Guide de la mise en conformité RGPD

Neodia a définit une méthode de mise en conformité RGPD en 5 étapes

1. Audit général

2. Etat des lieux détaillé / Cartographie des traitements

3. Mise en conformité

4. Production des documents obligatoires

5. Tests de conformité

 

1. Audit

Objectif: planifier la mise en conformité en intégrant l'ensemble des points sensibles

Kick off meeting

  • Analyse de l’exposition de l’entreprise au RGPD
  • Activité de base
  • Périmètre d’utilisation des données à caractère personnel
  • Echelle d'utilisation des données à caractère personnel

Audit

•    Audit juridique (en tant qu’exploitant / sous-traitant)
•    Audit organisationnel (en tant qu’exploitant / sous-traitant)
•    Audit business (traitements par métier) (en tant qu’exploitant / sous-traitant)
•    Audit informatique (en tant qu’exploitant / sous-traitant)
•    Audit sécurité (en tant qu’exploitant / sous-traitant)

Livrables

Gouvernance

  • Désignation d’un DPO
  • Identification des responsabilité dans le dossier GDPR
  • Identification des rôles dans le process de mise en conformité

Mesure de l’effort à réaliser

  • Liste des chantiers
  • Volume de travail,
  • Collaborateurs impliqués
  • Incertitudes, risques, traitements sensibles

Définition des documents modèles à remplir

Présentation de la méthode de travail pour les étapes suivantes

Planning

2.   Etat des lieux

Objectif : mesurer les écarts entre l’état actuel et les obligations du RGPD

Inventaire des procédures déjà en place

Charte informatique

Politique des données personnelles

PSSI

Clauses concernant le traitement des données personnelles dans les contrats avec les sous traitants, co-responsables

Organisation du système d’information

Analyse des déclarations existantes

Cnil

Existence d'un correspondant CIL

Autres organismes

Création du registre des traitements

 

Analyse de l’impact des traitements des données

Limites

Données sensibles :

·Données politiques,

·Données religieux,

·Données à caractère sexuel (genre, pratiques),

·Données relatives à la génétique,

·Donnée biométriques

Personnes vulnérables concernées par les traitementss

·Patients

·Personnées âgées

·Mineurs

·Employés

Gestion des cas de transfert hors UE

Inventaires des sites, applications, extranets, intranets, objets connectés collectant des informations personnelles

Cas des fichiers Ecommerce

Liste des systèmes de tracking

Web analytics

Mobile Analytics

Optimisation de taux de conversion (A/B Testing)

Tracking de retargeting,

Tracking du ROI des campagnes de rtb/AdExchange

Tracking du ROI des campagnes Facebook

Tracking du ROI des campagnes Google Adwords

Tracking du ROI des campagnes Snapchat

Tracking du ROI des campagnes des autres régies,

Tracking du ROI des campagnes d’affiliation

Tracking des données des third party data providers,

Tracking des données first party data

Echange de données:  second party data

Tracking par des services Saas:

Activation

Liste des formulaires

Fichiers marketing

Ecommerce

Prospects

Clients

Adresse de livraison

Adresse de facturation

Flux internes/externes

Mailing papier

Flux internes/externes

Liste des prestataires

Emailing

Newsletter

Collecte sur Salon

Organisation de jeux concours

Plate-formes d'emailing utilisées

Prestataires emailing : routage, retargeting, automation, CRM

Flux internes/externes

Réseaux sociaux

Jeux concours Facebook

Fichiers constitués lors de l’installation d’une application

Flux internes/externes

Programme de fidélisation offline

Inscription en magasin de carte de fidélité

Inscription à des jeux concours offline

Flux internes/externes

DMP/Ecrm

Flux internes/externes

Intelligence Artificielle

Flux internes/externes

Carnets de contacts personnel

Desktop

Smartphone

Tablettes

Pour chaque fichier :

Gérer les aspects légaux

o   Vérifier l’existence et la conformité des contrats

Auditer la sécurité

o   failles humaines : process, obligation

o   failles techniques : chiffrement du stockage ou des bases de données, pseudonymisation, authentification forte pour l’accès aux serveurs,

o   système de protection en place

o   plan de sécurisation des données en transit

Flux internes/externes

o   Hébergement

o   Exploitation

Qualifier

·Déterminer s’ils contiennent des données à caractère personnel  (immatriculation, numéro de sécurité sociale, localisation, date de naissance, adresse électronique, informations de paiement, numéro de téléphone, empreinte, etc..)

