Vous êtes sur la page 1sur 144

DONNES PERSONNELLES

ET SYSTMES DINFORMATION

ENTREPRISES
LES CLS DUNE
APPLICATION RUSSIE

DU GDPR
LE MOT DES PRSIDENTS

Dans le contexte actuel de transformation numrique, linformation et son usage font lobjet
de toutes les attentions, entre valorisation et protection.

Pour lentreprise, la donne est devenue un nouvel actif stratgique majeur, elle doit
tre exploite et protge, dautant plus sil sagit dune donne sensible.

Lindividu quant lui, est grand consommateur dinformation, producteur galement, mais il
est soucieux de protger sa vie prive contre une utilisation abusive de ses donnes
personnelles, et demandeur de garanties.

La confiance dans le numrique et dans lusage de linformation est imprative, et partout dans
le monde, les rgulateurs veillent et encadrent juste titre le traitement des donnes
personnelles. Au sein de lUnion europenne, la rglementation GDPR 1 sappliquera ds
le 25 mai 2018, et les entreprises se sont dj largement mobilises pour se
mettre en conformit.

En parallle, on parle dentreprise tendue, avec des organisations et des systmes


dinformation de plus en plus globaliss et largement ouverts aux clients et partenaires, et avec
des services dsormais tous proposs dans le Cloud. On parle aussi dentreprise data-
driven ( oriente donnes ), avec des besoins de Big Data, corrlation et analyse des
donnes massives captes par les objets connects.

Le dploiement de ces solutions rpond dabord et avant tout des besoins daccs et de
partage de linformation, des fins doptimisation de lefficacit oprationnelle et de
dveloppement du business. Toutes les entreprises sont concernes, pour leur cur
de mtier comme pour les services gnriques de messagerie, de SIRH, de CRM, etc.
qui tous, traitent des donnes personnelles.

Ces deux exigences defficacit oprationnelle et de conformit avec les rgles de


protection de la vie prive peuvent, de prime abord, paratre antinomiques et difficiles
concilier pour les entreprises et leurs fournisseurs partenaires... dautant plus lorsque
diffrentes rglementations simposent, pour des groupes globaux notamment.

Le systme dinformation porte lactivit de lentreprise. Il est aussi llment central de la mise
en conformit avec le GDPR et les autres rglementations. La conformit au GDPR est un
projet dentreprise, qui engage tous les mtiers, et qui doit mesurer limpact sur les
diffrentes briques du SI, dont certaines sont en place depuis des annes, voire mme sur son
architecture.

Nos trois organisations professionnelles se sont mobilises tt, ds lt 2016,


avec le soutien de quatre cabinets davocats : August Debouzy, De Gaulle
Fleurance & Associs, Osborne Clarke et SAMMAN et la participation rgulire de
la CNIL.

1Rglement Gnral sur la protection des Donnes caractre Personnel (ou General Data Protection
Regulation)

3
Conscientes des enjeux, elles se sont rassembles pour lancer une initiative conjointe en
France, Donnes Personnelles et Systme dInformation (DPSI) , avec deux
objectifs :

Sensibiliser les entreprises, utilisatrices et fournisseurs, sur lurgence et lampleur de


ce projet de mise en conformit avec le GDPR ;

Produire un guide de recommandations pratiques et applicables pour se mettre en


conformit avec le GDPR, et ainsi apporter une aide oprationnelle concrte tous
ceux qui ont engag ou engagent leur projet.

Le rsultat est l, et nous tenons remercier vivement toutes les entreprises, la CNIL, les
cabinets davocats, et lensemble des personnes qui ont contribu donner cette initiative de
place toute sa force.

Pascal Antonini Bernard Duverneuil Bertrand Diard


Prsident de
Prsident de lAFAI Prsident du CIGREF
TECH IN France

4
EXECUTIVE SUMMARY

Rsultat de linitiative Donnes Personnelles et Systmes dInformation (DPSI), ce livrable


offre toutes les entreprises les outils indispensables une mise en conformit russie avec le
GDPR. Grce sa structure logique et pratique, chaque entreprise pourra entamer ou
poursuivre les tapes cls du changement de manire efficace et sereine.

Rdig dans un langage accessible tous et illustr de nombreux exemples significatifs, le


document dcrypte les nouvelles obligations du Rglement, analyse leurs impacts sur les
systmes dinformation, et met des recommandations concrtes, techniques et juridiques,
applicables oprationnellement par les fournisseurs de services de logiciels et par les
entreprises utilisatrices.

Le document sarticule autour de trois parties distinctes et complmentaires.

Le chapitre 1, crit sous la prsidence de lAFAI accompagne par le cabinet


davocats August Debouzy, fournit un guide dauto-valuation sous la forme dune check-
list complte pour vrifier si son entreprise est en conformit avec le GDPR. En rpondant aux
cinquante questions proposes, vous pourrez valuer votre niveau de conformit et identifier
les domaines dans lesquels un processus damlioration est conduire.

Les questions concernent trois grandes thmatiques :

Gouvernance : 16 questions sur le DPO, le primtre dapplication, les politiques


et procdures, les prrequis et travaux prparatoires, les formations et informations ;
Mtiers : 18 questions sur la licit du traitement, les types de traitements mis en
place, les catgories de donnes collectes, les droits des personnes, les obligations
dans les relations entre responsable de traitement et sous-traitant, les transferts de
donnes en dehors de lUE, la scurit des donnes personnelles, ltude dimpact sur
la vie prive ;
Systme dinformation et cyberscurit : 16 questions sur les catgories des
donnes collectes, la scurit des donnes personnelles, le privacy by design, la
transparence, les dispositifs de dtection et de notifications des failles, les clauses
contractuelles obligatoires, la gestion de lexercice des droits des personnes.

Le chapitre 2, crit sous la prsidence du CIGREF accompagn par le cabinet


davocat De Gaulle Fleurance & Associs, liste les recommandations et les mesures
mettre en uvre pour assurer la conformit du systme dinformation (SI) avec le GDPR. La
dmarche du sous-groupe 2 (SG2) est la suivante :

1) identification des composants du SI qui gnrent ou vhiculent des donnes


personnelles ;
2) pour chaque composants du SI : inventaire des risques affrents selon les 3 grandes
catgories suivantes :
a. scurit du SI : intrusion du SI par un malware, usurpation dun compte
utilisateur, dfaut dapplication des mises jour de scurit, etc.
b. protection des donnes personnelles : dfaut de cartographie actualise des
donnes personnelles et des traitements, divulgation malveillante de donnes
personnelles, chiffrement, anonymisation/pseudonymisation, etc.

5
c. protection des droits des personnes : non disponibilit ; dfaut dintgrit ;
perte de confidentialit ; absence de traabilit ; usages illicites ; rpudiabilit.
3) identification des mesures et recommandations potentiellement applicables en
fonction de chaque typologie de risques.

Les mesures identifies par le SG2 visent protger les composants et applicatifs, mais aussi
tous les flux qui existent entre eux. Pour chaque risque identifi, le document donne une srie
de recommandations claires, pratiques et pertinentes afin de minimiser, voire de prvenir ce
risque.

Ainsi, pour un risque - par exemple transfert non scuris de donnes personnelles - le
chapitre 2 indique les composants du SI potentiellement exposs ce risque (Cloud,
applications, base de donnes, datawarehouse, Big Data, GED Archivages, fichiers partags,
messagerie, donnes de sortie) ; et met ensuite une srie de recommandations mettre en
uvre afin de grer ce risque : intgrer les contraintes ds la phase de design (privacy by
design), dvelopper une politique sur les droits et devoirs en matire de sortie des donnes ;
chiffrement et anonymisation ; encadrement contractuel avec le partenaire (NDA, clause de
confidentialit, clause de suppression des donnes) ; etc.

Enfin, ce chapitre illustre concrtement la mise en uvre de la dmarche par un cas pratique :
lactivit dun logiciel de gestion de la relation client ou CRM.

Le chapitre 3, crit sous la prsidence de TECH IN France accompagn par deux


cabinets davocats SAMMAN et Osborne Clarke, fournit les outils juridiques
indispensables une application russie du GDPR. Elabor aprs changes avec la CNIL, ce
chapitre sarticule en trois grands volets :

la gestion interne par les outils de gouvernance visant lautoresponsabilit des


entreprises (ou accountability ) ;
la dmonstration de cette responsabilit vis--vis du public et des partenaires, via des
outils de confiance ;
la gestion contractuelle des obligations et responsabilit, via la nouvelle structuration
des clauses contractuelles.

Le systme repose aujourdhui sur une logique de contrle ex post, imposant de nouvelles
obligations de transparence auxquelles les entreprises devront se conformer par la mise en
uvre de moyens et dinstruments internaliss.

Trois principaux outils de compliance vont devoir tre utiliss par les entreprises : le registre
des activits, ltude dimpact et le DPO. En rpondant des questions concrtes et simples
(comment mener une tude dimpact ? quelles sont les qualits dun bon DPO ?...) ce
document guide pas pas votre mise en conformit juridique.

Afin de dmontrer son accountability , le GDPR prvoit en outre le dveloppement doutils


de confiance tels que les codes de conduite, les certifications et les rgles dentreprises
contraignantes (ou BCR). Lintrt et la pertinence de ces trois types doutils sont prcisment
analyss dans ce chapitre.

Enfin, le GDPR bouleverse la notion de responsabilit entre les acteurs ( responsables de


traitement et sous-traitants ), en encadrant beaucoup plus strictement les contrats
conclus entre les parties. Aprs avoir rappel les principes gnraux de responsabilit, les rles
et obligations des diffrents acteurs, le document fournit des cas pratiques et dtaille les
modles de clauses contractuelles dans le cadre dun contrat entre responsable de traitement
et sous-traitant et dans le cadre dun contrat entre responsables conjoints.

6
SOMMAIRE

INTRODUCTION 9

La protection des donnes personnelles : un double enjeu socital et


conomique 9
DPSI , une initiative de place du CIGREF, de LAFAI et de TECH IN France,
pour accompagner les entreprises dans leur mise en conformit 10

CHECK-LIST GDPR 21

Quel est lobjectif de la check-list ? 22


Dmarche propose 22
Check-list GDPR 26

RECOMMANDATIONS ET MESURES METTRE EN PLACE POUR


UN SI CONFORME 34

Identifier les mesures mettre en place pour un SI conforme 35


Mesures potentiellement applicables sur les SI 36
Mesures applicables pour se protger des risques identifis 41
Illustration concrte de lapproche par le cas CRM 63

MODE DEMPLOI ET OUTILS DE CONFORMITE AVEC LE CADRE


LEGISLATIF ET REGLEMENTAIRE 75

Les outils de gouvernance 76


Les principaux outils de confiance vis--vis des tiers et la prsomption de
conformit 90
Les outils contractuels et les responsabilits 103
Cas pratiques et exemples de clauses 114

CONCLUSION 125

ANNEXES 127

7
SOMMAIRE DES ENCARTS
FOCUS ENTREPRISE : Michal NGUYEN, Head of IT Management and Control, SCOR
p.20

FOCUS EXPERT : Jean-Sbastien MARIEZ, Avocat, DE GAULLE FLEURANCE &


ASSOCIES p.21

FOCUS EXPERT : Florence CHAFIOL, Avocat Associe, Stphanie LAPEYRE,


Avocat, AUGUST DEBOUZY p.34

FOCUS ENTREPRISE : Franois CORNELY, Licensing executive, MICROSOFT p.39

FOCUS ENTREPRISE : Michel BENARD, Urbaniste SI, LES MOUSQUETAIRES p.41

FOCUS ENTREPRISE : Thierry MATHOULIN, Benjamin ALLOUL, Bernhard


VON SONNLEITHNER, WORKDAY p.44

FOCUS ENTREPRISE : Mylne JAROSSAY, Chief Information Security Officer LVMH


p.63

FOCUS ENTREPRISE : LIEN CEULEMANS, Senior Director, Legal - EMEA Privacy,


Salesforce p.64

ETUDE DE CAS ; Jrme CAPIROSSI, General Manager, UNEXX p.65

FOCUS EXPERT : Thaima SAMMAN, Associe-fondatrice et Marc DREVON, Avocat,


SAMMAN chapitre 3

FOCUS EXPERT : Batrice DELMAS-LINEL, Associe-grante et Lise BRETEAU,


Avocat associe, OSBORNE CLARKE chapitre 3

FOCUS ENTREPRISE : Elena GILOTTA, Directrice de la conformit de la zone EMEA,


BOX p.85

FOCUS ENTREPRISE : Stanislas DE RMUR, Cofondateur et CEO, Oodrive p.91

FOCUS ENTREPRISE : Sylvain FOUREY, RSSI, Groupe Cegid p.96

FOCUS ENTREPRISE : Nathalie LANERET, Responsable de la protection des donnes,


Capgemini p.101

FOCUS ENTREPRISE : Christian LITAUDON, Marketing Produits et Services, SAGE


p.104

FOCUS ENTREPRISE : Jawaher ALLALA, CEO, Systnaps p.115

8
INTRODUCTION

La protection des donnes personnelles : un double


enjeu socital et conomique

Du point de vue socital, les tats rglementent pour favoriser la


confiance des consommateurs

Avec la rvolution numrique, le monde est entr dans lre de linformation, nouvel or noir de
lconomie. Grce au dveloppement dinternet et des nouvelles technologies, la donne est
devenue plthorique, aisment accessible, et recle une richesse encore trs largement sous-
exploite.

La donne ne sera cette immense source de cration de valeur que si elle est
dment collecte, valide dans sa pertinence, mise en corrlation, travaille,
partage et analyse. Sa large circulation est reconnue, par les experts autant que par les
dirigeants dentreprises et les autorits publiques, comme un facteur cl de la croissance de
lconomie et de lemploi. Les tudes 2 voquent un impact dau moins 10 points sur le PIB,
potentiellement davantage dans les pays en dveloppement ! Elle amliore galement le
fonctionnement interne, lefficacit et la performance des entreprises de toute taille.

Rien narrtera le tsunami numrique qui impacte nos vies personnelles et


professionnelles, modifie les modles daffaire de nos entreprises, engendre de nouveaux
services et mtiers. Rien, sauf peut-tre labsence de confiance, vritable frein ladhsion des
consommateurs.

La recrudescence des cyber-attaques, toujours plus sophistiques et dans un contexte dhyper-


connectivit, entretient une mfiance lgitime, aussi bien chez les individus, consommateurs
et citoyens, quau sein des organisations. Et puisque la donne est devenue critique, sa
protection est un impratif absolu, tout au long de son cycle de vie. Le cas des donnes
personnelles est particulirement sensible, leur usage doit tre transparent et limit.
Diffrentes rglementations ont vu le jour ces dernires annes dans de nombreux tats,
soucieux de protger leurs citoyens et de favoriser la confiance sur laquelle repose le
dveloppement de lconomie numrique. Il en existe une centaine ce jour.

Du point de vue conomique, les entreprises doivent concilier


protection des donnes personnelles et dveloppement de leur
activit

Nos entreprises, nos systmes dinformation, les solutions applicatives qui les
composent, ont ainsi lobligation de se mettre en conformit avec ces rgles, le
GDPR pour lUnion Europenne, et potentiellement dautres dans le monde entier pour les
socits dont lactivit est globale. Encore faut-il quelles soient raisonnables, identiques, ou
pour le moins cohrentes, et quelles ne freinent pas le dveloppement du business. Les
obligations de localisation sur le territoire ou daccs rserv aux ressortissants nationaux,
comme dans certains pays, sont de bons exemples de contraintes difficilement compatibles
avec la conduite dune activit globale. De tels excs pourraient se traduire par lobligation de

2 ICC (International Chamber of Commerce), Trade in the digital economy A primer on global data
flows for policymakers et McKinsey Global Institute, Digital globalization: The new era of global flows

9
dployer de multiples instances des diffrents services, en contradiction avec les offres
technologiques bases sur le cloud, et avec un fonctionnement oprationnel global.

Le dfi est donc bien de dvelopper la confiance et de protger les personnes, tout
en prservant lactivit conomique de lentreprise. Et ces deux enjeux ne sont pas
antinomiques : une socit rpute thique tirera vraisemblablement bnfice de sa
rputation, et renforcera son attractivit pour les consommateurs.

DPSI , une initiative de place du CIGREF, de LAFAI


et de TECH IN France, pour accompagner les
entreprises dans leur mise en conformit

Prsentation de linitiative Donnes Personnelles et Systmes


dInformation (DPSI)

Les organisations professionnelles reprsentant les grandes entreprises (CIGREF), les


auditeurs conseils en systmes dinformation (AFAI) et les diteurs de logiciels (TECH IN
France), rejoints par quatre cabinets davocats (August Debouzy, De Gaulle Fleurance &
Associs, Osborne Clarke et SAMMAN), ont runi leurs forces et travaill conjointement depuis
lt 2016 pour produire un document de rfrence sur lapplication concrte des rgles de
protection des donnes personnelles dans les entreprises et leur systme dinformation.

Cette initiative de place qui rassemble toutes les parties prenantes a fait suite ladoption du
GDPR, applicable ds le 25 mai 2018, et a pour objectif daccompagner les entreprises dans
leur mise en conformit avec cette rglementation europenne.

Linitiative DPSI , matrialise par ce rapport, a cherch mettre la


disposition des entreprises, clients et fournisseurs, un guide pratique avec un
ensemble de mesures concrtes directement applicables. Il convient de prciser
nanmoins que lentreprise reste matresse des mesures quelle dcidera de mettre en place,
sur la base dune apprciation de son contexte et dune analyse de risque.

Linitiative DPSI est transverse toutes les industries, et se positionne en amont et


complment dventuels Codes de conduite professionnels. Ces CoC labors
conjointement par les acteurs dune mme branche dactivit, et certifis par une autorit
agre, sont prvus par le GDPR et encourags par la CNIL.

Les travaux ont particulirement cibl le systme dinformation des


organisations, qui porte leur activit, et dont larchitecture relve dun choix
dentreprise rpondant des impratifs oprationnels (mtier, marchs, flux de
donnes, offre technologique comme le Cloud par exemple). Ce choix ne doit pas tre remis en
cause du seul fait des contraintes rglementaires sur les donnes personnelles. La conformit
est un objectif incontournable, qui doit pouvoir tre atteint quelles que soient les options
techniques retenues.

Le groupe de travail conjoint AFAI, CIGREF, TECH IN France sest donn deux
objectifs principaux :

10
1. Sensibiliser les entreprises, utilisatrices et
fournisseurs, sur lurgence et lampleur de ce projet de
mise en conformit avec le GDPR ;

2. mettre des recommandations concrtes,


applicables oprationnellement par les fournisseurs
de services logiciels (on-premise ou SaaS), et par les
entreprises utilisatrices, quels que soient leurs choix
darchitecture et dorganisation.

Gouvernance de linitiative DPSI

Les cabinets davocats experts se sont attachs dcrypter et fournir une lecture explicite
et applique du GDPR :

Prsentation des articles du GDPR ;


Evolutions par rapport au droit existant ;
Interrogations souleves par les nouvelles dispositions ;
Actions envisager pour les entreprises.

Pour mmoire, le GDPR comprend 99 articles prcds de plus de 170 considrants,


avec pour ambition :

Une harmonisation des rglementations au sein de lEurope ;


Un renforcement du droit des personnes dont les donnes sont traites (avec des
droits nouveaux ou renforcs dont la minimisation, la portabilit, leffacement) ; le
GDPR place dlibrment lindividu au centre des proccupations ;
Un changement dapproche o les dclarations pralables sont remplaces par une
capacit sautorguler et prouver la conformit des traitements.

Ce travail des avocats tait prcieux pour une comprhension commune et partage du GDPR,
et dabord et avant tout de son primtre dapplication : dfinition dune donne personnelle,
critres dapplication du rglement europen (critre dapplication territorial et matriel), etc.

Il a constitu le socle des travaux de trois chantiers mens en parallle par trois sous-groupes,
anims par une des trois associations et un ou deux cabinets davocats spcialiss. Les
membres des trois associations taient naturellement invits participer quelque chantier
que ce soit.

Les trois sous-groupes ont respectivement produit :

Une check-list des questions se poser pour se mettre en conformit, avec


une identification des enjeux mtiers, de gouvernance et de cyberscurit (pilot par
lAFAI et le cabinet August Debouzy) ; elle permettra une large sensibilisation en
interne et une mesure de la maturit de lentreprise vis--vis de la protection des
donnes personnelles ;
Un inventaire des recommandations et mesures techniques
potentiellement mettre en place pour un SI conforme, et ainsi renforcer la protection
du SI, des donnes, et des droits de la personne (pilot par le CIGREF et le cabinet De
Gaulle Fleurance et Associs) ;

11
Un guide juridique, (pilot par TECH IN France et les cabinets Osborne Clarke et
SAMMAN), abordant notamment les outils de gouvernance interne, les outils au
bnfice des tiers et les outils contractuels tels que rsultant de la nouvelle
rglementation.

Les travaux, produits aprs changes avec la CNIL, ont permis de mettre en
exergue limportance dengager un projet ddi au GDPR impliquant toutes les
parties prenantes de lentreprise, et de mener les actions dvolution du SI, en
collaboration entre clients et fournisseurs selon les responsabilits de chacun.

Ce projet nest pas une option, mais un impratif, il doit tre soutenu au plus haut niveau de
lentreprise, et disposer dun budget spcifique et adquat, dont la partie SI peut reprsenter
une large partie sinon la majeure. DPSI a cependant aussi permis de dmystifier le sujet,
et de dmontrer la faisabilit dun tel projet de mise en conformit.

Gouvernance du groupe DPSI

Chaque sous-groupe a recueilli les tmoignages dintervenants, reprsentant la fois des


clients et des fournisseurs, sur des thmatiques spcifiques : cyberscurit, gouvernance dun
projet de mise en conformit GDPR en entreprise, prparation des offres logicielles aux
rglementations sur les donnes personnelles, partage de responsabilit utilisateurs /
fournisseurs, etc.

Des comits de pilotage ont eu lieu tous les deux mois avec les animateurs des trois sous-
groupes pour le suivi et la coordination des travaux.

Trois plnires dinformation ont t organises durant lanne, afin de partager avec
lensemble de lcosystme lavancement des travaux de chaque sous-groupe. La CNIL est
intervenue chacune de ces plnires, pour donner un regard crois, commenter les travaux
des sous-groupes, et suggrer des amliorations.

12
Contexte des diffrentes rglementations relatives aux donnes
personnelles dans le monde

Plus de 80 pays ont adopt des rglementations spcifiques relatives la protection des
donnes personnelles. Ce sujet dpasse donc largement les frontires europennes, comme le
montre la cartographie ci-dessous.

LEurope a cependant une influence trs forte en matire de rglementation sur la protection
des donnes, notamment du fait du mcanisme de reconnaissance dadquation qui permet
la Commission europenne de reconnaitre le caractre adquat vis--vis du GDPR dsormais,
des diffrents autres dispositifs rglementaires en place hors UE. Cette reconnaissance est
assure par le G29 notamment. A ce jour, des pays comme le Japon, lUruguay, lArgentine, la
Nouvelle-Zlande, Isral, le Lichtenstein et dautres prsentent un niveau de protection jug
adquat par le G29.

La protection et le transfert international de donnes

Il existe plusieurs sources de rfrence pour organiser la protection des donnes et leur
transfert par grandes zones gographiques. En voici quelques-unes :

Les recommandations de lOCDE ;


Les Cross Border Privacy Rules dans la rgion Asie-Pacifique ;
La Convention du Conseil de lEurope, qui est une rfrence pour tous les pays
signataires, dont la Russie ;
Le Rglement europen sur la protection des donnes personnelles (GDPR) ;
Le Privacy Shield qui encadre une partie des transferts entre lEurope et les Etats-Unis.

Les diverses rglementations existantes en matire de protection des donnes personnelles


prsentent quelques lments communs, tels que :

13
La reconnaissance des droits des individus : droit dinformation, droit daccs,
principe du consentement pour collecter ou transfrer les donnes ;
Les garanties de scurit et de confidentialit ;
Lexistence dun dispositif de conformit (le GDPR impose lexistence dun tel
dispositif), le principe daccountability.

Les rglementations peuvent tre transversales (couvrir toutes les industries la fois), comme
Hong Kong, en Nouvelle-Zlande, en Core du Sud, en Argentine ou encore au Japon, tout
en encourageant lmergence de rfrentiels sectoriels (type codes de conduite). A linverse,
dans certains pays, les rglementations sont penses dans une approche par industrie, comme
en Chine et aux tats-Unis principalement (rglementation spcifique aux secteurs de la sant
et bancaire aux tats-Unis par exemple). Dans dautres pays enfin, plusieurs sources
juridiques (droit commercial, droit du travail et autres sources) contribuent faire merger un
corpus juridique relatif la protection des donnes, comme au Brsil par exemple.

Une difficult en matire de protection et de transfert de donnes pour les entreprises, encore
plus pour celles qui sont globales, rside notamment dans linterprtation des textes et la
comprhension des dfinitions. Par exemple, tous les pays ne dfinissent pas de la mme
manire une donne sensible : en Inde par exemple (qui ne dispose pas dune
rglementation spcifique sur la protection des donnes personnelles mais qui a un texte de
loi relatif la scurit), le mot de passe est une donne sensible. En Cte dIvoire, cest le
numro de tlphone qui est considr comme une donne sensible protger.

Une autre difficult nat de la diffrence dapproche sur la protection des donnes personnelles
entre les juridictions. LUnion europenne rige en principe le droit la vie prive et la
protection des donnes personnelles tandis que les tats-Unis ont une approche sectorielle de
la protection des donnes.

14
Focus sur le GDPR

Il y a un changement de paradigme indiscutable sagissant de la responsabilit


des personnes traitant des donnes personnelles. En revanche, si la protection des
droits des personnes concernes par le traitement des donnes personnelles est renforce, sur
le fond, le GDPR est fidle des principes historiques de lUE.

Quoi ?
Le GDPR sapplique aux traitements de donnes caractre personnel. Ces
dernires sont dfinies de manire trs large par le rglement. Ainsi, constituent
des donnes personnelles, toute information se rapportant une
personne physique identifie ou identifiable. Cela inclut notamment : le
nom, un numro didentification, une adresse email, des informations gntiques,
les adresses IP, etc.

La notion de traitement est tout aussi tendue mais ne diffre que marginalement
de la dfinition qui figurait dans la Directive de 1995. Ainsi le traitement regroupe
toute opration ou tout ensemble d'oprations effectues ou non l'aide de
procds automatiss et appliques des donnes ou des ensembles de donnes
caractre personnel, telles que la collecte, l'enregistrement, l'organisation, la
structuration, la conservation, l'adaptation ou la modification, l'extraction, la
consultation, l'utilisation, la communication par transmission, la diffusion ou
toute autre forme de mise disposition, le rapprochement ou l'interconnexion, la
limitation, l'effacement ou la destruction . On notera que sont notamment exclus
du GDPR, les traitements nentrant pas dans le champ dapplication du droit de
lUnion, les traitements des tats membres dans le contexte des activits lies la
politique trangre et de scurit commune de lUnion ainsi que les traitements
raliss par une personne physique dans le cadre dune activit personnelle ou
domestique, etc.

Qui ?
Le GDPR fait peser en premier lieu des obligations sur les responsables de
traitement et les sous-traitants. Le responsable du traitement est la personne
physique ou morale qui dtermine les finalits et les moyens du traitement tandis
que le sous-traitant est celui qui traite des donnes caractre personnel pour le
compte du responsable de traitement.

O ?
Le GDPR se caractrise par une porte territoriale tendue. Il sapplique au
traitement de donnes personnelles effectu dans le cadre des activits d'un
tablissement d'un responsable du traitement ou d'un sous-traitant sur le territoire
de l'Union, que le traitement ait lieu ou non dans l'Union. Le GDPR sapplique
galement aux organisations qui ne sont pas tablies dans lUnion mais qui visent
ou monitorent des personnes rsidant dans lUnion.

Source : Cabinet SAMMAN

15
Le GDPR prvoit notamment plusieurs outils daccountability pour sa mise en uvre effective
comme la documentation des traitements des donnes, la nomination dun Data Protection
Officer ou la mise en uvre des principes de privacy by design et de privacy by default. Le
GDPR encourage galement les entreprises adopter des codes de conduite et des
certifications ou labels comme cela a dj t voqu prcdemment.

Le GDPR est dcoup en 6 catgories dexigences, auxquelles sajoute une catgorie gnrale
de dfinitions et notions de bases :

Donnes caractre personnel ( DCP )


Traitement de DCP (types, principes)
Dfinitions / Notions de Flux de DCP
bases Responsable de traitement
Sous-traitant
Violation de CDP

Rle et responsabilit du DPO


Registre des activits de traitement
Gouvernance interne Privacy Impact Assessment (PIA)
Privacy by design
Codes de conduites et certifications

Transparence, information et consentement


Gestion de lexercice des droits des personnes :
Rapport avec les data
accs, opposition, rectification, effacement,
subjects
portabilit, limitation
Profilage et dcisions automatises

Stipulations contractuelles obligatoires


Responsabilit du responsable de traitement
Partage de responsabilit
Responsabilit du sous-traitant
Rgime de responsabilit conjointe

Mcanisme de transferts existants : adquation,


Transfert de donnes hors UE clause contractuelle, BCR, Privacy Shield
Drogations

Mesures juridiques
Mesures organisationnelles
Scurit et notification des
Mesures de scurit logique
violations de donnes
Mesures de scurit physique
personnelles
Privacy by design
Dispositifs de dtection

Droit de recours (rclamation, recours


Voies de recours, juridictionnel)
responsabilit et sanctions Droit rparation et responsabilit
Sanctions

Source : CIGREF Donnes Personnelles et Systmes dInformation (2017)

16
Ce qui change pour les entreprises :

Le concept de privacy by design / by default : il sagit dintgrer la protection


des donnes caractre personnel non seulement ds la conception des produits et
services mais galement, par dfaut, la plus protectrice possible (notamment avec le
principe de minimisation introduit par le GDPR, exigeant de rduire tout traitement
de donnes personnelles au minimum ncessaire) ; ceci revient dire que,
culturellement, il faut intgrer cette notion en amont des projets : quel que soit le
projet, les quipes doivent intgrer ce souci de la protection des donnes caractre
personnel et cette dmarche de minimisation dans leur feuille de route. Certains
systmes legacy devront potentiellement faire lobjet de privacy by re-design sils sont
sensibles. Ce concept a t propos par Ann Cavoukian, Commissaire l'information
et la protection de la vie prive de l'Ontario, et encourage introduire la privacy by
design ds quil y a un changement dans les systmes.

Lobligation de dsigner un Data Protection Officer (DPO) : la nomination


du DPO nest obligatoire que sous certaines conditions (voir ci-dessous) et les tats
membres ont la possibilit dtendre cette obligation de nomination. Cependant, ds
lors quune entreprise traite des donnes personnelles elle devrait envisager la
nomination dun DPO, notamment pour diffuser la culture de protection des donnes
dans les processus internes de lentreprise.

Lobligation de notification de failles et datteinte la scurit


informatique : cette obligation implique un changement de processus car elle
ncessite une vigilance accrue ; aujourdhui, la cyberscurit est un enjeu majeur : par
exemple, en 2015, sur 550 contrles de la CNIL (contrles sur place, sur pices ou en
ligne), dans 85% des cas, la CNIL a t amene mettre des recommandations, faire
des observations, voire des mises en demeure sur des enjeux de scurit informatique
(selon Edouard Geffray, ex-Directeur gnral de la CNIL nous [les entreprises]
avons un niveau dhygine en matire de scurit informatique de base qui est
dsesprant () Il faut en moyenne 240 jours pour dtecter un hacker qui sest
introduit dans votre SI. Vous imaginez un cambrioleur qui se promne pendant 240
jours dans votre maison sans que vous layez remarqu ? ).

Les analyses dimpact sur la vie prive EIVP, (ou Privacy Impact
Assessment - PIA) 3 : il sagit danticiper les impacts dun nouveau produit ou service
sur la vie prive des clients. Un PIA, men par le responsable de traitement, avec le
concours du DPO et des sous-traitants, et doit tre ralis avant la mise en uvre du
traitement susceptible dexposer les personnes un risque lev au regard de leurs
droits et liberts. Cette analyse dimpact permet de mieux mettre en uvre les
principes de privacy by design et privacy by default introduits par le GDPR. Le PIA
favorise une logique de conception respectueuse de la vie prive (Privacy by Design),
il est ainsi un moyen pour les entreprises de montrer que leurs solutions sont

3 Pour la ralisation dun PIA, voir les documents CNIL suivants : PIA, la mthode : ce document indique la marche
suivre pour faire une tude dimpact sur la vie prive. Il fournit diffrents modles et un guide de mesures conseilles,
en prcisant le domaine dapplication, les responsables de ltude, les diffrentes catgories de risques prendre en
compte par rapport la notion de vie prive, et les processus de validation du PIA. PIA, loutillage : modles et bases
de connaissances : ce document propose quant lui une chelle et des rgles pour estimer la gravit dune violation,
avec 4 niveaux de risques. Guide en 6 tapes pour se prparer au rglement europen : la 4me tape intitule Grer
les risques dcrit la dmarche de PIA en cas de traitements de donnes personnelles susceptibles dengendrer des
risques pour les droits des personnes.

17
respectueuses de la vie prive et assure un niveau de protection conforme aux
obligations du droit de lUnion. Par ailleurs, le PIA devrait permettre lentreprise de
saffranchir de la plupart des dclarations ou autorisations CNIL lies aux traitements
de donnes personnelles, et davoir une cartographie des diffrents traitements et des
risques.

Lobligation dinformer les clients sur la finalit de lusage de leurs


donnes personnelles par lentreprise : le consentement et la dfinition des
finalits engagent une forte responsabilit des entreprises vis--vis de leurs clients, en
ayant lobligation de leur fournir un avis clair expliquant quelles fins leurs
donnes sont collectes [] le consentement doit tre libre, spcifique, inform et
sans ambigut. Il est extrmement important que les organisations comprennent
cette exigence. 4

Le droit la portabilit va impliquer des volutions substantielles, notamment


dans les mtiers de la banque et de lassurance (par exemple, lobligation de restituer
un client lensemble des pices fournies par ce mme client pour lobtention dun
prt, dans un format numrique aisment rutilisable).

Le principal enjeu du rgulateur aujourdhui est dapporter un maximum de scurit juridique


aux entreprises dans le cadre du GDPR. Lharmonisation que permet le GDPR participe de ce
renforcement de la scurit juridique, mais un certain nombre de dispositions du GDPR sont
ouvertes aux lgislations des tats membres ce qui pourrait remettre en cause cet objectif.
Lharmonisation passe galement par la mise en uvre de mcanismes de coordination entre
les autorits de protection des donnes. Ainsi, le GDPR instaure un principe de guichet unique
pour les traitements transfrontaliers de donnes caractre personnel.

Par ailleurs, les droits des personnes dont les donnes sont traites sont renforcs et les
sanctions possibles accrues (jusqu 4% du chiffre daffaires global de lentreprise, qui est un
plafond au sein de lUnion). Ainsi, au sein des entreprises, la conformit doit tre gre comme
un projet, dont la majeure partie est vraisemblablement lie lIT. Avant dtre juridique ou
lgal, ce projet est global avec une forte composante SI puisque la mise en conformit ncessite
la mise en place de mesures techniques lies la scurit des SI et la protection des donnes.
Il est donc absolument crucial dy consacrer un budget qui soit proportionnel lenjeu. Un
point dhonneur est mis sur la bonne gouvernance des donnes en interne. Pour de
nombreuses entreprises, cette rglementation est aussi loccasion de faire et/ou mettre jour
leurs cartographies de donnes.

4 Limpact oprationnel du rglement gnral sur la protection des donnes de lUnion Europenne sur

linformatique , Dana Simberkoff, AvePoint

18
FOCUS ENTREPRISE

Michal NGUYEN
Head of IT Management and Control
SCOR

Pouvez-vous nous dcrire la structuration de votre programme GDPR ?

La structuration du programme GDPR chez SCOR se dcoupe en 7 domaines, 4 relatifs au


juridique et la conformit et 3 portant sur les mesures techniques de renforcement de la
protection des donnes :

1. Inventaire des traitements utilisant des donnes personnelles, ainsi que les
workflows techniques qui embarquent ces donnes personnelles ;

2. Identification des risques sur les donnes personnelles SCOR, laboration dune
matrice de risques et dfinition de plans de remdiation ;

3. Dfinition et mise en place du processus de notification de failles ;

4. Revue des contrats : identification des contrats adapter avec les processeurs de
donnes externes SCOR, dfinition de clauses standards spcifiques aux donnes
personnelles, introduire dans ces contrats critiques ;

5. Renforcement des contrles daccs et traabilit ;


1. Gestion des accs des utilisateurs aux fichiers partags ;
2. Gestion des accs des utilisateurs aux applications critiques ;
3. Gestion des accs des administrateurs aux applications (comptes
privilges) ;

6. Dfinition dune stratgie de conservation et darchivage des donnes ;

7. Ralisation dune tude sur le chiffrement des donnes critiques.

La roadmap effective du projet se termine en dcembre 2017. Tout le premier trimestre 2018
sera consacr la sensibilisation et la formation de tous les collaborateurs du Groupe, IT et
Mtiers, aux nouveaux processus de gestion des donnes personnelles.

