law.md 6.26 KB
Newer Older
mazenovi's avatar
mazenovi committed
1
2
3
4
## RGPD

Règlement général sur la protection des données [UE]

mazenovi's avatar
mazenovi committed
5
6
7
* [Comprendre le règlement européen](https://www.cnil.fr/fr/comprendre-le-reglement-europeen)
* [Règlement européen sur la protection des données : ce qui change pour les professionnels](https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels)
* [**07 octobre 2015** - Invalidation du « safe harbor » par la CJUE : une décision clé pour la protection des données](https://www.cnil.fr/fr/invalidation-du-safe-harbor-par-la-cour-de-justice-de-lunion-europeenne-une-decision-cle-pour-la-0)
mazenovi's avatar
mazenovi committed
8
* En France la CNIL devient autorité de contrôle
mazenovi's avatar
mazenovi committed
9
10
11

## Périmètre

mazenovi's avatar
mazenovi committed
12
13
14
15
16
17
18
19
20
21
22
* Prise de position
* Réglement européen
  * envigueur le 25 mai 2018
  * Dans tous les états membres de l'UE
* <strike>Déclaration</strike>
  * responsabilité
    * démonstration permanente du maintien de la conformité


## Périmètre

mazenovi's avatar
mazenovi committed
23
* Tout service ou sous traitant (y compris hors UE) traitant des données de résidents de l'UE
mazenovi's avatar
mazenovi committed
24
25
26
27
28
  * Entreprises
  * Associations
  * Organismes publics
  * Sous traitants

mazenovi's avatar
mazenovi committed
29
30
31
32
33
34
35
36
37
38
39
40

## Objectifs

* Renforcer la transparence
  * Quelles données sont collectées?
  * Dans quels buts?
  * Pour combien de temps?


## Objectifs

* Faciliter l'exercice des droits
mazenovi's avatar
mazenovi committed
41
  * droit à la rectification
mazenovi's avatar
mazenovi committed
42
  * droit à la portabilité
mazenovi's avatar
mazenovi committed
43
44
    * récupération
    * communication à un autre traitement
mazenovi's avatar
mazenovi committed
45
46
47
48


## Objectifs

mazenovi's avatar
mazenovi committed
49
50
51
52
53
54
* Faciliter l'exercice des droits
  * droit à l'oubli
    * suppression de données personnelles
      * dès qu'elles ne sont plus nécessaires au traitement
      * dès que le consentement de l'utilisateur a été retiré
      * dès que la personne s'y oppose
mazenovi's avatar
mazenovi committed
55
56
57
58


## Objectifs

mazenovi's avatar
mazenovi committed
59
60
61
62
63
64
65
* Crédibiliser la régulation
  * Réclamation auprès de l'autorité de contrôle
  * Droit de recours contre le responsable du traitement ou un sous traitant
  * Actions collectives ou personnelles
  * Sanctions
    * 4% du chiffre d'affaire annuel mondial
    * 20 000 000 €
mazenovi's avatar
mazenovi committed
66
67


mazenovi's avatar
mazenovi committed
68
## Objectifs
mazenovi's avatar
mazenovi committed
69

mazenovi's avatar
mazenovi committed
70
71
* Responsabiliser les acteurs traitant des données
  * Obligation d'information en cas de violation de données à caractère personnel
mazenovi's avatar
mazenovi committed
72
    * autorité de contrôle
mazenovi's avatar
mazenovi committed
73
    * La personne concernée
mazenovi's avatar
mazenovi committed
74
75
76
77
78
79
80
81
82
83
84
85
86


## Principes

* Accountability
  * tous responsables
  * tous auditables
  * <strike>Déclaration CNIL</strike>
* Privacy By Design
  * Portection des données pris en compte du début
* Security By Default
  * Mesures de sécurité nécessaires
  * Détection de compromission
mazenovi's avatar
mazenovi committed
87
88
89
90


## Principes

mazenovi's avatar
mazenovi committed
91
92
93
* DPO (Data Protection Officer)
  * conformité RGPD
  * Point de contact avec les autorités
mazenovi's avatar
mazenovi committed
94
95
* Analyse d'impact (PIA)
  * [un logiciel pour réaliser son analyse d’impact sur la protection des données (PIA)](https://www.cnil.fr/fr/rgpd-un-logiciel-pour-realiser-son-analyse-dimpact-sur-la-protection-des-donnees-pia)
mazenovi's avatar
mazenovi committed
96
97
98
99
100
101
102
103
104
105
106
107
108
109


## [RPGD : en 6 étapes (CNIL)](https://www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes)

1. Désigner un pilote
2. Cartographier
3. Prioriser
4. Gérer les risques
5. Organiser
6. Documenter


## 1.Désigner un pilote

mazenovi's avatar
mazenovi committed
110
### Délégué à la protection des données (DPO / DPD)
mazenovi's avatar
mazenovi committed
111

mazenovi's avatar
mazenovi committed
112
113
114
* Information
* Conseil
* Contrôle en interne la conformité au RGPD.
mazenovi's avatar
mazenovi committed
115
116
117
118
119
120


