Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

ENTREPRISES LES CLÉS D’UNE DU GDPR APPLICATION RÉUSSIE DONNÉES PERSONNELLES ET

ENTREPRISES LES CLÉS D’UNE DU GDPR APPLICATION RÉUSSIE DONNÉES PERSONNELLES ET SYSTÈMES D’INFORMATION 3 LE MOT DES PRÉSIDENTS Dans le contexte actuel de transformation numérique, l’information et son usage font l’objet de toutes les attentions, entre valorisation et protection. Pour l’entreprise, la donnée est devenue un nouvel actif stratégique majeur, elle doit être exploitée et protégée, d’autant plus s’il s’agit d’une donnée sensible. L’individu quant à lui, est grand consommateur d’information, producteur également, mais il est soucieux de protéger sa vie privée contre une utilisation abusive de ses données personnelles, et demandeur de garanties. La confiance dans le numérique et dans l’usage de l’information est impérative, et partout dans le monde, les régulateurs veillent et encadrent à juste titre le traitement des données personnelles. Au sein de l’Union européenne, la réglementation GDPR1 s’appliquera dès le 25 mai 2018, et les entreprises se sont déjà largement mobilisées pour se mettre en conformité. En parallèle, on parle d’entreprise étendue, avec des organisations et des systèmes d’information de plus en plus globalisés et largement ouverts aux clients et partenaires, et avec des services désormais tous proposés dans le Cloud. On parle aussi d’entreprise « data- driven » (« orientée données »), avec des besoins de Big Data, corrélation et analyse des données massives captées par les objets connectés. Le déploiement de ces solutions répond d’abord et avant tout à des besoins d’accès et de partage de l’information, à des fins d’optimisation de l’efficacité opérationnelle et de développement du business. Toutes les entreprises sont concernées, pour leur cœur de métier comme pour les services génériques de messagerie, de SIRH, de CRM, etc. qui tous, traitent des données personnelles. Ces deux exigences d’efficacité opérationnelle et de conformité avec les règles de protection de la vie privée peuvent, de prime abord, paraître antinomiques et difficiles à concilier pour les entreprises et leurs fournisseurs partenaires... d’autant plus lorsque différentes réglementations s’imposent, pour des groupes globaux notamment. Le système d’information porte l’activité de l’entreprise. Il est aussi l’élément central de la mise en conformité avec le GDPR et les autres réglementations. La conformité au GDPR est un projet d’entreprise, qui engage tous les métiers, et qui doit mesurer l’impact sur les différentes briques du SI, dont certaines sont en place depuis des années, voire même sur son architecture. Nos trois organisations professionnelles se sont mobilisées tôt, dès l’été 2016, avec le soutien de quatre cabinets d’avocats : August Debouzy, De Gaulle Fleurance & Associés, Osborne Clarke et SAMMAN et la participation régulière de la CNIL. 1 Règlement Général sur la protection des Données à caractère Personnel (ou General Data Protection Regulation) 4 Conscientes des enjeux, elles se sont rassemblées pour lancer une initiative conjointe en France, « Données Personnelles et Système d’Information (DPSI) », avec deux objectifs : • Sensibiliser les entreprises, utilisatrices et fournisseurs, sur l’urgence et l’ampleur de ce projet de mise en conformité avec le GDPR ; • Produire un guide de recommandations pratiques et applicables pour se mettre en conformité avec le GDPR, et ainsi apporter une aide opérationnelle concrète à tous ceux qui ont engagé ou engagent leur projet. Le résultat est là, et nous tenons à remercier vivement toutes les entreprises, la CNIL, les cabinets d’avocats, et l’ensemble des personnes qui ont contribué à donner à cette initiative de place toute sa force. Pascal Antonini Bernard Duverneuil Bertrand Diard Président de l’AFAI Président du CIGREF Président de TECH IN France 5 EXECUTIVE SUMMARY Résultat de l’initiative « Données Personnelles et Systèmes d’Information » (DPSI), ce livrable offre à toutes les entreprises les outils indispensables à une mise en conformité réussie avec le GDPR. Grâce à sa structure logique et pratique, chaque entreprise pourra entamer ou poursuivre les étapes clés du changement de manière efficace et sereine. Rédigé dans un langage accessible à tous et illustré de nombreux exemples significatifs, le document décrypte les nouvelles obligations du Règlement, analyse leurs impacts sur les systèmes d’information, et émet des recommandations concrètes, techniques et juridiques, applicables opérationnellement par les fournisseurs de services de logiciels et par les entreprises utilisatrices. Le document s’articule autour de trois parties distinctes et complémentaires. Le chapitre 1, écrit sous la présidence de l’AFAI accompagnée par le cabinet d’avocats August Debouzy, fournit un guide d’auto-évaluation sous la forme d’une check- list complète pour vérifier si son entreprise est en conformité avec le GDPR. En répondant aux cinquante questions proposées, vous pourrez évaluer votre niveau de conformité et identifier les domaines dans