protection des - optimex-data.fr · professionnels et les citoyens à la protection des données à...
TRANSCRIPT
1
PROTECTION DES
www.optimex-data.fr
Dans le cadre du Règlement Général sur la Protection des Données (RGPD), applicable à partir du 25 mai 2018
DONNÉES PERSONNELLES
LIVRE BLANC
Ce livre blanc a été conçu pour sensibiliser les professionnels et les citoyens à la protection des données à caractère personnel.
Son objectif principal est de présenter le cadre juridique en matière de protection des données.
Aussi, il indique la méthodologie utilisée pour détecter un traitement de données au sein d’un organisme (entreprises, secteur public et associations).
Ainsi, le Règlement Général sur la Protection des Données (RGPD) sera abordé et complété par des exemples concrets en fonction des organismes et de leurs services.
5
SOMMAIRE
Le RGPD et la protection des données
Les traitements de données et la méthodologie associée pour les reconnaître
6 - 12 14 - 20
Les droits des personnes et les obligations des organismes
Les mesures à mettre en œuvre et les avantages pour les organismes
22 - 23 24 - 27
76
Qu’est-ce que le RGPD ?
Le RGPD, c’est le Règlement Général sur la Protection des données, ou le Règlement (UE) 2016/679. Adopté en 2016, il est applicable à partir du 25 mai 2018
C’est une législation européenne qui prévoit un changement juridique majeur dans la protection des données personnelles
Il a pour but de permettre aux citoyens de retrouver la maîtrise de leurs données personnelles
Il impose une transparence et une vigilance accrues dans la gestion des données des organismes
Qui est concerné ?
Tous les organismes sont concernés mais un allègement des obligations existe pour les petites structures. Afin de connaître votre niveaud’implication, il faut regarder les critères suivants et étudier votre situation.
TAILLE DE L’ORGANISME
SECTEUR D’ACTIVITÉ
QUANTITÉ DE DONNÉES
Commerçant
Artisan
Industrie Cabinet d’expertise comptable
Editeur de logiciel informatiqueCentre de radiologie
Laboratoire pharmaceutique
Mairie
Communauté de commune
Prestataire informatique AssociationData center Régie publicitaire
Société de profilage
Hôpital Logement social
Marketing
Site marchand
Métropole
Multinationale
Grande associationTrès petite association
Sous-traitant
Opérateur téléphonique
9
Qu’est-ce qu’une donnée personnelle ?
IDENTITÉ
L’identité
La famille
L’âge
La date denaissance
Le statut marital
VIE PERSONNELLE
Les déplacements
Le numéro de téléphone
Les hobbies
Le domicileLa voiture
VIE PROFESSIO
NNELLE
Le lieu de travail
L’évolutionprofessionnelle Les CV
Les salaires
Le dossier des salariés
Une donnée à caractère personnel est, d’après le Règlement, « toute information se rapportant à une personne physique identifiée ou identifiable […] directement ou indirectement »
11
Les comptes bancaires
Les cartes de crédit
Les fluctuations bancaires
Les moyens financiers
INFORMATIO
NS ÉCONOMIQUES
LOCALISATION
La vidéo surveillance Les badges
d’entrée
Le signal WiFi
La géolocalisation
INFRACTIONS
Le casier judiciaire
Les accidents
Les contraventions
Les condamnations
DONNÉES SENSIBLESLes empreintes
La religion
L’appartenance sexuelle
Le dossier médical
1
13
Et si mon organisme n’est pas en conformité au 25 mai 2018 ?
SOLUTIONS
Amendes administratives
20Md’€ OU
4% du C.A. annuel mondial
En tant que responsable de traitements, si je ne fais rien pour le 25 mai 2018, des risques lourds de sanctions vont peser sur mon organisme car des plaintes pourront être déposées par des citoyens, des associations de consommateurs ou émaner de conflits internes.
Former son personnel à la protection des données
Faire auditer ses traitements de données par un organisme indépendant
Désigner un délégué à la protection des données auprès de la CNIL ou un référent interne
Sanctions pénales
5 ans d’emprisonnement
300 000€ d’amendes
Comment reconnaître un traitement de données personnelles ?
1
3
Identifier les données personnelles
Déterminer la finalité du traitement
La première étape consiste à identifier les données personnelles utilisées au sein de l’organisme. Il est plus facile de reconnaître un traitement de données à caractère personnel en identifiant d’abord les données personnelles.
Pourquoi mon organisme fait ce traitement ? Quel est l’objectif de ce traitement ? Cette étape permet de rendre licite votre traitement de données. Par exemple, la finalité principale d’une caméra de surveillance, c’est la sécurité des biens et des personnes.
2
4
Lister les traitements de données
Garantir le droit des personnes
Posez-vous la question de l’usage de ces données. Qu’en faites-vous ? Exemple de traitements : la collecte, la modification, la consultation, l’utilisation, la transmission, le stockage et l’effacement de données.
L’information aux personnes est une obligation très importante prévue par le RGPD. Elle permet de démontrer la bonne foi et la transparence de l’organisme auprès du personnel, des clients, des usagers et des partenaires ou fournisseurs.