19
FOCUS EXPERT

Jean-Sbastien MARIEZ
Avocat
De Gaulle Fleurance & Associs

Lobligation de notification des violations de donnes personnelles


annonce un changement de paradigme
Alors que de nombreuses organisations disposent dj dun processus de gestion des incidents
de scurit, la dure moyenne de dtection dpasse encore souvent un an 5 quand le GDPR
impose une notification dans un dlai de 72h, certes partir du moment o la violation est
connue. Des sanctions rcentes prononces par la CNIL montrent dailleurs que parfois, le
responsable de traitement est inform de la fuite par lautorit de contrle elle-mme la suite,
par exemple, dun contrle en ligne 6.

Cette nouvelle obligation issue du GDPR met laccent sur le volet curatif des
politiques de scurit qui prolonge le volet prventif dj prvu par la Loi informatique et
libert 7. Sauf ce quelle ne reprsente aucun risque pour les droits et liberts des personnes
physique , le responsable de traitement devra notifier la CNIL les mesures prises pour
remdier la violation, attnuer ses consquences ngatives et apporter des garanties quant
au risque de rptition de lincident (art. 33 du GDPR).

La rputation du responsable de traitement sera particulirement expose


lorsque linformation de chacune des personnes concernes sera requise, savoir,
toutes les fois o la violation reprsentera un risque lev pour leurs droits et liberts. Trois
exceptions sont cependant prvues. La communication aux personnes ne sera pas ncessaire
lorsque des mesures telle que le chiffrement des donnes auront t appliques en amont de
la violation ou bien, en aval de la violation, lorsque les mesures correctives garantiront que le
risque lev nest plus susceptible de se matrialiser. De mme, si linformation individuelle
des personnes ncessitait des efforts disproportionns alors, le responsable de traitement
sera autoris recourir un mode de communication publique (art. 34 du GDPR).

Des lments de complexit demeurent malgr les claircissements apports par


le G29 dans son avis du 3 octobre 2017 8. Les processus en place doivent tre revus en
prtant attention :

- aux dispositifs de dtection, y compris dans le cadre des relations avec les sous-
traitants ;
- lvaluation amont du niveau de risque associ chaque traitement, y compris, au
moyen danalyses dimpact.
- la cohrence avec les autres obligations de notification prvues par les textes
- la gouvernance des incidents au moyen dune cellule de gestion de crise
interdisciplinaire (communication, technique, juridique).

5 https://questionsdetransformation.ey.com/dossiers/quel-systeme-de-securite-pour-des-entreprises-cyber-resilientes-_f-50.html
6Voir https://www.cnil.fr/fr/hertz-france-sanction-pecuniaire-pour-violation-de-donnees-personnelles et
https://www.cnil.fr/fr/violation-de-donnees-personnelles-avertissement-lencontre-de-la-societe-ouicar
7 https://www.cnil.fr/fr/loi-78-17-du-6-janvier-1978-modifiee
8 http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083

20
CHAPITRE 1

CHECK-LIST GDPR

Pilot par Pascal ANTONINI,


Prsident de lAFAI

Coordonn par Bertrand HELFRE,


Director and Leader Cybersecurity,
WEAVE

Avec le concours de Florence CHAFIOL, Avocat Associe et


Stphanie LAPEYRE, Avocat, August Debouzy.

21
L'objectif de ce chapitre est de fournir quelques repres par rapport l'utilisation de l'outil :
check-list GDPR - v1.0 14092017 FR (voire annexes).

Quel est lobjectif de la check-list ?

L'outil de check-list est un guide dauto-valuation. Cest la 1re phase de la dmarche globale
de mise en conformit avec le Rglement Gnral de Protection des Donnes Personnelles
(GDPR).

Cette check-list poursuit deux objectifs :

vrifier que les diffrentes exigences du GDPR ont bien t prises en compte par les
organisations et que les mesures adquates ont t adoptes ;
renforcer la communication et le partage des informations au sein des quipes
(juridiques, mtiers, informatiques) travaillant la mise en conformit au GDPR.

L'outil est une liste de questions permettant une valuation structure du niveau de maturit
de lentreprise quant la mise en conformit au GDPR et permet ainsi didentifier plus
facilement les ventuelles lacunes et les mesures mettre en uvre dans le cadre du
Rglement. Il doit tre peru comme un outil daide et daccompagnement pour les entreprises
mais en aucun cas comme une contrainte supplmentaire. Les thmes abords sont essentiels
pour toutes les organisations et permettent de balayer la plupart des questions se poser dans
le cadre de la mise en conformit. Le groupe de travail (SG1) compos dune quarantaine de
personnes reprsentant les entreprises de tous secteurs a particip la rdaction de la check-
list GDPR. Les deux principes retenus par le SG1 ont t les suivants :

concision : tablir une check-list limite 50 questions maximum ;


simplicit : questions prcises et fermes.

Dmarche propose

La check-list doit permettre de vrifier que toutes les obligations principales imposes par le
GDPR ont t prises en compte par les diffrentes parties prenantes de lentreprise : la
Direction Gnrale, les Directions Mtiers et la Direction des Systmes d'Information, ainsi
que les partenaires tiers externes. La check-list est subdivise en trois grands thmes
correspondant aux acteurs cits ci-dessus :

Gouvernance
Mtiers
Systmes dinformation et Cyberscurit

En complment des rponses apportes, la check-list permet aussi de collecter des lments
factuels sur les lacunes ou les points de vigilance, lorsque la rponse une question est
ngative.

22
Transversalit

Dans tous les cas, il est primordial que toutes les directions ou les quipes cites dans ce
chapitre soient impliques dans la dmarche et puissent apporter leur contribution en ce qui
concerne les pratiques relatives aux donnes personnelles. Ainsi, c'est grce linvestissement
et la collaboration efficace de tous les acteurs que lentreprise pourra acqurir une vision
complte et globale des traitements de donnes personnelles mis en uvre tout en respectant
le primtre de responsabilit de chacun des acteurs. En effet, il n'est pas rare de constater que
chacune des quipes a une vision partielle des donnes quelle utilise sous le prisme de son
domaine de comptence mais qu'aucune n'a de vision transversale (ex : SI pour les
applications, Scurit pour les mesures de scurit, Juridique pour les aspects contractuels,
Mtier pour des relations directes avec des fournisseurs de solutions, ).

Pilotage

Le DPO (Data Protection Officer) ou DPD en franais (Dlgu la Protection des Donnes),
sil est nomm, est idalement plac pour grer la check-list et la diffuser auprs des acteurs
concerns. Cette dmarche lui permet de s'approprier le primtre de la protection des
donnes en lui faisant rencontrer les quipes adquates et en lui permettant didentifier les
solutions existantes et celles mettre en uvre. Si le DPO n'est pas encore nomm ou si le
primtre couvrir requiert une dlgation, il convient d'identifier une personne positionne
un niveau transverse (contrle interne, organisation, voire un dtachement dun auditeur
interne) pour animer la dmarche auprs des diffrents acteurs identifis.

Acteurs concerns

La donne constituant un patrimoine de plus en plus stratgique pour les entreprises, tous les
acteurs et toutes les divisions de lentreprise sont susceptibles de devoir, un moment ou un
autre, manipuler de telles donnes. Ci-aprs sont identifies les diffrentes quipes
potentiellement impliques en indiquant leur principal domaine de contribution.

23
Futur dlgu la protection des donnes (DPO)

Les missions du DPO sont notamment les suivantes (article 39 du GDPR) :

Informer et conseiller le responsable de traitement ou le sous-traitant, ainsi que


lensemble de leur personnel ;
Contrler le respect du Rglement et de la lgislation nationale ;
Conseiller lorganisme sur tout sujet relatif la protection des donnes caractre
personnel (notamment, sur la pertinence dune tude dimpact) ;
Cooprer avec lautorit de contrle : cette fonction est trs importante, puisque le
dlgu devra faciliter laccs par lautorit aux documents et informations dans le
cadre de lexercice des missions et des pouvoirs de cette autorit.

Direction des systmes dinformation

En charge des systmes d'information, cette direction est mme d'apporter ses connaissances
sur tous les aspects techniques lis aux applications dont elle a la charge. Dans l'idal, elle
dispose d'une cartographie jour des donnes traites et des applications lies l'utilisation
de ces donnes, voire des traitements de donnes eux-mmes. Il faut nanmoins rappeler que
cette cartographie, tant tablie conjointement par les DSI et les Directions Mtiers, il existe
dans beaucoup dentreprises, des traitements (automatiss ou non) qui rentrent dans le champ
de responsabilit des Directions Mtiers. Ceci implique d'aller la rencontre les Directions
Mtiers, notamment Innovation, Marketing ou Ressources Humaines pour identifier avec elles
les applications concernes (site web, jeu vocation commerciale sur internet, solution en
mode Software as a Service (SaaS), )

quipe scurit des systmes dinformation

En fonction de l'organisation de l'entreprise, cette quipe (au sein de la DSI ou non) est en
charge de dfinir et de mettre en place les mesures de protection techniques et
organisationnelles relatives aux diffrents traitements de donnes. Lquipe scurit, habitue
grer la scurit par les risques, est en position de raliser des tudes dimpact sur la vie
prive (DPIA) telles que requises par le GDPR. Par ailleurs, le DPO ne disposant pas toujours
des comptences ncessaires la ralisation des analyses de risques, lquipe scurit est en
mesure de lassister dans lapproche et la ralisation des DPIA dans leur ensemble.

quipe juridique

Elle doit tre implique dans les dmarches de contractualisation ou de relation avec les
autorits de contrle locales. Elle est aussi consulte pour tout ce qui concerne les mentions
lgales, conditions gnrales d'utilisation, mentions dinformation, etc. Elle est donc en
mesure d'apporter sa comptence sur ces aspects lors de linventaire des traitements
(vrification de la base lgale qui fonde la licit de chacun des traitements).

Direction innovation

En fonction de l'organisation de l'entreprise, au travers de ses activits data, digital ou relation


client, l'innovation est au cur de l'utilisation de la donne personnelle client. ce titre, elle
est donc incontournable aussi bien dans l'identification des traitements que des partenaires
ou destinataires des donnes.

24
Direction marketing

En fonction de l'organisation de l'entreprise, cette direction est souvent en lien avec le client
au travers de lanalyse des habitudes de consommation dudit client, de l'envoi de newsletters
ou de toute autre collecte de donnes dans le cadre de ses activits (pour le cas du e-commerce,
voir quipe e-commerce). Au mme titre que l'innovation, le marketing peut tre amen
raliser des oprations avec des partenaires commerciaux en vue de collecter ou dchanger
des donnes personnelles.

Direction des Ressources Humaines (DRH)

En charge du primtre des solutions concernant la gestion des ressources humaines dans
l'entreprise, elle apporte la connaissance du primtre d'un point de vue mtier et de relation
ventuellement directe avec ses fournisseurs. Cette direction collecte la fois des donnes
personnelles des collaborateurs et celles des candidats et peut tre amene changer ces
donnes avec plusieurs partenaires diffrents.

Elle assure galement la conformit vis--vis des rgles de droit du travail, et veille notamment
ce que les obligations dinformation des salaris et des instances reprsentatives du
personnel (voire la consultation de ces dernires) soient respectes. Elle sassure enfin que les
relations avec les autres socits employant du personnel sur site (intrimaires, prestataires,
etc.) respectent les rgles applicables.

quipe e-commerce

S'il existe dans l'organisation une quipe spcifique pour la prise en charge du e-commerce,
elle doit tre consulte. Le e-commerce implique par essence la collecte et le traitement de
donnes de consommateurs et est facilement expos aux autorits de contrle. Les quipes
peuvent tre amenes avoir recours des prestations en mode SaaS permettant par exemple
de faire de la mesure de trafic.

Sur le primtre e-commerce, les problmatiques lies au dpt de cookies doivent faire lobjet
dune attention particulire afin dassurer que lensemble des rgles applicables en la matire
sont respectes. Pour cette activit, on se rapprochera des quipes en charge du trafic sur le
site et des quipes SI spcialises.

25
Check-list GDPR

Thmes et sous thmes :

Comme voqu plus haut, la check-list doit permettre de vrifier les points critiques du GDPR
et didentifier les actions mettre en uvre selon les directions concernes.

Si la rponse est Oui , votre entreprise est en bonne voie pour se mettre en conformit avec
le GDPR.

Si la rponse est Non , la question peut vous aider identifier les domaines que vous devez
amliorer.

Les tableaux ci-dessous reprennent les diffrentes questions traites dans l'outil de check-list.
La colonne THEME indique le thme du GDPR permettant de regrouper les diffrentes
questions poser.

Les trois thmes (Gouvernance, Mtiers, Systme dinformation/Cyberscurit) reprennent


les fonctions voques prcdemment. Pour chaque question, la direction concerne peut
apporter des lments concernant la question ou bien consulter une ou plusieurs autres
fonctions.

26
Check-list gouvernance

Sous thme # Question Commentaire / Exemple

Daprs larticle 37 1, la
nomination dun DPO est
notamment obligatoire dans le cas
Avez-vous nomm DPO ? Si non, o vos activits de base consistent
avez-vous vrifi et document que des oprations de traitement
DPO 1
vous n'tes pas soumis cette grande chelle impliquant un suivi
(dlgu la exigence ? systmatique des personnes
protection des concernes, ou des donnes
donnes sensibles au sens des articles 9 et
personnelles) 10.
Le rattachement hirarchique du
dlgu la protection des donnes
2
personnelles (DPO) garantit-il son
indpendance ?
Avez-vous dtermin le primtre
des entits / Business Unit
3
concernes par le plan de mise en
conformit ?
Le registre comporte le nom et les
Avez-vous tabli un registre des coordonnes du responsable du
traitements dont vous tes traitement, les finalits du
4
responsable, co-responsable ou traitement, les catgories de
sous-traitant ? destinataires et des personnes
concernes, etc.

Garanties cf. chapitre V du GDPR :


Avez-vous identifi les transferts de
soit niveau de protection adquate
donnes personnelles hors Union
du pays tiers (art. 44) soit
Primtre 5 Europenne ? Si oui, avez-vous
mcanisme de sauvegarde vis
d'application formalis les garanties mises en
l'art 46 (par ex. Binding Corporate
uvre ou l'tude ?
Rules)

Avez-vous ralis un tat des lieux


6 des processus mtiers traitant des
donnes personnelles ?
Avez-vous identifi les sous-
traitants traitant vos donnes
personnelles ?
Si oui, vous assurez-vous que les
7
sous-traitants existants et futurs
sont conformes aux exigences du
GDPR contractuellement et par le
biais de contrles ?
Une organisation projet couvre
Avez-vous mis en place une
Mise en gnralement le(s) sponsor(s),
8 organisation projet pour la mise en
conformit lquipe projet, les tches, jalons et
conformit au GDPR ?
livrables

27
Sous thme # Question Commentaire / Exemple

Une feuille de route propose


gnralement les projets, le
Avez-vous tabli une feuille de
recensement des moyens, la cible
9 route pour la mise en conformit
atteindre, la priorit des tches,
au GDPR ?
ainsi quun calendrier pour
atteindre ces buts.
Existe-t-il un reporting priodique
au Board/Comex pour sassurer de
10
lavancement du plan daction et
dcider dactions correctrices ?
Le plan d'audit intgre-t-il des
11 missions de contrle de la mise en
conformit au GDPR ?
Les politiques prcisent les dures
de conservation des donnes
personnelles, la scurit des
Avez-vous intgr les lments de donnes, la suppression des
Politiques et
12 conformit au GDPR dans vos donnes, la notification en cas de
procdures
politiques et procdures ? violation des donnes personnelles,
la validation priodique de la
pertinence du dispositif en place,
etc.
Une veille juridique a-t-elle t
Veille Exemple : guidelines mises par le
13 mise en place pour suivre les
juridique G29 (WP29)
volutions rglementaires ?
Les politiques et procdures en lien
avec le GDPR sont-elles diffuses
14 Exemple : code de conduite
aux collaborateurs de votre
entreprise ?
Formation Le programme de formation inclut
des dispositifs comme du E-
Avez-vous intgr le GDPR votre
15 learning, des formations rgulires
programme de formation RH ?
(Manager, SI, mtiers), des actions
de communication, etc.

Avez-vous revu la couverture


Assurance 16 dassurance de votre entreprise
pour tenir en compte du GDPR ?

28
Check-list Mtiers

Sous thme # Question Commentaire / Exemple

Ces lments sont un pralable


Avez-vous identifi pour vos
ncessaire ltablissement du
traitements les finalits, les
17 registre de traitements exig par le
personnes concernes et les
GDPR pour chaque responsable de
catgories de donnes traites ?
traitement et sous-traitant.
Limiter par dfaut le traitement de
Avez-vous vrifi la donnes caractre personnel ce
proportionnalit des donnes qui est strictement ncessaire, en
18
collectes aux finalits des ce qui concerne la quantit de
traitements ? donnes traites, leur accessibilit
et leur priode de conservation.
Le traitement doit tre fond sur
une base lgale prvue l'article 6
du GDPR (licit), qui peut tre :
une obligation lgale, l'intrt
lgitime du responsable de
Pouvez-vous justifier la base lgale
19 traitement, l'excution d'un
de chacun de vos traitements ?
contrat, le consentement exprim
par la personne concerne, la
protection des intrts vitaux d'une
personne concerne, une mission
d'intrt ou de service public.
Lorsque la base lgale du
Licit des traitement est le consentement,
traitements Gestion : recueil, enregistrement,
20 avez-vous mis en place des
modification, rvocation, etc.
mcanismes de gestion de ce
consentement ?
Si vous
- effectuez des croisements entre
plusieurs catgories de donnes
Pour les traitements impliquant le collectes sparment, ou
croisement entre plusieurs - rutilisez des donnes collectes
catgories de donnes pour un autre traitement, ou
(interconnexion de fichiers), la - utilisez des donnes fournies par
21 rutilisation de donnes collectes une tierce partie,
lors d'un autre traitement ou Vous devez vrifier que votre
lenrichissement des donnes, avez- traitement est conforme aux
vous consult le DPO et vrifi la finalits pour lesquelles les
conformit au GDPR ? donnes ont t collectes ou, le cas
chant, aux consentements
donns par les personnes
concernes
Des dures de conservation sont-
elles dfinies pour les donnes
traites ?
22
Si oui, les dures sont-elles
communiques aux personnes
concernes ?

29
Sous thme # Question Commentaire / Exemple

Profilage : toute forme de


Pour les traitements entrant dans traitement automatis de donnes
le cadre du profilage, avez-vous caractre personnel consistant
23
consult le DPO et vrifi la utiliser ces donnes pour valuer
conformit au GDPR ? certains aspects personnels relatifs
Types de une personne physique
traitements
Pour les traitements soumis des Exemples de traitement :
hauts risques potentiels sur la vie vidosurveillance, golocalisation,
24 prive, avez-vous consult le DPO whistleblowing, coute sur le lieu
et vrifi le respect des conditions de travail, contrle d'accs aux
spcifiques ? locaux, biomtrie, etc.
Si vous collectez des catgories
Catgories des particulires de donnes (donnes
donnes 25 sensibles), avez-vous vrifi la Cf. articles 9 et 10 du GDPR.
collectes licit de leur collecte et de leur
traitement ?
Les personnes concernes
bnficient-elles dune information
26
claire et comprhensible lors de la
collecte des donnes ?
Avez-vous une procdure valide et
teste pour rpondre aux
demandes dexercice des droits
Y compris la notification des
Droits des prvus par le GDPR ?
demandes de rectification ou de
personnes
27 suppression aux sous-traitants ou
En particulier droits d'accs, de
autres tierces parties destinataires
rectification, de suppression des
des donnes.
donnes de droit l'oubli, de droit
la portabilit ou de limitation de
traitement ?
Les personnes concernes peuvent-
28 Exemple : Self-service.
elles modifier leur consentement ?
Avez-vous dfini contractuellement
Contractualisa
avec vos sous-traitants des
tion avec les 29
exigences en termes de protection
sous-traitants
des donnes ?
Si vous effectuez des transferts de
donnes personnelles des
Transferts de
entreprises situes hors de lUnion
donnes en
Europenne, vous tes-vous
dehors de
30 rapprochs de votre DPO ou de
l'Espace
votre service juridique pour vrifier
Economique
que les transferts effectus soient
Europen
couverts par des garanties
appropries ?
Avez-vous exprim des exigences Exemple d'exigences de scurit :
Scurit des
de protection des donnes pseudonymisation, chiffrement,
donnes 31
personnelles vis vis de votre stockage et transferts scuriss,
personnelles
service informatique ? rgles de purge ou d'archivage, etc.

30
Sous thme # Question Commentaire / Exemple

Etes-vous associ au processus de


dtection, de traitement et de
32
notification des violations de
donnes personnelles ?
Avez-vous dfini des critres de
dcision pour dterminer si une
33
Etude d'impact sur la vie prive
Etude d'impact (DPIA) tait ncessaire ?
sur la vie Si la criticit du traitement
prive (DPIA) implique une tude d'impact sur la
34 vie prive (DPIA), avez-vous
effectu cette tude en coordination
avec le DPO ?

Check-list Systmes d'Information et cyberscurit

Sous thme # Question Commentaire / Exemple

Dictionnaire de donnes, accs


Cartographie Avez-vous une cartographie
(utilisateurs, interfaces),
des systmes exhaustive des donnes
35 applications, bases de donnes,
d'informations personnelles traites dans votre
serveurs, Datacenter, services
(SI) systme d'information ?
cloud, localisation, etc.
Avez-vous intgr les lments de
conformit au GDPR dans votre
36
politique de scurit des systmes
d'information ?
Exemples de rfrentiels de
Utilisez-vous des standards ou des
scurit : ISO27001, NIST, guide
37 guides de bonnes pratiques
d'hygine ANSSI, CIS critical
Security by design ?
security controls, etc.
Avez-vous dfini et mis en place
Scurit des Conception des habilitations,
des procdures de gestion des accs
donnes 38 ajout/suppression des droits,
aux systmes contenant des
personnelles revues rgulires des droits d'accs)
donnes personnelles ?

Avez-vous dfini et mis en place Bastion, enregistrement de sessions


39 des mesures de scurisation des des comptes privilges sur les
accs administrateurs privilgis ? serveurs, ...)

Avez-vous mis en place des Donnes stockes sur les serveurs


mcanismes de protection des (Data at Rest) et pour le transport
40 donnes personnelles (notamment de ces donnes sur le rseau (Data
chiffrement ou de in transit), (exemples : outils de
pseudonymisation) ? tokenisation, ...)

31
Sous thme # Question Commentaire / Exemple

Avez-vous mis en place des


mcanismes d'archivage et de
41
suppression des donnes
personnelles ?
Protection de
Ces mcanismes sont-ils aligns sur
la vie prive
la politique de conservation
ds
42 (notamment avec les dures lgales
la conception
ou contractuelles de rtention des
( privacy by
donnes) ?
design )
Segmentation rseau, pare feux,
Avez-vous mis en place des
anonymisation ventuelle des
mcanismes permettant d'isoler les
43 donnes personnelles en
environnements de production et
environnements de non
de non production (test, recette) ?
production.
Avez-vous mis en place des
mcanismes de traabilit et de
dtection daccs aux donnes Accs des utilisateurs/interfaces,
Transparence,
44 personnelles ? (Notamment dplacements et copies en masse
information
dplacement ou copie de donnes des donnes personnelles, etc.
non autoriss dclenchant des
alertes aux quipes scurit)
Avez-vous tabli la procdure de Procdure dtaillant la dtection, la
Dispositif de
dtection, de traitement et de rponse incident et la
dtection et de 45
notification des violations de communication en cellule de crise,
notification
donnes personnelles ? puis l'autorit dans les 72 heures
Exemples : questionnaire de
Avez-vous dfini contractuellement
scurit, clauses contractuelles
Contractualisa des exigences en termes de
lies la protection des donnes,
tion avec les 46 protection des donnes avec vos
clause d'audit de scurit,
sous-traitants sous-traitants informatiques
suppression des donnes la fin de
(prestataires ou fournisseurs) ?
la prestation, etc.

Effectuez-vous rgulirement des Exemples : vrification de la mise


Codes de
contrles / audit de scurit de vos en place des clauses de scurit,
conduite et 47
sous-traitants informatiques audit technique de scurit, tests
Certification
(prestataires ou fournisseurs) ? d'intrusion, etc.

Avez-vous dfini des critres de


dcision pour dterminer si une
48
Etude d'impact Etude d'impact sur la vie prive
sur la vie (DPIA) tait ncessaire ?
prive (DPIA) Avez-vous dfini une mthode
Exemples : Etude d'impacts sur la
49 d'tude d'impact vie prive en
vie prive : la mthode de la CNIL
coordination avec le DPO ?

Avez-vous dfini et mis en uvre


une ou plusieurs solutions pour Sauf exception, le GDPR impose
Gestion de
rpondre aux demandes daccs, de un dlai maximum dun mois pour
lexercice des
50 rectification, de suppression des rpondre aux demandes dexercice
droits des
donnes, de droit l'oubli, de droit de leurs droits par les personnes
personnes
la portabilit, de limitation des concernes (Art. 12.3).
traitements dans vos applications ?

32
FOCUS EXPERT

Florence CHAFIOL, Avocat Associe


Stphanie LAPEYRE, Avocat
August Debouzy

Les bases lgales de traitement

Pour tre licite, un traitement de donnes caractre personnel doit respecter lune
des six bases lgales fixes par le GDPR. Il appartiendra alors au responsable de
traitement didentifier, pour chaque traitement, la base lgale sur laquelle il se fonde et den
informer les personnes concernes.

1. Lexcution dun contrat : le traitement sera licite lorsquil est vritablement


ncessaire dans le cadre de lexcution dun contrat ou dans lintention de conclure un
contrat.

2. Une obligation lgale : le traitement sera licite lorsquil est effectu conformment
une obligation lgale (lgislation de lUE ou de lEtat du responsable de traitement).

3. Lexcution dune mission dintrt public ou relevant de lexercice de


lautorit publique.

4. Lintrt vital : le traitement sera licite lorsque lintrt vital de la personne concerne
ou dun tiers est en jeu (question de vie ou de mort ou risque datteinte la sant).

5. Lintrt lgitime : le traitement sera licite sil rpond un intrt lgitime poursuivi
par le responsable de traitement et que cet intrt prvaut sur les intrts ou les droits et
liberts des personnes concernes.

6. Le consentement : le traitement sera licite sil repose sur le consentement de la


personne concerne. Pour tre valide, le consentement doit tre :
- Libre : la personne doit bnficier dune vritable libert de choix (il ne doit
notamment pas y avoir de dsquilibre manifeste entre la personne et le responsable
de traitement ; un consentement par finalit doit tre requis ; enfin, lexcution dun
contrat ne doit pas tre subordonne lobtention du consentement si cela nest pas
ncessaire une telle excution).
- Spcifique : si le consentement est demand dans un document regroupant plusieurs
questions/informations il convient de distinguer la partie relative la demande de
consentement sous une forme aisment accessible et formule en des termes clairs
- Eclair : la personne doit bnficier des informations ncessaires pour dcider en
connaissance de cause.
- Rsulter dun acte positif et univoque : le consentement doit relever dun
comportement actif et sans ambigut de la personne (case cocher par exemple ; en
revanche le silence ou tout acte implicite ou passif ne constituent pas un
contentement valide).

Le consentement doit pouvoir tre retir tout moment et la personne doit tre informe de
cette facult de retrait. La charge de la preuve de lobtention du consentement repose sur le
responsable de traitement.

33
CHAPITRE 2

RECOMMANDATIONS ET
MESURES METTRE EN PLACE
POUR UN SI CONFORME

Pilot par Rgis DELAYAT,


Vice-prsident du CIGREF

Coordonn par Flora FISCHER


Charg de programme de recherche,
CIGREF

et
Sophie BOUTEILLER,
IT Governance Officer, SCOR

Avec le concours de Jean-Sbastien MARIEZ et Marie-


Mathilde DELDICQUE, Avocats, De Gaulle Fleurance &
Associs.

34
Identifier les mesures mettre en place pour un SI
conforme

Les objectifs du sous-groupe 2 (SG2) sur les mesures techniques visent identifier les
impacts des rglementations internationales sur les donnes personnelles, et du GDPR en
particulier, sur les architectures des systmes dinformation (SI) des entreprises.

Le groupe de travail na pas envisag la reconstruction dune architecture SI en place, elle


relve de choix dentreprise et sinscrit dans loptimisation de loprationnel, et ne doit pas tre
remise en question du seul fait des rglementations sur les donnes personnelles. Pour assurer
la conformit, il sera ncessaire de mixer des actions de renforcement classique
de la scurit du SI et diverses actions cibles sur les donnes (de type chiffrement,
pseudonymisation...). Ainsi, les participants ont travaill partir des architectures existantes
dans leur organisation, quelles soient globales ou dlocalises. Chaque entreprise pourra, en
fonction de son propre contexte, adapter et se rapproprier ces inventaires.

Les participants ont dabord identifi les composants du SI qui gnrent ou vhiculent des
donnes personnelles (messagerie, CRM), et fait linventaire des risques affrents, quil
sagisse de risques de scurit du SI en gnral, de risques lis la protection des donnes
personnelles, ou encore de risques lis la protection des droits des personnes.

Les participants ont ensuite identifi les mesures et recommandations potentiellement


applicables en fonction de chaque typologie de risques, pour assurer la conformit du SI.

Les risques par composant du SI ainsi que les mesures et


recommandations mettre en place sont dtaills plus bas
dans le document, et dans un fichier Excel joint ce
rapport.

Par ailleurs, au-del de ce travail didentification et de


partage dexprience entre les participants, le SG2 a fait
intervenir des fournisseurs 9 de solutions logicielles
embarquant des donnes personnelles (RH, CRM,
messagerie, etc.), on-premise et SaaS, pour identifier les
mesures techniques proposes en standard ou en option
dans leurs offres et informer les participants sur la manire
dont ils se prparent eux-mmes pour tre conformes en
mai 2018.

A noter, les options de chiffrement proposes par les fournisseurs ne sont en gnral pas
retenues par les clients, dune part par crainte davoir grer une complexit croissante
doutils de chiffrement (chaque fournisseur proposant sa solution), dautre part par crainte de
voir les cots lis au SI augmenter (chaque solution de chiffrement tant une option
gnralement payante). Certaines entreprises tudient donc la possibilit de dvelopper leur
propre outil de chiffrement.

Pour alimenter ses rflexions, le SG2 a galement choisi de sappuyer sur un cas dusage : le
prsent document dtaille un service de CRM, dvelopp au sein de groupe de travail par
Jrme Capirossi dUNEXX.

9 Microsoft, Salesforce et Workday.

35
Mesures potentiellement applicables sur les SI

Approche composants SI

Par composants du systme dinformation , il faut comprendre tout ce qui supporte les
services et les flux associs : les bases de donnes, le Cloud, les datacenters, les postes de
travail, lIoT (Internet of Things), les messageries, les plateformes de traitement Big Data, etc.

Les mesures identifies visent non seulement protger tous les composants et
applicatifs, mais aussi les flux qui existent entre eux (reprsents par les flches dans
le schma ci-dessous) :

Source : CIGREF, Donnes Personnelles et Systmes dInformation (2017)

Les types de risques par composants sont rpertoris en annexes.

36
FOCUS ENTREPRISE

Franois CORNELY
Licensing executive
MICROSOFT

Quelles sont les solutions de cyberscurit proposes par Microsoft ?

En termes de cyberscurit, Microsoft sattache protger quatre dimensions essentielles :


linfrastructure, les matriels, les donnes et les identits :

La protection des terminaux consiste protger les appareils, dtecter des


activits suspectes. Microsoft peut rpondre en bloquant les terminaux, ou via :
o Le chiffrement de donnes avec Bitlocker
o Lanalyse de pices jointes avec Advanced Threat Protection
o La protection du systme Windows contre les menaces sophistiques avec
Windows Defender ATP

La protection de lidentit peut se faire avec diverses solutions :


o Windows Hello (biomtrie)
o Credential Guard
o Enterprise Mobility and Security : protection de lidentit et accs
conditionnel (le systme sauto-adapte avec du machine learning)

La protection de la donne seffectue notamment avec : la solution Azure


Information Protection qui fait de la gestion du chiffrement et de la protection de la
donne un haut niveau de granularit. Le chiffrement doit suivre le cycle de vie de la
donne. Cest ce que lon appelle des droits digitaux . Microsoft labore donc des
stratgies de chiffrement en fonction du niveau de sensibilit des donnes.
La protection de linfrastructure : sur ce point, les solutions proposes par
Microsoft permettent :
Une visibilit complte, le contrle et la scurit des applications SaaS
et des ressources Azure
La centralisation et la corrlation des logs de scurit
La gestion des secrets et des clefs cryptographiques

37
Typologie de risques

Une fois les composants SI identifis, le SG2 a rpertori les risques lis ces composants (voir
annexes tableau onglet 2). Trois typologies de risques ont t identifies :

La scurit du SI : il faut prendre conscience de la criticit du SI en sa qualit de


berceau des donnes , comme le formule lANSSI dans son Guide dHygine
Informatique : Renforcer la scurit de son systme dinformation en 42 mesures.
o Cette typologie de risque soulve des problmatiques comme lintrusion du
SI par un malware, lusurpation dun compte utilisateur ou encore le dfaut
dapplication des mises jour de scurit.
La protection des donnes personnelles : elle consiste dfinir la marche suivre en
cas, par exemple, de dfaut de cartographie actualise des donnes personnelles et des
traitements, de divulgation malveillante de donnes personnelles, ou encore dcrire
les dispositifs de chiffrement et danonymisation/pseudonymisation.
Les droits de la personne : comment garantir le droit la portabilit, le droit loubli
ou tout ce qui a trait la transparence des traitements, au profilage, la rtention des
donnes, au consentement, etc. ? Cette catgorie trs large a t dcoupe par grandes
familles de risques, et fait lobjet dun dveloppement dtaill, propos ci-aprs par le
Cabinet De Gaulle, Fleurance & Associs :
o La non disponibilit ;
o Le dfaut dintgrit ;
o La perte de confidentialit ;
o Labsence de traabilit ;
o Les usages illicites ;
o La rpudiabilit.

38
FOCUS ENTREPRISE

Michel BENARD
Urbaniste SI
LES MOUSQUETAIRES

Comment la dimension risque est-elle traite au sein du Groupement des


Mousquetaires ?

Dans la dimension du risque, il faut prendre en compte :

Les diffrentes catgories de donnes personnelles, notamment celles dont le


traitement demandait jusqu'ici des autorisations spcifiques : donnes de localisation,
donnes de sant ou gntiques, donnes lies des condamnations, etc.

Le volume des donnes personnelles, cest--dire le nombre de "personnes concernes"


stockes dans tel ou tel systme informatique, mais aussi circulant dans les flux entre systmes
par unit de temps. Il faut pouvoir anticiper les cots de notification aux personnes concernes
en cas d'atteinte la scurit dudit systme.

Il est ncessaire de dvelopper galement des vues du SI, faites selon un point de vue
"juridique" : une vue o l'on verrait par exemple les applications et les rles de "Data
Processor" et "Data Controller" qui lui sont lis (pour reprendre le vocabulaire du GDPR), ainsi
que la localisation gographique et/ou les acteurs ayant accs aux applications.

Il existe un embryon de cette vue dans le modle de rfrence de la commission europenne


(EIRA Legal view).

39
Mesures applicables et recommandations

Les mesures (techniques, organisationnelles, juridiques) potentiellement applicables aux 3


typologies de risques identifies prcdemment sont dtailles en annexes. Par exemple, voici
une srie de mesures proposes pour grer le risque Transfert non scuris de
donnes personnelles .

Composants du SI exposs ce risque

Cloud

Applications

Base de Donnes

Datawarehouse

Big Data

GED-Archivage

Fichiers Partags

Messagerie

Donnes en sortie

Mesures potentiellement applicables pour se protger de ce risque

Intgrer les contraintes ds la phase de design (privacy-by-design)

Politique sur les droits et devoirs en matire de sortie des donnes

Chiffrement et anonymisation

Encadrement contractuel avec le partenaire


(NDA, clause de confidentialit, clause de suppression des donnes)

Contrle des accs

Gestion centralise des logs (SIEM, Security Information Event Management)

EDRM, Enterprise Digital Right Management (Protection bureautique avec chiffrement,


watermarking)

Limitation des accs internet

Interdiction de cls USB (dans certains pays)

Blocage de sites de transferts (type Wetransfer, Dropbox)

Dtection de tlchargements/transferts de fichiers importants

Intgration de donnes piges

Audit

Sensibilisation/Formation utilisateurs et IT

Filtrage IP des applications multi-tiers

40
Mesures applicables pour se protger des risques
identifis

Rappel : les composants SI sont rpertoris dans longlet 1 du tableau disponible en annexes
et les mesures techniques potentiellement applicables aux risques des 3 typologies de risques
sont rpertories dans longlet 2. Le tableau qui suit met en vidence les composants
techniques exposs au trois types de risques (Scurit SI, Protection des donnes, Droits des
personnes). A la suite du tableau sont listes les mesures techniques et recommandations
applicables, de manire non exhaustive.

