ENJEUX, RISQUES ET MÉTHODE AUTOUR DE LA
CONFORMITÉ RGPD
ATELIER - 21/06/2018
ATELIER RGPD UNION TLF - TOUS DROITS RÉSERVÉS 2
A VOTRE SERVICE
Alain Comte Consultant en organisationTransport, Logistique, Supply Chain
Jérémy HardouinExpert WebConsultant multimédia
Philippe BargeExpert IT et numériqueChef d’entrepriseDPO certifié PECB
ATELIER RGPD UNION TLF - TOUS DROITS RÉSERVÉS 3
LE RGPD(*) VOUS CONCERNE
Vous êtes forcément concerné
Toutes les entreprises sont concernées par le nouveau RGPDPas vous ? Mais qui êtes-vous ?
Ce n’est pas mon problème (Jack REBELLE)
Tout est déjà OK et sous contrôle (Pierrette LEBLOND)
Je n’en dors plus la nuit (Jean STRESSE)
C’est quand la nouvelle date limite ? (Marie PROCRASTIN)
(*) Règlement Général sur la Protection des Données personnelles
Depuis le 25 mai 2018, une entreprise qui ne respecte pas le RGPD risque une amende égale au maximum à 4% de
son C.A ou 20 millions d’Euros.
ATELIER RGPD UNION TLF - TOUS DROITS RÉSERVÉS 4
RGPD : QUE FAUT-IL FAIRE ?
Dois-je désigner un DPO ?(Délégué à la Protection des Données)
C’est quoi les conflits d’intérêt ?
Je ne peux plus faire de mailing à mes clients ou à des prospects ?
C’est quoi le consentement ?
Si je ne suis pas prêt le 25 mai 2018, je risque une amende ?
C’était mieux avant ?
Je fais quoi avec mes sous-traitants transporteurs,j’en ai 675 ?...!
Je ne collecte pas de données sur mon site internet, je suis concerné quand même ?
C’est quoi une donnée personnelle ?
C’est quoi un registre des traitements de données personnelles ?
ATELIER RGPD UNION TLF - TOUS DROITS RÉSERVÉS 5
MAILING : QUEL COMPORTEMENT ?
Plus que quelques jours pour nous dire oui ! Votre consentement est nécessaire
En détail :
Conformément à la règlementation applicable, vous êtes libre de consentir ou
non à recevoir l'acualité (newsletters) et les offres promotionnelles et
commerciales de la part de MBS par email, SMS et/ou MMS.
Si vous souhaitez continuer à bénéficier d’informations régulières sur nos
programmes et notre actualité, nous vous invitons à cliquer sur le lien « Oui,
j’accepte de recevoir l'actualité (newsletters) de MBS par email » ci-dessous.
Si vous choisissez de ne pas le faire, vous cesserez de recevoir ces
informations par email, MMS ou SMS.
Vous êtes également libre de consentir ou non à recevoir des offres
promotionnelles et commerciales de MBS. Vous pouvez y consentir en
cliquant sur le lien « Oui, j’accepte de recevoir les offres promotionnelles et
commerciales de MBS par email ou SMS ».
Oui, j’accepte de recevoir l'actualité (newsletters) de MBS par
Oui, j’accepte de recevoir les offres promotionnelles et
commerciales de MBS par email ou SMS
Sachez que vous avez la possibilité de retirer votre consentement à tout
moment en demandant à ne plus recevoir notre actualité ou nos offres en
cliquant sur le lien de désabonnement prévu à cet effet dans chaque email, ou
en adressant un email à l’adresse suivante :
ou un courrier postal à l’adresse :
Montpellier Business School
Data Protection Officer
2 300 Avenue des Moulins
34185 MONTPELLIER CEDEX 4
Pour davantage d’informations sur la politique de gestion des données
personnelles de MBS, pour connaitre vos droits et comprendre comment les
exercer, nous vous invitons à consulter notre Charte Données Personnelles.
Ministère de l'Économie et des Finances
Ministère de l'Action et des Comptes publics
Madame, Monsieur, Vous recevez chaque semaine les lettres Bercy infos, Pour continuer à vous tenir au courant des nouvelles mesures, des aides publiques, de la fiscalité ou des dispositifs de développement de votre activité, vous devez impérativement confirmer votre abonnement. En effet, la loi évolue et de nouvelles règles s’appliquent concernant la protection et l’utilisation de vos données personnelles. Confirmez votre abonnement en un clic, c’est gratuit, et ça vous simplifie la vie !
OUI, je confirme mon abonnement
NON, je ne confirme pas mon
abonnement
Nous attachons une grande importance à la protection de vos données personnelles et nous nous engageons à respecter vos droits quant à leur utilisation. Nous ne conservons que les données strictement nécessaires, en l’occurrence votre adresse mail, pour vous envoyer les lettres Bercy infos. En aucun cas, vos données personnelles ne sont vendues ou cédées à des tiers, ou utilisées pour d’autres raisons.
Si vous acceptez notre nouvelle politique de confidentialité, vous n’avez rien à faire et vous continuerez à recevoir nos newsletters.
