Académique Documents
Professionnel Documents
Culture Documents
numérique
Outils de protection
des données à
caractère personnel
Qui suis-je ?
I
1. Quel est votre 3. Quelles sont
parcours vos attentes par
S
académique et/ou rapport au
professionnel ? module ?
M
2. Avez-vous une expérience en protection
des données à caractère
Interne Orange personnel et/ou un
Sommaire
1. Introduction : le droit à l’ère du numérique
10. Mise en conformité à la réglementation protection des données : démarche et outils pratiques
En cas d’abus, possibilité de porter plainte avec la garantie d’une célérité dans son traitement et pouvant
conduire à de lourdes sanctions ;
L’identité numérique : un sujet important car c’est le premier terrain sur lequel les GAFAM
commence à grignoter sur les prérogatives régaliennes :
Le modèle estonien est un exemple d’un Etat moderne et démocratique capable de défendre ses
prérogatives régaliennes à la fois dans le numérique et dans la vie concrète
Droit et numérique
Droit d’auteur et
Marchés publics
Propriété intellectuelle
Internet / Activités en
Cyberjustice
ligne
Ce thème est repris par la Convention européenne des droits de l’homme (CEDH) en 1950 en
son article 8 qui dispose que toute personne a droit au respect de sa vie privée et familiale, de
son domicile et de sa correspondance
La DUDH et la CEDH ont été adoptées bien avant le développement des ordinateurs et
d’internet et l’émergence de la société de l’information;
Ces développements ont apporté des avantages considérables aux individus et à la société
mais aussi de nouveaux risques pour le droit au respect de la vie privée;
En Europe, la protection des données est apparue dans les années 1970 avec l’adoption d’une
législation – par certains États – visant à contrôler le traitement d’informations personnelles par
les autorités publiques et les grandes entreprises ;
Deux organismes internationaux ont travaillé en parallèle sur des textes relatifs à la protection
des données personnelles sous deux angles diférents :
Le Conseil de l’Europe dans un impératif d’équilibrer le droit des individus face aux nouvelles
possibilités données aux gestionnaires de fchiers par l’informatique;
La recommandation du Conseil de l’OCDE concernant les lignes directrices régissant la protection de la vie privée et
les fux transfrontières de données à caractère personnel du 23 septembre 1980;
La Convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des
données à caractère personnel, du 28 janvier 1981, dite Convention 108;
2. Les textes internationaux
Principes de protection des données personnelles issus des textes internationaux
Information et consentement
Toute personne physique doit être informée que ses données vont faire l’objet d’un traitement pour une fnalité donnée Les principales exceptions à
et ce traitement ne peut avoir lieu qu’avec son consentement
ces principes concernent :
Qualité des données
Les données traitées doivent être exactes, complètes et à jour La sécurité de l’Etat
La répression des infractions
Limitation de la durée de conservation
Les données ne peuvent être conservées que pendant la durée nécessaire à la fnalité du traitement pénales
La sauvegarde de la vie humaine
Protection des « données sensibles »
La recherche
Le traitement de certaines catégories de données (origine raciale, opinions politiques, philosophique ou religieuses,
santé , etc.) font l’objet de mesures particulières Les traitements statistiques
Limitation de l’exportation
Les données ne peuvent être exportées que dans un pays garantissant un niveau comparable de protection
Sécurité des données
Des mesures de sécurité appropriées doivent être prises pour empêcher l’altération, la destruction, l’accès ou la
divulgation
2. Le droit de l’Union européenne en matière de protection des
données
Le (1/2)
droit de l’UE se compose du droit primaire et du droit dérivé de l’UE
Les traités, à savoir le Traité sur l’Union européenne (TUE) et le Traité sur le fonctionnement
de l’Union européenne (TFUE), ont été adoptés par tous les États membres de l’UE ; ils
forment le « droit primaire de l’UE »;
Les règlements, les directives et les décisions de l’UE sont adoptés par les institutions de l’UE
auxquelles les traités ont conféré cette compétence ; ils constituent le « droit dérivé de l’UE
».