41
FOCUS ENTREPRISE

Thierry MATHOULIN, Benjamin ALLOUL, Bernhard VON


SONNLEITHNER
WORKDAY

Quels sont les aspects techniques et juridiques de la mise en conformit


chez Workday ?

Cr en 2005, Workday, lun des leaders des applications Cloud de Finance et RH a construit
une nouvelle gnration dapplication Finance et RH en prenant en compte les volutions
technologiques : architecture unique, scurise, en mode SaaS, partage par tous les clients.
Workday sattache inclure les mesures de protection des donnes dans tous ses
dveloppements dapplications, de processus ou de services qui utilisent des donnes
personnelles afin de rester en conformit avec le GDPR.

Aspects juridiques
Workday agit comme un sous-traitant sur les donnes personnelles des clients soumises
lectroniquement dans ses applications en mode software as a service ( SaaS ). Dans ce
cadre, Workday traite uniquement les donnes personnelles selon les instructions de ses
clients qui demeurent responsables de traitement tout instant.

Workday propose un accord dtaill et complet ( Data processing agreement ) qui dfinit
les engagements contractuels forts de Workday concernant le traitement des donnes
personnelles de ses clients dans le cadre de ses applications SaaS. La socit mre de Workday
est elle-mme certifie Privacy Shield frameworks EU-US et Suisse-US, maintenu par le
dpartement du commerce amricain. Workday propose galement ses clients de la
communaut europenne les clauses contractuelles types afin de lgaliser les transferts de
donnes personnelles en dehors de lEspace Economique Europen.

Aspects techniques
Pour les clients europens, Workday opre deux datacenters situs dans lEspace
Economique Europen. Actuellement, le datacenter principal se situe Dublin en Irlande
et le datacenter secondaire est situ Amsterdam aux Pays-Bas.

En tant que fournisseur dune solution SaaS, Workday assure lintgration de la gestion de
linfrastructure sur laquelle repose son service, linfrastructure sur laquelle les clients oprent
le service ainsi que la maintenance du service. Les clients sont responsables de la scurit de
leur systme dinformation et de ladministration de leur environnement applicatif, quils
alimentent avec leurs propres donnes. Workday propose une solution unifie qui permet aux
clients de gnrer directement leurs reporting. Pour Workday, les donnes disponibles dans la
plateforme restent la proprit de leurs clients.

Concernant la scurisation, ce sont les clients qui grent les authentifications afin de savoir qui
se connecte sur la plateforme. Ce sont galement les clients qui grent le niveau daccs des
collaborateurs aux donnes. Le cadre, relativement flexible, permet chaque entreprise de
rpondre des besoins spcifiques. Lensemble des activits des utilisateurs est trac par


Workday, lensemble des changements est conserv ad vitam aeternam . La traabilit de
la lecture dans le systme est galement possible.

42
Typologie 1 : Scurit SI

Les composants SI concerns par les risques touchant la scurit du SI sont les suivants :

Fichiers Partags

Rseaux Sociaux
Donnes source

GED-Archivage

Donnes sortie
Application

Messagerie
Datacenter

Workplace

Video-IoT
Types de Risques

Database

Big Data
Rseau

Cloud

DWH
Scurit du SI

Intrusion physique dans le


datacenter ou dans les locaux

Perte ou vol dun quipement


Destruction dun quipement
physique, dun composant
software ou de donnes
Intrusion extrieure dans le
rseau
Inaccessibilit dun service

Infiltration via malware


Gestion dfaillante des droits
daccs
Usurpation didentit dun
compte utilisateur
Usurpation dun compte
administrateur
Exfiltration de donnes

Interception dchanges
Dfaut dapplication des mises
jour de scurit
Non dtection de vulnrabilits
Incapacit tracer un incident
ou des accs
Incapacit dtecter une atteinte
aux donnes
Dfaut de pilotage dun sous-
traitant / fournisseur (IoT)
Ngligence dun sous-traitant /
fournisseur (IoT)
Intervention frauduleuse dun
sous-traitant

Les mesures et recommandations sur la typologie de risque Scurit SI sont essentiellement des actions de
renforcement de la scurit globale du SI, elles ne traitent pas directement de la protection des donnes en elle-mme,
mais sattachent scuriser le systme dinformation en tant que berceau des donnes 10.

ANSSI, Guide dHygine Informatique : Renforcer la scurit de son systme dinformation en 42


10

mesures

43
Mesures techniques pour chaque type de risques identifi concernant la Scurit
du SI :

Intrusion physique dans le datacenter ou dans les locaux

Systme de contrle des accs physiques : badge, contrle identit (scanner


biomtriques, etc.), accs renforc pour certains espaces sensibles (salles
serveurs fermes, etc), camras vido-surveillance, alarmes, etc
Exigences contractuelles (contrats dhbergement, partenaires intervenant dans
les locaux)
Chiffrement wifi et accs contrl par mot de passe
Blocage des ports sur les quipements
Network Access Control (mthode informatique dfinissant un protocole
didentification pour accder un rseau dentreprise, et prenant en compte les
ventuelles restrictions dusages par identifiants.)

Perte ou vol dun quipement

Authentification forte (2-factor, tentatives limites, mots de passe bios et


Windows)
Chiffrement des postes et des mobiles (Bitlocker, Mobileiron, etc)
Usage limit/contrl du BYOD
Blocage des ports USB
Effacement distance des disques des mobiles
Interdiction de stockage sur disque dur
Sauvegardes rseau
Gestion centralise des configurations
Procdure de dcommissionnement des quipements (serveurs, PC, mobiles)
Chiffrement des disques du SAN pour les serveurs

Destruction dun quipement physique, dun composant software ou de donnes

Contrat de maintenance fournisseur (accs un quipement similaire,


restauration, rversibilit, etc)
Sauvegardes adaptes (cycle de vie)
Chiffrement de surface
Sauvegarde des configurations et des procdures de Maintien en Conditions
Oprationnelles (MCO)

Intrusion extrieure dans le rseau

Protection type filtrage internet (BlueCoat, etc)


Protection WAF, firewall, reverse proxy
Limitation des flux
Segmentation rseau VLAN
Scurisation des points d'accs (wifi WPA)
Filtrage de port des VPN des partenaires externes
URL et contrle d'accs nominatif
IPS

44
Blocage des ports
Utilisation du chiffrement par dfaut des communications
Sauvegarde des logs rseaux
Mise en place d'un SOC (Security Operation Center)
Network Access Control

Inaccessibilit dun service

Plan de Continuit d'Activit


Dual data center (actif/actif)
Haute disponibilit

Infiltration via malware

Politique de veille diteurs (systme + middleware)


Patch management
Anti-malware (et anti-virus)
Filtrage url et ports
Passerelles SMTP (ProofPoint)
Blocage webmail
Protection contre les menaces rseau avances (ATP, Advanced Threat
Protection)
Sauvegardes et restaurations
Sensibilisation des utilisateurs
Procdure d'alerte en cas d'urgence
SOC de 3me gnration incluant une analyse d'cart comportemental

Gestion dfaillante des droits daccs

Outillage d'identification, de classification et de revue des accs


Attribution automatique des accs (GDI/GDA), et workflow associs
Security entitlement
Audit rgulier des droits d'accs
Politique de changement de mots de passe
Gestion centralise des logs (SIEM, Security Information Event Management)
Mise en place d'un SOC
Mise en place de scnarios d'attaque mtier dans les rgles du moteur de
corrlation (SIEM)

Usurpation didentit dun compte utilisateur

Politique de mots de passe (complexit, changement rgulier)


Sensibilisation utilisateur
Norme de flux https/sftp
Norme sur les cookies et les identifications
Gestion centralise des logs (SIEM, Security Information Event Management)
(par exemple, dtection d'un mme compte accdant plusieurs postes)
Authentification forte 2 facteurs

45
Usurpation dun compte administrateur

Comptes "administrateur" (privilges forts) spars des comptes "utilisateur"


(usage bureautique)
Contrle d'accs renforc
Politique de mots de passe renforce
Outil de gestion des accs et renouvellement automatique sur des comptes
gnriques (type CyberArk)
Notification automatique des accs IP suspects
Gestion nominative des accs administrateurs
Limitation des administrateurs de domaines au strict minimum, et sparation
complte de leurs environnements de travail et de leur environnement
d'administration de l'Active Directory
Utilisation de connexion centralise et trace des comptes administrateurs
(Bastion type Wallix, Centrify...)
Revue des comptes administrateurs (et de leurs droits)

Exfiltration de donnes

Politique sur les droits et devoirs en matire de sortie des donnes


Chiffrement, anonymisation et pseudonymisation
Anonymisation persistante
Encadrement contractuel avec le partenaire (NDA - clause de confidentialit,
clause de suppression des donnes)
Gestion centralise des logs (SIEM, Security Information Event Management), et
synchronisation des quipements
EDRM, Enterprise Digital Right Management (protection bureautique avec
chiffrement, ou watermarking, qui consiste cacher un copyright dans un fichier)
Limitation des accs internet
Blocage des ports USB pour le transfert de donnes (cls USB, disques durs
externes, tlphones portables, graveurs de CD/DVD/Blueray externes, etc..)
Blocage de sites de transferts (type Wetransfer, Dropbox)
Dtection de tlchargements/transferts de fichiers importants
Intgration de donnes piges pour traabilit de la source de l'exfiltration
Mise en place d'une politique de DLP (Data Leakage Prevention) et des outils
associs

Interception dchanges

Protection via des flux scuriss (TLS/SSL, https, sftp, ...)


Traabilit des flux (garantie arrive) (rpt qqs lignes aprs)
Installation cl WPA sur le rseau wifi
Chiffrement au niveau applicatif (chiffrement de signature)
Chiffrement datacentrique
Politique de mots de passe

46
Dfaut dapplication des mises jour de scurit

Politique de gestion des patchs


Outil de contrle de mise niveau applicatif, intgrant des scans de vulnrabilit
priodiques
Tests de pntration avec rapport et plan de remdiation
Projet de normalisation et gestion de lobsolescence
Patchs virtuels (ex. pour simuler les patchs au niveau rseau). IPS (Intrusion
Prevention System)
Dploiement d'un IDS (Intrusion Detection System)
Automatisation du patching des quipements auprs du fournisseur
Sensibilisation des quipes techniques
Dispositifs de contrle interne (contrle ad hoc dans le cadre de contrle interne
de l'entit)
Solution de conteneurisation des applicatifs

Non dtection de vulnrabilits

Test intrusion et scans de vulnrabilit rguliers


Politique de patching
Host Intrusion Prevention System (HIPS) pour permettre le patching virtuel des
vulnrabilits
Analyse de qualit de code, et respect standard & normes scurit (type Fortify)
Production de normes & standards : master, code, configuration middleware, etc.
Procdure d'alerte et d'application urgente de patch
Inventaire ponctuel qui permet de dtecter des non conformits et vulnrabilits
potentielles
Veille vulnrabilits
Sensibilisation utilisateur

Incapacit tracer un incident ou des accs

Remonte centralise des logs et moteurs de corrlation (SIEM)


SOC
Service forensic (quipe ddie pour rponse aux incidents et la veille)
Procdure de gestion de crise (pour tre efficiente, doit tre teste
priodiquement, dans son ensemble)

Incapacit dtecter une atteinte aux donnes

SIEM : qualification des incidents, contrle dintgrit (signature


cryptographique, hash, CRC), logs sur les accs aux donnes
Audit de scurit
Tests d'intrusion
Sensibilisation la remonte dincidents/doutes de compromission
Veille sur internet pour recherche de traces de compromission ou de revente des
donnes

47
Dfaut de pilotage dun sous-traitant / fournisseur (IoT)

Encadrement contractuel (clauses contractuelles types approuves par la


Commission et/ou la CNIL, BCR)
NDA
SLA
Reporting
Audit physique et logique
Obtention d'un rapport d'audit d'un tiers de confiance, i.e. un auditeur
indpendant attestant la bonne excution des services (ISAE 3402, SSAE16...)
Validation des procdures de backup
Vrification de la bonne gestion/corrlation des logs
Mise en concurrence
Bilan de conformit annuel

Ngligence dun sous-traitant / fournisseur (IoT)

Contrles pralables la contractualisation (clauses contractuelles types


approuves par la Commission et/ou la CNIL, BCR)
Intgration de clauses contractuelles de rupture en cas de ngligence
Revue oprationnelle rgulire avec le sous-traitant
Utilisation de la stganographie (dissimulation de donnes dans dautres
donnes) ou de donnes piges pour identifier la source du problme
Gestion des incidents et notification l'autorit de contrle et/ou aux personnes
concernes
Audit rgulier sur sous-traitant

Intervention frauduleuse dun sous-traitant

Service de fraude avec contrle et surveillance


Vrifications de prcaution sur la sant financire du sous-traitant
Encadrement contractuel (clauses contractuelles types approuves par la
Commission et/ou par la CNIL, BCR)
Contrle des accs
VPN partenaire
Gestion des incidents et notification l'autorit de contrle et/ou aux personnes
concernes
Utilisation de la stganographie, ou insertion de donnes piges, pour identifier
la source du problme
Audit rgulier du sous-traitant

48
Typologie 2 : Protection des donnes

Les composants SI concerns par les risques touchant la protection des donnes sont les
suivants :

Fichiers Partags

Rseaux Sociaux
Donnes source

GED-Archivage

Donnes sortie
Types de Risques

Application

Messagerie
Datacenter

Workplace

Video-IoT

Database

Big Data
Rseau

Cloud

DWH
Protection des donnes

Dfaut de cartographie
(actualise) des donnes (dfaut
de tenue d'un registre des
traitements)
Localisation non autorise de
donnes personnelles
Non respect des rglementations
locales (ex. galit des chances
aux US, )
Absence de cloisonnement des
donnes personnelles
Non respect des rgles de
rtention des donnes (dure de
conservation)
Non respect des formalits
pralables applicables au
traitement
Transfert non scuris de
donnes personnelles
Transferts non encadrs de
donnes hors UE
Accs non conforme ou non
encadr aux donnes
personnelles
Propagation malveillante de
donnes personnelles
Divulgation de donnes
personnelles par inadvertance

Vol de donnes

Perte dintgrit des donnes

Dtention ou utilisation abusive


de donnes personnelles
Dtournement de finalit de
traitements de donnes
personnelles du fait dune
mauvaise anonymisation

49
Reconstitution de lidentit dune
personne et enrichissement de
son profil par corrlation entre
plusieurs sources internes ou
externes (big data)

Dfaut de PIA

Dfaut de privacy by design


(absence de rgles sur la
minimisation des donnes
celles strictement ncessaires,
non-prise en compte)
Dfaut de notification dune
atteinte aux donnes

Les mesures et recommandations potentiellement applicables sur la typologie de


risque Protection des donnes sont les suivantes :

Dfaut de cartographie (actualise) des donnes et des traitements (dfaut de tenue d'un
registre des traitements et/ou des violations de donnes personnelles)

Procdure de cartographie/inventaire des donnes mtiers (catgories de


donnes, finalits, destinataires, dure de conservation, types de support, etc),
rgulirement tenu jour et analys
Registre du CIL/DPO (obligatoire)
Dictionnaire de donnes (catgories de donnes : donnes courantes, donnes
perues comme sensibles, donnes sensibles)

Localisation non autorise de donnes personnelles

Information/sensibilisation sur les contraintes de localisation des donnes dans


les pays concerns
Matrise des donnes et traitements des services concerns
Dploiement d'une solution de data management
Revue des contrats des sous-traitants
Insertion de clauses spcifiques

Non-respect des rglementations locales (ex. galit des chances aux US, )

Sensibilisation/formation des quipes mtiers et IT


Gestion des droits d'accs
Cartographie des donnes et des rglementations applicables localement
Dclaration simplifie/normale, et autorisation pralable
Data masking (anonymisation dynamique/ non persistante)
Non-respect des formalits pralables applicables au traitement en France
(dclaration simplifie, dclaration normale, autorisation pralable de la CNIL
exigible jusqu'au 25 mai 2018).

50
Absence de cloisonnement des donnes personnelles

Cloisonnement fonctionnel (logique) et infra ddie (physique) si ncessaire


Sensibilisation/Formation des quipes mtiers et IT
Gestion des droits d'accs
Gouvernance de la donne interne
Chiffrement des bases de donnes

Non-respect des rgles de rtention (dure de conservation) des donnes

Politique de rtention/conservation des donnes


Mise en place d'une gouvernance de la donne en interne
Sensibilisation/formation des quipes mtiers et IT
Gestion des droits d'accs
Mise en place de traitements automatiss de purge
Gestion des logs
Audits outills
Utilisation de dispositifs de Privacy by Design ou de Privacy by Re-Design
Intgration de marqueurs des donnes

Transfert non scuris de donnes personnelles

Intgrer les contraintes ds la phase de design (privacy-by-design)


Politique sur les droits et devoirs en matire de transfert interne/externe des
donnes
Chiffrement et anonymisation
Encadrement contractuel avec le partenaire (NDA, clause de confidentialit,
clause de suppression des donnes)
Contrle des accs
Gestion centralise des logs (SIEM, Security Information Event Management)
EDRM, Enterprise Digital Right Management (protection bureautique avec
chiffrement, ou watermarking qui consiste introduire un copyright dans un
fichier)
Mise en place d'outils de DLP
Limitation des accs webmail
Interdiction de cls USB (dans certains pays)
Blocage de sites de transferts (type Wetransfer, Dropbox)
Dtection de tlchargements/transferts de fichiers importants
Intgration de donnes piges (stganographie)
Audit
Sensibilisation/Formation utilisateurs et IT
Filtrage IP des applications multi-tiers (firewalls applicatifs)
Mise en place d'une politique de DLP (Data Leakage Prevention) et des outils
associs
Gestion des incidents et notification l'autorit de contrle et/ou aux personnes
concernes

51
Transferts non encadrs de donnes hors UE

Dfinition et validation officielle de rgles contraignantes d'entreprise (ou


Binding Corporate Rules - BCR)
Clauses contractuelles types
Accord explicite et clair des individus
Marquage et traabilit des donnes
Contrle des accs

Accs non conforme ou non encadr aux donnes personnelles

Politique de gestion des habilitations, de gestion des accs, et de gestion des


identifications
Sensibilisation utilisateur et IT
Audits rguliers
Cloisonnement des donnes
Gestion des incidents et notification l'autorit de contrle et/ou aux personnes
concernes

Propagation malveillante de donnes personnelles

Veille sur internet (web, rseaux sociaux, Dark Web ou Black Market)
Chiffrement, pseudonymisation, anonymisation
Intgration de donnes piges (fingerprinting)
Contrle des accs
Gestion des logs
Audits
Politiques et moyens de prvention, dtection, alerte, data breach, et raction
Tests d'activation de la cellule de crise
Gestion des incidents et notification l'autorit de contrle et/ou aux personnes
concernes

Divulgation de donnes personnelles par inadvertance

Sensibilisation utilisateur et IT
Politique d'utilisation des rseaux sociaux
Contrle des accs
Gestion des logs
Audit
Filtrage IP des applications multi-tiers
Notification immdiate (lorsque ncessaire) l'autorit de contrle et/ou aux
personnes concernes
Transmission scurise des donnes (flux chiffrs)

Vol de donnes

Mesures de scurit du SI
Politique de gestion des demandes de ranon

52
Politique de notification (dont formulaire CNIL de notification)
Politique de gestion de crise
Cloisonnement des quipements
Contrle des accs
Chiffrement base de donnes
Chiffrement disques
Blocage des ports USB
Blocage des sites de transfert
Veille sur les marchs clandestins (Dark web / Black Market)
Validation contractuelle
EDRM
Gestion et corrlation des logs (mise en place d'un SIEM)
Filtrage IP des applications multi-tiers
Gestion des incidents et notification l'autorit de contrle et/ou aux personnes
concernes
Politique de changement des mots de passe
Procdure d'inforensic

Perte dintgrit des donnes

Sauvegardes et tests rguliers des sauvegardes


Gestion et corrlation des logs
Systme de dtection prcoce d'atteinte volumtrique (cryptolocker)
Traabilit des actions sur les services (logs applicatifs)
Audits
Contrle d'intgrit (CRC, signature cryptographique)
Test du bon fonctionnement des applications
Qualification des incidents utilisateurs
Gestion des incidents et notification l'autorit de contrle et/ou aux personnes
concernes

Dtention ou utilisation abusive de donnes personnelles

Contrle des accs (validation de la demande, sparation des tches, revue des
accs)
Sensibilisation/formation utilisateurs et IT
Alignement entre donnes dtenues et finalit du traitement
Politique de rtention des donnes
Gestion et corrlation des logs
Encadrement contractuel
Mesures de traabilit, audit, notification
Gestion des incidents et notification l'autorit de contrle et/ou aux personnes
concernes

Dtournement de finalit de traitements de donnes personnelles du fait dune mauvaise


anonymisation

Inventaire des traitements de donnes personnelles

53
Intgration de la privacy-by-design dans la mthodologie projet
Dclaration des traitements
Minimisation des donnes (privacy by design)
Implication du dlgu la protection des donnes (CIL/ DPO) dans les projets
Gestion des incidents et notification l'autorit de contrle et/ou aux personnes
concernes

Reconstitution de lidentit dune personne et enrichissement de son profil par corrlation


entre plusieurs sources internes ou externes (Big Data)

Anonymisation permanente
Audit de la robustesse de l'anonymisation (exemple de techniques
danonymisation : valuation k-anonymat, L-diversit, t-proximit)
Utilisation de donnes agrges ou gnralises
Pas de donnes personnelles dans les traitements de Big Data
Sensibilisation/formation utilisateurs
Limitation et contrle des accs aux donnes personnelles
Mise en place d'une charte thique spcifique
Traabilit et audit

Dfaut de PIA/ EIVP

Intgration du PIA dans la mthodologie projet


Mthodologie PIA/ EIVP (dont analyse de risque)

Dfaut de privacy by design (absence de rgles sur la minimisation des donnes celles
strictement ncessaires et/ou non application des rgles sur la minimisation)

Politiques de scurit et charte utilisateur du SI


Intgration des quipes Scurit dans les projets
Formation des quipes
Dploiement d'exigences de bonne pratique Privacy by Design (minimisation,
accs strictement ncessaires)
Politique de minimisation des donnes (privacy by design)
Vrification de la privacy-by-design dans les phases de recettes
Intgration d'une procdure de "Privacy by Re-Design" (gestion des volutions)

Dfaut de notification dune atteinte aux donnes

Procdure de qualification des incidents de scurit


Procdure de notification prcisant notamment quand une notification est
ncessaire et qui ( l'autorit de contrle, la personne)
Suivi et valuation des consquences
Implication du dlgu la protection des donnes (CIL/ DPO)
Formation des quipes

54
Typologie 3 : Droits des personnes

Les composants SI concerns par les risques lis au respect des droits des personnes sont les
suivants :

Fichiers Partags

Rseaux Sociaux
Donnes source

GED-Archivage

Donnes sortie
Types de Risques

Application

Messagerie
Datacenter

Workplace

Video-IoT

Database

Big Data
Rseau

Cloud

DWH
Droits de la personne
Incapacit rpondre aux
droits des personnes
(excution des droits)
Information
Transparence du traitement
Preuve du consentement
Retrait du consentement
(opposition ou suppression)
Respect de la limite du
traitement
Accs
Rectification
Effacement
Portabilit
Profilage
Donnes des mineurs

Un focus fort au sein du groupe de travail a t fait sur le respect des droits de la personne, en
ligne avec le GDPR qui place lindividu au centre des proccupations. Le droit des personnes
est en effet renforc notamment autour des droits laccs, loubli, la portabilit, et cela
ncessite une approche globale ( la fois sur la gouvernance, la sensibilisation, les aspects
techniques de dure de conservation, de traabilit, de traitements des donnes, etc.). Les
recommandations proposes pour la typologie de risque Droits des personnes sont les
suivantes :

Incapacit rpondre aux droits des personnes (excution des droits) :

L'excution des droits de la personne impose avant tout de bien savoir


authentifier le demandeur. L'entreprise a 2 mois pour rpondre la demande. Un
registre centralis des donnes personnelles doit tre dtenu/accessible par le
DPO
Intgration des obligations du droit des personnes ds la conception des
nouveaux services (privacy-by-design). Prvoir aussi de le faire l'occasion d'un
privacy-by-re-design pour les services legacy sensibles (ventuellement via des
procdures manuelles de contournement...)

55
Politique pour les services existants dans lesquels la rponse aux droits des
personnes n'a pas t prvue l'origine
CIL/DPO, point de contact unique, et instructions pour le contacter
Accs libre-service pour une partie des informations, possibilit de rectification
Catgorisation des traitements
Rationalisation du processus de recueil et mise jour des consentements
Traabilit des consentements
Limitation du traitement
Limitation de la dure de conservation
Purges automatises, ou alertes avant atteinte de la limite rtention
Outil de text mining smantique (dtection des termes sensibles ou injurieux /
champs commentaires)
Rgles des possibilits de profilage
Politique de non-rfrencement des mineurs (sauf consentement formel et trac
des parents)

Information (clart sur les politiques de confidentialit, les objectifs de collecte, les
conditions gnrales de vente, valider via une case cocher)

Politique de confidentialit et protection des donnes caractre personnel


(comprenant les informations sur l'identit et les coordonnes du RP, les
coordonnes du DPO, la nature des donnes collectes, les finalits, la dure de
conservation, les destinataires, les ventuels transferts vers des pays tiers, etc.)
Information par un message au moment de la collecte des donnes (nature des
donnes collectes, finalits, destinataires, comment exercer ses droits d'accs,
d'opposition et de modification des donnes, etc.); par exemple, sur internet via
un message facilement accessible sur le site; salari: dans son contrat de travail,
etc.

Transparence du traitement :

Information de la personne concerne de la nature des donnes collectes et des


finalits de traitement, identit du RP, etc.

Preuve du consentement

Vrifier si le traitement ne repose pas sur une autre base lgale que le
consentement (obligation lgale, sauvegarde de la vie, mission de service public,
contrat ou mesures prises avec la personne, intrt lgitime)
Sassurer que le traitement ne puisse pas tre mis en uvre sans consentement
Sassurer que le consentement sera obtenu de manire libre
Sassurer que le consentement sera obtenu de manire claire et transparente
quant aux finalits du traitement
Sassurer que le consentement sera obtenu de manire spcifique une finalit
En cas de sous-traitance, encadrer les obligations de chacun dans un document
crit, explicite et accept des deux parties
Pour un site internet : opt-in; cookies (avec un bandeau); email rcapitulatif
Pour un salari ou un partenaire commercial : contrat sign

56
Retrait du consentement (opposition ou suppression)

Vrifier que le traitement ne fait pas lobjet dune exception interdisant la


personne de sopposer au traitement (obligation lgale, exclusion dans lacte
portant cration du traitement)
Dterminer les moyens pratiques qui vont tre mis en uvre pour permettre
lexercice du droit dopposition. Ce droit doit pouvoir tre exerc le plus
rapidement possible, sans jamais excder deux mois, dans une forme similaire
celle du traitement (voie postale et/ou voie lectronique). En outre, les dmarches
effectuer ne doivent pas dcourager les personnes concernes et ne doivent pas
leur occasionner de frais.
Exemple : pour un site internet, crer un formulaire, facilement accessible, avec
des cases dcocher (dit opt-out ) ou prvoir la possibilit de se dsinscrire
dun service (suppression de compte).
Vrifier que les demandes dexercice du droit dopposition faites par voie postale
sont signes et accompagnes de la photocopie dun titre didentit (qui ne devrait
pas tre conserve sauf en cas de besoin de conserver une preuve) et quelles
prcisent ladresse laquelle doit parvenir la rponse.
Vrifier que les demandes dexercice du droit dopposition faites par voie
lectronique (en utilisant un canal chiffr si la transmission se fait via Internet)
sont accompagnes dun titre didentit numris (qui ne devrait pas tre
conserv sauf en cas de besoin de conservation dune preuve, et ce, en noir et
blanc, en faible dfinition et sous la forme dun fichier chiffr).
Sassurer que le motif lgitime des personnes exerant leur droit dopposition est
fourni et apprci
Sassurer que tous les destinataires du traitement seront informs des
oppositions exerces par des personnes concernes

Respect de la limite du traitement

Vrifier que le ou les motifs pour lesquels l'effacement est demand s'appliquent
:
o L'exactitude des donnes caractre personnel est conteste par la
personne concerne, pendant une dure permettant au responsable du
traitement de vrifier l'exactitude des donnes caractre personnel ;
o Le traitement est illicite et la personne concerne s'oppose leur
effacement et exige la place la limitation de leur utilisation ;
o Le responsable du traitement n'a plus besoin des donnes caractre
personnel aux fins du traitement mais celles-ci sont encore ncessaires
la personne concerne pour la constatation, l'exercice ou la dfense de
droits en justice ;
o La personne concerne s'est oppose au traitement, pendant la
vrification portant sur le point de savoir si les motifs lgitimes
poursuivis par le responsable du traitement prvalent sur ceux de la
personne concerne
Dterminer les moyens pratiques qui vont tre mis en uvre pour permettre
lexercice du droit de limitation. Ce droit doit pouvoir tre exerc le plus
rapidement possible, sans jamais excder deux mois pour des donnes, dans une
forme similaire celle du traitement (voie postale et/ou voie lectronique). En
outre, les dmarches ne doivent pas dcourager les personnes concernes et ne
doivent pas leur occasionner de frais excdant le cot de la reproduction

57
Accs

Dterminer les moyens pratiques qui vont tre mis en uvre pour permettre
lexercice du droit daccs. Ce droit doit pouvoir tre exerc le plus rapidement
possible, sans jamais excder deux mois pour des donnes, dans une forme
similaire celle du traitement (voie postale et/ou voie lectronique). En outre, les
dmarches ne doivent pas dcourager les personnes concernes et ne doivent pas
leur occasionner de frais excdant le cot de la reproduction
Vrifier que les demandes dexercice du droit daccs faites sur place permettent
de sassurer de lidentit des demandeurs et des personnes quils peuvent
mandater
Vrifier que les demandes dexercice du droit daccs faites par voie postale sont
signes et accompagnes de la photocopie dun titre didentit (qui ne devrait pas
tre conserve sauf en cas de besoin de conserver une preuve) et quelles prcisent
ladresse laquelle doit parvenir la rponse
Vrifier que les demandes dexercice du droit daccs faites par voie lectronique
(en utilisant un canal chiffr si la transmission se fait via Internet) sont
accompagnes dun titre didentit numris (qui ne devrait pas tre conserv
sauf en cas de besoin de conservation dune preuve, et ce, en noir et blanc, en
faible dfinition et sous la forme dun fichier chiffr)
Sassurer de la possibilit de fournir toutes les informations qui peuvent tre
demandes par les personnes concernes, tout en protgeant les DCP des tiers
Sassurer que lidentit des demandeurs et que la lgitimit des limitations
demandes seront vrifies
Sassurer quune confirmation sera fournie aux demandeurs.
Sassurer que les tiers qui des donnes auraient t transmises seront informs
des demandes de limitation

Rectification

Vrifier que le traitement ne fait pas lobjet dune exception (exemple : sret de
ltat, dfense ou scurit publique)
Dterminer les moyens pratiques qui vont tre mis en uvre pour permettre
lexercice du droit de rectification. Ce droit doit pouvoir tre exerc le plus
rapidement possible, sans jamais excder deux mois, dans une forme similaire
celle du traitement (voie postale et/ou voie lectronique). En outre, les dmarches
effectuer ne doivent pas dcourager les personnes concernes et ne doivent pas
leur occasionner de frais
Sassurer que lidentit des demandeurs et que la vracit des rectifications
demandes seront vrifies
Sassurer quune confirmation sera fournie aux demandeurs
Sassurer que les tiers qui des donnes auraient t transmises seront informs
des rectifications faites

58
Effacement, droit l'oubli

Vrifier que le ou les motifs pour lesquels l'effacement est demand s'appliquent.
Cela peut concerner les cas o :
o Les donnes caractre personnel ne sont plus ncessaires au regard des
finalits pour lesquelles elles ont t collectes ou traites d'une autre
manire ;
o La personne concerne retire le consentement sur lequel est fond le
traitement, et il n'existe pas d'autre fondement juridique au traitement ;
o La personne concerne s'oppose au traitement et il n'existe pas de motif
lgitime imprieux pour le traitement ;
o Les donnes caractre personnel ont fait l'objet d'un traitement illicite
o Les donnes caractre personnel doivent tre effaces pour respecter
une obligation lgale, etc.
Dterminer les moyens pratiques qui vont tre mis en uvre pour permettre
lexercice du droit d'effacement. Ce droit doit pouvoir tre exerc le plus
rapidement possible, sans jamais excder deux mois, dans une forme similaire
celle du traitement (voie postale et/ou voie lectronique). En outre, les dmarches
effectuer ne doivent pas dcourager les personnes concernes et ne doivent pas
leur occasionner de frais
Sassurer que lidentit des demandeurs et que la lgitimit de l'effacement
demand seront vrifies
Sassurer quune confirmation sera fournie aux demandeurs
Sassurer que les tiers qui des donnes auraient t transmises seront informs
des demandes d'effacement

Portabilit

Vrifier que le traitement ne fait pas lobjet dune exception (exemple : missions
d'intrt public ou relevant de l'exercice de l'autorit publique).
Dterminer les moyens pratiques qui vont tre mis en uvre pour permettre
lexercice du droit la portabilit. Ce droit doit pouvoir tre exerc le plus
rapidement possible, sans jamais excder deux mois, dans une forme similaire
celle du traitement (voie postale et/ou voie lectronique). En outre, les dmarches
effectuer ne doivent pas dcourager les personnes concernes et ne doivent pas
leur occasionner de frais
Sassurer que lidentit des demandeurs et que la lgitimit de la portabilit
demande seront vrifies
Sassurer quune confirmation sera fournie aux demandeurs
Sassurer que les tiers qui des donnes auraient t transmises seront informs
de la portabilit faite

Profilage

Vrifier que le traitement ne fait pas lobjet dune exception (exemple : le profilage
est ncessaire la conclusion ou l'excution d'un contrat entre la personne
concerne et un responsable du traitement, consentement explicite, etc.)
Dterminer les moyens pratiques qui vont tre mis en uvre pour permettre
lexercice du droit s'opposer au profilage. Ce droit doit pouvoir tre exerc le

59
plus rapidement possible, sans jamais excder deux mois, dans une forme
similaire celle du traitement (voie postale et/ou voie lectronique). En outre, les
dmarches effectuer ne doivent pas dcourager les personnes concernes et ne
doivent pas leur occasionner de frais

Donnes des mineurs

Vrifier lge du mineur (si + ou - de 16 ans). Si - de 16 ans, le traitement n'est


licite que si, et dans la mesure o, le consentement est donn ou autoris par le
titulaire de la responsabilit parentale l'gard de l'enfant

Les pratiques et recommandations formules prcdemment (qui nont pas vocation tre
exhaustives) sont suffisamment gnriques pour pouvoir tre dclines dans chaque
entreprise, selon leur degr davancement en matire de protection du SI et des donnes
personnelles.

Rappelons que la protection des donnes personnelles est transversale toute


lentreprise, et impose une relle gouvernance, devenue incontournable avec le
GDPR.

Sil fallait retenir un point, on pourrait dire que tout lintrt de ce travail dinventaire repose
sur la capacit de lentreprise traiter ensemble les risques de cyberscurit et de privacy, en
tant la fois dans une dmarche de prvention, de dtection des risques, et de raction (cest-
-dire mise en uvre dun plan daction mthodique, pour savoir rpondre lensemble des
vnements de manire efficace et rapide lobligation de notification de faille est une bonne
illustration de raction).

60
FOCUS ENTREPRISE

Mylne JAROSSAY
Chief Information Security Officer
LVMH

Quelle approche LVMH a privilgi dans sa mise en conformit avec le GDPR ?

Lapproche sur les donnes personnelles est oriente vers une logique de Security and privacy
by design dans les projets. Lide est de faire converger les approches scurit et privacy au
niveau des processus et des outils, car si les risques ne sont pas examins sous le mme angle
dans les deux cas, ils conduisent gnralement la mise en uvre de solutions communes.

Cette approche est soutenue par une formation destine aux chefs de projets, intgrant des
analyses de risques et des tudes dimpact sur la vie prive pour les projets qui le requirent.

Elle repose galement sur la formalisation dune politique de scurit vis--vis des
fournisseurs tiers, politique sur laquelle les tiers doivent sengager ds ltape de consultation.

En termes de mesures techniques de scurit, des moyens de protection sont tudier, mais
galement des mesures de surveillance et de dtection, en complment ou lorsque les mesures
de prvention ne sont pas ou ne sont que partiellement applicables

Le GDPR va ncessiter de mettre en place des solutions de chiffrement. Il faudra alors soit
choisir les outils proposs nativement par les diteurs en complment de leur offre applicative,
soit se doter de solutions transverses de type CASB pour pouvoir traiter le chiffrement de
donnes de plusieurs applications du Systme dInformation et garder le contrle sur ce
chiffrement.