lesquels un processus d’amélioration est à conduire. Les questions concernent trois grandes thématiques : • Gouvernance : 16 questions sur le DPO, le périmètre d’application, les politiques et procédures, les prérequis et travaux préparatoires, les formations et informations ; • Métiers : 18 questions sur la licéité du traitement, les types de traitements mis en place, les catégories de données collectées, les droits des personnes, les obligations dans les relations entre responsable de traitement et sous-traitant, les transferts de données en dehors de l’UE, la sécurité des données personnelles, l’étude d’impact sur la vie privée ; • Système d’information et cybersécurité : 16 questions sur les catégories des données collectées, la sécurité des données personnelles, le privacy by design, la transparence, les dispositifs de détection et de notifications des failles, les clauses contractuelles obligatoires, la gestion de l’exercice des droits des personnes. Le chapitre 2, écrit sous la présidence du CIGREF accompagné par le cabinet d’avocat De Gaulle Fleurance & Associés, liste les recommandations et les mesures à mettre en œuvre pour assurer la conformité du système d’information (SI) avec le GDPR. La démarche du sous-groupe 2 (SG2) est la suivante : 1) identification des composants du SI qui génèrent ou véhiculent des données personnelles ; 2) pour chaque composants du SI : inventaire des risques afférents selon les 3 grandes catégories suivantes : a. sécurité du SI : intrusion du SI par un malware, usurpation d’un compte utilisateur, défaut d’application des mises à jour de sécurité, etc. b. protection des données personnelles : défaut de cartographie actualisée des données personnelles et des traitements, divulgation malveillante de données personnelles, chiffrement, anonymisation/pseudonymisation, etc. 6 c. protection des droits des personnes : non disponibilité ; défaut d’intégrité ; perte de confidentialité ; absence de traçabilité ; usages illicites ; répudiabilité. 3) identification des mesures et recommandations potentiellement applicables en fonction de chaque typologie de risques. Les mesures identifiées par le SG2 visent à protéger les composants et applicatifs, mais aussi tous les flux qui existent entre eux. Pour chaque risque identifié, le document donne une série de recommandations claires, pratiques et pertinentes afin de minimiser, voire de prévenir ce risque. Ainsi, pour un risque - par exemple « transfert non sécurisé de données personnelles » - le chapitre 2 indique les composants du SI potentiellement exposés à ce risque (Cloud, applications, base de données, datawarehouse, Big Data, GED – Archivages, fichiers partagés, messagerie, données de sortie) ; et émet ensuite une série de recommandations à mettre en œuvre afin de gérer ce risque : intégrer les contraintes dès la phase de design (privacy by design), développer une politique sur les droits et devoirs en matière de sortie des données ; chiffrement et anonymisation ; encadrement contractuel avec le partenaire (NDA, clause de confidentialité, clause de suppression des données…) ; etc. Enfin, ce chapitre illustre concrètement la mise en œuvre de la démarche par un cas pratique : l’activité d’un logiciel de « gestion de la relation client » ou CRM. Le chapitre 3, écrit sous la présidence de TECH IN France accompagné par deux cabinets d’avocats SAMMAN et Osborne Clarke, fournit les outils juridiques indispensables à une application réussie du GDPR. Elaboré après échanges avec la CNIL, ce chapitre s’articule en trois grands volets : • la gestion interne par les outils de gouvernance visant à l’autoresponsabilité des entreprises (ou « accountability ») ; • la démonstration de cette responsabilité vis-à-vis du public et des partenaires, via des outils de confiance ; • la gestion contractuelle des obligations et responsabilité, via la nouvelle structuration des clauses contractuelles. Le système repose aujourd’hui sur une logique de contrôle ex post, imposant de nouvelles obligations de transparence auxquelles les entreprises devront se conformer par la mise en œuvre de moyens et d’instruments internalisés. Trois principaux outils de compliance vont devoir être utilisés par les entreprises : le registre des activités, l’étude d’impact et le DPO. En répondant à des questions concrètes et simples (comment mener une étude d’impact ? quelles sont les qualités d’un bon DPO ?...) ce document guide pas à pas votre mise en conformité juridique. Afin de démontrer son « accountability », le GDPR prévoit en outre le développement d’outils de confiance tels que les codes de conduite, les certifications et les règles d’entreprises contraignantes (ou BCR). L’intérêt et la pertinence de ces trois types d’outils sont précisément analysés dans ce chapitre. Enfin, le GDPR bouleverse la notion de responsabilité entre les acteurs (« responsables de traitement » et « sous-traitants »), en encadrant beaucoup plus strictement les contrats conclus entre les uploads/Management/ cigref-gt-afai-cigref-tif-donnees-personnelles-et-systemes-d-informations-gdpr-2017.pdf