1978 […] 1995 […] 2008 […] 2012 2013 2014 2015 2016 2017 2018
Adoption Transpositio
2 3 4 du RGPD : n du RGPD
en lois
Décision- Proposition Règlement (UE)
Directive locales
cadre d’une réforme 2016/679
95/46 du 24 du Parlement
Octobre 2008/977 globale des
du Conseil règles en européen et du
1995 Conseil du 27 avril
du 27 matière de
novembre protection des 2016 Application
2008 données efective du
personnelles RGPD
dans l’UE
(RGPD)
Mars 2017
1 5 6
Loi Loi Valter Loi Lemaire
informatique et relative à la (Loi pour une
libertés gratuité et aux République
modalités de la Numérique)
Loi n°78-17 réutilisation
Loi n° 2016-
du 6 janvier des
1321
1978 informations
du 7 octobre
du secteur
Loi n° 2015-1779 2016
public
du 28 Décrets
décembre d’application en
2. Le droit de l’Union européenne en matière de protection des
données (2/2)
De 1995 à mai 2018, le principal instrument juridique de l’UE en matière de protection des
données était la Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995
relative à la protection des personnes physiques à l’égard du traitement des données à
caractères personnel et à la libre circulation de ces données (Directive relative à la protection des
données) ;
Elle a été adoptée en 1995, à un moment où plusieurs États membres avaient déjà adopté des
législations nationales de protection des données et répondait à la nécessité d’harmoniser ces
législations afn d’assurer un niveau élevé de protection et la libre circulation des données à
caractère personnel entre les États membres;
La Directive relative à la protection des données refétait les principes de protection déjà
contenus dans les législations nationales et dans la Convention 108, tout en les étofant souvent;
Inévitablement, les États membres disposent d’une marge de pouvoir discrétionnaire dans la
transposition des dispositions de la directive;
Bien que l’objectif de la directive ait été de parvenir à une harmonisation complète (et à une
3. Les textes africains sur la protection des données
personnelles
Le droit à la protection des données à caractère personnel est consacré par divers instruments en
Afrique notamment par les organisations communautaires l’UEMOA et la CEDEAO, par l’Union
Africaine ainsi que par plusieurs pays du continent.
UEMOA CEDEAO
Directive n°1/2006/CM/UEMOA du 23 mars 2006 Adoption d’un Acte additionnel sur la protection des
relative à l’harmonisation des politiques de données personnelles le 16 février 2010 qui est
contrôle et de régulation du secteur des d’application directe dans le droit positif des Etats
télécommunication membres
Directive n°4/2006/CM/UEMOA du 23 mars 2006 Directive de la CEDEAO du 19 août 2011 portant sur
relative au service universel et aux obligations de la cybercriminalité qui détermine les infractions
performance du réseau pénales en matière de protection des données
personnelles
Union Africaine (UA) Loi internes sur la protection des données
Convention de l’union Africaine sur la Plusieurs pays disposent d’un cadre normatif sur
Cybersécurité et la protection des données à la protection des données à caractère personnel
caractère personnel adoptée le 27 juin 2014 à (une loi et une Autorité de Contrôle chargé de
Malabo et ouverte à tous les Etats membres de veiller à l’application de la loi)
l’UA pour signature, ratifcation et adhésion.
Les sources du droit à la protection des données
personnelles
1. Quelles articles dans les Directives de l’UEMOA évoquent la protection des données
personnelles ?
2. Quel est l’Etat d’avancement de l’adhésion des pays membres à la Convention sur la
Cybersécurité et la protection des données? Le Sénégal a-t-il adhéré à la Convention si oui
quand ?
3. Quels sont les pays africains qui disposent d’une législation en protection des données à
caractère personnel ?
Constitue une donnée à caractère personnel (DCP) toute information relative à une personne physique identifée ou
pouvant être identifée, directement ou indirectement, par référence à un numéro d’identifcation ou à un ou
plusieurs éléments qui lui sont propres.
Il peut s’agir :
⁄ De données indirectement identifantes : identifant de compte, numéro de sécurité sociale, numéro d’employé, RIB, données
biométriques (empreinte digitale, image de la rétine, réseau veineux de la main…)
Les personnes morales, en tant que telles, ne sont pas concernées par le dispositif. La défnition de donnée à caractère personnel
ne vise que les personnes physiques.
Ex : serviceclient@ism.edu.sn n’est pas une donnée à caractère personnel.