61
FOCUS ENTREPRISE

LIEN CEULEMANS
Senior Director, Legal - EMEA Privacy,
Salesforce

La responsabilit des fournisseurs en matire de conformit GDPR : un exemple


avec Salesforce

La protection des donnes caractre personnel est une responsabilit partage entre
Salesforce et ses clients. A cette fin, Salesforce s'engage respecter les obligations issues du
GDPR dans la fourniture de ses services. Salesforce se tient galement prte assister ses
clients dans leurs efforts de mise en conformit avec le GDPR.

En ce qui concerne les relations avec les sous-traitants, Salesforce met disposition de ses
clients et prospects pour chaque service propos, la liste des sous-traitants auxquels Salesforce
peut faire appel. Cette liste comprend notamment lidentit du sous-traitant, lactivit de
traitement sous-traite (par exemple, hbergement des donnes, support client) et la
localisation du sous-traitant.

Salesforce propose ses clients un mcanisme de souscription des notifications pralables


en cas de nouveaux sous-traitants. Un client pourra ainsi sopposer au recours par Salesforce
un nouveau sous-traitant en avertissant Salesforce promptement par crit et aura la
possibilit in fine de mettre un terme au service concern si aucune solution alternative nest
trouve.

Par ailleurs, Salesforce met disposition de ses clients et prospects sa Documentation "Trust
and Compliance" dans laquelle Salesforce dcrit l'architecture et l'infrastructure des services,
les audits et les certifications lis la scurit et la confidentialit des donnes, les contrles
administratifs, techniques et physiques mis en place par Salesforce.

Dans le cadre de transferts de donnes vers des pays noffrant pas un niveau de protection
adquat, Salesforce sassure du respect de la rglementation applicable et du niveau de
protection des donnes caractre personnel en sappuyant sur ses BCR (Binding Corporate
Rules) pour sous-traitants, sur le Privacy Shield et sur les clauses contractuelles types de la
Commission europenne.

[Salesforce a rcemment publi plusieurs communiqus et documents sur le GDPR


destination du public, disponibles sur le site Internet de Salesforce :
https://www.salesforce.com/campaign/gdpr/]

62
Illustration concrte de lapproche par le cas CRM

Par Jrme CAPIROSSI


General Manager, UNEXX
Auteur de Architecture dEntreprise

Objectifs du cas

Ce cas dapplication a pour objectif dillustrer la mise en uvre de la dmarche du livre blanc.
Il ne prend en compte quune partie de lactivit Gestion de la Relation Client GRC, ou
CRM en anglais, dune entreprise fictive, et encore, de faon simplifie, afin de le rendre
accessible un non spcialiste.

Lintrt de lactivit de CRM est quon la trouve dans quasiment toutes les entreprises, et
quelle soulve des questions typiques relatives la mise en conformit avec le Rglement
Gnral sur la Protection des Donnes, ou GDPR en anglais.

De par sa simplicit, ce cas ne constitue pas une recommandation formelle de dmarche


dapplication, son seul but est dillustrer les recommandations du livre blanc. Il permet
notamment de se figurer limportance et de limpact de la GDPR sur lorganisation et les
systmes dinformation afin de prvoir et de lancer les chantiers utiles et ncessaires.

Contexte du cas

Entreprise : B-AS-USUAL

Business : Vente et Maintenance de copieurs-scanners-imprimantes

Chiffre dAffaire : 360 M

Nombre demploys : 1 200 personnes

La future mise en application du GDPR proccupe le comit de direction de B-AS-USUAL


dont la performance repose sur une prospection active de son March et sur un service
toujours lcoute de ses clients.

Le cur de la stratgie de B-AS-USUAL est le digital. Lentreprise a lanc plusieurs initiatives


stratgiques afin de dvelopper des canaux de communication intuitifs et rapides avec ses
clients. Elle avait pour objectif de rendre la prise de commande et la livraison les plus fluides
possibles, avec une attention toute particulire lexprience client.

Le principal facteur de succs de cette stratgie est la confiance du client.

Dans la ligne de cette stratgie, B-AS-USUAL veut montrer quelle est digne de la confiance
que lui font ses clients et veut gagner celle de ses prospects. Elle se donne comme objectif non
seulement de se mettre en conformit avec le GDPR, lorganisation et les systmes de
gouvernance de donnes personnelles, mais galement de dmontrer que la confiance quelle
rclame de la part de ses clients, est mrite.

63
Pour cela, B-AS-USUAL souhaite raliser une premire tude dimpact pour identifier les
chantiers qui devront tre lancs. Elle dbute son tude par le domaine CRM. Cest lobjet du
cas.

Dmarche

La dmarche dapplication illustre par le cas,


bien que simple, sinspire des bonnes pratiques
dvaluation des risques, comme la mthode
3. 1.
Identification Identification
MEHARI. des donnes
des mesures et
ralisation du personnelles et
Elle ne remplace pas un PIA 11 qui doit tre plan daction des systmes
envisag pour certains traitements, lorsquils
sont nouveaux ou critiques.

Lors de la phase 1 on identifie les systmes, les 2.


Identification des risques
donnes personnelles et leurs usages, ainsi que lis aux personnes et
les traitements. lentreprise

Lors de la phase 2, en analysant les lments


fournis par la phase 1, on identifie les risques en
tenant compte des spcificits du business de lentreprise.

Pendant la phase 3 on dfinit les mesures et les actions qui vont matriser, et minimiser
limpact des risques.

PHASE 1 : identification des donnes personnelles

Selon leur objet les donnes personnelles peuvent tre


catgorises. Chaque catgorie correspond un risque Vie personnelle

spcifique, et par consquent, tre soumise une Donnes


sensibles
rgulation spcifique, au-del du RGDP, telles les Localisation (Sant, religion,
condamnations,)

donnes sensibles portant sur la religion, la sant, le Donnes


didentification
casier judiciaire (ID, nom,
prnom,
Adresse, date
de naissance)
Vie
En tenant compte de la multitude des donnes, professionnelle
(CV, contrat de Comportement
frquemment gres par les systmes dinformation et les travail,)
Donnes
processus mtier, faire un inventaire complet des conomique et
financire
(salaire,
donnes personnelles est une gageure. donnes fiscales,
bancaires,..)

Source CIGREF Economie des donnes personnelles (2015)

PHASE 2 : Identifier les risques

Lidentification des risques est ralise en 2 tapes :

Etape 1 : Les risques provenant dusages spcifiques lentreprise des donnes


personnelles.

11 Privacy Impact Assessment

64
Etape 2 : Les risques communs toutes les donnes personnelles lis lefficacit de
la cyberscurit de lentreprise

Les risques sont qualifis au regard de leurs impacts et de leurs probabilits de ralisation. Des
risques avec des probabilits trs faibles et des impacts importants, doivent tre considrs.

PHASE 3 : Dfinir les mesures et raliser le plan daction

Le plan daction permet de projeter dans le temps les mesures organisationnelles et techniques
qui vont minimiser, dtecter, prvenir les risques identifis ltape prcdente. Les mesures
sont classes comme obligatoires ou souhaitables afin dtablir le plan daction de court terme,
constitu des mesures obligatoires sur les risques critiques et de long terme, comprenant les
mesures souhaitables.

PHASE 1 : identification des donnes personnelles et des systmes

La CRM couvre toutes activits de lentreprise qui entrainent un contact avec le client ou le
prospect. Ce sont typiquement : la prospection, la vente, le service aprs-vente. Menes sur
plusieurs canaux, avec une exigence de cohrence et dexprience homogne pour le client, la
CRM peut rapidement savrer complexe.

Il sagit dans cette phase dtablir une cartographie des donnes personnelles et des systmes
qui en assurent les traitements. La dmarche de cartographie propose sappuie sur une
approche standard, diffuse et soutenue par lOpenGroup : Archimate12. Cette dmarche
flexible, permet de ne mobiliser que les concepts utiles au point de vue que lon souhaite
dvelopper et analyser, dans notre cas, il sagit des liens entre mtier, fonctions, systmes et
donnes personnelles.

Pour la GDPR, an a dfini un point de vue simple qui peut se greffer sur une cartographie
dentreprise et en rutiliser les concepts existants.

CRM (Gartner) Dmarche de cartographie


La gestion de la relation client (CRM) est
une stratgie business qui optimise les 1. Identifier les interactions avec la clientle
revenus et la rentabilit tout en favorisant la
satisfaction et la fidlit de la clientle. 2. Cartographie :
Les technologies de CRM permettent de
Identifier les systmes utiliss par les
dployer cette stratgie, elles permettent
didentifier et de conduire les relations avec interactions
la clientle, en vis--vis ou de faon virtuelle.
Identifier les modalits dhbergement de
ces systmes (on premise, cloud,
Reprsentation standard hbergement, systme externe,)
Proposition de reprsentation base sur
Archimate de lOpen group Identifier les donnes personnelles
collectes par ces systmes et les flux le
Inspire librement et simplifie du cas
Archimetal (Fournit dans la bibliothque de cas chant
fichiers du Forum Cigref)

12 Voir rfrences

65
Les activits de la CRM

Lorsquon parcourt les activits de la CRM, on distingue principalement deux acteurs externes
lentreprise : les suspects et les clients. Chacun deux adopte des rles spcifiques suivant les
interactions quil mne avec lentreprise.

Le suspect
Un suspect na pas encore montr dintrt pour une offre de lentreprise. Pour une grande
partie dentre eux, lentreprise na mme pas suffisamment de donnes pour tablir si la
probabilit de manifester un intrt nest pas nulle. Lentreprise doit enrichir les donnes quil
possde son sujet et affiner la qualification. Gnralement les suspects sont obtenus par
achat de fichiers de donnes.

Plus quun rle, le suspect doit atteindre un tat, dans notre cas, qualifi qui lui permettra
de devenir prospect, ce qui le rendra cible dune prospection, do le rle qualifier . Pour
cela, un suspect mobilise les services mtier Se procure les suspects et Qualifie les
donnes

Les clients et les prospects


Les prospects runissent les suspects qualifis et les clients que lentreprise souhaite
prospecter dans le cadre dactivits de cross-selling ou dup-selling13, par exemple. Pour ses
prospects, lentreprise active le service Proposer un produit . Sil manifeste un intrt au
point de vouloir acheter le produit, le client ou le prospect prend le rle d acheteur et active
le service mtier vend un produit . Et ainsi de suite, sagissant des autres rles et services.
Vis--vis du service vend un produit , client et prospect ne seront pas traits de la mme
faon, de mme que, gnralement, ils ne feront pas lobjet de mmes offres, vis--vis du
service Proposer un produit

Questions relatives aux donnes personnelles


A ce stade de la cartographie, on doit sinterroger sur le caractre lgitime du traitement des
donnes personnelles que ralise lentreprise. La question du traitement lgitime requiert un
travail pralable de lentreprise dont le rsultat est consign dans la politique des donnes
personnelles. Cette politique permet aux responsables de traitement de lentreprise didentifier
leurs obligations vis--vis de la conformit au GDPR. Au regard de sa politique des donnes
personnelles, B-AS-USAL convient que les services mtiers : Se procure les suspects ,
Qualifie les donnes et Proposer un produit , ne sont pas lgitimes. Ils doivent tre
conformes au GDPR. Ne le sont pas davantage, Enqute de qualit et grer le compte de
fidlit .

Cependant, conformment sa stratgie, B-AS-USAL souhaite faire une revue du niveau de


scurit des services lgitimes, afin de sassurer des failles de confidentialit propos des
donnes personnelles de ses clients.

13Cross-selling, cest vendre une nouvelle offre un client existant, up-selling, cest vendre une option
supplmentaire, ou de gamme suprieure, loffre que le client possde dj

66
Cartographie des services mtier des clients lis aux campagnes
marketing
Dans le cadre du cas dapplication, on ne dveloppe que le service Proposer un produit .

Identification des systmes

Le service mtier Proposer un produit permet dexcuter le plan Marketing de lentreprise.


Celui-ci, outre des oprations de communication et de publicit, dfinit des campagnes de
sollicitation des prospects. Enfin, elle pilote oprationnellement les remontes et les ventes
gnres, elle peut rajuster certaines campagnes au regard des remontes, les rajustements
internet, grce la DMP, interviennent immdiatement.

67
Identification des systmes

Identification des traitements


Le service mtier Propose un produit fait partie du traitement CRM sous la responsabilit
de lentreprise. Selon la politique de gouvernance des donnes personnelles, ce nest pas un
traitement lgitime. Il faut noter que plusieurs campagnes tlphoniques sont sous-traites
un prestataire externe. Elles ncessitent de mettre en place un dispositif particulier pour
permettre au responsable de traitement dassurer ses obligations vis--vis des donnes
personnelles des prospects.

68
Identification des donnes

Macro-service
Donnes Description Classification
applicatifs
Collecter les donnes
Cibler
Le prospect est un contact Campagne email
Identification qualifi dont on sait valuer Donnes Campagne courrier
prospect lintrt pour une offre dIdentification Campagne
Un prospect est aussi un client tlphonique
Campagne rseau
Campagne internet

Donnes de Historique de navigation du Donnes de


Campagne internet
navigation prospect client comportement

Donnes de Donnes de description du Donnes de Collecter les donnes


ciblage du Client ou du prospect (CSP, comportement Cibler
prospect date dernier achat, montant,
etc..)

Ce sont les adresses IP, cookies


Donnes
et autres donnes collectes Donnes
techniques de Campagne internet
lors des changes entre didentification
navigation
serveurs et navigateur mobile

Historique des Collecte les retours des Donnes de Campagne email


vnements prospects et les archives comportement Campagne courrier
clients sagissant de clients Campagne
tlphonique
Campagne rseau
Campagne internet

On remarque que bien que les donnes clients sont issues dun traitement lgitime, dans ce
cas elles sont utilises dans un traitement non lgitime, lentreprise doit donc se mettre en
conformit avec le rglement europen.

PHASE 2 : identifier les risques lis aux donnes personnelles

La cartographie permet davoir une vue densemble des liens oprationnels entre donnes et
traitements, ainsi que de mettre en avant les caractristiques intressantes pour la gestion des
donnes personnelles.

Le premier paragraphe dcrit lanalyse des risques spcifiques, lis aux jeux de donnes
personnelles. On a choisi les donnes didentification prospect/client, car, si elles ne
prsentent pas comme les donnes de sant des risques majeurs de non-conformit, elles se
situent la limite et permettent ainsi dillustrer certaines particularits.

Le second paragraphe identifie les risques de confidentialit sur la base du rfrentiel de


lANSSI tel que le prconise le livre blanc, complt par les risques propres aux donnes et
ceux dcoulant de la non-conformit au droit linformation.

69
Risques spcifiques aux jeux de donnes

La premire opration consiste identifier les donnes personnelles qui prsentent un risque
spcifique. Ces donnes sont celles qui entrent dans le primtre dun traitement non lgitime.
A titre dexemple, la matrice ci-dessous rapporte les jeux de donnes identifis dans la
cartographie.

Ni le service Sourcing et qualification des suspects , ni celui Proposer un produit nont


t considrs comme traitements lgitimes. Il sensuit que les donnes associes ces
traitements sont soumises au GDPR. Dautre part, le service Vend un produit est lgitime,
selon la politique de donnes personnelles. Cependant, certaines donnes quil collecte,
nentrent pas dans le caractre lgitime du traitement. Ces donnes sont galement soumises
au GDPR.

Gestion des
Donnes Prospection Vente
suspects

Identification prospect x

Donnes de navigation x x

Donnes de ciblage du prospect x x

Donnes techniques de navigation x x

Historique des vnements clients x

Une fois que les jeux de donnes prsentant des risques spcifiques sont identifis, il faut
entrer dans le dtail et identifier les risques. Cela peut tre ralis en utilisant le framework
des risques de donnes personnelles prsent par le livre blanc et en lappliquant chaque jeu
de donnes. A titre dexemple, ce travail danalyse donne lieu ltablissement dune fiche par
jeu de donnes.

Risques de confidentialit des donnes personnelles

Le livre blanc montre bien que lexigence de base, avant toute exigence spcifique, est une
maturit suffisante de la cyberscurit de lentreprise. En effet, sans rpondre cette exigence
de maturit, il sera difficile pour lentreprise dassurer la confidentialit, lintgrit et la
disponibilit de ses donnes personnelles. Laudit de cyberscurit est ralis en utilisant le
framework dcrit dans le livre blanc. Ce Framework concerne lensemble du Systme
dInformation, et motivera la mise en uvre de mesures globales. Il permet de juxtaposer 3
dimensions : le droit la personne, les risques SI avec impacts sur les donnes inspirs du
Framework de lANSSI, les risques de donnes.

70
Risques SI avec impact sur les donnes Frquence Gravit

Perte ou vol dun PC Portable ou support de stockage

Exfiltration de donnes 1 3

Infiltration via malware

Vol de disque physique

Vol au travers dcoutes rseau

Vol au travers doprations de branchement (principalement li au SAN)

Vol par un Administrateur Systme, File Server ou DBA 2 4

Vol demails par phishing et usurpation didentit

Vol demails par un administrateur 2 4

Usurpation didentit dun compte utilisateur

Usurpation dun compte dexploitation technique (OS, DB )

Obtention par voix officielle dun compte injustifi

Attaque dune application cliente du rfrentiel didentit

Interception de flux dchange

Usurpation dun compte dexploitation EAI

Au regard des risques lis au Systme dinformation, nous avons identifi 3 risques dont les
frquences estimes sont faibles au regard des mesures dj en place, elles doivent cependant
tre mises jour pour accrotre leur efficacit.

Droit de la personne Non - conformit

Information

Transparence du traitement 2

Preuve du consentement

Retrait du consentement 4

Respect de la finalit du traitement

Accs

Rectification 4

Effacement 4

Portabilit

Profilage

Donnes des mineurs

Volont post-mortem

71
Sagissant du droit la personne, on identifie une non-conformit laquelle B-AS-USUAL
rpond partiellement, donc quantifie 2, et 3 non conformits graves quantifies 4. La
frquence doccurrence est maximale puisque cest avr.

Phase 3 : Dfinir les mesures et raliser le plan daction

Dfinir les mesures transverses

Une fois les risques identifis et qualifis, il reste dfinir le plan daction qui va conduire
lentreprise amliorer son niveau de conformit. La dmarche consiste :

identifier dabord les mesures transverses qui font faire voluer le niveau de
maturit de la cyberscurit des donnes, des risques propres aux donnes et au
droit linformation
puis les complter des mesures spcifiques, matrisant les risques lis aux jeux
de donnes

Mesures Action
Perte ou vol dun PC Portable ou support de stockage

Authentification forte du poste


Chiffrement des donnes du poste X

Usage limit ou contrl du BYOD


Blocage des ports USB
Effacement disque dur laptops distance
Sauvegarde rseau (recommandation de ne rien stocker sur le
X
disque dur)
Gestion standard centralise des configurations

Exfiltration de donnes
Blocage des sites internet de transferts ( dropbox, wetransfer, )
X

Dtection des uploads de fichiers volumineux vers internet


X

Blocage des ports USB X

Infiltration via malware


Antivirus fiable et mis jour rgulirement X

Filtre et sensibilisation au spam , phishing X

Certains risques, comme Dfaut de notification en cas dune atteinte aux donnes dans la
catgorie Risques de donnes , ou bien Preuve du consentement dans la catgorie
Droit linformation , peuvent conduire acqurir et dployer de nouveaux composants du
Systme dInformation, fournissant un service mutualis.

72
Dfinir les mesures spcifiques

Les mesures spcifiques compltent les mesures du paragraphe prcdent en permettant de


matriser les risques spcifiques non encore traits par le plan daction.

A la diffrence des mesures prcdentes, les mesures spcifiques sont localises sur un ou
plusieurs composants du Systme dInformation.

Par exemple, reprenant la fiche sur les donnes didentification prospect , nous pouvons
voquer les mesures suivantes :

Chiffrer les donnes hberges par Cloud


Vrifier que les contrats de sous-traitances incluent les obligations lies aux donnes
personnelles et le primtre des responsabilits associes, ainsi que les mesures
organisationnelles et techniques assurant leur mise en uvre
Chiffrer le canal de communication des flux critiques, sassurer quils ont un niveau de
traabilit suffisant
Mettre jour les procdures et les fonctions dhabilitation des exploitants et des
datascientists
Obfusquer les donnes de test
Les risques de donnes mentionnes ainsi que les risques de confidentialit lis aux
plates-formes du Systme dinformation, indique que plutt que de mettre niveau
chaque plate-forme, il est lgitime dinstruire la question de construire un rfrentiel
client.
Et dautres encore

Les questions lies larchitecture du systme dinformation

Comme nous lavons vu prcdemment, certaines mesures de matrise des risques pourraient
ventuellement lgitimer dinstruire des scnarios dvolution de larchitecture du Systme
dInformation. Ces questions sont plus dlicates traiter quune mesure ponctuelle requrant
le simple ajout dune fonctionnalit un composant applicatif.

Ainsi, il peut tre intressant de centraliser les donnes personnelles relevant du rglement
europen afin de centraliser les fonctions permettant dexercer les droits linformation
typiquement le consentement, linformation, le droit loubli.

Selon son contexte business, lentreprise peut souhaiter centraliser les donnes ou bien, juste
les liens rfrenant les donnes. En effet, la question de la localisation des donnes
personnelles dans le systme dinformation se pose frquemment aux entreprises. Cette
question est cruciale pour permettre aux personnes, clients, fournisseurs, collaborateurs,
dexercer leur droit linformation.

Dautre part, la diffusion des systmes big data qui ont la particularit de charger les donnes
telles quelles avant de les traiter, posent des problmes vis--vis du droit loubli. Ils doivent
faire lobjet de mesures spcifiques :

soit dans la politique des donnes qui tablit que ceux-ci ne doivent tre aliments que
de donnes personnelles obfusques,
soit dun dispositif technique qui permette loubli des personnes relevant de lexercice
du droit linformation, cest--dire hors traitement lgitime.

73
Il peut donc tre intressant de construire un registre centralis au sein du systme
dinformation qui rassemble les liens rfrenant les donnes personnelles et qui consolide
lensemble des preuves dinformation, de consentement, de notification etc.

Autorisation
Habilitations

Consentement
explicite dune
politique
Rfrentiel Client Dcisionnel/Big Data
Gestion de la
conformit
(cf Urba-EA)

Gestion des cls Effacement - Anonymisation


de la donne client

Portail de donnes clients

Source : Opengroup - Archimetal case study version 2 2016

Glossaire :

Traitement lgitime : Daprs le considrant 47 du GDPR, toute entreprise peut


collecter et traiter des donnes personnelles sans le consentement des personnes
concernes, si elle peut prouver quelle agit dans le cadre de ses intrts
lgitimes , tant que ceux-ci ne prvalent pas sur les intrts et droit des personnes.
En outre, le considrant stipule que en tout tat de cause, l'existence d'un intrt
lgitime devrait faire l'objet d'une valuation attentive, notamment afin de
dterminer si une personne concerne peut raisonnablement s'attendre, au moment
et dans le cadre de la collecte des donnes caractre personnel, ce que celles-ci
fassent l'objet d'un traitement une fin donne.
Cross selling : Proposer des offres des clients de lentreprise ayant dj acquis une
premire offre.
Data Management Platform (DMP) : une plate-forme qui permet de grer les
visiteurs des sistes internet de lentreprise, notamment via le systme des cookies.
Software As a Service (SaaS) : application metier fournie en mode Cloud par un
diteur
Up-selling : Proposer de monter en gamme une offre un client qui la dj acquise,
en ajoutant une ou plusieurs options, ou en relevant sont niveau de service.

74
CHAPITRE 3

MODE DEMPLOI ET OUTILS DE


CONFORMITE AVEC LE CADRE
LEGISLATIF ET
REGLEMENTAIRE

Pilot par Loc Rivire


Dlgu gnral,
TECH IN France

Coordonn par Camille Parra


Responsable Affaires publiques,
TECH IN France

Avec le concours de :
Thaima SAMMAN, Associe-fondatrice, SAMMAN
Batrice DELMAS-LINEL, Associe grante, Osborne Clarke
Lise BRETEAU, Associe, Osborne Clarke
Marc DREVON, Avocat, SAMMAN
TECH IN France tient particulirement remercier les avocats pour leur implication dans
la rdaction de ce chapitre juridique.

75
Le GDPR renouvelle lapproche de la protection des donnes personnelles en instaurant de
nouvelles rgles et de nouveaux outils de conformit, que l'on se propose de synthtiser en
trois grands volets :

la gestion interne, par les outils de gouvernance visant l'auto-responsabilit des


entreprises ("accountability");
la dmonstration de cette responsabilit vis--vis du public et des partenaires, via des
outils de confiance;
la gestion contractuelle des obligations et responsabilits, via la nouvelle structuration
des clauses contractuelles.

Les outils de gouvernance

Le rglement impose aux entreprises dinternaliser les outils de la conformit et dtre, tout
moment en mesure de dmontrer leur conformit au rglement.

Le systme franais reposait jusqu prsent sur un principe dautorisation Ex Ante.


Dsormais, la protection des donnes personnelles repose sur une logique de contrle Ex Post
par lautorit de contrle facilite par les obligations de transparence au premier rang
desquelles figure le registre. Le rgime issu du GDPR dpasse la fois (i) la rgulation classique
dencadrement pralable et (ii) le rgime libral ayant pour seules bornes la sanction pnale et
la responsabilit contractuelle. En effet, lautorit publique, en plus de dtenir le pouvoir de
sanction Ex Post, dfinit les finalits et les objectifs de protection des donnes personnelles
tandis que les moyens et instruments ncessaires la poursuite de ces objectifs sont
internalises dans les entreprises au travers doutils de compliance dont certains sont
obligatoires tandis que dautres sont facultatifs, mais promus.

Thaima Samman
Associe fondatrice
Cabinet SAMMAN

Portant le principe de laccountability, le GDPR instaure un dialogue de


coopration entre entreprises et rgulateur par la cration et la promotion
doutils de compliance obligatoires ou volontaires.

Ainsi, cette rgulation intelligente nopre pas proprement parler un transfert de pouvoirs
aux entreprises mais instaure un dialogue de coopration rgulatrice entre entreprises et
rgulateur. Cette logique se matrialise par les dispositions du GDPR selon lesquelles les tats
membres, les autorits de contrle, le comit et la Commission encouragent l'laboration de
codes de conduite et la mise en place de mcanismes de certification.

Par ailleurs, cette rgulation intelligente prend littralement chair par la mise en place du Data
Protection Officer (DPO) qui est tourn tant vers linterne, en ayant pour mission dinformer
et de conseiller lentreprise que vers lexterne en tant que coordonnateur entre lentreprise et
le rgulateur.

76
Le DPO est obligatoire pour certaines entreprises, mais il est plus gnralement indispensable
toute entreprise qui traite des donnes de s'interroger sur l'intrt d'un tel poste en son sein.
Selon l'activit et selon les traitements effectus par l'entreprise, ce DPO peut tre un vritable
atout de gouvernance interne et de confiance vis--vis des tiers.

La documentation de la conformit

Le registre des activits de traitement reprsente l'outil de base de la gestion oprationnelle de


la conformit et constitue la premire obligation de preuve de la conformit. Il remplace
l'obligation d'effectuer des formalits pralables de dclaration des traitements (sauf
exception).

Source : Cabinet SAMMAN

Les entreprises tenues davoir un registre sont :

Les entreprises de plus de 250 salaris ;


Les entreprises de moins de 250 salaris qui effectuent des traitements :
o De manire non occasionnelle ; ou
o Susceptibles de comporter un risque pour les droits et des liberts des
personnes concernes ; ou
o Portant sur des donnes sensibles (article 9 (1)) ou des condamnations
pnales.

Cette dfinition est assez large pour couvrir la grande majorit des entreprises et mme si
l'entreprise ne tombe pas sous le coup de cette obligation, il est bien sr recommand de tenir
un tel registre.

77
Le contenu du registre est dtaill dans le GDPR. Il doit comporter les informations suivantes :

Pour les responsables de traitement Pour les sous-traitants

Nom et coordonnes du responsable du Nom et coordonnes du responsable du


traitement, de son reprsentant et du DPO ; traitement et du/des sous-traitant, de leur
Finalits du traitement ; reprsentant et du DPO ;
Catgories de personnes et de donnes Catgories de traitements pour chaque
caractre personnel ; responsable de traitement ;
Catgories de destinataires ; Les transferts vers des pays tiers ; et
Transfert vers pays tiers ; La description gnrale des mesures de
Dlais de conservation ou les moyens de scurit si possible.
dterminer ce dlai de conservation ; et
Description des mesures de scurit si possible

Source : Cabinet SAMMAN

Sagissant des dlais de conservation des donnes, on notera que le rglement parle de dlai
deffacement. Cette question est cependant plutt aborde sous langle du dlai de
conservation. La dure de conservation sinscrit dans le principe de privacy by default, et doit
tre envisage au regard des finalits pour lesquelles les donnes personnelles sont traites.
Ainsi, si une dure ne peut tre a priori dtermine, il convient nanmoins de renseigner les
modalits de dtermination de cette dure de conservation.

Par ailleurs, le responsable du traitement est tenu de documenter toute violation de donnes
caractre personnel, en indiquant les faits concernant la violation des donnes caractre
personnel, ses effets et les mesures prises pour y remdier. La documentation ainsi constitue
permet l'autorit de contrle de vrifier le respect des dispositions du GDPR.

Le responsable de traitement pourra utilement faire figurer dans cette documentation


lensemble des informations que son sous-traitant lui aura transmis.

Dans ses rcentes lignes directrices soumises consultation, le G29 suggre galement aux
responsables de traitement de documenter les actions prises la suite dune violation de
donnes personnelles et notamment de documenter les raisons qui ont conduit considrer
que la violation ne reprsentait pas un risque ou un risque lev ou pourquoi la communication
de la violation ntait pas ncessaire en application des dispositions de larticle 34 (3) du
GDPR.

De mme, le responsable de traitement devrait documenter les raisons pour lesquelles une
notification lautorit de contrle a t retarde au-del du dlai de 72h. Enfin, le responsable
de traitement, afin de remplir ses obligations en matire daccountability et de compliance,
devrait se doter des moyens lui permettant de rapporter la preuve dune notification auprs
des personnes concernes.

Afin daccompagner les entreprises, la CNIL propose un modle de registre disponible


ladresse suivante : https://www.cnil.fr/sites/default/files/atoms/files/registre-reglement-
publie.xlsx

Sagissant de lidentification du responsable de traitement, afin dviter les confusions, il


convient de se reporter aux contrats conclus pour le traitement des donnes. En effet, un sous-
traitant oprant pour plusieurs filiales/ responsables de traitement dune mme socit mre
peut facilement tre amen considrer, tort, que le responsable de traitement est la socit
mre et non sa filiale.

78
La documentation de la conformit passe galement par lenregistrement et la conservation
des lments suivants :

Les analyses dimpact sur la protection des donnes ;


Les outils de transferts de donnes en dehors de lUE ;
Les informations donnes aux personnes concernes ;
Le recueil du consentement des personnes concernes ;
Les procdures dexercice des droits des personnes concernes et de notifications ; et
Le recueil des contrats avec les responsables de traitement et sous-traitants.

Ces registres et documentation doivent tre tenus en ayant en tte qu'ils devront tre
communiqus, tout moment, aux autorits de contrle qui en feront la demande. Il
conviendra d'tre vigilant sur la clart et lisibilit des informations y figurant.

Marc DREVON
Avocat
Cabinet SAMMAN

Le registre ne doit pas tre apprhend comme une contrainte administrative


mais plutt comme un outil dynamique de cartographie des traitements et des
flux de donnes. Si lobjet premier du registre est de faciliter les contrles oprs
par lautorit de protection des donnes personnelles, le registre a galement
pour vocation de servir de repres aux sous-traitants et responsables de
traitement pour sassurer de la conformit de leurs traitements au GDPR. Le


registre est ainsi particulirement utile pour raliser une valuation des
traitements qui ne sont pas soumis analyse dimpact (voir ci-aprs).

Analyse dimpact relative la protection des donnes (ou PIA )

Le GDPR impose la ralisation dune analyse dimpact relative la protection des donnes (ou
DPIA pour Data Protection Impact Assessment) pour les traitements prsentant un risque
important pour la protection des donnes personnelles et leurs impacts sur les droits et liberts
des personnes concernes par ces traitements.

a) Qu'est-ce qu'une analyse d'impact ?

L'analyse d'impact est un outil introduit par le GDPR conu pour dcrire un traitement de
donnes caractre personnel, valuer la ncessit et la proportionnalit du traitement et
aider identifier les risques rsultant de ce traitement ainsi que les mesures pour y remdier.

Ralis par le responsable de traitement en amont de tout projet dans le respect de l'approche
Privacy by Design, l'analyse d'impact est un outil dynamique et efficace s'inscrivant la fois
dans une logique d'accountability et dans une logique de gestion des risques.

En effet, cet outil permet en premier lieu de btir sa conformit et de la dmontrer. Mme dans
les cas o l'analyse d'impact n'est pas strictement exige par la rglementation (cf. ci-dessous),
elle sera trs utile aux prestataires de services souhaitant proposer des produits respectueux

79
de la vie prive. Ceux-ci sont d'ailleurs vivement encourags par les autorits de contrle
communiquer au public leur analyse d'impact afin de crer une relation de confiance.

L'analyse d'impact permet galement une gestion efficace du risque puisqu'une telle analyse
demande au responsable d'valuer, en particulier, l'origine, la nature, la porte, le contexte, la
particularit et la gravit du risque engendr par le traitement de donnes caractre
personnel et de prendre des mesures pour supprimer ou limiter ces risques. Le risque rsiduel
sera soit accept par le responsable de traitement soit assur.

Pour effectuer cette analyse d'impact, le responsable de traitement pourra s'appuyer sur
diffrents acteurs internes tels que le DPO, les mtiers, le RSSI, qui seront dans la plupart des
cas l'initiative de l'analyse d'impact et dfiniront la mthodologie approprie l'entreprise
(cf. ci-dessous), ainsi que sur des acteurs externes, sans oublier les sous-traitants eux-mmes
dans le cadre du devoir d'assistance envers le responsable de traitement pesant sur eux aux
termes de la rglementation.

b) Quand raliser une analyse d'impact ?

Au titre de l'Article 35 du GDPR, les responsables de traitement ont l'obligation d'effectuer une
analyse d'impact dans certains cas limitativement numrs et principalement lorsque le
traitement ou le produit qui sera dploy est susceptible dengendrer un risque lev pour
les droits et liberts des personnes physiques concernes .

Par ailleurs, dans le cas o l'analyse d'impact rvlerait un risque rsiduel important, le
responsable de traitement devra galement consulter l'autorit de contrle afin d'obtenir son
autorisation pralable.

Afin de faciliter la mise en uvre de cet article 35, le Groupe de l'Article 29 ("G29") a publi
des lignes directrices publies le 4 avril 2017 14.

14 Groupe de l'Article 29," Lignes directrices sur l'analyse d'impact relative la vie prive et sur la dtermination du
traitement "susceptible d'engendrer un risque lev" dans le cadre du Rglement 2016/679", 4 avril 2017 (disponible
en ligne en anglais uniquement :
http://ec.europa.eu/newsroom/document.cfm?doc_id=44137 ). Ces lignes directrices viennent d'tre finalises le 4
octobre 2017, https://www.cnil.fr/sites/default/files/atoms/files/20171013_wp248_rev01_enpdf.pdf

80
Dans la continuit de ces lignes directrice et afin d'aider les responsables de traitement dans
la dtermination de la ncessit d'une analyse d'impact et d'une consultation de l'autorit de
contrle nous avons labor l'arbre de dcision suivant :

Arbre de dcision Analyse dimpact

Source : Osborne Clarke

81
c) Comment raliser une analyse dimpact ?

Le GDPR nimpose pas de mthodologie particulire pour la conduite de lanalyse dimpact


mais prvoit nanmoins ce que le rapport d'analyse devra contenir a minima :

une description systmatique des oprations de traitement et de ses finalits ;


une valuation de la ncessit et de la proportionnalit des oprations de traitement
au regard des finalits ;
une valuation des risques pour les droits et les liberts des personnes concernes;
les mesures envisages pour faire face ces risques.

Chaque responsable de traitement aura par consquent la libert soit de choisir une
mthodologie existante (cf. liste de mthodologies publie par le G29 15), soit de crer sa propre
mthodologie en fonction de son activit et de ses rgles de fonctionnement interne.

Lise BRETEAU
Associe
Osborne Clarke

Dans une logique de mutualisation des cots, on ne peut qu'encourager les


responsables de traitement d'un mme secteur d'activit se runir pour


dvelopper leur propre mthodologie sectorielle afin de disposer d'un outil le
plus adapt possible.

Le DPO, acteur indispensable de la conformit

Les autorits de rgulation en Europe s'accordent pour dire que le DPO est la pierre angulaire
de laccountability. Le DPO va accompagner lentreprise pour quelle soit en conformit avec
les dispositions applicables en matire de protection des donnes caractre personnel. Il a
galement pour mission dtre lintermdiaire entre la CNIL et les entreprises afin que ces
dernires puissent adapter en temps rel leurs traitements aux exigences du GDPR.