A cet égard, notre Politique de confidentialité des données personnelles vous permettra de comprendre quelles données à caractère personnel nous collectons et ce que nous en faisons, ainsi que les droits dont vous disposez et la manière dont vous pouvez les exercer. Nous vous invitons à consulter notre Politique de confidentialité des données personnelles
Please click here for our Privacy Policy. We use iContact for our secure distribution service. Please click here for the iContact updated Privacy Policy.
If you would like to continue receiving our newsletters, you do not need to do anything.
Si vous recevez actuellement nos communications marketing, y compris du contenu utile comme des idées de voyage, des recommandations personnalisées et des offres exclusives, vous continuerez de recevoir ces communications de notre part.
ATELIER RGPD UNION TLF - TOUS DROITS RÉSERVÉS 6
BASE JURIDIQUE D’UN TRAITEMENT DE DONNÉES PERSONNELLES
6 bases juridiques sont établies (Art. 6 du RGPD) :
Consentement,
Exécution d’un contrat,
Obligation légale,
Intérêt vital,
Intérêt public,
Intérêt légitime.
LICÉITÉ DU TRAITEMENT
ATELIER RGPD UNION TLF - TOUS DROITS RÉSERVÉS 7
RGPD : QUE FAUT-IL FAIRE ?
Dois-je désigner un DPO ?(Délégué à la Protection des Données)
C’est quoi les conflits d’intérêt ?
Je ne peux plus faire de mailing à mes clients ou à des prospects ?
C’est quoi le consentement ?
Je ne collecte pas de données sur mon site internet, je suis concerné quand même ?
C’est quoi une donnée personnelle ?
C’est quoi un registre des traitements de données personnelles ?
Je fais quoi avec mes sous-traitants transporteurs,j’en ai 675 ?...!
Si je ne suis pas prêt le 25 mai 2018, je risque une amende ?
C’était mieux avant ?
ATELIER RGPD UNION TLF - TOUS DROITS RÉSERVÉS 8
REGLES DE DESIGNATION D’UN DPO
DPO : Data Protection Officer – DPD : Délégué à la Protection des Données
Les cas obligatoires (Art. 37 du RGPD) :
Autorité publique,
Activités de base qui exigent un suivi régulier et systématique à grande échelle des
personnes,
Traitement de données sensibles.
CARACTÉRISTIQUES DU DPO
S’il est désigné, le DPO doit satisfaire 2 critères essentiels (Art. 37+38 du RGPD) :
Compétence étendue,
Absence de conflit d’intérêt.
DESIGNATION D’UN DPO
ATELIER RGPD UNION TLF - TOUS DROITS RÉSERVÉS 9
RGPD : QUE FAUT-IL FAIRE ?
Dois-je désigner un DPO ?(Délégué à la Protection des Données)
C’est quoi les conflits d’intérêt ?
Je ne peux plus faire de mailing à mes clients ou à des prospects ?
C’est quoi le consentement ?
Je ne collecte pas de données sur mon site internet, je suis concerné quand même ?
C’est quoi une donnée personnelle ?
C’est quoi un registre des traitements de données personnelles ?
Je fais quoi avec mes sous-traitants transporteurs,j’en ai 675 ?...!
Si je ne suis pas prêt le 25 mai 2018, je risque une amende ?
C’était mieux avant ?
ATELIER RGPD UNION TLF - TOUS DROITS RÉSERVÉS 10
DONNÉES COMMERCIALESPROSPECTION (nom, adresses mail, téléphone, cartes de visite, renseignements personnels, etc.)
CLIENTS (idem)
DONNÉES OPÉRATIONNELLESGEOLOCALISATION (y compris, parfois, sous-traitants)
ENLEVEMENT / LIVRAISON (y compris sous-traitants)
DONNÉES RHSALARIES (nom, adresse, infos personnelles, CV, photo, copie carte identité, sécurité sociale, etc.)
Dont certaines données jugées sensibles (Sécurité Sociale, N°3 Casier judiciaire, santé, enfants)
DONNÉES ITIdentifiant utilisateurs (codes, logins, mots de passe)
Identifiants techniques (adresse IP)
Données de navigation internet (cookies)
Données biométrique (contrôle d’accès digital)
Données de vidéosurveillance
DONNÉES PERSONNELLES
ATELIER RGPD UNION TLF - TOUS DROITS RÉSERVÉS 11
RGPD : QUE FAUT-IL FAIRE ?
Dois-je désigner un DPO ?(Délégué à la Protection des Données)
C’est quoi les conflits d’intérêt ?
Je ne peux plus faire de mailing à mes clients ou à des prospects ?
C’est quoi le consentement ?
Je ne collecte pas de données sur mon site internet, je suis concerné quand même ?
C’est quoi une donnée personnelle ?
C’est quoi un registre des traitements de données personnelles ?
Je fais quoi avec mes sous-traitants transporteurs,j’en ai 675 ?...!
Si je ne suis pas prêt le 25 mai 2018, je risque une amende ?
C’était mieux avant ?