En revanche : yves.marie@ism.edu.sn est une donnée à caractère personnel.
Notion de traitement de données à caractère
personnel
Un traitement de données est toute opération ou tout ensemble d’opérations efectuées à l’aide
de procédés automatisés ou non et appliquées à des données à caractère personnel ou à
des ensembles de données à caractère personnel.
Organisation
Collecte
Enregistrement
Communication
Extraction
Consultation Adaptation ou Archivage
modifcation
Rapprochement
et Transfert
Difusion interconnexion
Accès à distance Destruction
Structuration
Efacement
Exemples de types de
traitements
Responsabilité – Finalité - Moyens de traitement
Une personne morale peut être représentée par plusieurs personnes physiques via les
mécanismes de délégation de pouvoir
Les moyens du traitement désignent les mesures mises en œuvre pour atteindre cette
fnalité (l’équipement, le matériel informatique, les logiciels, les services associés, le budget,
le personnel…)
La fnalité est la raison principale pour laquelle le traitement est réalisé (gestion des
ressources humaines, recrutement, contrôle de l'accès physique aux locaux, gestion d’une
base de données clients, prospection commerciale…)
⁄ D’élaborer des modèles de clauses ⁄ Tout contrat entre un sous-traitant et un sous-traitant de rang
contractuelles ou des contrats types à ultérieur doit prévoir les mêmes obligations de protection des
conclure entre les diférents acteurs ; données que celles prévues par le contrat conclu avec le responsable du
traitement ;
⁄ D’efectuer une revue des contrats ⁄ Le sous-traitant doit assister le responsable du traitement pour assurer la
existants conclus avec les sous-traitants conformité aux obligations de sécurité, à l’évaluation de l’impact sur
pour vérifer si les stipulations la vie privée, et à la consultation préalable avec les autorités de
obligatoires y fgurent et, à défaut, les contrôle pour le traitement des données à haut risque ;
intégrer par voie d’avenant ou lors du
renouvellement du contrat pour qu’ils ⁄ Le sous-traitant doit efacer ou retourner les données personnelles une
soient conformes au RGPD. fois le traitement terminé ;
⁄ Le sous-traitant doit fournir au responsable du traitement toutes les
informations nécessaires pour démontrer la conformité et permettre ou
contribuer aux audits.
Principes clés en matière de
protection des données à
caractère personnel
Principes clés en matière de protection des
données
De manière quasi universelle et quelque soit la juridiction considérée, la
protection des données personnelles repose sur un ensemble de principes
fondamentaux à respecter lors de la mise en œuvre d’un traitement de
données personnelles :
1) Responsabilité
3) Limitation de la fnalité
4) Minimisation de la collecte
6) Limitation de la conservation
⁄ La responsabilité requiert la mise en oeuvre active et continue de mesures par les responsables du traitement et les sous-
traitants pour promouvoir et garantir la protection des données dans le cadre de leurs activités de traitement.
⁄ Les responsables du traitement et les sous-traitants répondent de la conformité de leurs traitements avec le droit en matière
de protection des données et leurs obligations respectives.
⁄ Les responsables du traitement doivent être en mesure de démontrer à tout moment aux personnes concernées, au grand
public et aux autorités de contrôle la conformité avec les dispositions relatives à la protection des données. Les sous-traitants
doivent également se conformer à certaines obligations strictement liées à la responsabilité (comme la tenue d’un registre
des traitements et la désignation d’un délégué à la protection des données).
⁄ Les données à caractère personnel doivent être traitées de manière loyale c’est-à-dire que la personne concernée doit
être informée du risque afn de s’assurer que le traitement n’a pas d’efets négatifs imprévisibles.
⁄ La fnalité du traitement des données doit être défnie avant le début du traitement.
⁄ Il ne peut y avoir de traitement ultérieur des données incompatible avec la fnalité initiale, bien que le Règlement général
sur la protection des données prévoie des exceptions à cette règle à des fns archivistiques dans l’intérêt public, à des
fns de recherche scientifque ou historique et à des fns statistiques.
⁄ Fondamentalement, le principe de la limitation de la fnalité signife que tout traitement de données à caractère
personnel doit être réalisé pour une fnalité particulière bien défnie et uniquement pour des fnalités supplémentaires
spécifques compatibles avec la fnalité initiale.