·Déterminer si elles contiennent des données sensibles (Opinions religieuses, orientations sexuelles, données médicales ou biométriques, sanctions administratives ou suspicions). Les données religieuses, syndicales ou raciales sont encadrées par la loi de 1978)

·Déterminer, par conséquence, s’il y a dispense, norme simplifiée, déclaration normale, demande d’autorisation

·Déterminer s’il y a des contacts hors UE à traiter de façon différenciée

Identifier les traitements

·Déterminer les traitements indispensables/optionelles, ainisi que les traitements internes/externes

·Déterminer la volumétrie

·Déterminer la durée de conservation

·Déterminer la catégorie de données

·Déterminer les droits d’accès

·Déterminer s’il faut archiver les données

·Déterminer la fréquence de la purge d’archivage

·Déterminer la manière d’intégrer le droit à l’oubli

·Evaluer le niveau de risque :  le RGPD définit des traitements à haut risque qui visent les technologies de profiling et nécessite dans ce cas de réaliser des études d’impact avant la mise en ouvre ou le traitement. Cette liste de traitement à haut risque est censée être établie par la CNIL  Pour démontrer le respecte des régles, il exite deux solutions : la certification ou l’adhésion aux codes de bonne conduite des acteurs du secteur d’activité (définis par eux mais validés par la CNIL).

Analyser le niveau de protection

·Privacy by design, Privacy by default

·Sécurisation physiques (batîments) et logicielle (firewall, anti virus, pseudonymisation…)

Identifier les liens avec les nœuds critiques du RGPD

·Mentions légales

·Cookies

·Consentement

· Pseudonymisation des données ou non

· Portabilité/supression/modication

Réaliser une étude d’impact

Les traitements qui remplissent au moins deux des critères suivants doivent faire l’objet d‘une analyse d’impact :

    évaluation/scoring (y compris le profilage) ;

    décision automatique avec effet légal ou similaire ;

    surveillance systématique ;

    collecte de données sensibles ;

    collecte de données personnelles à large échelle ;

    croisement de données ;

    personnes vulnérables (patients, personnes âgées, enfants, salariés etc.) ;

    usage innovant (utilisation d’une nouvelle technologie) ;

    exclusion du bénéfice d’un droit/contrat.

Exemple : une entreprise met en place un contrôle de l’activité de ses salariés, ce traitement remplit le critère de la surveillance systématique et celui des données concernant des personnes vulnérables donc la réalisation d’un DPIA sera nécessaire.

Exemple : une start-up met en place dans votre entreprise un système de personnalisation du parcours  client, ce traitement remplit le critère de la surveillance systématique et celui de collecte de données personnelles à grande échelle, donc la réalisation d’un DPIA sera nécessaire.

Contenu d’une étude d’impact sur les données personnelles/DPIA

-Synthèse des opérations de traitement envisagées et les finalités du traitement, y compris, le cas échéant, l'intérêt légitime poursuivi par le responsable du traitement;

-Evaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités;

-Evaluation des risques sur les droits et libertés des personnes concernées et ;

-Mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du règlement.

Pour ce faire, plusieurs méthodes sont utilisables. Le responsable de traitement est libre de choisir sa méthode. Mais quelle que soit la méthode, celle-ci

Méthode de conduite de DPIA (doit respecter les critères définis dans l’annexe 2 des lignes directrices du G29.)

1.     Délimiter et décrire le contexte du (des) traitement(s) considéré(s) ;

2.    Analyser les mesures garantissant le respect des principes fondamentaux : la proportionnalité et la nécessité du traitement, et la protection des droits des personnes concernées ;

3.    Apprécier les risques sur la vie privée liés à la sécurité des données et vérifier qu’ils sont convenablement traités ;

4.     Formaliser la validation du PIA au regard des éléments précédents ou bien décider de réviser les étapes précédentes.

