Vous êtes sur la page 1sur 30

Règlement Général sur la protection

des données

2018-2019
PLAN

01 DÉFINITION DU RGPD

02 MISE EN PLACE DU RGPD


02
03 SOCIÉTÉS CONCERNÉES

03 04 PROCESSUS IMPACTÉS

05 RÔLE DU BPM : CONFORMITÉ DES ENTREPRISES


AU RGPD
06 CAS D’USAGE DU BPM ET DE LA CONFORMITÉ RGPD

07 DÈFIS ET AMÉLIORATIONS

08 CAS RÉELS D’APPLICATION DU


01
RGPD
Définition du RGPD
Le Règlement général sur la protection des données, ou RGPD, est le nouveau cadre européen qui porte sur
le traitement et la circulation des données à caractère personnel.

 Il représente un texte de référence dans l’Union européenne voté le 27


avril 2016 et est applicable depuis le 25 mai 2018.

 Il renforce les principes de la loi Informatique et libertés.

 Il permet de donner plus de maîtrise aux particuliers sur le traitement et


l’utilisation de leurs données.

 Son objectif est de protéger et d’encadrer la collecte, le stockage et le


traitement de données personnelles contre une utilisation abusive.

3
Définition du RGPD Qu’est ce que la CNIL ?

Commission Nationale de
Selon la CNIL le RGPD répond à deux points : l’Informatique et des Libertés

 La protection des données suivant les principes déjà édictés par la Chargée de veiller à ce que
CNIL sur la loyauté du traitement, la pertinence des données, la durée l’informatique soit au service du
citoyen et qu’elle ne porte atteinte
de conservation, la sécurité… ni à l’identité humaine, ni aux droits
de l’homme, ni à la vie privée, ni aux
 Des nouvelles obligations et de nouveaux droits. libertés individuelles ou publiques.

4
Définition du RGPD
Récapitulatif

Le RGPD, c’est donc :


→ Une obligation de moyens pour les entreprises qui doivent protéger :

- les données récoltées sur toute personne physique (contacts, prospects, représentants des
clients, candidats et salariés).

- les traitements informatisés ou non de ces données à caractère personnel contenues ou

appelées à figurer dans un fichier (numérique ou papier).

- le consentement éclairé de la personne physique de plus de 15 ans à confier ses données.

→. Le droit de toute personne physique de demander au responsable d’un traitement de


rectifier, compléter, mettre à jour, verrouiller ou effacer les données à caractère personnel la
concernant ; données qui sont inexactes, incomplètes, équivoques, périmées, ou dont la
collecte, l'utilisation, la communication ou la conservation est interdite...

5 Remarque : Des sanctions peuvent être appliquées, en cas de non-respect, et s’élever jusqu’à 4% du chiffre d’affaires mondial d’une entreprise ou 20
millions d’euros.
Mise en place du RGPD
La CNIL propose une démarche synthétisée en 6 étapes pour la mise en place du RGPD

2 Cartographier 01 Désigner 1
Cartographier les traitements de données
personnelles afin de savoir le responsable
02 Désigner un Délégué à la Protection des
données qui pilote les responsables de
et le motif du traitement, l’emplacement et traitements et gère les relations avec
le temps de conservation et comment elles
sont protégées.
03 les responsables de contrôle.

4 Gérer 04 Prioriser 3
Gérer les risques impactant la Prioriser le maintien de la conformité
protections des données. 05 et les mesures d’urgences vis à vis les
risques.

06
6 Documenter Organiser 5
Documentation de la conformité pour Les processus internes doivent porter
prouver et garantir la pérennité de sur la protection des données à tous les
l’implication de l’entreprise. niveaux: Conception des applications
par exemple.
6
Sociétés Concernées
Le RGPD est appliqué à toutes les sociétés qui collectent et gèrent des données personnelles via :

Service RH Sous-traitants*
Sociétés tierces mandatées pour
Service Marketing Informations sur les candidats externaliser un service et qui
et les salariés. ont en leur possession et/ou
Données personnelles de
prospects et clients via un qui ont accès à des données
logiciel CRM ou autre, voire personnelles de personnes
même sur papier. physiques dont l’entreprise a la
responsabilité.
(*): Les Entreprises du secteur numérique (ESN),Agences de Marketing et communication et tout organisme offrant un service impliquant un traitement de données à
7 caractère personnel pour le compte d’un autre organisme.
Processus Impactés
Le nouveau règlement a plusieurs objectifs parmi lesquelles on trouve : Le
Renforcement du contrôle des citoyens européens sur leurs données
personnelles.