4) Le principe de minimisation de la collecte
⁄ Le traitement des données doit être limité à ce qui est nécessaire au regard d’une fnalité légitime.
⁄ Le traitement de données à caractère personnel ne devrait avoir lieu que lorsque la fnalité du traitement ne peut
raisonnablement pas être atteinte par d’autres moyens.
⁄ Le traitement des données ne peut interférer de manière disproportionnée avec les intérêts, les droits et les libertés en
cause.
⁄ Ne sont traitées que les données qui sont « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des
fnalités pour lesquelles elles sont collectées et/ou traitées ultérieurement
5) Le principe de l’exactitude des données
⁄ Le responsable du traitement doit appliquer le principe de l’exactitude des données à tous les traitements.
⁄ Il peut être nécessaire de vérifer et de mettre à jour régulièrement les données afn de garantir leur exactitude
⁄ L’obligation de garantir l’exactitude des données doit être considérée dans le contexte de la fnalité du traitement des
données.
6) Le principe de la limitation de la conservation
⁄ Le principe de la limitation de la conservation implique que les données à caractère personnel doivent être supprimées
ou anonymisées dès qu’elles ne sont plus nécessaires pour les fnalités pour lesquelles elles ont été collectées.
⁄ La limitation dans le temps de la conservation de données à caractère personnel ne s’applique toutefois qu’aux données
conservées sous une forme permettant l’identifcation des personnes concernées.
⁄ La conservation licite de données qui ne sont plus nécessaires pourrait donc être obtenue par l’anonymisation des
données.
⁄ Les données archivées dans l’intérêt du public, à des fns scientifques ou historiques ou à des fns statistiques peuvent
être conservées pour des durées plus longues pour autant qu’elles soient traitées exclusivement à ces fns.
7) Le principe de la sécurité des données
⁄ La sécurité et la confdentialité des données à caractère personnel sont essentielles pour prévenir tout efet négatif pour
la personne concernée.
⁄ Le caractère approprié des mesures de sécurité doit être déterminé au cas par cas et réexaminé régulièrement.
⁄ Le principe de la sécurité des données impose que des mesures techniques ou organisationnelles appropriées soient
mises en œuvre lors du traitement de données à caractère personnel afn de les protéger contre un accès, une utilisation,
une modifcation, une divulgation, une perte, une destruction ou un dommage accidentel, non autorisé ou illicite.
⁄ Le RGPD précise que le responsable du traitement et le sous-traitant devraient tenir compte « de l’état des
connaissances, des coûts de mise en oeuvre et de la nature, de la portée, du contexte et des fnalités du traitement ainsi
que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques »
lorsqu’ils mettent en oeuvre ces mesures.
Règlementation en matière
de protection des données
Le modèle européen : RGPD
8 français sur 10 se
déclarent inquiets quant à la
protection de leurs données
personnelles…
Face à l’évolution rapide des technologies et à l’utilisation croissante des données personnelles,
l’Union Européenne a défni de nouvelles dispositions pour :
Le RGPD s’applique :
Aux traitements efectués dans le cadre des activités de RT ou de ST établis sur le territoire
de l’UE (critère de l’établissement)
Mais aussi aux traitements efectués pour le compte de RT ou ST non établis sur le territoire
de l’UE dès lors qu’ils visent des personnes se trouvant sur le territoire de l’UE dans le cadre
des activités suivantes (critère du ciblage) :
Notion d’établissement principal = en principe lieu de son administration centrale (là où sont prises
les décisions sur les moyens et fnalités du traitement ) sauf si décisions prises dans un autre
établissement de l’Union (voir critères du CEPD pour identifer l’établissement principal )
RGPD : Renforcement de la transparence et exercice des droits
facilité
Renforcement des droit existants :
Obligation générale de faciliter l’exercice des droits : information concise, transparente, compréhensible et
aisément accessible
Information renforcée : coordonnées du délégué, durée de conservation, icônes normalisées…
Droit d’accès précisé et droit de rectifcation maintenu
Droit à être informé d’une violation des données en cas de risques élevés pour les intéressés
Droit d’opposition renforcé : le RT doit prouver l’existence d’un intérêt légitime supérieur à celui de la personne
concernée
Droit à l’efacement («droit à l’oubli») confrmé
Nouveaux droits :
Mutualisation et externalisation
RGPD : Les responsabilités des acteurs et le rôle central du délégué
à la protection des données