## 2.Cartographier

* Catégoriser les données traitées
* Recenser précisement les traitements de données personnelles
mazenovi's avatar
mazenovi committed
121
  * Documenter chaque traitement de données personnelles
mazenovi's avatar
mazenovi committed
122
123
124
125
126
127
128
* Lister les objectifs
* Identifier les acteurs
* Identifier les flux des données


## 3.Prioriser

mazenovi's avatar
mazenovi committed
129
130
131
132
133
134
135
136
137
* Ne collecter et traiter que les données nécessaires
* Vérifier
  * l'obtention du consentement de la personne
  * les contrats
  * les sous traitants
  * les obligations légales
* Réviser ses mentions d’information
  * Transparence
  * Transitivité
mazenovi's avatar
mazenovi committed
138
139


mazenovi's avatar
mazenovi committed
140
## 3.Prioriser
mazenovi's avatar
mazenovi committed
141

mazenovi's avatar
mazenovi committed
142
143
144
145
146
147
* Prévoir les modalités d’exercice des droits des personnes
  * consultation
  * rectification
  * portabilité
  * retrait du consentement
  * opposition
mazenovi's avatar
mazenovi committed
148

mazenovi's avatar
mazenovi committed
149
* Vérifier les mesures de sécurité mises en place
mazenovi's avatar
mazenovi committed
150
151


mazenovi's avatar
mazenovi committed
152
## Données sensibles
mazenovi's avatar
mazenovi committed
153

mazenovi's avatar
mazenovi committed
154
155
156
157
158
159
160
161
* origines raciales ou ethniques
* opinions politiques, philosophiques ou religieuses
* appartenance syndicale
* santé
* orientation sexuelle
* génétiques ou biométriques
* infraction ou de condamnation pénale
* sur les mineurs
mazenovi's avatar
mazenovi committed
162

mazenovi's avatar
mazenovi committed
163
Soumises à autorisation de la CNIL
mazenovi's avatar
mazenovi committed
164

mazenovi's avatar
mazenovi committed
165
166
167
168
169

## 3.Transfert des données hors UE

* Vérifier que le pays vers lequel vous transférez les données est reconnu comme adéquat par la Commission européenne
  * Dans le cas contraire, encadrez vos transferts
mazenovi's avatar
mazenovi committed
170
171
172
173
174


## 4.Gérer les risques

* Privacy Impact Assessment (PIA)
mazenovi's avatar
mazenovi committed
175
176
177
  * Analyse de risques sur les données personnelles
    * détermine les mesures techniques et organisationnelles de protection

mazenovi's avatar
mazenovi committed
178

mazenovi's avatar
mazenovi committed
179
## 4.Gérer les risques
mazenovi's avatar
mazenovi committed
180

mazenovi's avatar
mazenovi committed
181
182
183
184
1. description du traitement étudié et de ses finalités
2. évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités
3. évaluation des risques pour les droits et libertés des personnes
4. mesures envisagées pour faire face aux risques
mazenovi's avatar
mazenovi committed
185

mazenovi's avatar
mazenovi committed
186
187
188

## 4.Qui participe au PIA?

mazenovi's avatar
mazenovi committed
189
190
191
192
193
* Le responsable de traitement
  * valide et applique le PIA.
* Le délégué la protection des données (DPO)
  * élabore le plan d'action
  * vérifie son exécution
mazenovi's avatar
mazenovi committed
194
195


mazenovi's avatar
mazenovi committed
196
## 4.Qui participe au PIA?
mazenovi's avatar
mazenovi committed
197

mazenovi's avatar
mazenovi committed
198
199
200
201
* Le(s) sous-traitant(s)
  * fournissent les informations nécessaires à l’élaboration du PIA (conformité)
* Les métiers (RSSI, maîtrise d'ouvrage, maîtrise d'oeuvre)
  * aident à la réalisation du PIA
mazenovi's avatar
mazenovi committed
202
203


mazenovi's avatar
mazenovi committed
204
205
206
207
208
209
210
211
212
## 5.Organiser

* Protection des données personnelles dés la conception
* Organiser la remontée d'information
* Traiter les réclamations et les demandes
  * exercice des droits des utilisateurs
* Anticiper les violations de données
  * information dans les 72 heures aux autorités et personnes concernées

mazenovi's avatar
mazenovi committed
213

mazenovi's avatar
mazenovi committed
214
215
216
## 6.Documenter

### Prouver la conformité = Avoir la documentation nécessaire
mazenovi's avatar
mazenovi committed
217

mazenovi's avatar
mazenovi committed
218
219
220
221
222
223
224
* Pour les responsables de traitements
  * registre des traitements
* Pour les sous-traitants
  * catégories d'activités de traitements
* Pour les traitements à risque
  * PIA
* Encadrement des transferts de données hors UE
mazenovi's avatar
mazenovi committed
225
226


mazenovi's avatar
mazenovi committed
227
## 6.Documenter
mazenovi's avatar
mazenovi committed
228

mazenovi's avatar
mazenovi committed
229
230
231
232
233
234
* Mentions d'information / légales
  * [Modèles de mentions légales CNIL](https://www.cnil.fr/fr/modeles/mention)
* Procédures pour l’exercice des droits
* Contrats avec les sous-traitants
* Procédures internes en cas de violations de données
* Preuves du consentement