Le DPIA doit être transmis à la CNIL si

-le niveau de risque résiduel reste élevé (cas où la CNIL doit être consultée) ;

-quand la législation nationale d’un État membre l’exige ;

-la CNIL le demande dans le cadre d’un contrôle

 

Personnels/SOUS TRAITANTS impliqués

Dans la création de nouvelles bases de données

Dans la collecte

Dans le traitement : qualification, analyse BigData, IA, enrichissement

Dans la protection

Dans l’exploitation : qualification, envoi de messages,

Sécurité

Qui a accès

Qui peut voler les bases de données

Qui peut pirater les bases de données

Sont-elles diffusées sur internet ?

Réaction de cas de découverte de faille

Recommandation en vue de la mise en conformité

Un document de mesure des écarts est rempli au fil de l’audit et s’intéresse à 4 points

Procédure

Aspects contractuels

Sécurité

Livrables : Rapport de mesure des écarts avec le RGPD

3. Mise en conformité

Définition d’un plan de mise en conformité

·Plan d’action interne

·Plan d’action vis-à-vis des tiers

Actions internes

Contrats

o   Par traitement, recueil de consentement

o   Par traitement, mise à jour du contrat et de l’information

Informatique

Par base de données, intégration des fonctionnalités liées à la mise en conformité

•Droit à l’oubli

•Anonymisation

•Purge des données non indispensables

•Purge des données obsolètes

•Portabilité

•Chiffrement

•Gestion des consentements

Sécurisation

o   Accès par chiffrement fort aux bases de données,

o   Gestion des attaques

o   Réactions aux violations,

o   Identification et gestion des vulnérabilités

o   Gestion de la sécurité des sous-traitants : sécurité physiques de l’hébergement de données,

o   Plan d’audits, norme et annexes

Organisation

o   Définition des responsabilités de gouvernance globale :

o   Hestion de la sécurité,

o   Politique de sécurité de l’information,

o   Objectifs de sécurité

o   Responsabilité en matière de sécurité

o   Modification des process par métier

o   Gestion des droits d’accès par collaborateur

o   Process de mise en conformité

o   Process de contrôle de conformité

o   Formation « Privacy by design », « Privacy by default »

 

Actions vis-à-vis des tiers

Contrats

Informatique

Organisation

Le sous-traitant doit certifier avoir documenté

Il doit s’engager à avertir dans les délais légaux des violations

L’assister dans

o   l’accomplissement de ses obligations en matière de sécurité et d’information ;

o   la réalisation d’une analyse d’impact sur son traitement

o   pour s’acquitter de ses obligations relatives aux droits des personnes (droit à l’effacement des données, droit d’accès, portabilité

L’informer si l’une de ses dispositions contrevient aux obligations du RGPD

Plan de gestion crise/viol des données

Gestion des évolutions

Gestion des risques

Prévention

Intégrité

Vols

Destruction

Réaction en cas d’attaque réussie

Récupération

Communication (sous 48h)

Plan de reprise d’activité

4. Production de documents obligatoires

Documentation initiale

Sur les traitements

-Registre des traitements pour le DPO et catégories d’activité de traitements pour les sous-traitants

-Analyse d’impact pour la protection des données pour les traitement susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes

-Gestion des transferts de données hors Union Européenne (clauses contractuelles, BCR et certifications

Sur l’information des personnes

-Les mentions d’information

-Les modèles de recueil du consentement des personnes concernées

-Les procédures mises en place pour l’exercice des droits

Sur les rôles et responsabilités des acteurs

-Contrats avec les sous-traitants

-Procédures internes en cas de violation de données

-Preuves de l’obtention du consentement des personnes concernées

Coffre fort

Mise à jour

5. Tests de conformité

Pratiques

Trace et preuves

Accountability

ex: pour la formation de sensibilisation: liste d’émargement, programme, formateur, lieu et contrôle de connaissance.

 

Ce guide est publié à but général et de façon informative. Il ne constitue pas un conseil individualisé. Veuillez consulter les conseillers juridiques de votre société pour une implémentation spécifique.