La CDP est une Autorité Administrative Indépendante (AAI) instituée par la Loi 2008-12 du 25
janvier 2008 portant sur la protection des données personnelles ;
C’est l’Autorité régulatrice des traitements de données au Sénégal par l’autorisation, l’encadrement
de ces traitements ;
Elle rend également des avis sur toutes les saisines relative à des actes réglementaire portant
mise en œuvre de traitements automatisé de données personnelles par l’Etat et ses
démembrements ;
Instruction des
dossiers
Contrôle de
conformité et
investigation
Veille,
Sensibilisation,
Conseils et
propositions
Modèle africain : cas du Sénégal
Réception des formalités préalables (déclarations, demandes d’autorisation) liées aux traitements de données
personnelles des RT
Réception et traitement des réclamations, pétitions et plaintes relatives à la mise en œuvre de traitements de
DCP et information des auteurs de la suite
La CDP a le pouvoir de charger un ou plusieurs de ses membre ou agents de ses services de procéder à des
vérifications portant sur tout traitement de données personnelles et, le cas échéant, d’obtenir des copies de tout
document ou support d’information utile à sa mission;
L CDP a le pouvoir de prononcer une sanction à l’égard d’un Responsable de traitement en cas de
manquement ;
La CDP peut informer sans délai le procureur de la République des infractions en matière de protection des
données personnelles dont elle a connaissance;
Modèle africain : cas du Sénégal
Informer les personnes concernées et les responsables de traitement de leurs droits et obligations;
S’assurer que les Technologies de l’Information et de la Communication ne portent pas atteinte aux droits et
libertés des personnes physiques
Conseiller les personnes et les organismes réalisant des traitements de données ou procédant à des essais ou
expériences pouvant engendrer des traitements de données personnelles;
Publier les autorisations accordées et les avis émis dans le répertoire des traitements de données personnelles ;
Etablir chaque année un rapport annuel d’activités remis eu Président de la République et au Président de
l’Assemblée nationale ;
Formuler des recommandations utiles pour que les traitements de données personnelles soient mis en œuvre
conformément aux dispositions en vigueur;
Coopérer avec les Autorités de protection des données des pays tiers
Le règlement reconnaît l’importance de ces transferts, notamment en raison de la coopération et du commerce internationaux, mais le risque
accru pour les données à caractère personnel.
Il vise donc à offrir le même niveau de protection aux données à caractère personnel qui sont transférées vers des pays tiers que celui dont
elles bénéficient dans l’UE ;
La libre circulation des données à caractère personnel vers des pays tiers offrant un niveau de protection des données adéquat est prévue à
l’article 45 du RGPD
La Cours de Justice de l’UE a expliqué que l’expression « niveau de protection adéquat » implique que le pays tiers assure un niveau de
protection des libertés et droits fondamentaux « substantiellement équivalent » à celui garanti dans l’ordre juridique de l’UE;
Les moyens auxquels ce pays tiers a recours pour assurer un tel niveau de protection peuvent être différents de ceux mis en œuvre au sein
de l’UE, le critère d’adéquation n’exigeant pas une reproduction à l’identique des règles de l’UE;
La Commission européenne évalue le niveau de protection des données dans les pays étrangers en examinant leur législation nationale et
les obligations internationales applicables;
Lorsque la Commission européenne considère que le pays tiers ou l’organisation internationale assure un niveau de protection adéquat, elle
peut adopter une décision d’adéquation qui a un effet contraignant
Transferts internationaux de données personnelles vus par le RGPD
(2/2)
Le transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale est autorisé lorsque le responsable du
traitement ou le sous-traitant offre des garanties appropriées et des droits opposables et lorsque des recours juridiques efficaces sont mis à
la disposition des personnes concernées ;
La liste des « garanties appropriées » acceptables figure exclusivement dans la législation de l’UE en matière de protection des données
Des clauses contractuelles personnalisées entre le responsable du traitement ou le sous-traitant de l’UE et le destinataire des données dans
un pays tiers sont un autre moyen d’offrir des garanties appropriées;
De telles clauses contractuelles doivent, toutefois, être admises par l’autorité de contrôle compétente avant de pouvoir être utilisées comme
instrument pour le transfert de données à caractère personnel.