Quels impacts pour les entreprises ?

Ces droits vont obliger les entreprises à créer et mettre en place des
procédures et des outils permettant aux utilisateurs d’exercer leurs
droits :

- Accès , modification ou suppression des données personnelles.


- Gestion des incidents et notifications.

La création et la formalisation de ces processus nécessitent une discussion


transverse au sein de l’entreprise pour :

- Récupérer les informations des différents services.


- Etudier l’extraction* ( selon différents aspects : format,etc.)

8 (*): L’étude de l’extraction se fait généralement avec la DG


( Direction générale).
Conformité des entreprises au RGPD
“ Rôle du BPM ”

Gestion en temps réel des Traçabilité des actions Gestion des processus dans
processus sur les données différentes applications
Une plateforme BPM peut Avec une plateforme BPM il Sans BMP il serait nécessaire
être utile pour rechercher, est possible de tracer toutes d’écrire des processus pour
supprimer et documenter les informations issues des chacune des bases de données
l’effacement des données à données relatives à un client séparément ce qui est difficile
caractère personnel du ainsi que les différents et fastidieux (Répétitivité et
demandeur dans tous les traitements effectués et agir complexité)
systèmes de l’entreprise en fonction de cette
traçabilité

9
Etapes de la mise en conformité
4 étapes successives

1 Définition du périmètre 01 Diagnostic général 2


Cela consiste pour l’entreprise à Il s’agit d’établir une cartographie
répertorier l’ensemble des contacts
sur lesquels elle collecte, stocke et
02 complète des traitements des
données personnelles, en vue de la
utilise de la donnée personnelle : définition des chantiers de la mise
les clients, les prospects, les en conformité.
collaborateurs … 03
3 Plan d’action Mise en oeuvre 4
Le plan d’action liste et programme les 04 La quatrième et dernière étape
différentes actions à mener par les acteurs consiste à déployer les chantiers du
impliqués en vue de la mise en conformité. plan d’action suivant le calendrier
Son élaboration est l’aboutissement d’ un général défini.
travail de définition des chantiers,
de hiérarchisation et d’ordonnancement.

10
Etapes de la mise en conformité
4 étapes successives

Diagnostiquer
Mettre en conformité

Dispositif de Cartographie
collecte des données
Définir le Plan de Registre des
Construire le
périmètre collecte traitements
plan d’action
d’application
Utilisation Règles et
des données consignes
Journal des
Sécurité
traitements

Sécurité
Archivage
Désarchivage

11
Relation du demandeur avec l’entreprise
Quelques questions à se poser !
1.Processus internes impliquant des données
Peut on détenir des données financières sur cette personne même si celle-ci n’a pas effectué
de transaction financière avec l’entreprise ?
Qu’en est-il des systèmes marketing et commerciaux ?
L’équipe customer success, Le support clients ?
La personne a-t-elle pu interagir avec l’un des réseaux sociaux de l’entreprise ?
Est-ce qu’un membre de votre entreprise a pu citer cette personne dans une communication
interne ou externe ?
2. Règles internes régissant la gestion des données
Quelles sont les règles d’engagement pour les données marketing ?
Existe-t-il des règles pour la suppression des données ou les données ont-elles des dates
d’expiration ?
12
Les cas d’usage du BPM et du RGPD
1.Le droit à la consultation et rectification des données

Toute personne physique peut :

 Consulter les données personnelles recueillies sur elle.