15
17
SERVICE MARKETING SERVICE
COMPTABILITÉ
Entreprise
CoordonnéesBancaires
RIB
Régler les salaires
Adapter les offres commerciales
AdressesE-mails
Clients/Prospects
Constitution d’un fichier ciblé
Numérisation des coordonnées bancaires
1
2
3
1
2
3Prospection commerciale
Gestion des paies des salariés
SERVICE INFORMATIQUE
SERVICE RELATIONS HUMAINES
Contacter la personne Lui proposer de nouvelles offresd’emploi
Candidatures CV
Lettre de motivation
Gérer le parc informatique
Adresses IP de chaque employé
Conservation des données de connexion
Enregistrement du CV et de la lettre de motivation dans une cvthèque
1
23
1
2
3Recrutement du personnel
Gestion du parc informatique
19
Service Public
COMMUNE
SERVICE PETITE ENFANCE
Identifiant unique utilisateurLieu de connexion
Date et heure de connexionDurée de connexion
Accès internet public pour les usagers
Gérer les accès, les logs et établir des statistiques
Nom Prénom Date de naissance
Carnet de santéQuotient familial
Sélectionner et inscrire les enfants au multi-accueil
Wi-Fi public
Fichier de la crèche
1
2
3
1
2
3
Constitution du dossier de pré-inscription aumulti-accueil
SERVICE CULTURE
SERVICE COMMUNICATION
Photos des manifestations du CCAS
Partage des photos sur les réseaux sociaux
Communiquer sur les événements du CCAS
Données personnelles des familles, des élèves et des professeurs
Collecte et stockage des données (identités etdonnées personnelles)
Gérer les inscriptions et le suivi des enfants de l’école des services associatifs (cours de danse)
Réseaux sociaux
Inscription à la danse
1 1
2 2
3 3
Association
Communiquer et échanger avec les adhérents sur les actualités de l’association
Enregistrement, consultation et utilisation des données des adhérents
Nom et Prénom Adresse mail
Informations bancaires
FICHIER DONATEUR
ADHÉSION À UNE ASSOCIATION
Recevoir des dons pour l’association
Collecte, utilisation et suppression des données bancaires
Newsletter
Dons au bénéfice de l’association
1
2
3
1
3
2
Association
21
22
Je peux demander l’accès à mes données ainsi que des informations supplémentaires concernant le traitement associé à mes données
Droit d’accès
LES DROITS EXISTANTS
Quels droits pour les citoyens ?
Droit d’opposition
Droit de rectificationJe peux m’opposer à
certains traitements en raison de ma situation
particulière. Je peux, par exemple,
m’opposer à des traitements
effectués à des fins de
prospection, y compris le
profilage
Je peux demander la rectification de mes données si elles sont inexactes
Je peux demander l’effacement de mes
données dans plusieurs cas prévus par le RGPD, notamment
lorsque je retire mon consentement
Droit à l’effacement
(droit à l’oubli)
LES NOUVEAUX DROITS
Droit à la portabilité des données
Je peux facilement télécharger mes données et
les transmettre d’un organisme à un autre.
25
Au sein de chaque
service
Quelles mesures faut-il mettre en œuvre ?
Diffusion d’une culture de la protection des données
Identification les nouveaux traitements de données
Dialogue avec le DPO (relais interne dans chaque service)
Sur le site Internet
Formation des responsables de service et sensibilisation du
personnel
Tenue d’un registre des traitements
Point de contact avec la CNIL (DPO ou référent)
Au sein de l’organisation
Respect des principes du RGPD
Sécurité informatique
Procédures (conformité, étude d’impact, notification faille,
demande de droits, etc.)
Mentions légales
Conditions générales de
vente
Politique de confidentialité
27
Quels avantages pour l’organisme ?
Grâce à la protection des données, votre organisme respecte la vie privée de son personnel, de ses usagers, clients et partenaires. Il dégage alors des valeurs exemplaires d’humanisme et de bienveillance.
En protégeant les données personnelles, votre organisme réduit les risques de fuite de données et agrandit la confidentialité et la sécurité des données qu’il gère.
Protection des données personnelles
Réputation de l’organisme
Un organisme en conformité avec le cadre juridique ne craint plus d’être sanctionné par l’autorité de contrôle (CNIL) et bénéficie d’un accompagnement de cette dernière en cas de besoin.
Les citoyens ont davantage confiance en un organisme en conformité puisqu’il est transparent sur la gestion de leurs données. Ils maîtriseront leurs données personnelles et apprécieront le respect de leur vie privée.
Sérénité juridiqueConfiance des citoyens
29
7 conseils pour un projet RGPD réussi
1Sensibiliser vos collaborateurs
Identifiez vos données sensibles
Sécurisez vos données
2
3
Informez l’ensemble des responsables de service, afin
de diffuser une culture d’entreprise sur la protection
des données
Appliquez les bonnes pratiques de sécurité informatique pour vos
données
Cartographiez vos données, déterminez le périmètre des données sensibles, identifiez leur provenance
et avec qui ces données seront partagées (transferts hors UE)
Respectez la vie privée de vos clients / prospects
Révisez vos contrats
Soyez prêt en cas de violation de données
4
5
6
7Coopérez avec les autorités de contrôle
Nommez un référent ou un DPO pour établir un point de
contact avec la CNIL
Anticipez la mise en place des procédures afin de
réagir en cas de violation des données
Assurez-vous de la conformité de vos
sous-traitants en tant que co-responsable du
traitement des données
Assurez-vous que vos traitements de données soient conformes, en tenant un registre des traitements
Notes
Icons made by : Freepik, Roundicons, Smashicons, Ismartline, Anatoly, Iconice, Prosymbols, Sergiu Bagrin, Tomas Knop, Those Icons, Vectors market, Eucolyp, Madebymade, Nikita Golubev, Zlatko Najdenovski from www.flaticon.com
Contact09 71 16 15 42