Transferts internationaux de données personnelles vus par la Loi
2008-12
Le responsable d’un traitement ne peut transférer des données à caractère personnel vers un pays tiers que si cet Etat
assure un niveau de protection suffisant de la vie privée, des libertés et droits fondamentaux des personnes à l’égard du
traitement dont ces données font ou peuvent faire l’objet;
Avant tout transfert des données à caractère personnel vers un pays tiers, le responsable du traitement doit préalablement
informer la Commission des Données Personnelles
Le responsable d’un traitement peut transférer des données à caractère personnel vers un pays tiers ne répondant pas aux
conditions prévues à l’article précédent si le transfert est ponctuel, non massif et que la personne à laquelle se rapportent
les données a consenti expressément à leur transfert ou si le transfert est nécessaire à l’une des conditions suivantes :
Comprendre le risques auquel l’organisation fait face, car il peut différer d’une activité à une autre
Se positionner et positionner ton rôle comme une personne qui à cœur de protéger l’image de son
organisation et ne pas perdre du temps et des ressources pour juste que le travail soit fait. Tu fais un
focus sur ce qui compte pour l’organisation
Intégrer les activités de protection des données personnelles dans les initiatives existantes au sein de
l’organisation autant que possible
Développer des partenariats avec d’autres groupes, branches ou départements sur des sujets d’intérêt
commun
Comprendre que la protection des données personnelles N’EST PAS juste un enjeu légal ou de
conformité
(…) et évaluer la situation actuelle en matière de protection des
données
Analyse des:exigences légales applicables à l’organisation
Evaluation des standards et pratiques existants en matière de protection des données personnelles
Processus documentés
Initier le registre des traitements de données personnelles
Analyser la conformité des traitements avec la réglementation protection des données
Evaluer la capacité de l’organisation à répondre aux exigences de la réglementation
Elaborer un plan d’actions et des recommandations claires, opérationnelles et priorisées
Audit de conformité
Démarche
Réunions de présentation de la mission (kick-of)
Atelier d’aide au questionnaire
Interviews réalisés sur place et à distance
Analyse des sites internets
Rédaction, envoi, réception et traitement des questionnaires aux services
Livrables
Diagnostic sur les écarts de conformité vis-à-vis des exigences liées à la réglementation
Registre des traitements
Plan d’action opérationnel détaillé et priorisé
Chantiers possibles à l’issue d’une mission d’audit
Chantier 1 : Conformité des traitements
Chantier 2 : Registre des traitements
Chantier 3 : Gouvernance et accountability
Chantier 4 : Information des personnes
Chantier 5 : Gestion du consentement
Chantier 6 : Gestion des droits des personnes
Chantier 7 : Sous-traitants
Chantier 8 : IT et sécurité des données
Chantier 9 : Gestion des violations de données
Chantier 10 : Ressources humaines
Chantier 11 : Sensibilisation/Formation
Chantier 12 : Gestion des durées de conservation
Chantier 13 : Gestion des transferts internationaux de données
Mission d’audit de conformité
1. Conformité des traitements 2. Registre des traitements
Formalités auprès de l’Autorité de contrôle
Entretiens avec les opérationnels
Complétude des questionnaires adressés au
Identifcation des bases juridiques des
opérationnels
traitements
Validation des fches de traitement par les
opérationnels
Identifcation des données sensibles
Mise à jour du registre en cas de modifcation des
Défnition des durées de conservation traitements existants
Mise en qualité des données et
minimisation
3. Gouvernance et Accountability
Elaboration d'un RACI avec des rôles et responsabilités Clairs;
Mise en place d'une gouvernance de pour la gestion des sous-traitants et partenaires impliquant
le Legal, Achat, les opérationnels, l'équipe protection des données et la sécurité
Politique de protection des données déclinées en procédures
Mise en place d’un gouvernance de gestion des nouveaux projets
Audit et contrôle de l'application des procédures internes
Mission d’audit de conformité
4. Information des personnes 5. Gestion du consentement
Mise en place de notices d'information à
Identifcation des traitements dont la base légale est le
destination des salariés pour l'ensemble des consentement ;
traitements RH;