 Rectifier ses données si elles sont inexactes, incomplètes, équivoques, périmées, ou dont la
collecte, l'utilisation, la communication ou la conservation sont interdites.

L’utilisation d’une plateforme BPM permet :

 De retrouver facilement la trace de toutes les données concernant, un prospect, un client, un


candidat, un salarié.

 D’éviter de supprimer ou de modifier des données personnelles essentielles à l’exécution d’un


contrat avec un client ou un salarié.

13
Les cas d’usage du BPM et du RGPD
2.La probabilité des données
Le droit à la portabilité des données permet à une personne physique de demander la transmission
de toutes les informations dans un format structuré, lisible par une machine à un nouveau
prestataire (par exemple, en cas de changement de fournisseur d’accès à internet et de portable)

Dans ce cas, une plateforme BPM va permettre de retrouver toutes les données concernant la
personne et de les transmettre sous le format ad’hoc au nouveau fournisseur ou à la personne elle-
même.

14
Les cas d’usage du BPM et du RGPD
3.Le droit à l’oublie
Un outil BPM va permettre de :

 Vérifier l’existence d’un contrat en cours qui nécessiterait la conservation des données.
 Supprimer les données en cas de demande justifiée.

L’entreprise saura rapidement:

 Définir la nature de la relation entre l’entreprise et le demandeur.


 Identifier quelles applications internes ou externes peuvent détenir des informations à caractère
personnel.
 Réduire le risque d’erreurs humaines dans le processus, gagner du temps d’exécution.
 Vérifier et prouver dans le temps que les solutions mises en place fonctionnent.
15
Les cas d’usage du BPM et du RGPD
3.Gestion des accès aux données
Le BPM peut permettre une meilleure gestion en apportant :

 Une gestion des accès de manière centralisée et en fonction des profils (salariés, fournisseurs, …).
 Un pilotage transverse de toutes les demandes d’accès et leur validation.
 Une vérification automatique des accès pour une personne à partir d’un catalogue des services.
 La possibilité de suppression des ressources lors du départ d’un employé.
 L’amélioration de la sécurité grâce à la revue des droits/ressources lors de la mutation/départ d’un
employé).
 Une meilleure gestion des coûts IT avec révocation des licences lors du départ d’un utilisateur.

16
Avantages du RGPD
1.Renforcer la confiance
Le RGPD réaffirme les droits pour les personnes
concernées de maîtriser leurs données en leur conférant
des droits : droits d’accès, de rectification, d’effacement,
d’opposition, etc. Respecter ces droits contribue à
valoriser votre image d’entreprise sérieuse et responsable.

17
Avantages du RGPD
2.Améliorer l’efficacité commerciale
Pour vendre vos produits ou vos services, vous avez besoin de prospecter, de connaître vos
clients et de gérer la facturation. Pour cela, vous constituez des fichiers concernant vos clients et
prospects. Si le RGPD réaffirme le principe d’exactitude et de mise à jour des données
enregistrées dans un fichier, maintenir vos fichiers à jour est surtout dans l’intérêt même du
développement de votre chiffre d’affaires. En ayant une gestion rigoureuse de vos données, vous
gagnez donc en efficacité et en productivité !

18
Avantages du RGPD
2.Mieux gérer l’entreprise

19
Défis et améliorations
Le RGPD impose aux organisations de fournir les
informations à titre gratuit dans un délai d'un
mois après réception de la demande. Les
informations doivent également être fournies dans
un format lisible pour le destinataire.

Créer un moyen pour que les individus puissent


accéder à leurs données sans avoir à formuler de
demande officielle, peut-être par le biais d'un
portail en ligne comme le suggère le RGPD.

20
Défis et améliorations
Le RGPD impose, de façon automatique, des
hauts standards de transparence des logiques
décisionnelles. Ainsi, les organisations peuvent
se retrouver dans l’obligation d’expliquer
l’automatisation de leurs processus de décision.

Différencier les données à réelle valeur ajouté des


données moins importantes. Donc rendre le
processus décisionnel plus clair et représente un
outil puissant de conception, d’analyse et de
communication.

