RGPD, ce qu’il faut savoir !

Les Bricodeurs x Le Wagon

Présenté par Nicolas DEFORGE
Je me présente

Nicolas DEFORGE

Chef de projet informatique

Mission de suivi de la mise en conformité au RGPD chez un éditeur de logiciels lyonnais

Contact : nicolas.deforge@mailo.com
le RGPD

● Règlement Général sur la Protection des Données

● En vigueur depuis le 25 mai 2018 dans l’UE
● Régulé en France par la CNIL qui :
○ Informe et protège les droits des citoyens
○ Accompagne et conseille dans la mise en conformité au RGPD
○ Contrôle et sanctionne les manquements à la réglementation
○ Anticipe les risques techniques et éthiques des nouveaux usages sur la vie privée

3
1. Pourquoi le RGPD ?
2. Ce qu’il faut savoir
3. La mise en conformité - Présentation des cas d’application
Pourquoi ?
Des scandales à répétition

● En 2011, Sony : vol de données de 77 M d’utilisateurs sur le Playstation Network

● Avril 2019 Facebook : données de 540 M d’utilisateurs exposés sur le net
● Juillet 2019 Capital one : données bancaires de 100 M d’Américains
● Et bien d’autres...
8
Objectifs du RGPD
● Garantir la sécurité et l’intégrité des données à caractère personnel
● Assurer la traçabilité des traitements de données à caractère personnel
● Responsabiliser les entreprises et définir les sanctions
● Renforcer les droits des utilisateurs par rapport à leurs données
Ce qu’il faut savoir !
Source : cnil.fr
Les données à caractère personnel (DCP)
Délais de conservation
● Obligation de définir un temps de conservation pour toutes les données à caractère personnel
● Préconisations de la CNIL :
○ 5 ans pour les données RH
○ 10 ans pour les données de facturation
○ 3 ans pour les clients et les prospects
○ Données métiers dépendent de la finalité
● L’important est de justifier la finalité de la durée de conservation

Délais de conservation ≠ Suppression de vos données

Le rôle de DPO

● Obligation de désigner un Délégué à la Protection des Données (DPO) auprès de la CNIL

● Compétences requises :
○ Juridique avec une bonne connaissance du RGPD
○ Technique
○ Conduite du changement et compréhension des processus de l’entreprise
● Principaux rôles :
○ Interlocuteur de la CNIL
○ Information et conseil sur la protection des données personnelles
○ Contrôle sur le respect du règlement
○ Responsabilité juridique
Violation des données personnelles

72H
Temps pour prévenir la CNIL en cas de
violation des données personnelles
Respect des droits des citoyens
Sanctions financières
Un règlement européen
Cas d’application - La mise
en conformité au RGPD
pour des applications web
1er cas : site sans collecte de
données personnelles
Bonne nouvelle !

● Vous n’êtes pas concerné par le RGPD !

2ème cas : site avec collecte de
données personnelles sans
nomination de DPO
Conditions
● Vous n’êtes pas une autorité publique ou administrative
● Vous n’avez pas une activité nécessitant un suivi régulier et systématique des personnes à grande
échelle = pas de gestion des utilisateurs dans une base de données
● Vous ne traitez pas de données sensibles

→ Le plus souvent, ce sont tous les sites qui stockent les cookies et les
données analytiques de leurs sites internet.
Mise en conformité
● Passage du site en HTTPS = protocole de communication client-serveur HTTP + sécurisation par
les protocoles SSL ou TLS

● Affichage du bandeau d’informations pour les cookies + gestion des préférences

● Page sur “la politique de protection des données personnelles ”

→ exemple du site siecledigital.fr

Cas de la newsletter : le double opt-in
● Exemple de double opt-in : Cliquer sur le bouton “S’abonner” + mail de confirmation
● Prévoir la gestion des désinscriptions
● Attention à la durée de conservation des données
3ème cas : site avec collecte de
données personnelles avec
nomination de DPO
 Conditions
● Vous êtes une autorité publique ou administrative
● Ou vous avez une activité nécessitant un suivi régulier et systématique des personnes à grande
échelle
● Ou vous traitez des données sensibles
● Ou les 3 !

→ Tous les sites avec une gestion des utilisateurs dans une base de données !
La mise en conformité

1. Nommer un DPO
2. Former les collaborateurs
3. Cartographie des données personnelles
4. Conception et suivi d’un plan d’actions
5. Ecriture des processus
6. Envoi des contrats aux sous-traitants

28
Nommer un DPO
● Choisir un collaborateur interne à l’entreprise ou un prestataire
● Désigner cette personne auprès de la CNIL
● Créer une boîte mail de contact dédiée au RGPD qui centralise les demandes internes et externes

rgpd@<entreprise>.com
contact.rgpd@<entreprise>.com
Former les collaborateurs
Cartographie des données personnelles
 Conception et suivi d’un plan d’actions
● Listing de toutes les actions restantes
● Mesures des niveaux de risques
● Priorisation des actions
● Intégration dans le planning des équipes

32
Exemple de priorisation

Actions Risques Gravité Vraisemblance Criticité

Analyse d’impact sur la vie privée

Ou PIA (Privacy Impact Assesment)

Plus d’informations sur : https://www.cnil.fr/en/node/23416

Ecriture des processus
● Objectif : Assurer le suivi et la traçabilité de la mise en conformité au RGPD
● Exemples :
○ Arrivée d’un collaborateur dans l’entreprise (en annexe du mémoire)
○ Suivi du registre des traitements par les managers
○ Suppression et anonymisation des données personnelles
○ Contrat de sous-traitants
○ Violation des données personnes

35
Retours d’expériences
● Conduite du changement sur un sujet sans plus-value business
● Contrainte de délai forte par rapport au délai donné par la CNIL
● Enjeux importants mais difficile de prioriser face aux urgences business

36
Conclusions
RGPD, un contrainte...
… et une opportunité !
Merci pour votre attention !