Identifcation des traitements pour lesquels le
Mise en place de notices d'information à consentement est une condition du traitement ;
destination des clients, partenaires, pour
l'ensemble des traitements les concernant ;
Mise en place d'un process de collecte du consentement
(avec conservation de la preuve) et de retrait de celui-
Mise en conformité des sites internet (politique ci ;
de protection des données, cookies ….);
Paramétrage des outils et intégration des fonctionnalités
permettant la collecte du consentement ;
Formation des opérationnels sur les droits des personnes concernées et
les obligations liés à leur gestion;
Surveillance de la volumétrie des demandes d'exercice des droits
Mission d’audit de conformité
7. Gestion de la sous-traitance 8. IT et Sécurité des données
Identifcation claire de l'ensemble des sous
Identifcation et documentation des mesures de sécurité
traitants; adaptées aux risques associés aux traitements ;
Mise en conformité de l'ensemble des contrats
avec les sous-traitants ;
Impacts IT liés aux processus de protection des données;
Audit des sous-traitants avant contractualisation
et pendant la relation contractuelle ;
Garanties de sécurité des sous traitants
Mise en place d'une gouvernance avec un RACI
clair des rôles et responsabilités (achats,
juridique, DPO, sécurité, Business Unit …)
9. Gestion des violations de données
Politique de gestion des incidents de sécurité déclinée en procédure ;
Mise en place d'un RACI clair des rôles et responsabilités ( sécurité, DPO, ..)
Mise en place d'une méthode (Template) d'analyse du risque sur la vie privée des
individus
Réalisation d'études d'impact des violations sur la vie privée
Notifcation de la violation de données à l’Autorité de contrôle
Communication aux personnes concernées
Tenir un registre des incidents et mesures d’amélioration
Mission d’audit de conformité
10. Traitements Ressources humaines 11. Sensibilisation/Formation
Inscrire dans le registre des traitements;
Formation générique sur la protection des données
personnelles
Information des salariés sur l’ensemble des
traitements les concernant;
Formation spécifque et adaptée à chaque département
Gestion des droits des salariés
Formation cyber sécurité
Sensibilisation des externes/sous traitants aux règles
internes de protection des données
Politique de gestion des durées de conservation
Panorama de quelques outils de conformité
Cartographie des données personnelles
Outils de communication
Autres
Outils de conformité
Cartographie des données personnelles
Cartographie des données personnelles
Cartographie des données personnelles
Outils de conformité
Analyse d'impact : un outil d’évaluation du risque
Outils de conformité
Analyse d'impact
Outils de conformité
Analyse d'impact
Outils de conformité
Analyse d'impact
Outils de conformité
Analyse d'impact
Outils de conformité
Analyse d'impact
Outils de conformité
Analyse d'impact
Outils de conformité
Analyse d'impact : logique générale
Outils de conformité
Gestion et notification des violations de données
Outils de conformité
Qualifier un incident en une violation de données
Outils de conformité
Notifications des violations de données
Outils de conformité
Certification et codes de conduite
Outils de conformité
Codes de conduite
Outils de conformité
Certification
Outils de conformité
Certification et codes de conduite
Outils de conformité
Les indispensables
Outils de conformité
Norme ISO 27701: 2019
Techniques de sécurité — Extension d'ISO/IEC 27001 et ISO/IEC
27002 au management de la protection de la vie privée — Exigences
et lignes directrices
Spécife les exigences et fournit des recommandations pour la création, la mise en œuvre, le
maintien et l'amélioration continue d'un système de management de la protection de la vie privée
(PIMS) sous la forme d'une extension de l'ISO/IEC 27001 et l'ISO/IEC 27002 pour le management de
la protection de la vie privée dans le contexte de l'organisation.
Spécife les exigences liées au PIMS et fournit des recommandations destinées aux responsables de
traitement de DCP et aux sous-traitants de DCP chargés de et responsables du traitement des DCP.
S’applique aux organisations de tous types et de toutes tailles, y compris les entreprises publiques
et privées, les entités gouvernementales et les organisations à but non lucratif, qui sont des
responsables de traitement de DCP et/ou des sous-traitants de DCP qui traitent les DCP à l'aide
d'un SMSI.
Outils de conformité