs
34 |
5,6Mds€
résultat opérationnel
68,5Mds€
capitaux propres
1 363Mds€
actifs sous gestion
Présence d’AXA dans le monde
présents dans 64 pays
166 000 collaborateurs
et distributeurs
pour accompagner
103 millions de clients
99Mds€
chiffre d’affaires
(chiffres 2015)
CIGREF – Perspectiv e Utilisateur : BCR| Public | Décembre 2016
La décision d’adopter des BCR
Faciliter le déploiement des projets de convergence impliquant des flux
internationaux de données en dehors de l’Union Européenne.
Préparer le changement de règlementation avec l’arrivée du GDPR.
Mettre en place une harmonisation sur la manière de traiter les données
personnelles au sein du Groupe.
36 |
CIGREF – Perspectiv e Utilisateur : BCR| Public | Décembre 2016
Etapes clés du projet BCR
38 |
Interactions avec les interlocuteurs externes Forte collaboration avec la CNIL
- Présentation de la démarche et de l’approche
- Présentation d’une première version des BCRs
- Echanges sur les BCRs avant la validation finale
Contact avec d’autres sociétés ayant adopté des BCRs
Chantiers menés par les équipes internes travaux de rédaction effectués par les Data Protection Officers du Groupe
création de sous-groupe de travail par grande thématique sur la base des critères définis par le G29
réunions hebdomadaires pour partager sur les points importants (périmètres, principe de responsabilité, etc…)
revue de la version finale par un cabinet d’avocats
Mise à jour des procédures internes pour respecter les exigences des BCR: adoption de politiques pour répondre aux exigences des BCRs (politique de
conservation des données, politique de gestion des plaintes, etc…)
Organisation de sessions de formation et d’actions de sensibilisation à la protection des données personnelles
mise en place d’un contrôle de la conformité aux standards relatifs aux données personnelles, incluant les BCR, au niveau du Groupe
CIGREF – Perspectiv e Utilisateur : BCR| Public | Décembre 2016
Retours d’expérience
40 |
Gain de temps dans le déploiement des projets de convergences:
Mise en place par la CNIL d’une autorisation unique pour les groupes ayant
adopté des BCRs
Plus de demande d’autorisation par transfert de données
L’utilisation des BCR ne dispense pas de formalités:
tenue d’un registre BCR regroupant les informations sur les transferts de
données
mise en place de contrats sur la protection des données décrivant le projet et
le traitement de données
L’adoption des BCR constitue une excellente préparation en vue de
l’entrée en vigueur du GDPR :
Les BCRs ont permis de mettre en place les mesures techniques et
organisationnelles dédiées à la protection des données personnelles
Les travaux effectués dans le cadre du projet BCR facilite les travaux de
mise en conformité au GDPR
D é v e l o p p e r l a c a p a c i t é d e s g r a n d e s e n t r e p r i s e s à i n t é g r e r e t m a î t r i s e r l e n u m é r i q u e
© C
op
yri
gh
t C
IGR
EF
20
16
–To
us
dro
its r
éser
vés
© C
op
yri
gh
t C
IGR
EF
20
11
–To
us
dro
its r
éser
vés
Table-rondePréparation des entreprises pour concilier
efficacité opérationnelle et conformité
41
Animée par Loïc Rivière, Délégué général de TECH IN France, avec:
Fabrice Naftalski, EY
Fenitra Ravelomanantsoa, AXA
Jawaher Allala, Systnaps
D é v e l o p p e r l a c a p a c i t é d e s g r a n d e s e n t r e p r i s e s à i n t é g r e r e t m a î t r i s e r l e n u m é r i q u e
© C
op
yri
gh
t C
IGR
EF
20
16
–To
us
dro
its r
éser
vés
© C
op
yri
gh
t C
IGR
EF
20
11
–To
us
dro
its r
éser
vés
Discussion
42
D é v e l o p p e r l a c a p a c i t é d e s g r a n d e s e n t r e p r i s e s à i n t é g r e r e t m a î t r i s e r l e n u m é r i q u e
© C
op
yri
gh
t C
IGR
EF
20
16
–To
us
dro
its r
éser
vés
© C
op
yri
gh
t C
IGR
EF
20
11
–To
us
dro
its r
éser
vés
Stanislas de RémurVP TECH IN France et Président d’Oodrive
43
SOMMAIRE
1) Structure et feuille de route du groupe de travail
2) Fonctionnement du groupe de travail
3) Fonctionnement d’un sous groupe de travaiL
4) Les thématiques des sous-groupes
5) Calendrier
STRUCTURE ET FEUILLE DE ROUTE DU GROUPE DE TRAVAIL
Stanislas de Remur
Vice-Président de TECH IN France et Président d’Oodrive
FONCTIONNEMENT DU GROUPE DE TRAVAIL
▪ Un comité de pilotage tripartite assure le pilotage global de l’initiative, veille à
l’avancée des travaux et organise les différentes réunions ou manifestations =>
réunion tous les deux mois
▪ Trois sous-groupes de travail qui mobilisent les adhérents et dont l’objectif est
la production d’un livrable => réunion mensuelle
▪ Une plénière, organisée tous les trois mois ouvertes à tous les membres des trois
associations et aux intervenants extérieurs, contribuant à l’animation des débats
et présentant l’avancée des travaux
▪ Des auditions conduites auprès d’acteurs institutionnels ou d’entreprises non-
membres par le comité de pilotage ou les sous-groupes de travail
FONCTIONNEMENT D’UN SOUS GROUPE DE TRAVAIL
▪ Chaque sous-groupe est co-piloté par un représentant d’une organisation et
un expert (avocat, consultant…). Il permet d’organiser la réflexion de manière
cohérente. Tous les adhérents volontaires peuvent participer aux sous-groupes
▪ Ponctuellement, le sous groupe conduit des auditions auprès d’acteurs
institutionnels ou d’entreprises
▪ L’organisation qui copréside assume la co-rédaction des travaux et les
comptes rendus réguliers qui sont adressés au comité de pilotage
▪ Le sous-groupe se réunit de façon autonome, une fois par mois.
LES THÉMATIQUES DES SOUS-GROUPES 1/2
▪ SG 1 : établir une check-list des questions à se poser pour être en conformité, au
regard des systèmes existants et d’un nouveau projet, en identifiant le partage des
responsabilités entre fournisseurs et clients d’une part, et traitement des aspects
organisationnels d’autre part.
▪ SG2: proposer des exemples d’architectures « avant – après », mettant en évidence
les endroits où agir / impactés et listant les solutions possibles à mettre en place pour
être en conformité, mais aussi les limites des solutions proposées (pseudonimisation vs
anonymisation). A priori, le sous groupe de travail se basera sur les architectures
globales ou délocalisées.
▪ SG 3 : définir des clauses contractuelles types applicables dans les contrats
(référentiel unique pour les clients comme pour les fournisseurs), et traiter la question
des assurances et des labels / certifications, ainsi que celle des audits (accountability).
LES THÉMATIQUES DES SOUS-GROUPES 2/2
SG 1 • Check-list
SG 2 • Exemples d’architecture
SG 3 • BCR
GTObjectif : trois livrables ayant
une dimension juridique et
opérationnelle
CALENDRIER
▪ 17 janvier : réunion du COPIL avec les experts
▪ 30 janvier : 1ère réunion des sous groupes de travail
▪ 20 février : réunion du COPIL – audition d’industriel ou institutionnel à déterminer
17 janvier
30 janvier
20 février
MERCI DE VOTRE PARTICIPATION
Pour vous inscrire au sous-groupe de votre choix,
contacter : [email protected]