21
Défis et améliorations
Dans le cadre du RGPD, l’organisation doit
savoir quelles sont les données à caractère
personnel qu’elle détient, leur provenance et les
tiers avec qui elle les partage, et les documente.

Automatiser la collecte des données serait une


initiative encore plus avantageuse. De cette façon,
chaque fois qu'un client renseigne ses informations,
il est facilement enregistré et surveillé quand, où et
à quelles fins ces informations ont été collectées.
22
Défis et améliorations
solution
Signavio est une solution Saas qui utilise de nombreuses
méthodes pour assurer la sécurité et la protection des
données des clients, dont :

 la nomination d’un délégué à la protection des données, qui


bénéficie d’une vision claire sur les raisons et la façon dont
Signavio collecte et traite les données.
 un accord mis à jour sur le traitement des données et la vie
privée, respectant les prérequis du RGPD, ce qui permet d’être
prêt avant son entrée en vigueur.
 de solides processus internes de gestion et traitement des
données personnelles des clients.
 des centres de traitement des données basés en Allemagne et
aucun transfert de données des résidents de l’Union européenne
en dehors de l’UE.

23
Cas réels d’application du RGPD (1)
Captain DPO : présentation

Captain DPO édite une solution logicielle en SaaS pour aider les
DPO internes et externes à gérer la conformité de leur
organisation et celle de leurs clients vis-à-vis du
Règlement Général européen sur la Protection des Données.

 Captain DPO offre une palette de fonctionnalités


collaboratives précieuse pour le garant de la mise en
conformité.

 Tous les acteurs qui engagent leur responsabilité


collaborent : responsable de la sécurité des systèmes
d’information, sous-traitants, responsable du
traitement, etc.

 Le DPO peut recueillir les preuves et donner ses


directives dans la solution.
24
Cas réels d’application du RGPD (1)
Captain DPO : présentation

25
Cas réels d’application du RGPD (1)
Captain DPO : Avantages

Améliorer le contrôle et la conformité


Captain DPO est une plateforme collaborative développée avec
minutie pour répondre aux exigences de la réglementation
européenne. Les applications, centrées sur les missions des DPO,
garantissent l'accountability totale du processus.

Réduire les risques par la collaboration


En impliquant l'ensemble des parties prenantes (dirigeants de
l’entreprise, responsables de traitement, sous-traitants, etc.),
Captain DPO permet d’obtenir de meilleures pratiques de
protection des données et donc à minimiser les risques.

Accroître l'efficacité par la collaboration


En misant sur la collaboration, cette solution libère les DPO des
tâches administratives, et les Laisse se consacrer aux missions qui
ont de la vraie valeur pour la conformité de leur organisation.

26
Cas réels d’application du RGPD (1)
Captain DPO : les outils intégrés au logiciel

documentation
obligatoire incluse
audit RGPD et analyse
hébergement des d’impact
données en France

assurance couvrant les


pertes de données cartographie des applications
connectées aux données

notifications et alertes
en temps réel
gestion documentaire

gestion des droits


utilisateurs complète
registre des traitements et
données
27
Cas réels d’application du RGPD (2)
Axeptio: Présentation
Axeptio est une solution d’Opt-in qui
simplifie la démarche de mise en conformité
au RGPD pour tous les formulaires où
le consentement des clients est désormais
inconditionnel sans case pré-cochée :

 inscription à une newsletter.


 acceptation des conditions générales de
vente ou d’utilisation
 recueil d’information pour commande en
ligne…

Le module remplace les cases à cocher par


un formulaire sécurisé.

28
Cas réels d’application du RGPD (2)
Axeptio: Garanties de conformité au RGPD

Conservation des preuve du


1 Les données des utilisateurs sont
consentement avec une 2
stockées de manière anonyme,
traçabilité dans le temps
sécurisée et certifiée.

La solution fournit toute la


La solution offre un système de 4
3 documentation sur les
chiffrement des données et des
consentements qui protège les
mesures et les procédures
données des utilisateurs
de protection.

29
THANK YOU !

Made with by