15 Groupe de l'Article 29," Lignes directrices sur l'analyse d'impact relative la vie prive et sur la dtermination du
traitement "susceptible d'engendrer un risque lev" dans le cadre du Rglement 2016/679", 4 avril 2017 (disponible
en ligne en anglais uniquement : http://ec.europa.eu/newsroom/document.cfm?doc_id=44137 )

82
FOCUS ENTREPRISE

Elena GILOTTA,
Directrice de la conformit de la zone EMEA
BOX

GDPR, le point de vue de BOX

La gestion de donnes est centrale l'activit de BOX, qui fournit des services de stockage, de
partage et de gestions de donnes. BOX est donc trs sensible la question des donnes
personnelles et applique depuis plusieurs annes des principes similaires ceux du GDPR, y
compris le principe d'accountability.

BOX a dj nomm un responsable de la protection des donnes personnelles aux Etats-Unis


et a pour projet de nommer un DPO (Data Protection Officer, dlgu la protection des
donnes) au niveau europen pour permettre une relation facilite avec les autorits locales
europennes. Lentreprise a choisi de ne pas placer le DPO au sein du dpartement juridique
pour viter les conflits dintrts (le general counsel tant en charge des contentieux de
donnes personnelles).

La stratgie de BOX en matire de donnes personnelles est dtudier les rgles des pays o
lentreprise a des activits en Europe (principalement Royaume-Uni, France et Allemagne) et
dappliquer les plus strictes ( the bar has to be high ).

En matire de BCR (Binding Coroporate Rules, Rgles contraignantes dentreprise), les


travaux de BOX ont commenc il y a trois ans ; lentreprise a obtenu en deux ans environ
les BCR Responsable de Traitement ainsi que les BCR Sous-Traitant ; ces dernires sont les
plus intressantes, bien que moins connues, car elles facilitent les transferts de donnes hors
groupe.

La ncessit de cartographier les traitements de donnes est une des grosses difficults du
GDPR, complexifie par la diversit des systmes utiliss. BOX propose ainsi ses clients de
centraliser leurs donnes dans un systme unique (mme sil ne sagit pas dun stockage
gographique unique).

Pour permettre une meilleure scurit des donnes, BOX offre galement ses clients de
travailler avec un consultant externe afin que celui-ci propose des mesures de scurit adapte
en fonction du type de donnes stockes chez BOX.

83
a) Les critres dterminant lobligation de se doter dun DPO

Le caractre obligatoire du DPO repose sur trois critres : lactivit de base, le suivi rgulier et
systmatique, le traitement grand chelle.

Source : Cabinet SAMMAN

1/ Activits de base : Les activits vises par le GDPR sont les activits d'un responsable du
traitement qui ont trait ses activits principales et ne concernent pas le traitement des
donnes caractre personnel en tant qu'activit auxiliaire.

Selon le G29, cette notion englobe les oprations ncessaires au responsable de traitement ou
au sous-traitant pour accomplir ses missions. Cette interprtation exclurait donc des activits
de base les activits de traitement des fonctions supports telles que les ressources humaines
ou les services informatiques.

Cependant, ds lors que lactivit de traitement est inhrente la mission du responsable de


traitement ou du sous-traitant, celle-ci devrait tre prise en compte pour la dsignation dun
DPO.

2/ Traitement grande chelle : Cette notion nest pas dfinie par le GDPR et le G29 na
pas souhait donner une dfinition dfinitive estimant que cette notion devra tre prcise par
la pratique. Nanmoins, lapprciation du traitement grande chelle peut se fonder sur :

Le nombre de personnes concernes soit en valeur absolue soit en pourcentage de la


catgorie de personnes vises ;
Le volume ou la diversit des donnes traites ;
La dure du traitement ;
Ltendue gographique du traitement.

84
3/ Suivi rgulier et systmatique : ces termes ne sont pas dfinis par le GDPR. Le G29
interprte le terme rgulier comme comprenant les significations suivantes :

Intervenant des intervalles rguliers pour une priode donne ;


Rpt des moments dtermins ;
Ayant lieu de faon priodique ou constante.

Le terme systmatique devrait tre compris comme :

Ralis selon un systme ;


Arrang, organis ou mthodique ;
Accompli dans le cadre dun plan plus gnral de collecte de donnes ;
Effectu dans le cadre dune stratgie.

Il convient de noter que le droit de lUnion et le droit national des Etats membres pourront
prvoir des cas supplmentaires pour lesquels la dsignation dun DPO sera obligatoire.

Ainsi, par exemple, lAllemagne a tendu la dsignation obligatoire dun DPO aux cas suivants :

Si le responsable de traitement ou le sous-traitant emploie au moins 10 personnes


pour le traitement automatis de donnes personnelles ;
Si le responsable de traitement ou le sous-traitant est soumis une analyse dimpact
sur la protection des donnes en application de larticle 35 du GDPR ;
Si le responsable de traitement ou le sous-traitant traitent des donnes des fins
commerciales avec pour finalits leur transfert, le cas chant sous forme anonymise,
le march ou des enqutes dopinion.

Par ailleurs, la nomination volontaire dun DPO oblige lentreprise respecter lensemble des
critres relatifs au DPO.

Dans lhypothse o une entreprise ferait le choix de ne pas nommer un DPO, il semble
primordial de documenter cette dcision et de la justifier au regard des critres
susmentionns.

b) Le choix du DPO

Le DPO peut tre un salari de lentreprise ou remplir sa mission en tant que collaborateur
extrieur.

Le DPO doit tre accessible

Le DPO doit tre accessible, cest--dire que son accs doit tre ais tant pour les personnes
concernes que pour lautorit de protection des donnes caractre personnel. Cela suppose
que le DPO puisse rpondre dans une langue gnralement utilise par les personnes
concernes et lautorit de contrle, que les coordonnes du DPO soient facilement accessibles
tant vis--vis de lextrieur quen interne. Sil est possible de nommer un unique DPO pour un
groupe dentreprises, il conviendra de veiller que cela soit sans prjudice de son accessibilit.

85
Les comptences du DPO

Le DPO doit tre dsign sur la base de ses qualits professionnelles et, en particulier, de ses
connaissances spcialises du droit et des pratiques en matire de protection des donnes, et
de sa capacit accomplir ses missions. Le niveau dexpertise doit tre apprci en fonction de
la taille de lentreprise et des traitements raliss notamment de lexistence de traitements de
donnes sensibles ou des transferts internationaux de donnes.

Il convient de sassurer que le DPO dispose galement dune bonne connaissance du secteur
dactivit de lentreprise concerne. Il est important que le DPO puisse avoir accs aux
formations proposes par la CNIL.

Les qualits du DPO

Le DPO doit tre en mesure daccomplir ses missions. En plus des comptences, le
DPO doit disposer des moyens techniques et humains ncessaires. Lentreprise doit donc, le
cas chant, tablir un budget et une quipe. Elle devra galement permettre au DPO de suivre
des formations.

Le profil et la place du DPO dans lorganisation doit lui permettre de disposer de lautorit
ncessaire et de laccs aux dirigeants. Sur la base dun tat des lieux des traitements mis en
uvre, lentreprise pourrait formaliser les lments suivants :

valuation de la charge de travail ;


valuation du budget
Composition de lquipe mis la disposition du DPO et modalits de dsignation ;
Nombre dheures de formations dont bnficie le DPO ou son quipe ;
Engagements de faire participer le DPO aux runions des dirigeants ;
Engagement de consulter le DPO sur toutes questions relatives la protection des
donnes ; et
Engagement dinformer le DPO de tout incident relatif la protection des donnes
caractre personnel.

Il convient de veiller ce que les mesures prises dans ces domaines ne viennent pas empiter
sur les missions du DPO. Il appartient galement lentreprise de mettre en place la
communication ncessaire pour asseoir lautorit du DPO.

Sur la base de ces lments, le DPO devrait pouvoir dterminer :

Les modalits de reporting auprs des dirigeants ;


Les modalits daccs aux donnes, aux oprations de traitement ;
Les modalits dintervention en cas de data breach, etc.

Le DPO doit tre indpendant. Si le DPO nest pas un salari protg au sens du droit du
travail, le GDPR prcise que le DPO ne peut faire lobjet de sanctions ni ne recevoir
dinstruction pour lexercice de ses missions. Ces dispositions devraient tre reprises dans le
contrat entre le DPO et lentreprise. On notera que le DPO peut tre sanctionn pour des motifs
extrieurs sa mission. Dans une telle hypothse, il conviendra de prvoir une procdure
renforce afin quil ny ait pas de possible quivoque sur les raisons de ces sanctions.

Le DPO ne doit pas prsenter de conflits dintrts. Les fonctions de DPO ne sont pas
exclusives dautres fonctions au sein de lentreprise. Cependant, il convient de veiller ce que
ces autres fonctions ne conduisent pas un risque de conflits dintrts. Tout particulirement,
le DPO ne doit pas exercer de missions le conduisant dfinir les finalits et les moyens du
traitement de donnes caractre personnel. Ainsi, certains postes semblent par nature
prsenter des risques de conflits dintrts : directeur juridique, directeur du marketing,

86
directeur IT, etc. Les entreprises devraient raliser une valuation leur permettant de
dterminer :

Les postes qui ne peuvent tre cumuls avec les fonctions de DPO ;
Les rgles permettant dviter les conflits dintrts ;
Les stipulations contractuelles relatives aux conflits dintrts prvoir dans le contrat
avec le DPO ;
Les modalits de dclaration dabsence de conflits dintrts afin dattirer lattention
du DPO sur cette question.

c) Les missions du DPO

Le DPO est un poste de gestion de risques qui dbouche sur des prconisations et des
recommandations en vue de la conformit avec le GDPR.

Ainsi, l'article 39 du GDPR prvoit que le DPO a pour mission :

Dinformer et conseiller le responsable du traitement ou le sous-traitant sur les


obligations qui leur incombent en vertu du GDPR et des autres dispositions relatives
la protection des donnes. Les entreprises devraient permettre au DPO de dfinir les
modalits de cette mission dinformation.

Contrler le respect du GDPR, des autres dispositions en matire de protection des


donnes et des rgles internes du responsable du traitement ou du sous-traitant.
Notamment, le DPO devrait :
o Recenser les traitements de donnes caractre personnel ;
o Analyser et vrifier leur conformit au GDPR ;
o Informer et conseiller lentreprise sur les mesures prendre.

Dispenser des conseils, sur demande, en ce qui concerne l'analyse d'impact relative
la protection des donnes. Les entreprises devraient prvoir les modalits selon
lesquelles elles consultent leur DPO en matire d'analyse d'impact notamment sur les
questions suivantes :
o La ncessit ou non de raliser une analyse d'impact ;
o La mthodologie de cette analyse d'impact ;
o Les garde-fous mettre pour circonscrire les risques datteintes aux droits des
personnes concernes ;
o La vrification du bon droul de l'analyse d'impact et lapprciation quant au
respect du GDPR.

Cooprer avec l'autorit de contrle. Le DPO, dans le respect de son obligation de


confidentialit, doit servir de relais entre lentreprise et la CNIL. Il est important quil
puisse demander conseil auprs de lautorit de contrle.

Faire office de point de contact pour l'autorit de contrle sur les questions relatives
au traitement, notamment pour la consultation pralable des traitements dont
l'analyse d'impact relve un risque fort pour les droits des personnes concernes.

Le DPO doit adopter une approche axe sur les risques. Cest le risque qui doit dterminer la
conduite du DPO et laider prioriser ses missions.

87
A noter : les entreprises devraient galement prvoir de documenter les raisons
pour lesquelles elles dcident de ne pas suivre une recommandation du DPO.

Le GDPR ne se focalise pas seulement sur les objectifs de la protection des donnes, il dfinit
aussi les moyens de cette protection et encourage ladoption de diffrents outils permettant
aux entreprises de communiquer publiquement sur leur conformit. Ainsi, codes de conduite,
certification et rgles contraignantes d'entreprise, font l'objet d'un focus et d'une
reconnaissance marqus de la part du GDPR. Autant d'outils visant crer la confiance.

Primtre prvu au
Outils Objet
GDPR
Rserv un secteur
Codes de conduite Outil de conformit
identifi [ confirmer]
Non rserv un secteur
Certifications Outil de conformit
particulier
Outil dencadrement des
Rgles dentreprise transferts intragroupe de
Groupe dentreprises
contraignantes donnes caractre
personnel

Source : Osborne Clarke

88
FOCUS ENTREPRISE

Stanislas DE RMUR
Cofondateur et CEO
Oodrive

GDPR, le point de vue dOodrive

La mise en conformit avec le GDPR est un passage oblig pour toutes les entreprises
europennes. Et Oodrive ne fait pas exception, bien sr. Compte tenu de notre
secteur dactivit et de nos mtiers, la question de la protection des donnes personnelles
est essentielle. En effet, nous grons travers nos solutions de partage, de sauvegarde et de
signature lectronique une quantit considrable de donnes.

Ce nouveau texte europen est donc une tape importante pour nous

En tant que fournisseur de solutions traitant des donnes professionnelles et personnelles,


nous occupons une place cl dans la chane de conformit et nous sommes amens interagir
avec diffrents acteurs.

Nous sommes parfois en relation contractuelle directe avec le Responsable de Traitement, et


parfois avec son sous-traitant (un diteur SaaS sous contrat avec un hbergeur par exemple).
Notre conformit au GDPR est donc un lment primordial. Mais elle nest pas suffisante:
chaque maillon devra tre en capacit de dmontrer sa conformit. Il est ncessaire de garantir
que les prestataires, aussi bien en amont quen aval de la chane de sous-traitance, rpondent
aux exigences.

Nous travaillons la fois sur la conformit de nos solutions (Privacy by Design), ainsi qu la
fourniture des services requis par le rglement. Les donnes collectes via nos solutions de
sauvegarde sont chiffres de bout en bout par dfaut avec une possibilit de choisir la cl de
chiffrement. Cela nous permet dtre en accord avec certaines exigences du GDPR en matire
de scurit.

Une certification, notamment dans le domaine de la scurit, peut galement jouer un rle trs
important. Cest non seulement une vraie reconnaissance de notre travail, mais cest aussi
un gage de confiance pour un client. Certaines sont pratiquement incontournables, comme la
norme ISO 27001

La scurit tant la pierre angulaire de nos mtiers, nous nous sommes impliqus ces
dernires annes dans un certain nombre de dmarches qui nous permettent aujourdhui
dtre dj bien engags sur la voie de la conformit au RGPD.

En 2014, nous avons par exemple particip llaboration dune certification sous la bannire
Cloud Confidence. Le label Cloud Confidence, actuellement en cours de rvision pour tre en
accord avec le RGPD, nous permet aujourdhui de garantir nos clients et aux utilisateurs de
nos solutions un cadre de transparence sur la protection des donnes.

89
Les principaux outils de confiance vis--vis des tiers et
la prsomption de conformit

Instruments encore mconnus de la pratique, les codes de conduite, certifications, labels et


marques ou encore rgles contraignantes d'entreprise, pourraient se rvler tre des outils
prcieux pour guider les organisations dans leurs efforts de conformit, en leur fournissant un
cadre de conformit plus adapt et personnalis que les rgles gnriques du GDPR.

Les codes de conduite

La notion de "code de conduite" introduite par le GDPR constitue une nouveaut par rapport
la loi franaise de 1978, mme si certaines actions de la CNIL ces dernires annes
s'inscrivaient dj dans une dmarche proche (cf. ci-dessous). Dans une acception large, un
code de conduite pour une entreprise est un ensemble d'engagements unilatraux sur des
principes, des actions, des pratiques, bref, sur une conduite que cette entreprise s'engage
adopter et respecter, le tout formalis au sein d'un document rendu public. Ainsi le code de
conduite nest pas impos par une loi ou une rglementation. Sa valeur contraignante ne vient
donc pas de la sanction prvue par la loi, mais du caractre public de l'engagement unilatral
pris par l'entreprise qui, en cas de non-respect de cet engagement se retrouve publiquement
expose et dcrdibilise. Popularis par les stratgies et plans de responsabilit socitale et
environnementale des entreprises, cet outil parfois conu et peru comme un simple
instrument de communication et de marketing est le plus souvent un vritable instrument
normatif pour les entreprises dans un contexte de "soft law", savoir d'autorgulation, de plus
en plus prgnant et encourag par le lgislateur national et europen lui-mme.

Ainsi au plan de l'Union Europenne, le concept de code de conduite fait son introduction ds
la directive 2005/29/CE relative aux pratiques commerciales dloyales des entreprises vis--
vis des consommateurs dans le march intrieur qui le dfinit comme : un accord ou un
ensemble de rgles non imposs par les dispositions lgislatives, rglementaires ou
administratives dun tat membre, qui dfinissent le comportement des professionnels qui
sengagent tre lis par lui sur une ou plusieurs pratiques commerciales ou un ou plusieurs
secteurs dactivit. 16

Il nest ds lors pas surprenant que le GDPR reprenne cette notion en matire de protection
des donnes caractre personnel, son Article 40 1 l'voquant non pas l'chelle d'une
entreprise mais d'un secteur d'activit donn, secteur qui se doterait d'un ensemble de rgles
destines contribuer la bonne application du [GDPR], compte tenu de la spcificit des
diffrents secteurs de traitement et des besoins spcifiques des micro, petites et moyennes
entreprises 17.

C'est donc un code de conduite "sectoriel" que vise le GDPR, sans pour autant dfinir ce terme,
ce qui ouvre la voie une approche de la conformit non pas limite une entreprise ou un
groupe d'entreprises mais l'ensemble des entreprises relevant du secteur concern. Si les
intrts d'une telle approche sont multiples (a), il convient de s'attarder sur les conditions de
mise en uvre de ce nouvel outil de conformit (b).

16 Article 40 1 du GDPR
17 Voir notamment le considrant (77) et les articles 24, 28, et 32 du GDPR

90
a) Les intrts lis au code de conduite sectoriel

Les codes de conduite font lobjet de deux articles ddis dans le GDPR, les articles 40 et 41,
auxquels s'ajoutent de nombreuses rfrences tout au long du texte. Les codes de conduite sont
prsents comme un outil de conformit des traitements de donnes et sinscrivent dans la
mme logique daccountability introduite par le GDPR que les certifications.

Concrtement, l'intrt pour les responsables de traitement ou sous-traitants de pouvoir


adhrer un code de conduite sectoriel est de plusieurs ordres.

En premier lieu, il sagit dun outil de preuve de la conformit, aussi bien pour les responsables
du traitement 18 que pour les sous-traitants 19. L'adhsion un code de conduite est dailleurs
prise en compte dans les analyses d'impact 20 en ce quelle permet de minimiser les risques lis
aux traitements raliss.

Par ailleurs, ladhsion un code de conduite par un responsable du traitement ou un sous-


traitant est inclue parmi les circonstances attnuantes devant tre prises en compte par
les autorits de contrle en cas de dcision de sanction administrative 21. Ainsi, le montant
dune telle sanction administrative pourra tre diminu si lentreprise concerne dmontre
quelle respecte un code de conduite approuv.

Enfin, l'adhsion un code de conduite (comme cest le cas en ce qui concerne les
certifications) permet des prestataires trangers de fournir des garanties appropries
dans le cadre dun transfert de donnes, sous rserve dun engagement juridiquement
contraignant sur ces garanties 22. Cest une option intressante qui peut tre propose des
partenaires hors UE (tels que des prestataires amricains).

Plus gnralement, l'intrt d'un code de conduite sectoriel est de prciser et


dadapter les rgles gnrales de protection des donnes aux diffrents secteurs
dactivit et aux contraintes propres aux petites et moyennes entreprises. L'ide
ici est clairement celle de croiser la prise en compte des spcificits d'un secteur avec le souci
de permettre aux petites et moyennes entreprises l'accs des outils de conformit, similaires
une certification, adapts leur activit et potentiellement plus favorable conomiquement.
En effet, si un secteur dtermin s'organise pour dvelopper et faire valider un code de
conduite, dont l'adhsion sera ensuite propose aux entreprises concernes dans les
conditions permettant le plein effet juridique du code de conduite sectoriel, ces entreprises
pourraient bnficier des conomies d'chelle gnres par une telle dmarche collective.

Pour le lgislateur, c'est le moyen de permettre au plus grand nombre d'entreprises d'accder
aux outils de conformit, mais aussi de pouvoir dialoguer directement avec les instances
reprsentatives des secteurs qui auront adopt un code de conduite, rduisant ainsi le nombre
d'interlocuteurs directs.

Les codes de conduite sectoriels, pour produire leur plein effet, doivent avoir suivi une
procdure dapprobation prcise visant garantir leur conformit la rglementation
europenne.

18 Article 24 du GDPR
19 Article 28 du GDPR
20 Article 35 du GDPR
21 Considrant (148) et article 83 du GDPR
22 Article 46 du GDPR

91
b) Les conditions de validit et d'approbation d'un code de conduite sectoriel
au sens du GDPR

Concernant la rdaction d'un code de conduite sectoriel, le GDPR fournit les indications
suivantes sur son contenu qui devra aborder les thmes suivants :

a) le traitement loyal et transparent ;

b) les intrts lgitimes poursuivis par les responsables du traitement dans des
contextes spcifiques ;

c) la collecte des donnes caractre personnel ;

d) la pseudonymisation des donnes caractre personnel ;

e) les informations communiques au public et aux personnes concernes ;

f) l'exercice des droits des personnes concernes ;

g) les informations communiques aux enfants et la protection dont bnficient les


enfants et la manire d'obtenir le consentement des titulaires de la responsabilit
parentale l'gard de l'enfant ;

h) les mesures et les procdures vises aux articles 24 et 25 [concernant la


responsabilit du responsable du traitement, la protection ds la conception et la
protection par dfaut] et les mesures visant assurer la scurit du traitement vises
l'article 32 [obligations relatives la scurit du traitement] ;

i) la notification aux autorits de contrle des violations de donnes caractre


personnel et la communication de ces violations aux personnes concernes ;

j) le transfert de donnes caractre personnel vers des pays tiers ou des


organisations internationales ; ou

k) les procdures extrajudiciaires et autres procdures de rglement des litiges


permettant de rsoudre les litiges entre les responsables du traitement et les
personnes concernes en ce qui concerne le traitement, sans prjudice des droits des
personnes concernes au titre des articles 77 et 79 [rclamations auprs dune
autorit de contrle et recours juridictionnels].

En outre, le code de conduite doit prvoir un mcanisme permettant le contrle de


lapplication de ce code par un organisme de contrle agr par lautorit de contrle 23.

Malgr ces indications, force est de constater que le contenu dun code de conduite est encore
incertain. Il parait raisonnable de sinspirer, pour rdiger un code de conduite, du format et
contenu des BCR, sous une forme la fois plus gnrale ( savoir dpassant une seule
entreprise) et adapte au secteur concern, tout en permettant de prendre en compte les
diffrentes situations de ses signataires (par exemple selon la taille des entreprises).

23 Article 40 4 du GDPR

92
Certaines associations et fdrations ont commenc rflchir sur l'laboration d'un code de
conduite et l'on peut citer l'exemple du code de conduite du CISPE (Cloud Infrastructure
Services Providers in Europe) 24.

Cette rdaction pourra faire l'objet d'changes avec l'autorit de contrle comptente,
puisqu'en tout tat de cause tous les projets de code de conduite, ainsi que toutes les
modifications ou prorogations ultrieures de tels codes, sont soumis lautorit de contrle
comptente, qui met un avis.

En cas davis positif, si le projet ne concerne quun Etat membre (cest--dire porte sur des
traitements dans un seul Etat membre), lautorit enregistre et publie le code de conduite. Si
le projet concerne plusieurs Etats membres (sil porte sur des traitements dans plusieurs Etats
membres, ce qui sera probablement trs souvent le cas), lautorit soumet le projet au comit
europen de la protection des donnes (CEPD), qui lui-mme le consigne, le publie et le
soumet la Commission sil estime que le projet est conforme au GDPR. Aprs une procdure
dexamen, la Commission peut alors dcider que le code de conduite est dapplication gnrale
au sein de lUE. Cet aspect est important : potentiellement, un code de conduite peut devenir
un instrument normatif gnral, ce qui plaide en faveur de cet outil et invite galement la
prudence dans son laboration.

Le contrle du respect des codes de conduite sera effectu par un contrleur agr par les
autorits de contrle. Ce contrleur doit tre un organisme qui dispose dun niveau
dexpertise appropri 25, et qui pourra tre une organisation prive.

Batrice Delmas-Linel
Associe grante
Osborne Clarke

Les modalits d'agrment d'un contrleur par les autorits de contrle ne


sont pas connues ce stade. La question se pose de savoir si l'association ou la
fdration professionnelle ayant conduit l'laboration d'un code de conduite
sectoriel, et l'adhsion celui-ci par ses membres, pourrait tre agre en tant
qu'organisme de contrle. Ce point devra tre prcis, et il est probable que tout
agrment exige d'un tel organisme de garantir son indpendance, sa neutralit
et la gestion dventuels conflits dintrts. Ces questions sont dautant plus
importantes que lorganisme de contrle aura le devoir et le pouvoir dinformer
lautorit de contrle en cas de violation du code de conduite par un responsable
du traitement ou sous-traitant et de dcider des mesures appropries ,


incluant la suspension ou lexclusion de lapplication du code pour lentreprise
concerne.

24 Code de conduite labor par le CISPE (Cloud Infrastructure Services Providers in Europe) disponible en ligne :
https://cispe.net/wp-content/uploads/pdf/CISPE-CodeOfConduct-160926.pdf
25 Article 41 1 du GDPR

93
FOCUS ENTREPRISE

Sylvain FOUREY
RSSI Groupe
Cegid

GDPR, le point de vue de Cegid

Cegid au mme titre que toutes les entreprises europennes est soumis au nouveau rglement
gnral sur la protection des donnes RGPD ou GDPR en anglais. Plus quune volution
rglementaire, il faut voir cette obligation comme une opportunit dapporter plus de
transparence et donc de confiance aux personnes avec qui nous sommes tous en relation.

En attendant les labels, certifications, outils et autres process qui permettront de dmontrer
la conformit dune organisation sur le sujet de la gestion des donnes personnelles, nous
pensons quil est ncessaire de faire un focus sur quelques notions.

Le point le plus important est la mise en place dune gouvernance transverse sur la gestion des
donnes. En effet la mise en place dun projet GDPR se traduit par des modifications dans les
usages des collaborateurs, les moyens mis disposition et donc doit sinscrire dans un
changement plus global de la culture de lentreprise. Les donnes doivent devenir des actifs
part entire du systme dinformation.

Afin de suivre et guider cette transformation, la fonction DPO (Data Privacy Officer) aura un
rle central. Ses domaines de comptences devant couvrir un primtre allant du juridique
loprationnel en passant par la scurit des systmes dinformation et la connaissance des
mtiers de lentreprise, les rflexions portant sur la nomination de plusieurs DPO ayant chacun
sa spcialit ne doit pas tre carte.

Un autre sujet sur lequel il est essentiel de sattarder est la documentation produire. Cette
documentation obligatoire sera demande lors dun contrle mais il faut aussi la voir comme
un lment de confiance. En effet, pourquoi ne pas capitaliser sur le travail effectu pour en
tirer des lments de communication avec lesquels nous pourrions alimenter la confiance de
toutes les personnes avec qui nous travaillons.

Enfin, le mode de distribution de certains produits comme les notre va revtir une importance
supplmentaire. Au moment o les organisations valuent leurs risques et commencent se
mettre en ordre de bataille, les diteurs de logiciel ont un rle vident jouer dans
laccompagnement -ou non !- de leurs clients. Dans cette perspective, le mode SaaS apparait
comme un outil dautant plus puissant et rassurant pour de nombreux clients et prospects ;
ceux qui ont dj opt pour ce choix stratgique sont dautant mieux placs pour se prparer.

La scurit des donnes et la confiance dans les acteurs numriques sont les piliers qui vont
construire les changes digitaux de demain, faisons-en sorte de tous contribuer ce but.

94
En France, il est intressant de signaler que la loi informatique et liberts franaise permet
dj la CNIL de donner un avis sur la conformit aux dispositions de la loi du 6 janvier 1978
des projets de rgles professionnelles tendant la protection des personnes l'gard du
traitement de donnes caractre personnel. Ces rgles professionnelles, peu rpandues
jusquici, prfigurent la notion de code de conduite. On peut citer comme exemple de code de
conduite reconnu conforme par la CNIL, le code relatif lutilisation de coordonnes
lectroniques des fins de prospection directe tabli par l'Union Franaise du Marketing
Direct 26, ainsi que le code de dontologie de la communication directe lectronique tabli par
Syndicat National de la Communication Directe 27.

Enfin, la CNIL a labor plusieurs packs de conformit 28 en concertation avec les acteurs
de certains secteurs d'activit. Ces packs de conformit dfinissent des bonnes pratiques pour
un secteur et peuvent contenir des mesures de simplification des formalits, des guides
pratiques et pdagogiques, des tests de vrification de conformit la loi. Ils illustrent la
volont de la CNIL de dvelopper de nouveaux outils de rgulation. Si ces packs sappuient sur
divers instruments juridiques aujourd'hui remis en cause par le GDPR (normes simplifies,
autorisations uniques, recommandations notamment), il est probable que la CNIL sinspire de
cette approche dans la future procdure dadoption des codes de conduite : mme si la CNIL
et les autres autorits de contrle agiront formellement par dlgation , il ne fait pas de
doute que les codes de conduite seront des outils soumis un encadrement strict de la part de
ces autorits.

Les certifications, labels et marques

La Directive 95/46/CE ne prvoyait pas de mcanisme de certification. Cependant, au niveau


national, la CNIL peut dlivrer des labels des produits ou procdures tendant la protection
des personnes lgard du traitement de leurs donnes caractre personnel. Le GDPR
consacre les mcanismes de certification, labels et marques et, les Etats membres, les DPA, le
comit europen de la protection des donnes et la Commission sont invits encourager la
mise en place de ces mcanismes 29. La certification ainsi que les labels et marques doivent
permettre dattester de la conformit au GDPR des traitements poursuivis par les responsables
de traitement ou les sous-traitants. Ces mcanismes peuvent galement tre utiliss pour
dmontrer lexistence de garanties appropries pour les responsables de traitement ou sous-
traitants nentrant pas dans le champ dapplication du GDPR ou dans le cadre de transfert de
donnes vers des Etats tiers en labsence de dcision dadquation.

26 Code relatif lutilisation de coordonnes lectroniques des fins de prospection directe, Union Franaise du
Marketing Direct (disponible en ligne : http://www.ufmd.org/file/125350/) dclar conforme la loi Informatique et
Liberts par la CNIL dans une dlibration n2005-051 du 30 mars 2005.
27 Code de dontologie de la communication directe lectronique, Syndicat National de la Communication Directe

(disponible en ligne : http://www.sncd.org/deontologie/code-de-deontologie-electronique-du-sncd/) dclar


conforme la loi Informatique et Liberts par la CNIL dans une dlibration n2005-047 du 22 mars 2005.
28 Pack de conformit compteurs communicants (disponible en ligne :
https://www.cnil.fr/sites/default/files/typo/document/Pack_de_Conformite_COMPTEURS_COMMUNICANTS.p
df ), pack de conformit logement social (disponible en ligne:
https://www.cnil.fr/sites/default/files/typo/document/PackConf_LOGEMENT_SOCIAL_web.pdf) et pack de
conformit assurance (disponible en ligne:
https://www.cnil.fr/sites/default/files/typo/document/PACK_ASSURANCE_complet.pdf); pack de conformit
vhicules connects publi le 17 octobre 2017 (disponible en ligne:
https://www.cnil.fr/sites/default/files/atoms/files/pack_de_conformite_vehicule_connecte.pdf).
29 Articles 42 et 43 du GDPR

95
Thaima Samman
Associe fondatrice
Cabinet SAMMAN

Les certifications et les labels ont vocation jouer un rle de premier ordre
dans la mise en uvre du GDPR car ils prsentent de rels avantages pour
toutes les parties prenantes : les entreprises certifies mais galement les
autorits de contrle et, plus important encore, les individus. Les mcanismes
de certification, comme les codes de conduite, sont galement une illustration
de la transformation de la protection des donnes personnelles vers des
mcanismes dauto-rgulation.

Ces outils ont pour vocation non seulement daider les entreprises se
conformer au GDPR mais galement dmontrer leur conformit ce
rglement que ce soit pour certains ou pour l'ensemble de leurs services,
produits ou activits. Par ailleurs, les certifications devraient tre adaptes
toute taille dentreprises, de la PME lentreprise multinationale. Bien que le
GDPR ne le prvoit pas expressment (contrairement ce qui existe pour les
codes de conduite), limplication des entreprises concernes dans llaboration
des certifications et labels, au ct du rgulateur, en France la CNIL, semble
indispensable au succs et leffectivit de ces dernires.

Si certains de ces outils dauto-rgulation nexisteront quau niveau national,


ils ont, par ailleurs, tous vocation tre harmoniss et/ou reconnu au niveau
europen avec pour objectif la cration dinteroprabilit avec les outils de


conformit existants dans dautres rgions du monde.

Ladhsion un mcanisme de certification est volontaire et transparente. Elle ne diminue pas


la responsabilit du responsable de traitement ou du sous-traitant mais elle peut tre prise en
compte par lautorit de contrle en cas de sanctions : cest--dire que la certification aura
vraisemblablement un effet attnuant sur les sanctions dans la mesure o le responsable du
traitement ou le sous-traitant aura respect les prescriptions de la certification. Cest aussi un
gage de confiance pour les responsables de traitement devant choisir des sous-traitants
prsentant des garanties suffisantes de protection des donnes.

La certification constitue un outil efficace de :

Conformit au GDPR ;
Dmonstration du respect des obligations du GDPR ;
Dclinaison oprationnelle du GDPR ;
Facilitation des relations contractuelles : la certification offre un cadre fiable et
vrifiable pour les oprations de traitement des donnes, particulirement pertinent
pour les oprations de cloud computing o un audit individuel ne serait pas possible ;
Communication avec les tiers, les personnes concernes et les DPA. La certification
permet de construire une relation de confiance ;

96
Transfert : les certifications constituent des garanties appropries pour les transferts
hors de lUE sous rserve de l'engagement contraignant et excutoire d'appliquer ces
garanties appropries, y compris en ce qui concerne les droits des personnes
concernes. Notamment, une telle certification ne ncessite pas une autorisation
pralable au transfert.

La certification peut tre dlivre, pour une priode maximale de trois ans, par un organisme
spcialement agr par lautorit de contrle (lorganisme national daccrditation (COFRAC)
pourrait potentiellement jouer ce rle) voire le comit de protection des donnes. Le comit
europen de la protection des donnes centralisera dans un registre disposition du public
tous les mcanismes de certification et les marques. La Commission quant elle peut, par voie
dacte dlgu, prciser les critres et exigences prendre en considration lors de
llaboration des mcanismes de certification. Elle peut, par voie dacte dexcution, fixer des
normes techniques pour les mcanismes de certification, ainsi que des marques et labels. La
CNIL souhaite ainsi tre en amont dans la production de rfrentiel, et tout fait en aval au
moment du contrle du respect des certifications, labels ou marques. Plusieurs organismes
comme l'AFNOR ou Bureau Veritas ont exprim leur intrt devenir organisme de
certification.

Il nexiste pas encore de certification GDPR. Cependant, la CNIL propose plusieurs labels, dont
le label Gouvernance Informatique et Liberts , le label Formation ou encore le label
coffre-fort numrique 30.

La CNIL a publi en septembre une mise jour des labels formation et gouvernance pour
prendre en compte les exigences du GDPR et pour permettre aux organismes labelliss
dadapter ds que possible leurs procdures et produits labelliss. La mise jour des
rfrentiels en matire de procdure daudit et de coffre-fort numrique est prvue pour fin
2017.

Le label Gouvernance Informatique et Liberts a vocation aider les organismes


privs et publics mettre en uvre la protection des donnes et rendre compte de l'action
qu'ils mnent en matire de gouvernance des donnes caractre personnel. Cette
gouvernance est dfinie comme l'ensemble des mesures, des rgles et des bonnes pratiques qui
permettent l'application des lois et rglements pour la gestion de ces donnes, et qui
permettent de prciser les responsabilits qui interviennent dans cette gestion. Fond sur les
normes ISO/IEC 27001 :2013 sur les systmes de management de la scurit de l'information
et ISO/IEC 29190 :2014 sur la maturit dans le domaine de la protection de la vie prive, le
label a t labor en prenant en compte le projet de rglement europen relatif la protection
des donnes caractre personnel.

Il constitue donc un outil intressant pour se prparer la transition vers le GDPR.

Le label coffre-fort numrique adopt par la CNIL par une dlibration du 23 janvier
2014 valide les services de coffre-fort numrique qui rpondent lobjectif de conversation
scurise et de protection des donnes caractre personnel contenues dans un coffre-fort de
telle sorte que ces dernires ne soient accessibles qu leur utilisateur et aux personnes
physiques spcialement mandates par ce dernier. Ladhsion un tel label peut permettre
galement de se prparer au GDPR.

30 CNIL, dlibration n 2014-500 du 11 dcembre 2014 portant adoption d'un rfrentiel pour la dlivrance de
labels en matire de procdures de gouvernance Informatique et liberts.

97
Particulirement adapt aux fournisseurs de services de cloud computing, le label EuroPriSe,
auquel la CNIL a contribu, a fait lobjet dune mise jour pour prendre en compte les
nouvelles obligations issues du GDPR.