ATELIER RGPD UNION TLF - TOUS DROITS RÉSERVÉS 12
LA CNIL AVANT LE RGPD
Obligations déclaratives,
Risques et contrôles relativement limités.
LA CNIL APRÈS LE RGPD
Responsabilité de l’entreprise et des sous-traitants,
Suppression des obligation déclarative (dans la majorité des cas),
Nouvelles exigences,
Nouveaux droits pour les individus,
Amendes CONSIDERABLEMENT renforcées,
Accès simplifié et encouragé aux recours contre les entreprises,
Renforcement du risque juridique.
DE LA CNIL AU RGPD
ATELIER RGPD UNION TLF - TOUS DROITS RÉSERVÉS 13
RGPD : QUE FAUT-IL FAIRE ?
Dois-je désigner un DPO ?(Délégué à la Protection des Données)
C’est quoi les conflits d’intérêt ?
Je ne peux plus faire de mailing à mes clients ou à des prospects ?
C’est quoi le consentement ?
Je ne collecte pas de données sur mon site internet, je suis concerné quand même ?
C’est quoi une donnée personnelle ?
C’est quoi un registre des traitements de données personnelles ?
Je fais quoi avec mes sous-traitants transporteurs,j’en ai 675 ?...!
Si je ne suis pas prêt le 25 mai 2018, je risque une amende ?
C’était mieux avant ?
ATELIER RGPD UNION TLF - TOUS DROITS RÉSERVÉS 14
DIAGNOSTIC ET PRÉPARATION
Recensement des données personnelles
Cartographie des traitements et des acteurs
Evaluation des risques
Politique et Management
MISE EN CONFORMITÉ
Planification du projet
Référentiel documentaire
Plans d’actions IT, RH, Commercial, Exploitation, Sous-traitance
Sensibilisation du personnel
PREUVE DE CONFORMITÉ
Audit interne, audit externe, certification
Revue de Direction RGPD
Communication
DE L’URGENCE D’UNE MÉTHODE
LE TRAVAIL INITIAL EST CONSÉQUENT ET NÉCESSITE DE L’ORGANISATION
POUR CAPITALISER ET DIMINUER LE TEMPS DE CONTRÔLE ET D’ÉVOLUTION
ATELIER RGPD UNION TLF - TOUS DROITS RÉSERVÉS 15
LES LIVRABLESLa méthodologie Objectif RGPD est une véritable méthode de conduite de projet, riche d’un ensemble dedocuments et outils de pilotage, inspirée par la conduite de grands projets informatiques, sous contrôled’un Plan Qualité.
MÉTHODOLOGIE OBJECTIF RGPD
Compte-rendu de diagnostic
BibliothèqueObjectif RGPD
Plan d’Actions
RGPD
Planning, Tableau
d’avancement
Référentiel RGPD
(Assistance)
Rapport d’audit RGPD,CR Revue de
Direction RGPD
Rapport de suivi RGPD,CR Revue de
Direction RGPD
Boîte à outils Accompagnement Contrôle
Boîteà
outils(Bibliothèque)
Boîteà
outils(Bibliothèque)
DiagnosticSuivi
(RGPD For Ever)
Preuvede
conformité
Mise en conformité
(Accompagnementou Assistance)
Il est urgent d’être raisonnable
www.kilean.fr31 rue de cuire - 69004 [email protected]@kilean+ 33 (0)9 50 95 95 37
ATELIER RGPD UNION TLF - TOUS DROITS RÉSERVÉS 17
RGPD : QUE FAUT-IL FAIRE ?
Dois-je désigner un DPO ?(Délégué à la Protection des Données)
C’est quoi les conflits d’intérêt ?
Je ne peux plus faire de mailing à mes clients ou à des prospects ?
C’est quoi le consentement ?
Je ne collecte pas de données sur mon site internet, je suis concerné quand même ?
C’est quoi une donnée personnelle ?
C’est quoi un registre des traitements de données personnelles ?
Je fais quoi avec mes sous-traitants transporteurs,j’en ai 675 ?...!
Si je ne suis pas prêt le 25 mai 2018, je risque une amende ?
C’était mieux avant ?
ATELIER RGPD UNION TLF - TOUS DROITS RÉSERVÉS 18
CAS DE TRAITEMENT DE COLLECTE DE DCP
Principales informations à communiquer (Art. 13 du RGPD) :
Identité et coordonnées de l’entreprise,
Coordonnées éventuelles du DPO et/ou du responsable,
Finalités du traitement,
Base juridique,
Destinataires des DCP,
Transfert de DCP vers des pays tiers,
Durée de conservation,
Droit de rectification, effacement, réclamation, retrait.
Coordonnées de la CNIL
COLLECTE DCP : PRINCIPALES OBLIGATIONS
ATELIER RGPD UNION TLF - TOUS DROITS RÉSERVÉS 19
EXEMPLE DE REGISTRE DE TRAITEMENTS DE DCP
Il est urgent d’être raisonnable
www.kilean.fr31 rue de cuire - 69004 [email protected]@kilean+ 33 (0)9 50 95 95 37