Les conditions du succs des certifications

Les certifications, labels et marques devraient :

Comprendre des incitations pour acclrer leur adoption par les entreprises ;
Etre harmoniss au niveau europen : il faut viter la multiplication des types de
certification sous peine de diminuer leur lisibilit et leur efficacit auprs des personnes
concernes. Les ventuelles certifications nationales devraient tre des dclinaisons de
certifications de niveau europen.
Prendre en compte les autres certifications ou standards existants comme les certifications
ISO ou les rgles pour les transferts internationaux de donnes de lAPEC.
Prvoir une coordination avec les BCR : ladoption de BCR devraient faciliter lobtention
dune certification et rciproquement ;
Pouvoir tre adapts en fonction de la taille de lentreprise et de son activit.

Les rgles d'entreprise contraignantes (ou "BCR")

Les BCR sont des rgles contraignantes qui simposent lensemble des entits concernes
dun groupe et confrent aux personnes concernes des droits opposables en matire de
protection de leurs donnes caractre personnel. Elles sont approuves par les autorits de
contrle dans le cadre d'un processus trs encadr. Elles constituent un investissement pour
faciliter les flux de donnes au niveau mondial au sein d'un groupe.

Cependant, les BCR ne doivent pas tre vues comme tant simplement un
mcanisme de transfert, il sagit dun vritable outil de conformit au GDPR de
faon harmonise au niveau du groupe.

Les BCR peuvent tre considres comme une vritable certification de lentreprise
bnficiaire. Outil de communication, les BCR permettent de gagner la confiance des clients
et dassurer les personnes concernes du bon niveau de protection des donnes caractre
personnel par lentreprise.

Le G29 d'ailleurs travaille sur l'actualisation des rfrentiels en matire de BCR afin qu'ils
puissent aller au-del des questions de garantie offertes en matire de transfert.

98
FOCUS ENTREPRISE

Nathalie LANERET
Responsable de la protection des donnes
Capgemini

GDPR, le point de vue de Capgemini

Comment le Groupe Capgemini a-t-il abord sa mise en conformit avec le GDPR


?

Le Groupe Capgemini a intgr la problmatique de la protection des donnes personnelles et


donc de la mise en conformit au GDPR au sein de son programme de cyberscurit. La
scurit est en effet la pierre angulaire de tout programme de protection des donnes
personnelles.

Dans ce cadre, Capgemini a tabli un socle 64 rgles minimales de scurit qui doivent tre
appliques par toutes les entits du groupe dans tous les pays et qui sont rpercutes sur les
cocontractants.

Capgemini met en place le GDPR en sappuyant sur ses BCR controller et processor, ce qui lui
permet de mutualiser les efforts. Grce aux BCR, Capgemini a mis en place une gouvernance
interne qui comporte notamment la nomination dun DPO au niveau du Groupe ainsi que la
tenue de runions de suivi rgulires sur le niveau davancement de la mise en conformit.

De faon gnrale, de par leurs prrequis organisationnels et leur approche transversale, les
BCR permettent dtablir les bases du programme de conformit interne de lentreprise en
matire de protection des donnes personnelles, lequel est rendu ncessaire dans le cadre de
la mise en uvre du principe daccountability au titre du GDPR.

A ce titre, il importe que les BCR soient considres comme un outil daccountability privilgi
au titre de la mise en uvre du rglement.

Pour russir la mise en uvre du GDPR, il convient dadopter une approche dynamique et non
statique de la compliance, tout comme cest le cas en matire de scurit.

99
Focus transferts internationaux de donnes

Les transferts internationaux de donnes sont encadrs par le GDPR. Celui-ci prvoit 5
modalits principales de transferts :

Une dcision dadquation de la Commission ;


La fourniture de garanties appropries qui peuvent tre :
o Des clauses types de protection des donnes adoptes ou approuves par la
Commission,
o Un code de conduite ou une certification assortie de l'engagement
contraignant et excutoire pris par le responsable du traitement ou le sous-
traitant d'appliquer les garanties appropries, notamment en ce qui concerne
les droits des personnes concernes ; ou
o Des clauses contractuelles entre le responsable du traitement ou le sous-
traitant et le responsable du traitement, le sous-traitant ou le destinataire des
donnes caractre personnel dans le pays tiers sous rserve dune
autorisation ;
o Les rgles dentreprises contraignantes ou Binding Corporate Rules ("BCR").

A dfaut de dcisions dadquation ou de garanties appropries, les transferts demeurent


possibles pour certaines situations particulires. Ces drogations sont strictement encadres
et reposent sur des conditions qui peuvent tre difficiles remplir ou dmontrer :

Le consentement explicite de la personne concerne qui a t pralablement informe


des risques lis au transfert ;
Transfert ncessaire la conclusion ou lexcution dun contrat bnficiant la
personne concerne ;
Motifs dintrt public ;
Constatation ou exercice dun droit en justice ;
Transfert ncessaire pour des motifs dintrts vitaux de la personne concerne ou
dautres personnes si la personne concerne ne peut donner son consentement ;
Transfert partir dun registre destin donner des informations au public sous
certaines conditions ;
Drogation pour les transferts non rptitifs sous les conditions suivantes :
o Ne concernent quun nombre limit de personnes ;
o Ncessaire aux fins des intrts lgitimes imprieux poursuivis par le
responsable du traitement ;
o conditions que les intrts ou les droits et liberts de la personne concerne
ne prvalent pas sur ces derniers
o Le responsable du traitement a valu toutes les circonstances entourant le
transfert de donne
o Le responsable de traitement a adopt en consquence des garanties
appropries ;
o Le responsable de traitement informe lautorit de contrle et la personne
concerne.

Attention !

Une dcision de justice ou une dcision administrative dun pays tiers ne peut contraindre un
responsable de traitement ou un sous-traitant divulguer des donnes caractre personnel
sauf accord entre les Etats ou lEtat et lUE.

100
Contenu des BCR

Le contenu des BCR est largement prcis par le rglement. Ainsi, les BCR doivent au moins
comprendre :

La structure et les coordonnes du groupe ;


Les transferts de donnes, y compris les catgories de donnes caractre personnel,
le type de traitement et ses finalits, le type de personnes concernes et les pays tiers
concerns ;
Leur caractre contraignant tant en interne que vis--vis de lextrieur ;
L'application des principes gnraux relatifs la protection des donnes (notamment
limitation de la finalit, minimisation des donnes, limitation des dures de
conservation des donnes, privacy by default, privacy by design, etc.) ;
Les droits des personnes concernes et les moyens dexercer ces droits ;
Lacceptation, par le responsable du traitement ou le sous-traitant de l'engagement de
sa responsabilit pour toute violation des rgles d'entreprise contraignantes par toute
entit concerne non tablie dans lUnion ;
La manire dont les informations sur les rgles d'entreprise contraignantes, sont
fournies aux personnes concernes ;
Les missions du DPO ou de toute autre entit charge de la surveillance du respect des
BCR et du suivi de la formation et du traitement des rclamations ;
Les procdures de rclamation ;
Les procdures de contrle du respect des BCR au sein du groupe (mise en place
daudits et de reporting) ;
Les mcanismes mis en place pour communiquer notamment l'autorit de contrle
les modifications apportes aux rgles et les consigner ;
Les mcanismes de coopration avec l'autorit de contrle sagissant de la mise en
uvre des BCR ;
Les mcanismes de communication lautorit de contrle de toute modification
dordre juridique venant dun pays tiers et susceptible davoir un effet ngatif sur les
BCR ;
La formation en matire de protection des donnes du personnel.

Conclusion sur les outils de confiance

Le GDPR modifie les obligations et responsabilits des diffrents acteurs et encadre beaucoup
plus strictement les contrats devant tre conclus entre eux. Cela suppose ainsi de procder
une revue des contrats en cours comportant des traitements de donnes caractre personnel
dici le 25 mai 2018 et, le cas chant denvisager leur rengociation, voire de ngocier un
contrat spcifique pour le traitement des donnes, ce qui contraste avec la pratique actuelle
o, bien souvent, des mentions assez gnrales ou des clauses de styles figurent dans les
contrats de services, dont les contrats cloud.

Avant de pouvoir rdiger toute clause de protection des donnes caractre personnel dans
un contrat, il faudra dj s'assurer que l'on est bien en prsence d'un traitement de donnes
caractre personnel soumis au GDPR (voir Focus GDPR supra). Il faudra ensuite comprendre
et analyser le type de relation en cause : responsable de traitement responsable de traitement
? Responsable de traitement sous-traitant ? Responsabilit conjointe ? En effet la rdaction
des clauses diffre selon le type de relation.

101
FOCUS ENTREPRISE

Christian LITAUDON
Marketing Produits et Services
SAGE

GDPR, le point de vue Sage


La protection des donnes personnelles est un sujet dj actuel et adress par la CNIL. Le
nouveau Rglement Gnral sur la Protection des Donnes applicable en Mai 2018, reprsente
un enjeu de taille pour toutes les entreprises. Il vise renforcer les obligations relatives aux
traitements des donnes personnelles des rsidents de lUE et accroit les exigences en matire
de collecte / traitement / conservation/ scurit. Aujourdhui, Sage a dores et dj cern
lampleur des bouleversements ports par ce nouveau texte et enclench les premires tapes
du processus de mise en conformit.

Il rsulte du GDPR de nouvelles obligations pour les entreprises qui devront tre en mesure
de justifier quelles donnes elles exploitent, quelles fins et avec quels processus
dencadrement et de contrle.

De nombreux outils daccompagnement la prise en compte du GDPR sont disponibles auprs


des institutions, fdrations, syndicats professionnels, diteurs et intgrateurs, etc. qui
recommandent tous une gestion en mode projet de la transformation (depuis la dsignation
dun pilote (Dlgu Protection des Donnes / DPO), jusqu la cartographie des donnes,
ladressage des risques, lorganisation des processus internes et la documentation associe).

Ce nouveau dispositif marque la reconnaissance de la valeur de la data , les contre effets et


risques de leurs manipulations des fins non dlimites, mais aussi une volont de sensibiliser
(et contraindre) les entreprises une gestion de cet actif afin dinstaurer un climat de
confiance entre les individus et les acteurs conomiques

Pour autant chacun en aura-t-il les moyens ? Comment les plus petites entreprises vont-elles
pouvoir apprhender ce changement de paradigme ? Linversion de la charge de la preuve est-
elle tenable pour tous- hier dclaration pralable, demain dmonstration de la conformit
tout moment jusqu des amendes de 2 4% du CA ? Enfin tous les domaines ont-ils la mme
exposition ? (Comptabilit-Finance / Paie-RH /)

Autant de questions sur lesquelles notre entreprise porte sa rflexion. De manire plus globale,
Sage examine et value les problmatiques poses par la mise en conformit avec le GDPR et
vulgarise le dispositif auprs de ses partenaires et clients pour proposer des outils et services
qui favoriseront et soutiendront la dmarche de conformit mene par ses utilisateurs.

102
Les outils contractuels et les responsabilits

Le GDPR revoit en profondeur l'quilibre des relations entre responsables et sous-traitants.


En premier lieu, il enrichit les statuts par l'introduction de la notion de responsables
"conjoints" d'un traitement, ct des notions classiques de responsable de traitement et sous-
traitant. En second lieu, il renforce les responsabilits de l'ensemble des acteurs et contraint
clarifier les rles et obligations de chacun dans les contrats, par l'inclusion de clauses
obligatoires.

L'ambition de fournir un cadre contractuel adapt l'conomie


contemporaine de la donne

En dehors des personnes dont les donnes sont traites, les parties peuvent agir en tant que
responsable de traitement, sous-traitant ou, nouveaut du GDPR, en tant que responsables
conjoints de traitement.

Ces notions doivent tre interprtes de manire la fois autonome, en ce sens que leur
interprtation relve principalement de la loi et non du choix des parties, et fonctionnelle, car
la qualification vise attribuer les responsabilits aux personnes selon leur rle de fait et
repose par consquent sur une analyse factuelle. Le risque est de "mal" qualifier une partie.
Ceci pourra tre le cas lorsque le rgime de responsabilit retenu pour encadrer son
intervention ne sera pas celui retenu ni appliqu par les autorits. Ces dernires pourraient
alors statuer sur la responsabilit de l'intervenant a posteriori sur la seule base des textes et de
la jurisprudence, en dcalage complet avec ce que les parties auront prvu, crant ainsi une
inscurit juridique rendant vains les efforts des parties encadrer leur relation par le contrat.

a) La nouvelle typologie des statuts dans le GDPR

Les statuts classiques de responsable et sous-traitant

Le GDPR 31 reprend la dfinition fonctionnelle classique de responsable du traitement, savoir


la personne physique ou morale, l'autorit publique, le service ou tout autre organisme qui,
seul ou conjointement avec d'autres, dtermine les finalits et les moyens du traitement de
donnes caractre personnel. () . C'est donc schmatiquement l'entit qui dtermine le
pourquoi et le comment de tout traitement. Le sous-traitant est toujours la personne
physique ou morale qui traite des donnes pour le compte du responsable de traitement
et sur ses instructions.

Si les dfinitions paraissent simples, la mise en pratique est plus dlicate face des scnarios
divers, dans lesquels des responsables du traitement et des sous-traitants interviennent des
degrs dautonomie et de responsabilit varis.

Lorsqu'une socit fait appel une socit tierce pour prendre en charge un traitement de
donnes, on a tendance considrer, par rflexe, cette dernire comme sous-traitant. Mais en
pratique les situations ne sont pas aussi binaires. L'mergence du cloud et de services
techniquement complexes ont vu apparatre des offres en ligne, standardises et non
ngociables, ou encore requrant la matrise de technologies particulires, qui ont modifi
l'quilibre des rles. Le client peut tre un simple bnficiaire de services dont il n'a pas la
matrise et n'est pas ncessairement en position de donner des directives son prestataire ou
d'exercer un contrle sur le service rendu. De son ct, le prestataire peut tre contraint de

31 Article 4, 7 du GDPR

103
fortement standardiser son offre pour prenniser un modle conomique requrant expertise,
souplesse et puissance oprationnelle.

Le G29 a publi un long avis en fvrier 2010 sur les notions de responsable de traitement et
de sous-traitant 32 selon lequel le responsable de traitement est lorganisme qui exerce une
influence de fait sur les finalits poursuivies par le traitement de donnes et un contrle rel
sur ses modalits de mise en uvre : la dtermination de la finalit du traitement est
rserve au responsable du traitement . Toute personne qui prend cette dcision est donc
un responsable du traitement (de fait) .

En revanche, la dtermination de certains moyens du traitement peut tre dlgue par le


responsable du traitement, pour autant quelle concerne des questions techniques ou
dorganisation et ds lors qu'il s'agit de questions secondaires (choix du matriel informatique
utilis, logiciel propos etc.). Il convient donc de distinguer clairement ces questions
secondaires des questions sensibles fondamentales pour la licit du traitement (dure de
conservation des donnes, personnes ayant accs aux donnes, etc.) qui restent rserves au
responsable du traitement.

La qualification de sous-traitant devra tre attribue toute entit juridique distincte du


responsable du traitement qui traite des donnes caractre personnel pour le compte de ce
dernier. De plus, pour une mme opration, une entit pourra agir la fois comme responsable
de traitement et comme sous-traitant en fonction des finalits en cause.

La CNIL a dvelopp un faisceau dindices 33 pouvant servir la qualification des parties :

Le prestataire pourra tre


Le prestataire pourra tre
Indices qualifi de responsable de
qualifi de sous-traitant
traitement

Niveau dinstruction : Le Le contrat de prestation et les Le contrat de prestation et les


niveau dinstruction donn par directives donnes au cours de directives donnes au cours de
le client indique le degr son excution sont trs prcis son excution sont trs
dautonomie laiss au dans les instructions et le gnraux en termes
prestataire. Par consquent il niveau de qualit demand. dinstructions et laissent une
permet dapprcier sil est plus grande autonomie au
quun simple sous-traitant. prestataire.

Niveau de contrle : Le La socit audite son La socit laisse le prestataire


degr de contrle du client sur prestataire et lui demande des raliser ses prestations et le
les prestations et sur les comptes rgulirement. laisse libre dutiliser les
donnes rvle galement la donnes comme bon lui
libert dont peut disposer le semble.
prestataire.

Transparence : Le Lemploy du prestataire se Le prestataire se prsente sous


prestataire se prsente-t-il sous prsente sous le nom du client son propre nom et rutilise les
son nom propre ou sous le nom et ne rutilise pas les donnes donnes des fins qui lui sont
de son client ? Peut-il rutiliser pour son propre compte. propres.
les donnes des fins qui lui
sont propres ?

32 Avis WP 169 du 16 fvrier 2010 disponible ladresse :


http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_fr.pdf
33 Guide transferts de donnes caractre personnel hors Union europenne publi en novembre 2012, disponible
: https://www.cnil.fr/sites/default/files/typo/document/GUIDE-transferts-integral.pdf

104
Expertise : Un prestataire qui Le prestataire utilise Le prestataire expert dans son
dispose dune expertise peut linfrastructure technique du domaine impose des outils au
dcider des moyens mettre en client pour raliser sa client qui na pas de pouvoir de
place dans le cadre de la prestation. ngociation, ne peut les
ralisation des prestations. modifier parce quil na pas les
comptences, ou parce que
loutil est un outil qui ne fait
pas lobjet dun dveloppement
spcifique.

Source : CNIL

En plus d'influer sur la responsabilit des acteurs, la qualification des parties permet de
ventiler les obligations pesant sur chacune d'elles.

Loc Rivire
Dlgu gnral
TECH IN France

Doit-on distinguer les acteurs B2B et les acteurs B2C ?

Tous peuvent tre concerns par le GDPR, les contrats B2B n'chappant pas de
ce seul fait la rglementation de protection des donnes personnelles. Le
primtre d'application peut nanmoins diffrer. En B2B, il pourrait tre
ncessaire de mettre l'accent sur les relations entre intervenants (partage des
responsabilits) et les questions techniques (qualit de service, scurit et
confidentialit, gestion des risques de violations de donnes, etc.). Cependant,
mme en prsence d'une pure relation B2B, il s'avrera le plus souvent
ncessaire de clarifier les rles des parties vis--vis des personnes dont les
donnes sont traites : qui centralise et rpond aux demandes d'exercice des
droits, qui les met en uvre, documente et rapporte l'autre partie, etc.

Doit-on distinguer les acteurs du cloud/hors cloud ?

Mme hors cloud (i.e., un diteur de logiciel qui ne traite pas de donnes, mais
se limite livrer un logiciel un client), le sujet des donnes personnelles ne
doit pas tre ignor. Mme si le prestataire n'intervient en rien dans les
traitements effectus par son client, l'obligation d'information, de conseil et
d'alerte peut nanmoins s'appliquer si le logiciel permet d'effectuer ou
d'interagir avec des traitements de donnes caractre personnel effectus par
ailleurs. Il pourrait tre ncessaire de permettre au client de traiter les donnes
de manire conforme au GDPR, le cas chant par application du principe de
privacy by design (par exemple, un logiciel CRM doit contenir un dispositif de
gestion des dures de conservation et de gestion des consentements), ou encore
de l'informer des exigences de conformit, selon les circonstances. du
rglement.

Pour russir la mise en uvre du GDPR, il convient dadopter une approche


dynamique et non statique de la compliance, tout comme cest le cas en matire
de scurit.

105
L'introduction d'un rgime de responsables conjoints d'un traitement

Si la notion de responsables conjoints d'un traitement n'est pas fondamentalement nouvelle,


le simple fait qu'elle figure expressment dans la loi lui donnera une impulsion nouvelle et en
amplifiera l'usage, pour dvelopper des partenariats d'analyse et d'exploitation de donnes,
incluant des donnes personnelles.

Une notion nouvelle

La notion de responsables conjoints d'un traitement ne figure pas dans la loi Informatique et
Liberts, bien qu'elle apparaisse dans la directive europenne de 1995 et qu'elle ait t utilise
par la CNIL. 34

Elle n'est pas explicite ou illustre dans le GDPR, qui se contente de poser que "lorsque deux
responsables du traitement ou plus dterminent conjointement les finalits et les moyens du
traitement, ils sont les responsables conjoints du traitement" et qu'ils doivent prciser leur
relation par voie d'accord. 35

La structuration de leur relation est donc libre, sous rserve d'un repre majeur : la
transparence vis--vis des personnes concernes. Le GDPR leur impose en effet de dfinir "de
manire transparente leurs obligations respectives aux fins d'assurer le respect des exigences
du prsent rglement", notamment en ce qui concerne l'information et les droits des personnes
concernes.

Batrice Delmas-Linel
Associe grante
Osborne Clarke

Le GDPR ouvre la voie une nouvelle faon d'envisager les partenariats pour
l'analyse et l'exploitation de donnes qui ne se limitent pas une relation
responsable sous-traitant, parfois artificielle. Cette ouverture se double d'une


grande libert sur l'conomie contractuelle mettre en place, ds lors que les
droits des personnes concernes sont assurs.

Un cadre contractuel inventer

On peut imaginer que ces relations contractuelles se construiront sur la base de l'existant,
savoir les relations entre responsable et sous-traitant, et en faisant varier les responsabilits
de chacun en fonction de leur implication fonctionnelle ou technique dans un projet. Par
exemple, en prsence d'un contrat d'adhsion pour des services cloud (software as a service,
platform as a service, etc.) pour lesquels le client n'a aucune marge de ngociation ni les
comptences et moyens pour exercer une quelconque influence sur les services, y compris sur
des questions fondamentales comme la scurit des donnes, il ne peut tre exclu que le

34Dlibration nSAN 2017-006 du 27 avril 2017 dans laquelle la CNIL qualifie les socits Facebook Inc. Et
Facebook Ireland de responsables conjoints de traitement.
35 Art. 26.

106
prestataire soit considr comme responsable conjoint de traitement, comme le confirme la
CNIL dans ses recommandations pour les entreprises qui envisagent de souscrire des
services de cloud computing (prcit). Cette qualification ne correspond pas ncessairement
la pratique contractuelle dominante. Un travail de sensibilisation et de refonte des contrats est
donc ncessaire.

Pour ouvrir davantage de configurations que les seuls services en nuage, des situations de
coresponsabilit pourraient tre mises en uvre en intragroupe, lorsqu'une entit commune
gre des projets globaux forte dimension technique ou stratgique au bnfice de l'ensemble
des entits du groupe. Il pourrait encore s'agir de contrats conclus entre socits non lies,
permettant de dmarrer des projets communs d'analyse et d'exploitation de donnes -- avant
de consolider la relation dans le cadre d'une joint venture.

Par ailleurs, il convient de noter que les situations de coresponsabilit doivent tre dtectes
suffisamment en amont pour pouvoir les organiser par contrat.

Or, c'est une analyse relativement nouvelle en droit franais, et qui n'a sans doute pas t
envisage dans les contrats en cours ou dans les projets en discussion actuellement. Il convient
donc par prcaution, dans les partenariats troits o le rle du sous-traitant est plus large
qu'une simple excution d'instructions ou pourrait voluer en ce sens d'tre vigilant sur
une telle volution afin d'adapter le cadre contractuel en tant que de besoin, voire de prvoir
dans le contrat mme des clauses de revoyure ou de rvaluation priodique des rles et
responsabilits.

Enfin et pour finir, le GDPR prvoit que le droit national puisse qualifier les droits et
obligations des responsables conjoints, disposition qui pourrait permettre aux autorits
nationales de prvoir des rgles spcifiques certains secteurs ou certains contrats, comme la
CNIL l'avait fait pour le cloud par le pass. Il conviendra donc de suivre les lgislations
nationales cet gard.

b) Les nouvelles obligations pesant sur les acteurs

Le GDPR contraint ainsi reprendre les contrats comportant des traitements de donnes
personnelles et les rvaluer au regard des nouvelles rgles, afin d'en adapter les termes aux
nouvelles obligations, voire redistribuer les rles en prsence d'une situation de
responsabilit conjointe.

Contrats de sous-traitance

Sous l'empire de la loi informatique et liberts, la relation entre responsable de traitement et


sous-traitant est relativement peu encadre. Au plus, la loi Informatique et Liberts impose
aux responsables de traitement de choisir un sous-traitant qui prsente des garanties
suffisantes pour assurer la mise en uvre des mesures de scurit et de confidentialit ()
36. Cette exigence est naturellement maintenue avec le GDPR, mais le contenu de cette
relation est beaucoup plus dtaill et les contrats les liant doivent prvoir de trs nombreuses
clauses impratives.

36 Article 35 de la loi Informatique et Liberts.

107
Avant lentre en vigueur du rglement :

Sous l'empire de la loi du 6 janvier 1978 (article 35 alina 4), le contrat entre responsable de
traitement et sous-traitant doit prciser les obligations du sous-traitant en matire de :

Scurit des donnes traites,


Confidentialit des donnes,
Le fait que le sous-traitant ne puisse agir que sur instruction du responsable de
traitement.

Pour les contrats cloud, la CNIL a publi fin 2012 un guide dtaill dans lequel la Commission
recommande l'insertion de nombreuses clauses dans les contrats liant entreprises clients aux
prestataires cloud, au titre desquelles figurent les informations relatives aux traitements, la
remonte des plaintes et failles de scurit, le recours la sous-traitance, les procdures
permettant de respecter les droits des personnes concernes, la dure de conservation des
donnes, l'audit du prestataire par le client, etc.

De plus, la CNIL n'hsite pas imposer des obligations dtailles cette relation sur le
fondement des obligations gnrales prcites, en sanctionnant les violations de donnes ds
avant l'entre en vigueur du GDPR, les sanctions ayant t renforces en la matire par la loi
Rpublique Numrique du 7 octobre 2016. 37

Aprs lentre en vigueur du rglement :

Les obligations du sous-traitant sont substantiellement accrues.

Source : Osborne Clarke

37 Dlibration n SAN-2017-010 du 18 juillet 2017 prononant une sanction pcuniaire l'encontre de la socit
HERTZ France ; dlibration nSAN-2017-011 du 20 juillet 2017 prononant un avertissement public l'encontre de
la socit Ouicar.

108
Le contrat conclu entre le responsable et le sous-traitant doit dfinir les modalits du
traitement 38 :

Lobjet du traitement,
La dure du traitement,
La nature du traitement,
La finalit du traitement,
Le type de donnes caractre personnel traites,
Les catgories de personnes concernes.

En plus de ce descriptif, qui oblige lui seul un travail de recensement dtaill qui n'tait pas
requis auparavant, le GDPR prvoit une liste novatrice de clauses obligatoires 39.

Doivent ainsi tre prvues contractuellement les obligations suivantes la charge du sous-
traitant :

n'tre autoris traiter les donnes que sur instruction documente du responsable
de traitement, sauf en cas d'obligation lgale, auquel cas il doit en informer au
pralable le responsable ;

veiller ce que les personnes autorises traiter les donnes soient engages,
contractuellement ou lgalement, une obligation de scurit ;

prendre toutes mesures requises pour assurer la scurit du traitement ;

respecter les dispositions du rglement concernant le recrutement d'un autre sous-


traitant (autorisation du RT, transmission des obligations aux sous-traitant
subsquents, etc.) ;

aider le responsable du traitement, dans toute la mesure du possible, pour que celui-
ci puisse donner suite aux demandes d'exercice de leurs droits par les personnes
concernes (accs, rectification, suppression, portabilit, etc.) ;

aider le responsable du traitement remplir ses obligations en matire de scurit des


donnes et de ralisation des analyses d'impact ;

aider le responsable du traitement remplir ses obligations en matire de consultation


pralable de lautorit de contrle en cas de risque lev ;

respecter les exigences du responsable du traitement l'issue de la prestation de


services de traitement (suppression ou restitution des donnes) et dtruire - sauf
obligation lgale - les copies existantes des donnes traites ;

mettre la disposition du responsable du traitement les informations ncessaires au


contrle du respect de ses obligations, permettre la ralisation d'audits par le
responsable du traitement et informer immdiatement le responsable du traitement
lorsqu'une instruction constitue une non-conformit.

38 Article 28 3 du GDPR
39 Article 28 3 du GDPR

109
Lise BRETEAU
Associe
Osborne Clarke

Vu le nombre, la nature et la complexit des clauses ngocier, il pourra se


rvler ncessaire de prvoir, en plus du contrat de service, un document
spcifique spar consacr aux traitements des donnes caractre personnel:


avenant un contrat en cours et, pour les nouveaux contrats, annexe au
contrat principal, voire contrat spar.

Contrats de responsabilit conjointe

Les contrats organisant les relations entre responsables conjoints devront aborder l'ensemble
des sujets soulevs dans les contrats de sous-traitance : application des principes de privacy
by design et by default, tudes d'impact, audits, notification des violations, recours des sous-
traitants, instructions, confidentialit, coopration et assistance la conformit, etc. Chacun
de ces sujets devra toutefois tre rsolu de manire spcifique, les parties ne pouvant ici se
reposer sur la logique des contrats de sous-traitance "contrle vs. instructions".

En outre, un lment est plus particulirement cibl par le GDPR et devra recevoir une rponse
claire dans les accords de coresponsabilit, savoir l'information et l'exercice des droits des
personnes concernes. C'est le point fondamental de la conformit de ces contrats.

Les parties doivent clairement organiser entre elles le "circuit" de l'exercice des droits par les
personnes concernes. Ils doivent mettre leur disposition "les grandes lignes" de leur accord.
Ils peuvent enfin dsigner un point de contact commun pour elles, sans que cela empche les
personnes d'exercer leurs droits " l'gard de et contre" chacun d'eux. 40

40 Art. 26.

110
Les obligations pesant sur les acteurs

Source : Osborne Clarke

Les questions en suspens

Quelle sanction si les contrats ne sont pas conformes ?

La question de la sanction en cas de non-inclusion ou de non-respect de ces clauses se pose.


En labsence de prcision dans le rglement, on peut supposer que labsence dune clause
obligatoire est sanctionne par une amende administrative mais reste sans effet sur le contrat
lui-mme, ces clauses ntant pas prsentes comme des conditions de validit du contrat.
Cependant, il convient d'tre prudent car un traitement non conforme a dj pu entraner
l'annulation d'une cession de fichier par le pass. 41

La question de la personne qui encourt la sanction nest pas non plus traite par le texte du
rglement. En labsence de prcision, il parat prudent de considrer que le responsable de

41 Civ. Com. 25 juin 2013, Bulletin 2013, IV, n 108 : "tout fichier informatis contenant des donnes caractre
personnel doit faire l'objet d'une dclaration auprs de la CNIL et () la vente par la socit X d'un tel fichier qui,
n'ayant pas t dclar, n'tait pas dans le commerce, avait un objet illicite."

111
traitement et le sous-traitant pourraient tre sanctionns aussi bien l'un et l'autre en labsence
dune clause faisant porter la responsabilit sur l'une d'entre elles.

Le sujet de la mise en conformit des contrats en cours est, cet gard, pineux.

En principe, tous les contrats doivent tre conformes le 25 mai 2018. Il convient, dans ce
contexte, de rdiger des avenants circulariser auprs de l'ensemble des partenaires
commerciaux, avec lesquels l'organisme est en contrat, afin de mettre en conformit les clauses
en matire de donnes personnelles avec la nouvelle rglementation.

A minima, il convient de procder avec ces contrats de la mme manire que dans les efforts
actuels de mise en conformit des traitements et des processus, savoir auditer les contrats,
cartographier et prioriser les efforts sur les relations les plus stratgiques et/ou risques et
mettre en place des tapes de mise en conformit, qu'il convient toujours de documenter et de
tracer, dans la perspective de l'obligation d'accountability.

Quelle est la porte des obligations du sous-traitant dans son "assistance" la


conformit du responsable de traitement ?

Certaines clauses imposes par le GDPR font peser un certain nombre d'obligations assez
vagues sur le sous-traitant (par exemple, aider au respect des obligations du responsable de
traitement en matire d'analyse d'impact , aider au respect des obligations du responsable
de traitement en matire de consultation pralable des autorits de contrle , etc.). Il pourra
tre tentant, pour le sous-traitant, dencadrer strictement ses obligations et den limiter au
maximum le primtre et, pour le responsable, de les formuler de la manire la plus large
possible. Reste savoir comment des clauses gnrales seront interprtes par les autorits.
La scurit des parties sera mieux assure si elles parviennent mettre en uvre ces principes
par des obligations prcises, identifies et mesurables.

Une autre question est de savoir si le sous-traitant est en droit de faire payer cette assistance.
A notre sens, rien ne s'y oppose, ds lors qu'il ne s'agit pas pour le sous-traitant de se soustraire
ses obligations ni d'exiger une rmunration disproportionne pour ses services.

De plus, de quels recours et quelle protection dispose le sous-traitant qui conseillerait au client
de mettre en place ou d'opter pour certaines mesures de scurit ou procdures si jamais le
client s'y refusait ? Pour limiter ses risques en termes de responsabilit, le sous-traitant devra
veiller bien documenter ses changes avec le client.

112
FOCUS ENTREPRISE

Jawaher ALLALA
CEO
Systnaps

GDPR, le point de vue de Systnaps


Limpact de ces obligations va bien plus loin que la simple protection des donnes caractre
personnel dtenues au sein des Systmes dInformations dentreprises. Elles touchent toutes
les strates du SI de toute organisation : stratgiques, mtiers, fonctionnels, applicatives,
techniques et infrastructures obligeant les acteurs de cette transformation revoir leurs
politiques de donnes, leurs communications, leurs processus, leurs procdures et les mesures
de scurit misent en uvre aussi bien techniques quorganisationnelles afin dassurer une
protection adapte la criticit de dtention des DCP quils manipulent.

Notre lecture du GDPR avec notre prisme de spcialiste de la gouvernance de la donne depuis
10 ans, nous a confort dans lide que les autorits comptentes souhaitaient que les
entreprises reprennent de faon loyale et transparente, le contrle des donnes caractre
personnel quelles dtiennent afin de mieux rpondre aux droits fondamentaux du citoyen
europen.

Ce nest pas un exercice facile, dans la mesure o les acteurs internes et externes impacts sont
nombreux (responsable de traitement, DPO, directeur des systmes d'information, sous-
traitant) et au vu du nombre dapplications htroclites dtenues au sein de lorganisation.

Acteur dans la gestion du cycle de vie de la donne, cest tout naturellement que nous avons
impliqu lensemble de nos collaborateurs et fournisseurs dans une dmarche de conformit
au RGPD en 2016 en choisissant de se faire lablis CNIL - Gouvernance de la donne /GDPR.

Quoi de plus vident pour rpondre aux exigences dune autorit de contrle que de se
confronter au rfrentiel dune lablisation et en mme temps, faire reconnaitre la qualit de
nos procdures, et proposer en totale conformit mthodologies et solutions nos clients.

Une mise en conformit nest pas un projet ponctuel mais une obligation permanente qui doit
sinscrire naturellement dans un processus plus large quest celui de la gouvernance de la
donne devenue incontournable dans toutes organisations.

Contrainte pour certains, opportunits pour dautres, ce rglement nest rien de moins quun
tremplin vers un niveau dexigence plus lev de protection face aux nouvelles menaces et la
cyberscurit.

113
Cas pratiques et exemples de clauses

a) Je suis responsable de traitement

L'entreprise A traite des donnes caractre personnel de ses clients pour les besoins de la
relation commerciale. Sa solution de CRM lui est fournie par un prestataire B, en mode SaaS,
depuis 2010.

Dans un tel scnario, il est probable que l'entreprise A soit qualifie de responsable de
traitement et que le prestataire B soit qualifi de sous-traitant. En vertu de l'article 28 du
GDPR, sa relation avec le prestataire B doit tre contractualise.

Un exemple de clauses devant tre incluses dans un contrat conclu entre un responsable de
traitement et un sous-traitant est propose en exemple 1. Ces clauses sont rdiges pour
favoriser le responsable du traitement.

b) Je suis sous-traitant

Le prestataire B, fournisseur de solution de gestion commerciale clients, souhaite revoir ses


conditions gnrales de services afin de les mettre en conformit avec le GDPR.

Un exemple de clauses "donnes personnelles" qui pourrait tre incluses dans des conditions
gnrales d'un prestataire sous-traitant est propose en exemple 2. Cette proposition est le
miroir de l'exemple 1, mais dans une approche qui se veut plus favorable au sous-traitant.

c) Nous sommes responsables conjoints

L'entreprise C exploite une place de march en ligne ouverte des vendeurs tiers et leurs
acheteurs. L'entreprise C souhaite analyser les donnes des internautes et visiteurs de sa
plateforme, pour vendre ses vendeurs D ces rsultats d'analyse marketing, et leur proposer
de cibler plus finement leur clientle en envoyant des publicits et offres promotionnelles
personnalises. Pour ce projet, elle travaille avec un prestataire E qui dveloppe un outil
d'analyse de donnes (data analytics).

Selon les rles et responsabilits des diffrents intervenants, il peut y avoir une
coresponsabilit sur les traitements entre l'entreprise C oprant la place de march et les
vendeurs D, voire avec le prestataire E, selon son degr d'implication.

Comment rdiger la clause de donnes caractre personnel dans le contrat entre la place de
march C et ses partenaires D et E ?

Un exemple de clauses pouvant tre incluses dans un contrat conclu entre des responsables
conjoints est propos en exemple 3.

114
EXEMPLE 1 : "Je suis responsable de traitement"

( Osborne Clarke)

Ces clauses sont proposes titre purement indicatif et ne sont qu'une illustration de ce qu'il
serait possible de rdiger. Elles devront tre adaptes chaque situation en fonction de la
ralit des donnes collectes et des traitements. Elles devront en outre tre articules avec
les autres clauses du contrat principal, notamment objet, obligations, responsabilit, etc.

1. Statut du prestataire

Les parties reconnaissent que le prestataire, afin dexcuter ses obligations aux termes du
prsent contrat, aura accs et traitera des donnes caractre personnel du client figurant aux
prsentes en qualit de sous-traitant au sens de la rglementation.

2. Description du traitement

[Commentaire : cette description pourra tre complte au jour de la signature ou en cours


d'excution du contrat ou si les parties ne connaissent pas l'avance les traitements de
donnes caractre personnel qui seront effectus durant la dure du contrat.]

2.1. Description des activits de traitement

[Commentaire : dcrire l'objet, la dure, la nature et la finalit des traitements effectus.]

2.2. Types de donnes caractre personnel du client traites

[Commentaire : lister les types de donnes caractre personnel traites. Exemple : noms,
prnoms, adresse, tlphone des salaris du client ; noms, prnoms, adresse e-mail, adresse
IP, produits achets par les clients du client.]

2.3. Catgories de personnes concernes

[Commentaire : lister les catgories de personnes concernes, par exemple salaris du client ;
clients et prospects ; fournisseurs du client ; etc.]

3. Obligations gnrales du prestataire

Le prestataire sengage :

(i) respecter la rglementation dans le cadre du prsent contrat, et notamment ne traiter les
donnes caractre personnel du client que sur instruction documente du client afin de
fournir les services et remplir ses obligations au titre du contrat ;

(ii) sabstenir dagir dune manire qui constituerait ou entrainerait une violation de la
rglementation par le client et alerte le client sans dlai en cas de dtection par le prestataire
d'une conformit ou d'un risque de non-conformit ;

(iii) garantir et indemniser le client en cas d'action, rclamation, demande de toute tierce
partie rsultant de son manquement ou de sa dfaillance lgard de la rglementation dans
le cadre du prsent contrat ;

(iv) tenir un registre de toutes les catgories d'activits de traitement effectues pour le compte
du client. Ce registre contient au moins les informations obligatoires requises par le GDPR. Le
prestataire met ce registre la disposition de toute autorit de contrle qui en fait la demande
;

(v) mettre en uvre les ressources humaines, techniques et organisationnelles suffisantes pour
oprer les traitements en conformit avec la rglementation, telles que et sans que cette liste

115
soit limitative : former son personnel, nommer un DPO, le cas chant, appliquer les principes
de privacy by design et by default, etc.

4. Responsabilit

Le prestataire indemnise pleinement le client en cas de condamnation de celui-ci. Le client


indemnise pleinement le prestataire en cas de condamnation de ce dernier pour manquement
la rglementation rsultant d'un dfaut d'alerte, mise en garde et conseil sur la conformit
de son usage des services la rglementation.

4. Coopration et assistance

Le prestataire assiste le client et coopre activement avec ce dernier pour lui permettre
d'assurer la conformit du traitement la rglementation, en particulier pour ce qui est des
demandes d'exercice des droits des personnes concernes. [Commentaire : Dcrire dans cette
clause, de manire non limitative afin de scuriser le responsable de traitement, les obligations
en matire de coopration et d'assistance, notamment en ce qui concerne :

- les notifications de violations,

- les analyses d'impact,

- les formalits applicables,

- les demandes d'exercice des droits des personnes concernes : conditions de gestion des
demandes, rle respectif des parties,

- les documents et informations ncessaires la satisfaction par le responsable de ses


obligations d'accountability].

5. Scurit et confidentialit

Le prestataire met en uvre les mesures de scurit et de confidentialit ncessaires la


conformit du traitement la rglementation, dans les conditions prcises ci-aprs.
[Commentaire : Dcrire dans cette clause les obligations du sous-traitant en matire de
scurit :

- Mesures organisationnelles et techniques de scurit et de confidentialit : mesures


techniques, pseudonymisation, chiffrement, application par le personnel, etc. ;

- Plus spcifiquement, dcrire le processus de gestion des violations de donnes : mesures de


prvention, plan de recouvrement, procdure de notification de violation de donnes, dlai,
etc.]

6. Sous-traitance ultrieure

La dsignation par le prestataire de tout sous-traitant ultrieur est soumise lobtention


pralable de l'autorisation expresse et crite du client. En cas d'autorisation du client, le
prestataire conclut un contrat crit avec le dit sous-traitant ultrieur contenant les mmes
obligations que celles fixes aux prsentes, notamment :

imposer au sous-traitant ultrieur de ne traiter les donnes caractre personnel que


conformment aux instructions crites du prestataire ou du client ;

prvoir la facult pour le client d'auditer ce sous-traitant ultrieur dans les conditions
prvues au 7 ci-aprs afin de s'assurer de son respect des obligations prvues aux prsentes.

Le prestataire communique au client, dans les meilleurs dlais, une copie du contrat conclu
avec le sous-traitant ultrieur.

116
Nonobstant la dsignation d'un sous-traitant ultrieur, le prestataire demeure pleinement
responsable lgard du client pour tout traitement effectu par le sous-traitant ultrieur en
violation des obligations des prsentes.

Le prestataire s'assure que le sous-traitant ultrieur ne peut pas lui-mme confier ses
prestations un sous-traitant sans l'autorisation crite pralable et expresse du prestataire
et/ou du client.

7. Audits

Le prestataire s'engage se conformer aux demandes du client ou des auditeurs qu'il aurait
mandat de :

accder ou d'inspecter (i) les locaux, (ii) les systmes d'information, (iii) les
registres ainsi que (iv) tout documents et informations, et
interroger le personnel du prestataire,

et ce afin de permettre au client d'auditer et de vrifier que le prestataire et ses sous-traitants


ultrieurs respectent pleinement les dispositions des prsentes.

Les frais de l'audit sont la charge du client. Par exception ce qui prcde, si l'audit rvle
des manquements du prestataire, le prestataire rembourse le client les frais de l'audit, sans
prjudice de toute indemnisation qui pourrait tre rclame par le client.

Le prestataire s'assure que le contrat conclu avec tout sous-traitant ultrieur permet au client
de procder ou faire procder aux audits prvus au prsent article, chez ce sous-traitant
ultrieur et ses propres sous-traitants.

8. Localisation et transferts des donnes

[Commentaire : dcrire dans cette clause les transferts de donnes et les garanties apportes
pour les protger, par exemple : clauses contractuelles types, Privacy Shield, rgles
d'entreprise contraignantes.]

9. Renvoi ou destruction de donnes caractre personnel

[Commentaire : dcrire dans cette clause les conditions de renvoi ou de destruction des
donnes caractre personnel au terme ou la rsiliation du contrat, ou l'arrt d'un
traitement.]

117
EXEMPLE 2 : "Je suis sous-traitant"

( Osborne Clarke)

Ces clauses sont proposes titre purement indicatif et ne sont qu'une illustration de ce qu'il
serait possible de rdiger. Elles devront tre adaptes chaque situation en fonction de la
ralit des donnes collectes et des traitements. Elles devront en outre tre articules avec
les autres clauses du contrat principal, notamment objet, obligations, responsabilit, etc.

1. Statut du prestataire

Les parties reconnaissent que le prestataire, afin dexcuter ses obligations aux termes du
prsent contrat, aura accs et traitera les donnes caractre personnel fournies par le client
en qualit de sous-traitant au sens de la rglementation. Le client s'engage alerter sans dlai
le prestataire en cas d'volution des services demands par le client, entranant ou risquant
d'entraner un changement de statut du prestataire au regard de la rglementation.

2. Description du traitement

[Commentaire : cette description pourra tre complte au jour de la signature ou en cours


d'excution du contrat si les Parties ne connaissent pas l'avance les traitements de donnes
qui seront effectus durant la dure du contrat.]

Si le client utilise les services pour traiter d'autres donnes ou catgories de donnes
caractre personnel ou pour d'autres traitements ou finalits que listes ci-avant, le client le
fait ses risques et prils et le prestataire ne peut tre tenu pour responsable en cas de
manquement la rglementation.

2.1. Description des activits de traitement

[Commentaire : dcrire l'objet, la dure, la nature et la finalit des traitements effectus.]

2.2. Types de Donnes Caractre Personnel du Client traites

[Commentaire : lister les types de donnes caractre personnel traites. Exemple : noms,
prnoms, adresse, tlphone des salaris du Client ; noms, prnoms, adresse email, adresse
IP, produits achets par les clients du Client.]

2.3. Catgories de personnes concernes

[Commentaire : lister les catgories de personnes concernes, par exemple salaris du client
; clients et prospects ; fournisseurs du client; etc.]

3. Obligations des Parties

Chacune des parties s'engage respecter la rglementation dans le cadre du prsent contrat.

Le client reconnat que les ressources mises en uvre dans le cadre du prsent contrat par le
prestataire constituent des garanties suffisantes de la conformit du prestataire et de ses
services la rglementation.

Le prestataire s'engage traiter les donnes caractre personnel listes aux prsentes pour
les seules finalits et dans les conditions convenues dans ce contrat afin de fournir les services
et remplir ses obligations au titre du prsent contrat. Le client reconnat notamment que le
prestataire se limite suivre les instructions documentes du client en matire de traitements,
sous rserve d'alerter le client en cas d'instructions donnes non conformes la
rglementation. Toute demande du client excdant ou modifiant les instructions de

118
traitement font l'objet d'un devis spar. Toute instruction non documente par crit ou non
conforme la rglementation n'est pas prise en compte.

Chacune des parties tient un registre de toutes les oprations de traitement effectues par elle.
Ce registre contient au moins les informations obligatoires requises par la rglementation.
Les parties mettent ce registre la disposition de toute autorit de contrle qui en fait la
demande.

4. Responsabilit

Le Client indemnise pleinement le prestataire en cas de condamnation de ce dernier pour


manquement la rglementation rsultant d'une utilisation des services non conforme au
prsent contrat. Le client indemnise pleinement le prestataire en cas de condamnation de ce
dernier pour manquement la rglementation, rsultant de la poursuite de la fourniture des
services conformment aux instructions du client, pour lesquelles le prestataire aura inform
le client du caractre potentiellement non-conforme la rglementation.

En cas de mise en cause de sa responsabilit, la responsabilit du prestataire est limite


[prciser des limites de responsabilit, le cas chant.]

5. Coopration et assistance

Le client reconnat que les diligences suivantes satisfont l'obligation de coopration et


d'assistance du prestataire l'gard du client pour lui permettre d'assurer la conformit du
traitement la rglementation :

[Commentaire : Dcrire dans cette clause les diligences du prestataire s'agissant notamment
:

- des notifications de violations,

- des analyses d'impact,

- des formalits applicables,

- des demandes d'exercice des droits des personnes concernes : conditions de gestion des
demandes, rle respectif des parties,

- des documents et informations ncessaires la satisfaction par le responsable de ses


obligations d'accountability].

En cas de ncessit de mettre en uvre des diligences additionnelles, les parties conviennent
de se runir et discuter de bonne foi des conditions de ces diligences additionnelles, qui feront
l'objet d'un avenant aux prsentes.

6. Scurit et confidentialit

Le client reconnat que les diligences suivantes satisfont l'obligation de scurit et de


confidentialit ncessaires la conformit du traitement la rglementation :

[Commentaire : Dcrire dans cette clause les obligations du sous-traitant en matire de


scurit :

- Mesures organisationnelles et techniques de scurit et de confidentialit : mesures


techniques, pseudonymisation, chiffrement, application par le personnel, etc.;

- Plus spcifiquement, dcrire le processus de gestion des violations de donnes : mesures de


prvention, plan de recouvrement, procdure de notification de violation de donnes, dlai,
etc.]

119
En cas de ncessit de mettre en uvre des diligences additionnelles, les parties conviennent
de se runir et discuter de bonne foi des conditions de ces diligences additionnelles, qui feront
l'objet d'un avenant aux prsentes.

7. Sous-traitance ultrieure

Le client accepte que le prestataire puisse faire appel des sous-traitants ultrieurs agissant
en son nom et pour son compte afin de l'assister dans les oprations de traitement des
donnes caractre personnel du client. Le prestataire informe le client de tout changement
prvu concernant l'ajout ou le remplacement d'un sous-traitant ultrieur.

Le prestataire conclut un contrat crit avec tout sous-traitant ultrieur contenant les mmes
obligations que celles fixes aux prsentes, notamment en imposant au sous-traitant ultrieur
de ne traiter les donnes caractre personnel du client que conformment aux instructions
crites du prestataire ou du client. Nonobstant la dsignation d'un sous-traitant ultrieur, le
prestataire demeure pleinement responsable lgard du client pour tout traitement effectu
par le sous-traitant ultrieur en violation des obligations des prsentes.

Le client peut s'opposer un tel ajout ou remplacement en notifiant le prestataire par crit
dans les dix (10) jours suivant la rception de l'avis d'ajout ou de remplacement envoy par le
prestataire. Dans le cas o le Client s'oppose la dsignation d'un sous-traitant ultrieur, le
prestataire peut rsilier le contrat.

8. Audits

A la demande du client, le prestataire met disposition du client les rapports d'audit effectus
par des organismes d'audit indpendants tiers et toutes informations pertinentes fournies par
ces organismes.

A dfaut pour le prestataire de fournir au client une preuve de sa conformit aux dispositions
des prsentes via les rapports susmentionnes et/ou si le Client estime raisonnablement
ncessaire d'effectuer un audit complmentaire conformment la rglementation, pour
pleinement vrifier la conformit des services fournis la rglementation et au contrat, le
prestataire accepte de se soumettre un audit effectu par un auditeur indpendant rput,
ne concurrenant pas les activits commerciales du prestataire, dans la limite d'un audit par
an. Cet auditeur indpendant est choisi par le client et accept par le prestataire. Il possde
les qualifications professionnelles requises et est soumis un accord de confidentialit. Les
parties reconnaissent que tous rapports et information obtenues dans le cadre de cet audit
sont des informations confidentielles.

La date de dbut de l'audit, la dure et le primtre de l'audit sont dfinis d'un commun accord
par les parties avec un pravis minimum de 15 jours ouvrs. L'audit ne peut tre effectu que
durant les heures d'ouverture du prestataire et d'une faon qui ne perturbe pas l'activit du
prestataire. L'audit ne comporte pas d'accs tous systmes, information, donnes non lies
aux traitements effectus en vertu de ce contrat ni d'accs physique aux serveurs sur lesquels
est sauvegarde la solution.

Le client prend sa charge tous les frais occasionns par l'audit, incluant de manire non
limitative les honoraires de l'auditeur et rembourse au prestataire toutes les dpenses et frais
occasionns par cet audit, y compris le temps consacr l'audit en fonction du taux horaire
moyen du personnel du prestataire ayant collabor l'audit.

9. Localisation et transferts des donnes

120
[Commentaire : dcrire dans cette clause les transferts de donnes et les garanties apportes
pour les protger, par exemple : clauses contractuelles types, Privacy Shield, rgles
d'entreprise contraignantes.]

10. Renvoi ou destruction de donnes caractre personnel

[Commentaire : dcrire dans cette clause les conditions de renvoi ou de destruction des
donnes caractre personnel au terme ou la rsiliation du contrat, ou l'arrt d'un
traitement.]

121
EXEMPLE 3 : "Nous sommes responsables conjoints"

( Osborne Clarke)

Ces clauses sont proposes titre purement indicatif et ne sont qu'une illustration de ce qu'il
serait possible de rdiger. Elles devront tre adaptes chaque situation en fonction de la
ralit des donnes collectes et des traitements. Elles devront en outre tre articules avec
les autres clauses du contrat principal, notamment objet, obligations, responsabilit, etc.

1. Statut des parties

Les parties reconnaissent traiter les donnes caractre personnel en qualit de Responsables
Conjoints au sens de la rglementation, dans les conditions dfinies aux prsentes. Chacune
des parties s'engage respecter la rglementation dans le cadre du contrat.

2. Description du traitement

Les parties s'engagent traiter uniquement les Donnes Caractre Personnel listes et pour
les finalits dcrites ci-aprs.

2.1. Description des activits de traitement de chaque Responsable Conjoint

[Commentaire : dcrire l'objet, la dure, la nature et la finalit des traitements effectus par
chaque Responsable Conjoint.]

2.2. Types de Donnes Caractre personnel traites par chaque


Responsable Conjoint

[Commentaire : lister les types de donnes caractre personnel traites par chaque
Responsable Conjoint. Exemple : noms, prnoms, adresse, tlphone des salaris ;
noms, prnoms, adresse email, adresse IP, produits achets par les clients.]

2.3. Catgories de personnes Concernes

[Commentaire : lister les catgories de personnes concernes, par exemple salaris ; clients et
prospects; fournisseurs; etc.]

3. Obligations des parties

[Commentaire : Dcrire ici les obligations respectives des parties sur les oprations effectues
dans le cadre du traitement, en particulier:

- qui intervient dans quelles oprations : collecte, analyse, croisement, scurisation,


hbergement, effacement, etc.;

- dans quelles conditions: prise en main de la conformit de tel type d'oprations la


rglementation, obtention d'une autorisation pralable de l'autre partie ou simple
information, mcanismes de reporting, doucmentation, alerte;

- quel partage des rles dans les obligations de conformit et daccountability : qui tient le ou
les registres des traitements, qui met en uvre l'accountability/les tudes d'impact/les
formalits/etc., l'autre partie lui apportant aide et assistance, comment les parties s'alertent
sur les risques de non-conformit, qui nomme un DPO, etc. ;

- quelles relations avec les autorits de contrle ; etc.]

4. Information et exercice des droits des personnes concernes

122
4.1. Information des personnes concernes

Le Responsable Conjoint qui collecte les donnes caractre personnel auprs des personnes
concernes a l'obligation d'informer celles-ci des traitements effectus par les Responsables
Conjoints dans le respect des dispositions de l'Article 13 du GDPR.

4.2. Gestion de l'exercice des droits des personnes concernes et point de contact

[Commentaire : Dcrire dans cette clause les obligations en matire de coopration et


d'assistance en ce qui concerne les demandes des personnes concernes].

Le Responsable Conjoint qui collecte les donnes caractre personnel est la personne
dsigne comme point de contact auprs de celles-ci pour l'exercice de leurs droits, notamment
dans toute politique de confidentialit et sera le gestionnaire des demandes des personnes
concernes.

A rception par le gestionnaire prcit d'une demande concernant des donnes traites par
l'autre Responsable Conjoint, le gestionnaire informe l'autre Responsable Conjoint dans un
dlai de 3 jours. Ce dernier apportera dans les meilleurs dlais toute son assistance pour
permettre au gestionnaire de rpondre la demande.

Le gestionnaire des demandes rpond la personne concerne dans un dlai maximum de [x]
jours, sous rserve de la bonne excution de ses obligations par l'autre Responsable Conjoint.

4.3. Mise disposition des grandes lignes de la prsente annexe aux personnes
concernes

[Commentaire : Dcrire dans cette clause les modalits de mise disposition des grandes
lignes de la prsente annexe aux personnes concernes : article ou annexe dans des conditions
gnrales de service, privacy policy, choix du wording valid en annexe aux prsentes, etc.]

5. Scurit et confidentialit

Les parties mettent en uvre les mesures de scurit et de confidentialit ncessaires la


conformit du traitement la rglementation, dans les conditions prcises ci-aprs.
[Commentaire : Dcrire dans cette clause les obligations en matire de scurit :

- Mesures organisationnelles et techniques de scurit et de confidentialit : mesures


techniques, pseudonymisation, chiffrement, application par le personnel, etc. ;

- Plus spcifiquement, dcrire le processus de gestion des violations de donnes : mesures de


prvention, plan de recouvrement, procdure de notification de violation de donnes, dlai,
etc.]

Chaque Responsable Conjoint assure la scurit des traitements effectus par lui. En cas de
manquement du Responsable Conjoint son obligation de scurit entrainant une violation
de donnes personnelles, celui-ci est seul tenu responsable des consquences de cette violation
auprs des personnes concernes, des autorits de contrle et de tout tiers et en garantit
intgralement l'autre partie.

Le Responsable Conjoint ayant identifi une violation de donnes notifie l'autre partie dans
un dlai de 3 jours calendaires. Les correspondants de chaque Responsable Conjoint se
rencontrent dans les meilleurs dlais afin de dterminer d'un commun accord s'il convient de
notifier cette violation l'autorit de contrle comptente et le cas chant aux personnes
concernes.

123
6. Localisation des donns et transferts hors UE

[Commentaire : Dcrire dans cette clause le lieu o seront traites les donnes et les ventuels
transferts en dehors de l'UE, ainsi que les mesures de conformit prises cet gard et, le cas
chant, prciser les rles respectifs de chaque partie.]

7. Recours des sous-traitants

[Commentaire : Dcrire dans cette clause les possibilits pour chacune des parties d'avoir
recours des sous-traitants ou non et les obligations et responsabilits des parties en
dcoulant]

8. Correspondants

Les parties dsignent chacune un correspondant qui les reprsente et prend toutes les
dcisions ncessaires la bonne excution des prsentes l'gard des personnes concernes.
Les correspondants de chaque partie doivent tre investis d'une autorit suffisante pour
prendre des dcisions au jour le jour.

Lidentit et les coordonnes des correspondants figurent en annexe.

9. Sort des donnes en fin de contrat

[Commentaire : dcrire dans cette clause le sort des donnes caractre personnel au terme
ou la rsiliation du contrat.]

124
CONCLUSION

Lannonce de lentre en vigueur du GDPR, qui tait en discussion au sein des instances
europennes depuis de longs mois, a suscit inquitudes, questionnements et volont
daction au sein des entreprises et notamment au sein des directions juridiques, des
responsables de la scurit des SI, des responsables de la conformit, et des directions de
laudit interne.

Depuis, ces acteurs se sont employs sensibiliser leurs directions gnrales afin de
fdrer lensemble de lentreprise autour des problmatiques lies la protection des donnes
caractre personnel. En effet, avec le GDPR, la protection des donnes caractre personnel
doit dsormais tre un sujet trait par lensemble des parties prenantes de
lentreprise et non plus seulement par le Correspondant Informatique et Liberts (CIL) ou
par la direction juridique.

La mise en conformit au GDPR implique des changements de taille au sein des


entreprises.

Mme si la plupart des concepts du GDPR ne sont pas nouveaux et se trouvaient dj dans la
rglementation existante, les entreprises staient principalement concentres sur les aspects
dclaratifs de la loi Informatique et Liberts (dclarations CNIL, autorisations CNIL, etc.)
ainsi que sur la prise en compte des droits des personnes concernes ; elles navaient en
revanche gnralement pas mis en place de dispositifs labors de management des donnes
permettant ainsi une exploitation et une valorisation optimises de leur patrimoine
informationnel.

Avec le GDPR, les entreprises doivent laborer un dispositif complet de protection des
donnes, dont les principales caractristiques sont :

Une gouvernance forte avec un rattachement du Data Protection Officer (DPO) au


plus haut niveau de lentreprise ;

La tenue dun registre des activits de traitement des donnes caractre


personnel ;

La formalisation de politiques explicitant les dtails de la mise en uvre de ce


dispositif de protection des donnes ;

La prise en compte des problmatiques relatives la protection des


donnes au sein des diffrents processus oprationnels de lentreprise
(dveloppement de nouveaux produits ou nouveaux traitements, exploitation des
systmes dinformation ou solutions numriques, dispositifs de cyberscurit, gestion
des incidents de violation de donnes caractre personnel, gestion des sous-traitants
et des tiers, )

La mise en place dun programme daudit rgulier visant sassurer de


lefficacit de ce dispositif.

125
Linitiative DPSI lance par lAFAI, le CIGREF et TECH IN France vise
permettre aux entreprises dacclrer leurs projets de mise en conformit avec
le GDPR au travers de :

- La comprhension des dispositifs et mesures mettre en place pour les DSI,


les responsables mtiers mais aussi les Data Protection Officers dont un certain
nombre naura pas toujours une grande exprience du sujet ;

- La mise disposition dune check-list pratique destination des acteurs de


lentreprise susceptibles de traiter ou dtre impliqus dans le traitement de donnes
caractre personnel ;

- La fourniture dun catalogue de mesures pratiques permettant de rpondre


aux risques sur la scurit des SI, sur la scurit des donnes, sur les droits des
personnes concernes.

Une fois que le cadre de gestion de la protection des donnes caractre personnel aura t
mis en place, il sera ncessaire doutiller la dmarche pour pouvoir assurer la prennit des
mesures prises et leur mise jour de manire efficace.

126
ANNEXES

SG1 - Check-list du Rglement Gnral sur


la Protection des Donnes

SG2 Mesures techniques mettre en


place pour tre conforme au GDPR

127

SG1 - Check-list du Rglement Gnral sur la Protection des


Donnes (GDPR)
Gouvernance : Direction gnrale, Direction des risques ou conformit ou Secrtariat gnral
(service juridique)
Mtiers : Direction Marketing, Direction des ressources humaines (DRH),
Informatique : Directeur des systmes d'information (DSI) et cyberscurit
Thme

thme

# Question Commentaires / Exemples


Sous

Daprs larticle 37 1, la nomination dun


Avez-vous nomm un dlgu la
DPO est notamment obligatoire dans le
protection des donnes
cas o vos activits de base consistent des
DPO (dlgu la protection des

personnelles (DPO) ? Si non,


1 oprations de traitement grande chelle
avez-vous vrifi et document
impliquant un suivi systmatique des
donnes personnelles)

que vous n'tes pas soumis cette


personnes concernes, ou des donnes
exigence ?
sensibles au sens des articles 9 et 10.

Le rattachement hirarchique du
dlgu la protection des
2
donnes personnelles (DPO)
garantit-il son indpendance ?
Gouvernance

Avez-vous dtermin le primtre


des entits / Business Unit
3
concernes par le plan de mise en
conformit ?
Le registre comporte le nom et les
Avez-vous tabli un registre des
coordonnes du responsable du
traitements dont vous tes
4 traitement, les finalits du traitement, les
responsable, co-responsable ou
Primtre d'application

catgories de destinataires et des


sous-traitant ?
personnes concernes, etc.
Avez-vous identifi les transferts Garanties cf. chapitre V du GDPR : soit
de donnes personnelles hors niveau de protection adquate du pays
5 Union Europenne ? Si oui, avez- tiers (art. 44) soit mcanisme de
vous formalis les garanties mises sauvegarde vis l'art 46 (p ex Binding
en uvre ou l'tude ? Corporate Rules)
Avez-vous ralis un tat des
lieux des processus mtiers
6
traitant des donnes personnelles
?
Avez-vous identifi les sous-
traitants traitant vos donnes
personnelles ?
7
Si oui, vous assurez vous que les
sous-traitants existants et futurs
sont conformes aux exigences du
GDPR contractuellement et par le
biais de contrles ?

Avez-vous mis en place une Une organisation projet couvre


8 organisation projet pour la mise gnralement le(s) sponsor(s), lquipe
en conformit au GDPR ? projet, les tches, jalons et livrables
Une feuille de route propose gnralement
Mise en conformit Avez-vous tabli une feuille de les projets, le recensement des moyens, la
9 route pour la mise en conformit cible atteindre, la priorit des tches,
au GDPR ? ainsi quun calendrier pour atteindre ces
buts.
Existe-t-il un reporting
priodique au Board/Comex pour
10 sassurer de lavancement du plan
dactions et dcider dactions
correctrices ?
Le plan d'audit intgre-t-il des
11 missions de contrle de la mise
en conformit au GDPR ?
Les politiques prcisent les dures de
Politiques et
procdures

conservation des donnes personnelles, la


Avez-vous intgr les lments de scurit des donnes, la suppression des
12 conformit au GDPR dans vos donnes, la notification en cas de violation
politiques et procdures ? des donnes personnelles, la validation
priodique de la pertinence du dispositif
en place, etc.
juridique

Une veille juridique a-t-elle t


Veille

Exemple = guidelines mises par le G29


13 mise en place pour suivre les
(WP29)
volutions rglementaires ?

Les politiques et procdures en


lien avec le GDPR sont-elles
14 Exemple = code de conduite
diffuses aux collaborateurs de
Formation

votre entreprise ?
Le programme de formation inclut des
Avez-vous intgr le GDPR dispositifs comme du E-learning, des
15 votre programme de formation formations rgulires (Manager, SI,
RH ? mtiers), des actions de communication,
etc
Assurance

Avez-vous revu la couverture


16 dassurance de votre entreprise
pour tenir en compte du GDPR ?

Ces lments sont un pralable ncessaire


Avez-vous identifi pour vos
ltablissement du registre de
traitements : les finalits, les
17 traitements exig par le GDPR pour
personnes concernes, les
traitements

chaque responsable de traitement et sous-


Licit des

catgories de donnes traites ?


Mtiers

traitant.
Limiter par dfaut le traitement de
Avez-vous vrifi la donnes caractre personnel ce qui est
proportionnalit des donnes strictement ncessaire, en ce qui concerne
18
collectes aux finalits des la quantit de donnes traites, leur
traitements ? accessibilit et leur priode de
conservation
Le traitement doit tre fond sur une base
lgale prvue l'article 6 du rglement
(licit), qui peut tre : une obligation
Pouvez-vous justifier la base lgale, l'intrt lgitime du responsable de
19 lgale de chacun de vos traitement, l'excution d'un contrat, le
traitements ? consentement exprim par la personne
concerne, la protection des intrts vitaux
d'une personne concerne, une mission
d'intrt ou de service public
Lorsque la base lgale du
traitement est le consentement,
Gestion = recueil, modification,
20 avez-vous mis en place des
enregistrement, rvocation, etc
mcanismes de gestion de ces
consentements ?
Si vous
- effectuez des croisements entre plusieurs
Pour les traitements impliquant
catgories de donnes collectes
le croisement entre plusieurs
sparment, ou
catgories de donnes
- rutilisez des donnes collectes pour un
(interconnexion de fichiers), la
autre traitement, ou
rutilisation de donnes
21 - utilisez des donnes fournies par une
collectes lors d'un autre
tierce partie,
traitement ou lenrichissement
vous devez vrifier que votre traitement
des donnes, avez-vous consult
est conforme aux finalits pour lesquelles
le DPO et vrifi la conformit au
les donnes ont t collectes ou, le cas
GDPR ?
chant, aux consentements donns par
les personnes concernes

Des dures de conservation sont-


elles dfinies pour les donnes
traites ?
22
Si oui, les dures sont-elles
communiques aux personnes
concernes ?

Profilage = toute forme de traitement


Pour les traitements entrant dans
automatis de donnes caractre
le cadre du profilage, avez-vous
23 personnel consistant utiliser ces donnes
traitements

consult le DPO et vrifi la


pour valuer certains aspects personnels
Types de

conformit au GDPR ?
relatifs une personne physique
Pour les traitements soumis des Exemples de traitement :
hauts risques potentiels sur la vie vidosurveillance, golocalisation,
24 prive, avez-vous consult le DPO whistleblowing, coute sur le lieu de
et vrifi le respect des conditions travail, contrle d'accs aux locaux,
spcifiques ? biomtrie, etc
Catgories des

Si vous collectez des catgories


collectes
donnes

particulires de donnes
25 (donnes sensibles), avez-vous Cf. articles 9 et 10 du GDPR
vrifi la licit de leur collecte et
de leur traitement ?

Les personnes concernes


Droits des personnes

bnficient-elles dune
26 information claire et
comprhensible lors de la collecte
des donnes ?
Avez-vous une procdure valide
et teste pour rpondre aux Y compris la notification des demandes de
demandes dexercice des droits rectification ou de suppression aux sous-
27
prvus par le GDPR ? En traitants ou autres tierces parties
particulier droits d'accs, de destinataires des donnes
rectification, de suppression des
donnes de droit l'oubli, de
droit la portabilit ou de
limitation de traitement ?

Les personnes concernes


28 peuvent-elles modifier leurs Exemple : Self service
consentements ?
Contractualisation
avec les sous-

Avez-vous dfini
traitants

contractuellement avec vos sous-


29
traitants des exigences en termes
de protection des donnes ?
Transferts de donnes en

Economique Europen

Si vous effectuez des transferts de


dehors de l'Espace

donnes personnelles des


entreprises situes hors de
lUnion Europenne, vous tes-
30 vous rapprochs de votre DPO ou
de votre service juridique pour
vrifier que les transferts
effectus soient couverts par des
garanties appropries ?

Avez-vous exprim des exigences Exemple d'exigences de scurit :


de protection des donnes pseudonymisation, chiffrement, stockage
31
personnelles
Scurit des

personnelles vis vis de votre et transferts scuriss, rgles de purge ou


donnes

service informatique ? d'archivage, etc


Etes-vous associ au processus de
dtection, de traitement et de
32
notification des violations de
donnes personnelles ?
Avez-vous dfini des critres de
sur la vie prive

dcision pour dterminer si une


Etude d'impact

33
Etude d'impact sur la vie prive
(DPIA)

(DPIA) tait ncessaire ?


Si la criticit du traitement
implique une tude d'impact sur
34 la vie prive (DPIA), avez-vous
effectu cette tude en
coordination avec DPO ?
d'informations (SI)
Systmes d'Information et

Cartographie des
systmes

Avez-vous une cartographie Dictionnaire de donnes, accs


cyberscurit

exhaustive des donnes (utilisateurs, interfaces), applications,


35
personnelles traites dans votre bases de donnes, serveurs, Datacenter,
systme d'information ? services cloud, localisation,

Avez-vous intgr les lments de


donn
Scur

conformit au GDPR dans votre


des
it

36
politique de scurit des systmes
d'information ?
Utilisez-vous des standards ou Exemples de rfrentiels de scurit =
37 des guides de bonnes pratiques ISO27001, NIST, guide d'hygine ANSSI,
Security by design ? CIS critical security controls,
Avez-vous dfini et mis en place
Conception des habilitations,
des procdures de gestion des
38 ajout/suppression des droits, revues
accs aux systmes contenant de
rgulires des droits d'accs)
donnes personnelles ?
Avez-vous dfini et mis en place
des mesures de scurisation des Bastion, enregistrement de sessions des
39
accs administrateurs privilgis comptes privilges sur les serveurs, ...)
?
Avez-vous mis en place des
Donnes stockes sur les serveurs (Data at
mcanismes de protection des
Rest) et pour le transport de ces donnes
40 donnes personnelles
sur le rseau (Data in transit), (exemples :
(notamment chiffrement ou de
outils de tokenisation, ...)
pseudonymisation) ?
Avez-vous mis en place des
mcanismes d'archivage et de
Protection de la vie prive ds

41
suppression des donnes
( privacy by design )

personnelles ?
Ces mcanismes sont-ils aligns
la conception

sur la politique de conservation


42 (notamment avec les dures
lgales ou contractuelles de
rtention des donnes) ?

Avez-vous mis en place des


Segmentation rseau, pare feux,
mcanismes permettant d'isoler
anonymisation ventuelle des donnes
43 les environnements de
personnelles en environnements de non
production et de non production
production
?

Avez-vous mis en place des


Transparence,

mcanismes de traabilit et de
information

dtection daccs aux donnes


Accs des utilisateurs/interfaces,
personnelles ? (Notamment
44 dplacements et copies en masse des
dplacement ou copies de
donnes personnelles, etc.
donnes non autorises
dclenchant des alertes aux
quipes scurit)
dtection et de
Dispositif de

notification

Avez-vous tabli la procdure de Procdure dtaillant la dtection, la


dtection, de traitement et de rponse incident et la communication en
45
notification des violations de cellule de crise, puis l'autorit dans les 72
donnes personnelles ? heures
avec les sous-traitants
Contractualisation

Avez-vous dfini
Exemples = questionnaire de scurit,
contractuellement des exigences
clauses contractuelles lies la protection
en termes de protection des
46 des donnes, clause d'audit de scurit,
donnes avec vos sous-traitants
suppression des donnes la fin de la
informatiques (prestataires ou
prestation, etc.
fournisseurs) ?
Codes de conduite et
Certification
Effectuez-vous rgulirement des
Exemples : vrification de la mise en place
contrles / audit de scurit de
47 des clauses de scurit, audit technique de
vos sous-traitants informatiques
scurit, tests d'intrusion, etc.
(prestataires ou fournisseurs) ?

Avez-vous dfini des critres de


la vie prive (DPIA)
Etude d'impact sur

dcision pour dterminer si une


48
Etude d'impact sur la vie prive
(DPIA) tait ncessaire ?

Avez-vous dfini une mthode


d'tude d'impact vie prive (DPIA Exemples : Etude d'impacts sur la vie
49
/ EIVP) en coordination avec le prive : la mthode de la CNIL -
DPO ?
Gestion de lexercice des
droit s des personnes

Avez-vous dfini et mis en uvre


une ou des solutions pour
rpondre aux demandes daccs, Sauf exception, le GDPR impose un dlai
de rectification, de suppression maximum dun mois pour rpondre aux
50
des donnes, de droit l'oubli, de demandes dexercice de leurs droits par les
droit la portabilit, de personnes concernes (Art. 12.3).
limitation des traitements dans
vos applications ?
SG2 Mesures techniques mettre en place pour tre conforme au GDPR

ONGLET 1 : Types de Risques par Composants SI


Donnes GED- Fichiers Donnes Rseaux
Types de Risques Rseau Datacenter Cloud Workplace Video-IoT Application Database DWH Big Data Messagerie
source Archivage Partags sortie Sociaux
Scurit du SI
Intrusion physique dans le datacenter ou dans les locaux 1 1 1
Perte ou vol dun quipement 1 1 1 1
Destruction dun quipement physique, dun composant software ou de 1 1 1
Intrusion extrieure dans le rseau 1
Inaccessibilit dun service 1 1 1 1
Infiltration via malware 1 1 1 1 1 1 1 1 1 1 1 1 1 1
Gestion dfaillante des droits daccs 1 1 1 1 1 1 1 1 1 1 1 1 1 1
Usurpation didentit dun compte utilisateur 1 1 1 1 1 1 1
Usurpation dun compte administrateur 1 1 1 1 1 1 1 1 1
Exfiltration de donnes 1 1
Interception dchanges 1 1 1 1 1 1 1 1 1 1 1 1
Dfaut dapplication des mises jour de scurit 1 1 1 1 1 1 1 1
Non dtection de vulnrabilits 1 1 1 1 1 1 1 1 1 1 1 1
Incapacit tracer un incident ou des accs 1 1 1 1 1 1 1 1 1 1 1 1 1
Incapacit dtecter une atteinte aux donnes 1
Dfaut de pilotage dun sous-traitant / fournisseur (IoT) 1 1 1 1 1 1 1 1 1 1
Ngligence dun sous-traitant / fournisseur (IoT) 1 1 1 1 1 1 1 1 1 1
Intervention frauduleuse dun sous-traitant 1 1 1 1 1 1 1 1 1 1 1
Protection des donnes
Dfaut de cartographie (actualise) des donnes et des traitements (dfaut
Localisation non autorise de donnes personnelles 1
Non respect des rglementations locales (ex. galit des chances aux US, ) 1 1 1 1 1 1 1 1 1 1 1
Absence de cloisonnement des donnes personnelles 1 1 1 1 1 1 1 1 1
Non respect des rgles de rtention des donnes (dure de conservation) 1 1 1 1 1 1 1 1 1 1
Non respect des formalits pralables applicables au traitement 1 1 1 1 1 1 1 1 1 1
Transfert non scuris de donnes personnelles 1 1 1 1 1 1 1 1 1 1
Transferts non encadrs de donnes hors UE 1 1 1 1 1 1 1 1 1 1
Accs non conforme ou non encadr aux donnes personnelles 1 1 1 1 1 1 1 1 1 1
Propagation malveillante de donnes personnelles 1 1 1 1 1 1 1 1 1 1
Divulgation de donnes personnelles par inadvertance 1 1 1 1 1 1 1 1 1 1
Vol de donnes 1 1 1 1 1 1 1 1 1 1
Perte dintgrit des donnes 1 1 1 1 1
Dtention ou utilisation abusive de donnes personnelles 1 1 1 1 1 1 1 1
Dtournement de finalit de traitements de donnes personnelles du fait 1 1 1 1 1 1 1 1
Reconstitution de lidentit dune personne et enrichissement de son profil 1 1 1 1 1 1 1 1
Dfaut de PIA 1 1 1 1
Dfaut de privacy by design (absence de rgles sur la minimisation des 1 1 1 1 1 1 1 1 1 1
Dfaut de notification dune atteinte aux donnes 1 1 1 1 1 1 1 1 1 1
Droits de la personne
Incapacit rpondre aux droits des personnes (excution des droits)
Information 1 1 1 1 1 1 1 1
Transparence du traitement
Preuve du consentement
Retrait du consentement (opposition ou suppression)
Respect de la limite du traitement
Accs
Rectification
Effacement
Portabilit
Profilage
Donnes des mineurs
SG2 Mesures et recommandations potentiellement applicables pour tre conforme au GDPR
ONGLET 2 : Mesures par types de risques
Types de Risques Mesures techniques possibles
Scurit du SI Scurit du SI #
Systme de contrle des accs physiques : badge, contrle identit (scanner biomtriques, etc...), accs renforc pour certains
1
espaces sensibles (salles serveurs fermes, etc), camras video-surveillance, alarmes, etc
Exigences contractuelles (contrats hbergement, partenaires intervenant dans les locaux) 2
Intrusion physique dans le datacenter ou dans les locaux
Chiffrement wifi et accs contrl par mot de passe 3
Blocage des ports sur les quipements 4
Network Access Control 5

Authentification forte (2-factor, tentatives limites,mots de passe bios et windows) 6


Chiffrement des postes et des mobiles (bitlocker, mobileiron, etc) 7
Usage limit/contrl du BYOD 8
Blocage des ports usb 9
Effacement distance des disques des mobiles 10
Perte ou vol dun quipement
Interdiction de stockage sur disque dur 11
Sauvegardes rseau 12
Gestion centralise des configurations 13
Procdure de dcommissionnement des quipements (serveurs, PC's, mobiles) 14
Chiffrement des disques du SAN pour les serveurs 15

Contrat de maintenance fournisseur (accs un quipement similaire, restoration, rversibilit, etc) 16


Destruction dun quipement physique, dun composant Sauvegardes adaptes (cycle de vie) 17
software ou de donnes Chiffrement de surface 18
Sauvegarde des configurations et des procdures de Maintien en Conditions Oprationnelles (MCO) 19

Protection type filtrage internet (BlueCoat, etc) 20


Protection WAF, firewall, reverse proxy 21
Limitation des flux 22
Segmentation rseau VLAN 23
Scurisation des points d'accs (wifi WPA) 24
Filtrage de port des VPN des partenaires externes 25
Intrusion extrieure dans le rseau url et contrle d'accs nominatif 26
IPS 27
Blocage des ports 28
Utilisation du chiffrement par dfaut des communications 29
Sauvegarde des logs rseaux 30
Mise en place d'un SOC (Security Operation Center) 31
Network Access Control 32

Plan de Continuit d'Activit 33


Inaccessibilit dun service Dual data center (actif/actif) 34
Haute disponibilit 35

Politique de veille diteurs (systme + middleware) 36


Patch management 37
Anti-malware (et anti-virus) 38
Filtrage url et ports 39
Passerelles SMTP (ProofPoint) 40
Infiltration via malware Blocage webmail 41
Protection contre les menaces rseau avances (ATP, Advanced Threat Protection) 42
Sauvegardes et restorations 43
Sensibilisation des utilisateurs 44
Procdure d'alerte en cas d'urgence 45
SOC de 3me gnration incluant une analyse d'cart comportemental 46

Outillage d'identification, de classification et de revue des accs 47


Attribution automatique des accs (GDI/GDA), et workflow associs 48
Security entitlement 49
Audit rgulier des droits d'accs 50
Gestion dfaillante des droits daccs
Politique de changement de mots de passe 51
Gestion centralise des logs (SIEM, Security Information Event Management) 52
Mise en place d'un SOC 53
Mise en place de scnarios d'attaque mtier dans les rgles du moteur de corrlation (SIEM) 54

Politique de mots de passe (complexit, changement rgulier) 55


Sensibilisation utilisateur 56
Norme de flux https/sftp 57
Usurpation didentit dun compte utilisateur Norme sur les cookies et les identifications 58
Gestion centralise des logs (SIEM, Security Information Event Management) (par exemple, dtection d'un mme compte accdant
59
plusieurs postes)
Authentification forte 2 facteurs 60

Comptes "administrateur" (privilges forts) spars des comptes "utilisateur" (usage bureautique) 61
Contrle d'accs renforc 62
Politique de mots de passe renforce 63
Outil de gestion des accs et renouvellement automatique sur des comptes gnriques (type CyberArk) 64
Notification automatique des accs IP suspects 65
Usurpation dun compte administrateur
Gestion nominative des accs administrateurs 66
Limitation des administrateurs de domaines au strict minimum, et sparation complte de leurs environnements de travail et de leur
67
environnement d'administration de l'Active Directory
Utilisation de connexion centralise et trace des comptes administrateurs (Bastion type Wallix, Centrify...) 68
Revue des comptes administrateurs (et de leur droits) 69

Politique sur les droits et devoirs en matire de sortie des donnes 70


Chiffrement, anonymisation et pseudonymisation 71
Anonymisation persistante 72
SG2 Mesures et recommandations potentiellement applicables pour tre conforme au GDPR
ONGLET 2 : Mesures par types de risques
Types de Risques Mesures techniques possibles
Scurit du SI Scurit du SI #
Encadrement contractuel avec le partenaire (NDA, clause de confidentialit, clause de suppression des donnes) 73
Gestion centralise des logs (SIEM, Security Information Event Management), et synchronisation des quipements 74
EDRM, Enterprise Digital Right Management (protection bureautique avec chiffrement, ou watermarking, qui consiste cacher un
75
copyright dans un fichier)
Exfiltration de donnes
Limitation des accs internet 76
Blocage des ports usb pour le transfert de donnes (cls usb, disques durs externes, tlphones portables, graveurs de
77
CD/DVD/Blueray exernes, etc...)
Blocage de sites de transferts (type wetransfer, dropbox) 78
Dtection de tlchargements/transferts de fichiers importants 79
Intgration de donnes piges pour traabilit de la source de l'exfiltration 80
Mise en place d'une politique de DLP (Data Leakage Prevention) et des outils associs 81

Protection via des flux scuriss (TLS/SSL, https, sftp... ) 82


Traabilit des flux (garantie arrive), chiffrement datacentrique 83
Installation cl WPA sur le rseau wifi 84
Interception dchanges
Chiffrement au niveau applicatif (chiffrement de signature ) 85
Chiffrement datacentrique 86
Politique de mots de passe 87

Politique de gestion des patchs 88


Outil de contrle de mise niveau applicatif, intgrant des scans de vulnrabilit priodiques 89
Tests de pntration avec rapport et plan de remdiation 90
Projet de normalisation et gestion de lobsolescence 91
Patchs virtuels (ex. pour simuler les patchs au niveau rseau). IPS (Intrusion Prevention System) 92
Dfaut dapplication des mises jour de scurit
Dploiement d'un IDS (Intrusion Detection System) 93
Automatisation du patching des quipements auprs du fournisseur 94
Sensibilisation des quipes techniques 95
Dispositifs de contrle interne (contrle ad hoc dans le cadre de contrle interne de l'entit) 96
Solution de conteneurisation des applicatifs 97

Test intrusion et scans de vulnrabilit rguliers 98


Politique de patching 99
Host Intrusion Prevention System (HIPS) pour permettre le patching virtuel des vulnrabilits 100
Analyse de qualit de code, et respect standard & normes scurit (type Fortify) 101
Non dtection de vulnrabilits Production de normes & standards : master, code, configuration middleware, etc... 102
Procdure d'alerte et d'application urgente de patch 103
Inventaire ponctuel qui permet de dtecter des non conformits et vulnrabilits potentielles 104
Veille vulnrabilits 105
Sensibilisation utilisateur 106

Remonte centralise des logs et moteurs de corrlation (SIEM) 107


SOC 108
Incapacit tracer un incident ou des accs
Service forensic (quipe ddie pour rponse aux incidents et la veille) 109
Procdure de gestion de crise (pour tre efficiente, doit tre teste priodiquement, dans son ensemble) 110

SIEM : qualification des incidents, contrle dintgrit (signature cryptographique, hash, CRC), logs sur les accs aux donnes 111
Audit de scurit 112
Incapacit dtecter une atteinte aux donnes Tests d'intrusion 113
Sensibilisation la remonte dincidents/doutes de compromission 114
Veille sur internet pour recherche de traces de compromission ou de revente des donnes 115

Encadrement contractuel (clauses contractuelles types approuves par la Commission et/ou la CNIL, BCR) 116
NDA 117
SLA 118
Reporting 119
Audit physique et logique 120
Dfaut de pilotage dun sous-traitant / fournisseur (IoT) Obtention d'un rapport d'audit d'un tiers de confiance, i.e. un auditeur indpendant attestant la bonne excution des services (ISAE
121
3402, SSAE16...)
Validation des procdures de backup 122
Vrification de la bonne gestion/corrlation des logs 123
Mise en concurrence 124
Bilan de conformit annuel 125

Contrles pralables la contractualisation (clauses contractuelles types approuves par la Commission et/ou la CNIL, BCR) 126
Intgration de clauses contractuelles de rupture en cas de ngligence 127
Revue oprationnelle rgulire avec le sous-traitant 128
Ngligence dun sous-traitant / fournisseur (IoT) Utilisation de la stganographie (dissimulation de donnes dans d'autres donnes) ou de donnes piges pour identifier la source du
129
problme
Gestion des incidents et notification l'autorit de contrle et/ou aux personnes concernes 130
Audit rgulier sur sous-traitant 131

Service de fraude avec contrle et surveillance 132


Vrifications de prcaution sur la sant financire du sous-traitant 133
Encadrement contractuel (clauses contractuelles types approuves par la Commission et/ou par la CNIL, BCR) 134
Contrle des accs 135
Intervention frauduleuse dun sous-traitant
VPN partenaire 136
Gestion des incidents et notification l'autorit de contrle et/ou aux personnes concernes 137
Utilisation de la stganographie, ou insertion de donnes piges, pour identifier la source du problme 138
Audit rgulier du sous-traitant 139

Protection des donnes Protection des donnes


Procdure de cartographie/inventaire des donnes mtiers (catgories de donnes, finalits, destinataires, dure de conservation,
Dfaut de cartographie (actualise) des donnes et des 140
types de support, etc), rgulirement tenu jour et analys
traitements (dfaut de tenue d'un registre des traitements
Registre du CIL/DPO (obligatoire) 141
et/ou des violations de donnes personnelles)
SG2 Mesures et recommandations potentiellement applicables pour tre conforme au GDPR
ONGLET 2 : Mesures par types de risques
Types de Risques Mesures techniques possibles
Scurit du SI Scurit du SI #
et/ou des violations de donnes personnelles)
Dictionnaire de donnes (catgories de donnes: donnes courantes, donnes perues comme sensibles, donnes sensibles) 142

Information/sensibilisation sur les contraintes de localisation des donnes dans les pays concerns 143
Matrise des donnes et traitements des services concerns 144
Localisation non autorise de donnes personnelles Dploiement d'une solution de data management 145
Revue des contrats des sous-traitants 146
Insertion de clauses spcifiques 147

Implication de juristes locaux 148


Sensibilisation/Formation des quipes mtiers et IT 149
Gestion des droits d'accs 150
Non respect des rglementations locales (ex. galit des Cartographie des donnes et des rglementations applicables localement 151
chances aux US, ) Dclaration simplifie/normale, et autorisation pralable 152
Data masking (anonymisation dynamique/ non persistante ) 153
Non respect des formalits pralables applicables au traitement en France (dclaration simplifie, dclaration normale, autorisation
154
pralable de la CNIL exigible jusqu'au 28 mai 2018).

Cloisonnement fonctionnel (logique) et infra ddie (physique) si ncessaire 155


Sensibilisation/Formation des quipes mtiers et IT 156
Absence de cloisonnement des donnes personnelles Gestion des droits d'accs 157
Gouvernance de la donne interne 158
Chiffrement des bases de donnes 159

Politique de rtention/conservation des donnes 160


Mise en place d'une gouvernance de la donne en interne 161
Sensibilisation/Formation des quipes mtiers et IT 162
Gestion des droits d'accs 163
Non respect des rgles de rtention (dure de
Mise en place de traitements automatiss de purge 164
conservation) des donnes
Gestion des logs 165
Audits outills 166
Utilisation de dispositifs de Privacy by Design ou de Privacy by Re-Design 167
Intgration de marqueurs des donnes 168

Intgrer les contraintes ds la phase de design (privacy-by-design) 169


Politique sur les droits et devoirs en matire de transfert interne/externe des donnes 170
Chiffrement et anonymisation 171
Encadrement contractuel avec le partenaire (NDA, clause de confidentialit, clause de suppression des donnes) 172
Contrle des accs 173
Gestion centralise des logs (SIEM, Security Information Event Management) 174
EDRM, Enterprise Digital Right Management (protection bureautique avec chiffrement, ou watermarking qui consiste cacher un
175
copyright dans un fichier)
Mise en place d'outils de DLP 176
Transfert non scuris de donnes personnelles Limitation des accs webmail 177
Interdiction de cls usb (dans certains pays) 178
Blocage de sites de transferts (type wetransfer, dropbox) 179
Dtection de tlchargements/transferts de fichiers importants 180
Intgration de donnes piges (stganographie) 181
Audit 182
Sensibilisation/Formation utilisateurs et IT 183
Filtrage IP des applications multi-tiers (firewalls applicatifs) 184
Mise en place d'une politique de DLP (Data Leakage Prevention) et des outils associs 185
Gestion des incidents et notification l'autorit de contrle et/ou aux personnes concernes 186

Dfinition et validation officielle de rgles contraignantes d'entreprise (ou Binding Corporate Rules - BCR ) 187
Clauses contractuelles types 188
Transferts non encadrs de donnes hors UE Accord explicite et clair des individus 189
Marquage et traabilit des donnes 190
Contrle des accs 191

Politique de gestion des habilitations, de gestion des accs, et de gestion des identifications 192
Sensibilisation utilisateur et IT 199
Accs non conforme ou non encadr aux donnes
Audits rguliers 200
personnelles
Cloisonnement des donnes 201
Gestion des incidents et notification l'autorit de contrle et/ou aux personnes concernes 202

Veille sur internet (web, rseaux sociaux, dark web ou black market) 203
Chiffrement, pseudonymisation, anonymisation 204
Intgration de donnes piges (fingerprinting) 205
Contrle des accs 206
Propagation malveillante de donnes personnelles Gestion des logs 207
Audits 208
Politiques et moyens de prvention, dtection, alerte, data breach, et raction 209
Tests d'activation de la cellule de crise 210
Gestion des incidents et notification l'autorit de contrle et/ou aux personnes concernes 211

Sensibilisation utilisateur et IT 212


Politique d'utilisation des rseaux sociaux 213
Contrle des accs 214
Gestion des logs 215
Divulgation de donnes personnelles par inadvertance
Audit 216
Filtrage IP des applications multi-tiers 217
Notification immdiate (lorsque ncessaire) l'autorit de contrle et/ou aux personnes concernes 218
Transmission scurise des donnes (flux chiffrs) 219
SG2 Mesures et recommandations potentiellement applicables pour tre conforme au GDPR
ONGLET 2 : Mesures par types de risques
Types de Risques Mesures techniques possibles
Scurit du SI Scurit du SI #
Mesures de scurit du SI 220
Politique de gestion des demandes de ranon 221
Politique de notification (dt formulaire CNIL de notification) 222
Politique de gestion de crise 223
Cloisonnement des quipements 224
Contrle des accs 225
Chiffrement base de donnes 226
Chiffrement disques 227
Blocage des ports usb 228
Vol de donnes
Blocage des sites de transfert 229
Veille sur les marchs clandestins (Dark web / Black Market) 230
Validation contractuelle 231
EDRM 232
Gestion et corrlation des logs (mise en place d'un SIEM) 233
Filtrage IP des applications multi-tiers 234
Gestion des incidents et notification l'autorit de contrle et/ou aux personnes concernes 235
Politique de changement des mots de passe 236
Procdure d'inforensic 237

Sauvegardes et tests rguliers des sauvegardes 238


Gestion et corrlation des logs 239
Systme de dtection prcoce d'atteinte volumtrique (cryptolocker) 240
Traabilit des actions sur les services (logs applicatifs) 241
Perte dintgrit des donnes Audits 242
Contrle d'intgrit (CRC, signature cryptographique) 243
Test du bon fonctionnement des applications 244
Qualification des incidents utilisateurs 245
Gestion des incidents et notification l'autorit de contrle et/ou aux personnes concernes 246

Contrle des accs (validation de la demande, sparatiion des tches, revue des accs) 247
Sensibilisation/formation utilisateurs et IT 248
Alignement entre donnes dtenues et finalit du traitement 249
Politique de rtention des donnes 250
Dtention ou utilisation abusive de donnes personnelles
Gestion et corrlation des logs 251
Encadrement contractuel 252
Mesures de traabilit, audit, notification 253
Gestion des incidents et notification l'autorit de contrle et/ou aux personnes concernes 254

Inventaire des traitements de donnes personnelles 255


Intgration de la privacy-by-design dans la mthodologie projet 256
Dtournement de finalit de traitements de donnes Dclaration des traitements 257
personnelles du fait dune mauvaise anonymisation Minimisation des donnes (privacy by design) 258
Implication du dlgu la protection des donnes (CIL/ DPO) 259
Gestion des incidents et notification l'autorit de contrle et/ou aux personnes concernes 260

Anonymisation permanente 261

Audit de la robustesse de l'anonymisation (exemple de techniques d'anonymisation : valuation k-anonymat, L-diversit, t-proximit) 262
Reconstitution de lidentit dune personne et Utilisation de donnes agrges ou gnralises 263
enrichissement de son profil par corrlation entre plusieurs Pas de donnes personnelles dans les traitements de big data 264
sources internes ou externes (big data) Sensibilisation/Formation utilisateurs 265
Limitation et contrle des accs aux donnes personnelles 266
Mise en place d'une charte thique spcifique 267
Traabilit et audit 268

Intgration de la PIA dans la mthodologie projet 269


Dfaut de PIA/ EIVP
Mthodologie PIA/ EIVP (dont analyse de risque) 270

Politiques de scurit et charte utilisateur du SI 271


Intgration des quipes Scurit dans les projets 272
Dfaut de privacy by design (absence de rgles sur la Formation des quipes 273
minimisation des donnes celles strictement ncessaires Dploiement d'exigences de bonne pratique Privacy by Design (minimisation, accs strictement ncessaires) 274
et/ou non application des rgles sur la minimisation) Politique de minimisation des donnes (privacy by design) 275
Vrification de la privacy-by-design dans les phases de recettes 276
Intgration d'une procdure de "Privacy by Re-Design" (gestion des volutions) 277

Procdure de qualification des incidents de scurit 278

Procdure de notification prcisant notamment quand une notification est ncessaire et qui ( l'autorit de contrle, la personne) 279
Dfaut de notification dune atteinte aux donnes
Suivi et valuation des consquences 280
Implication du dlgu la protection des donnes (CIL/ DPO) 281
Formation des quipes 282

Droits de la personne Droits de la personne


L'excution des droits de la personne impose avant tout de bien savoir authentifier le demandeur. L'entreprise a 2 mois pour
283
rpondre la demande. Un registre centralis des donnes personnelles doit tre dtenu/accessible par le DPO
Intgration des obligations du droit des personnes ds la conception des nouveaux services (privacy-by-design). Prvoir aussi de le
faire l'occasion d'un privacy-by-re-design pour les services legacy sensibles (ventuellement via des procdures manuelles de 284
contournement...)
Politique pour les services existants dans lesquels la rponse aux droits des personnes n'a pas t prvue l'origine 285
CIL/DPO, point de contact unique, et instructions pour le contacter 286
Accs libre service pour une partie des informations, possibilit de rectification 287
Incapacit rpondre aux droits des personnes (excution
Catgorisation des traitements 288
des droits)
Rationalisation du processus de recueil et mise jour des consentements 289
SG2 Mesures et recommandations potentiellement applicables pour tre conforme au GDPR
ONGLET 2 : Mesures par types de risques
Types de Risques Mesures techniques possibles
Scurit du SI Scurit du SI #
Traabilit des consentements 290
Limitation du traitement 291
Limitation de la dure de conservation 292
Purges automatises, ou alertes avant atteinte de la limite rtention 293
Outil de text mining smantique (dtection des termes sensibles ou injurieux / champs commentaires)
Rgles des possibilits de profilage 294
Politique de non-rfrencement des mineurs (sauf consentement formel et trac des parents) 295

Politique de confidentialit et de donnes caractre personnel (comprenant les informations sur l'identit et les coordonnes du
RP, les coordonnes du DPO, la nature des donnes collectes, les finalits, la dure de conservation, les destinataires, les ventuels 296
Information (clart sur les politiques de confidentialit, les
transferts vers des pays tiers, etc.)
objectifs de collecte, les conditions gnrales de vente,
Information par un message au moment de la collecte des donnes (nature des donnes collectes, finalits, destinataires, comment
valider via une case cocher)
exercer ses droits d'accs, d'opposition et de modification des donnes, etc.):par exemple, sur internet: via un message facilement 297
accessible sur le site; salari: dans son contrat de travail, etc.

Transparence du traitement Information de la personne concerne de la nature des donnes collectes et des finalits de traitement, identit du RP, etc. 298

Vrifier si le traitement ne repose pas sur une autre base lgale que le consentement (obligation lgale, sauvegarde de la vie, mission
299
de service public, contrat ou mesures prises avec la personne, intrt lgitime).
Sassurer que le traitement ne puisse pas tre mis en oeuvre sans consentement. 300
Sassurer que le consentement sera obtenu de manire libre. 301
Preuve du consentement Sassurer que le consentement sera obtenu de manire claire et transparente quant aux finalits du traitement. 302
Sassurer que le consentement sera obtenu de manire spcifique une finalit. 303
En cas de sous-traitance, encadrer les obligations de chacun dans un document crit, explicite et accept des deux parties 304
Pour un site internet: opt-in; cookies (avec un bandeau); email rcapitulatif
305
Pour un salari ou un partenaire commercial: contrat sign

Vrifier que le traitement ne fait pas lobjet dune exception interdisant la personne de sopposer au traitement (obligation lgale,
306
exclusion dans lacte portant cration du traitement)
Dterminer les moyens pratiques qui vont tre mis en oeuvre pour permettre lexercice du droit dopposition. Ce droit doit pouvoir
tre exerc le plus rapidement possible, sans jamais excder deux mois, dans une forme similaire celle du traitement (voie postale
et/ou voie lectronique). En outre, les dmarches effectuer ne doivent pas dcourager les personnes concernes et ne doivent pas
307
leur occasionner de frais.
Ex: Pour un site internet, crer un formulaire, facilement accessible, avec des cases dcocher (dit opt-out ) ou prvoir la
possibilit de se dsinscrire dun service (suppression de compte).
Retrait du consentement (opposition ou suppression)
Vrifier que les demandes dexercice du droit dopposition faites par voie postale sont signes et accompagnes de la photocopie
dun titre didentit (qui ne devrait pas tre conserve sauf en cas de besoin de conserver une preuve) et quelles prcisent ladresse
laquelle doit parvenir la rponse.
308
Vrifier que les demandes dexercice du droit dopposition faites par voie lectronique (en utilisant un canal chiffr si la transmission
se fait via Internet) sont accompagnes dun titre didentit numris (qui ne devrait pas tre conserv sauf en cas de besoin de
conservation dune preuve, et ce, en noir et blanc, en faible dfinition et sous la forme dun fichier chiffr).
Sassurer que le motif lgitime des personnes exerant leur droit dopposition est fourni et apprci 309
Sassurer que tous les destinataires du traitement seront informs des oppositions exerces par des personnes concernes 310

Vrifier que le ou les motifs pour lesquels l'effacement est demand s'appliquent:
- l'exactitude des donnes caractre personnel est conteste par la personne concerne, pendant une dure permettant au
responsable du traitement de vrifier l'exactitude des donnes caractre personnel;
- le traitement est illicite et la personne concerne s'oppose leur effacement et exige la place la limitation de leur utilisation;
311
- le responsable du traitement n'a plus besoin des donnes caractre personnel aux fins du traitement mais celles-ci sont encore
ncessaires la personne concerne pour la constatation, l'exercice ou la dfense de droits en justice;
Respect de la limite du traitement - la personne concerne s'est oppose au traitement, pendant la vrification portant sur le point de savoir si les motifs lgitimes
poursuivis par le responsable du traitement prvalent sur ceux de la personne concerne.
Dterminer les moyens pratiques qui vont tre mis en oeuvre pour permettre lexercice du droit de limitation. Ce droit doit pouvoir
tre exerc le plus rapidement possible, sans jamais excder deux mois pour des donnes, dans une forme similaire celle du
312
traitement (voie postale et/ou voie lectronique). En outre, les dmarches ne doivent pas dcourager les personnes concernes et ne
doivent pas leur occasionner de frais excdant le cot de la reproduction.

Dterminer les moyens pratiques qui vont tre mis en oeuvre pour permettre lexercice du droit daccs. Ce droit doit pouvoir tre
exerc le plus rapidement possible, sans jamais excder deux mois pour des donnes, dans une forme similaire celle du
313
traitement (voie postale et/ou voie lectronique). En outre, les dmarches ne doivent pas dcourager les personnes concernes et ne
doivent pas leur occasionner de frais excdant le cot de la reproduction.
Vrifier que les demandes dexercice du droit daccs faites sur place permettent de sassurer de lidentit des demandeurs et des
314
personnes quils peuvent mandater.

Vrifier que les demandes dexercice du droit daccs faites par voie postale sont signes et accompagnes de la photocopie dun
titre didentit (qui ne devrait pas tre conserve sauf en cas de besoin de conserver une preuve) et quelles prcisent ladresse
Accs laquelle doit parvenir la rponse.
315
Vrifier que les demandes dexercice du droit daccs faites par voie lectronique (en utilisant un canal chiffr si la transmission se fait
via Internet) sont accompagnes dun titre didentit numris (qui ne devrait pas tre conserv sauf en cas de besoin de
conservation dune preuve, et ce, en noir et blanc, en faible dfinition et sous la forme dun fichier chiffr).

Sassurer de la possibilit de fournir toutes les informations qui peuvent tre demandes par les personnes concernes, tout en
316
protgeant les DCP des tiers.
Sassurer que lidentit des demandeurs et que la lgimitimit des limitations demandes seront vrifies. 317
Sassurer quune confirmation sera fournie aux demandeurs. 318
Sassurer que les tiers qui des donnes auraient t transmises seront informs des demandes de limitation. 319

Vrifier que le traitement ne fait pas lobjet dune exception (Ex: sret de ltat, dfense ou scurit publique). 320

Dterminer les moyens pratiques qui vont tre mis en oeuvre pour permettre lexercice du droit de rectification. Ce droit doit pouvoir
tre exerc le plus rapidement possible, sans jamais excder deux mois, dans une forme similaire celle du traitement (voie
321
postale et/ou voie lectronique). En outre, les dmarches effectuer ne doivent pas dcourager les personnes concernes et ne
Rectification
doivent pas leur occasionner de frais.
Sassurer que lidentit des demandeurs et que la vracit des rectifications demandes seront vrifies. 322
Sassurer quune confirmation sera fournie aux demandeurs. 323
SG2 Mesures et recommandations potentiellement applicables pour tre conforme au GDPR
ONGLET 2 : Mesures par types de risques
Types de Risques Mesures techniques possibles
Scurit du SI Scurit du SI #
Sassurer que les tiers qui des donnes auraient t transmises seront informs des rectifications faites. 324

Vrifier que le ou les motifs pour lesquels l'effacement est demand s'appliquent:
- les donnes caractre personnel ne sont plus ncessaires au regard des finalits pour lesquelles elles ont t collectes ou traites
d'une autre manire;
- la personne concerne retire le consentement sur lequel est fond le traitement, et il n'existe pas d'autre fondement juridique au
325
traitement;
- la personne concerne s'oppose au traitement et il n'existe pas de motif lgitime imprieux pour le traitement
- les donnes caractre personnel ont fait l'objet d'un traitement illicite
- les donnes caractre personnel doivent tre effaces pour respecter une obligation lgale, etc.
Effacement, droit l'oubli
Dterminer les moyens pratiques qui vont tre mis en oeuvre pour permettre lexercice du droit d'effacement. Ce droit doit pouvoir
tre exerc le plus rapidement possible, sans jamais excder deux mois, dans une forme similaire celle du traitement (voie
326
postale et/ou voie lectronique). En outre, les dmarches effectuer ne doivent pas dcourager les personnes concernes et ne
doivent pas leur occasionner de frais.
Sassurer que lidentit des demandeurs et que la lgimitimit de l'effacement demand seront vrifies. 327
Sassurer quune confirmation sera fournie aux demandeurs. 328
Sassurer que les tiers qui des donnes auraient t transmises seront informs des demandes d'effacement. 329

Vrifier que le traitement ne fait pas lobjet dune exception (Ex: missions d'intrt public ou relevant de l'exercice de l'autorit
330
publique).

Dterminer les moyens pratiques qui vont tre mis en oeuvre pour permettre lexercice du droit la portabilit. Ce droit doit pouvoir
tre exerc le plus rapidement possible, sans jamais excder deux mois, dans une forme similaire celle du traitement (voie
331
Portabilit postale et/ou voie lectronique). En outre, les dmarches effectuer ne doivent pas dcourager les personnes concernes et ne
doivent pas leur occasionner de frais.
Sassurer que lidentit des demandeurs et que la lgimitimit de la portabilit demande seront vrifies. 332
Sassurer quune confirmation sera fournie aux demandeurs. 333
Sassurer que les tiers qui des donnes auraient t transmises seront informs de la portabilit faite. 334

Vrifier que le traitement ne fait pas lobjet dune exception (Ex: le profilage est ncessaire la conclusion ou l'excution d'un
335
contrat entre la personne concerne et un responsable du traitement; consentement explicite, etc.).
Dterminer les moyens pratiques qui vont tre mis en oeuvre pour permettre lexercice du droit s'opposer au profilage. Ce droit
Profilage doit pouvoir tre exerc le plus rapidement possible, sans jamais excder deux mois, dans une forme similaire celle du traitement
(voie 336
postale et/ou voie lectronique). En outre, les dmarches effectuer ne doivent pas dcourager les personnes concernes et ne
doivent pas leur occasionner de frais.

Vrifier lge du mineur (si + ou - de 16 ans). Si - de 16 ans, le traitement n'est licite que si, et dans la mesure o, le consentement est
Donnes des mineurs 337
donn ou autoris par le titulaire de la responsabilit parentale l'gard de l'enfant
REMERCIEMENTS

Ce document est le fruit de linitiative des trois organisations professionnelles AFAI, CIGREF,
TECH IN France et des travaux des trois groupes de travail quelles ont co anims pendant un
an avec le concours dexperts (cabinet August Debouzy, De Gaulle Fleurance & Associs,
Osborne Clarke, SAMMAN) et des adhrents des associations qui ont bien voulu participer.

LAFAI, le CIGREF et TECH IN France tiennent remercier tout particulirement les


entreprises et les cabinets davocats qui se sont engags dans linitiative DPSI.

diteurs :

AFAI, association loi 1901 Centre dAffaires Alac Etoile, 3 rue du Colonel Moll, 75 017 PARIS
Tl : +33 1 40 08 47 81 https://www.afai-isaca.fr

CIGREF, association loi 1901 21 avenue de Messine, 75008 PARIS Tl. : +33 1 56 59 70 00
http://www.cigref.fr/

TECH IN France, association loi 1901 - 13 Rue La Fayette, 75009 Paris - Tl. : +33 1 40 32 45
90 - http://www.techinfrance.fr/

Directeurs de publication : Pascal Antonini, AFAI ; Rgis Delayat, CIGREF ; Loc Rivire,
TECH IN France.

Groupe de travail : Sous-groupe 1 prsid par Pascal Antonini (AFAI), coordonn par
Bertrand Helfre (EY), avec le concours de Florence Chafiol et Stphanie Lapeyre (August
Debouzy) ; Sous-groupe 2 prsid par Rgis Delayat (CIGREF), coordonn par Flora Fischer
(CIGREF) et Sophie Bouteiller (SCOR), avec le concours de Jean-Sbastien Mariez et Marie-
Mathilde Deldicque (De Gaulle Fleurance & Associs) ; Sous-groupe 3 prsid par Loc Rivire
(TECH IN France), coordonn par Camille Parra (TECH IN France) avec le concours de
Thaima Samman et Marc Drevon (Cabinet Samman) et Batrice Delmas-Linel et Lise Breteau
(Osborne Clarke).

Coordination ditoriale : Camille Parra (TECH IN France) et Flora Fischer (CIGREF)

Cration graphique et ralisation : Juliette Bernard (TECH IN France) et Thibault Luret


(CIGREF)

Relations Presse :

AFAI : Isabelle Mauriac - 06 27 70 71 60 - imauriac@imedia-conseil.fr - 3 rue du Colonel Moll


75017 PARIS - www.afai-isaca.fr

CIGREF : Thibault Luret - 06 45 49 93 75 - tluret@cigref.fr - 21, avenue de Messine, 75008


PARIS - www.cigref.fr

TECH IN France : Stphanie Muthelet 01 55 74 52 28 06 18 05 12 70


https://www.rumeurpublique.fr 9 rue Alphonse de Neuville, 75017 PARIS

Ce document ne constitue en aucun cas un engagement contractuel mais uniquement un


recueil de contributions destin conseiller les entreprises dans leur processus de mise en
conformit avec le GDPR.
3 rue du Colonel Moll 21 avenue de Messine 13, rue La Fayette
75 017 PARIS 75008 PARIS 75009 Paris

+33 (0)1 40 08 47 81 +33 (0)1 56 59 70 00 +33 (0)1 40 32 45 90

Vous aimerez peut-être aussi