Guide de la mise en conformité RGPD
Neodia a définit une méthode de mise en conformité RGPD en 5 étapes
2. Etat des lieux détaillé / Cartographie des traitements
4. Production des documents obligatoires
1. Audit
Objectif: planifier la mise en conformité en intégrant l'ensemble des points sensibles
Kick off meeting
- Analyse de l’exposition de l’entreprise au RGPD
- Activité de base
- Périmètre d’utilisation des données à caractère personnel
- Echelle d'utilisation des données à caractère personnel
Audit
• Audit juridique (en tant qu’exploitant / sous-traitant)
• Audit organisationnel (en tant qu’exploitant / sous-traitant)
• Audit business (traitements par métier) (en tant qu’exploitant / sous-traitant)
• Audit informatique (en tant qu’exploitant / sous-traitant)
• Audit sécurité (en tant qu’exploitant / sous-traitant)
Livrables
Gouvernance
- Désignation d’un DPO
- Identification des responsabilité dans le dossier GDPR
- Identification des rôles dans le process de mise en conformité
Mesure de l’effort à réaliser
- Liste des chantiers
- Volume de travail,
- Collaborateurs impliqués
- Incertitudes, risques, traitements sensibles
Définition des documents modèles à remplir
Présentation de la méthode de travail pour les étapes suivantes
Planning
2. Etat des lieux
Objectif : mesurer les écarts entre l’état actuel et les obligations du RGPD
Inventaire des procédures déjà en place
Charte informatique
Politique des données personnelles
PSSI
Clauses concernant le traitement des données personnelles dans les contrats avec les sous traitants, co-responsables
Organisation du système d’information
Analyse des déclarations existantes
Cnil
Existence d'un correspondant CIL
Autres organismes
Création du registre des traitements
Analyse de l’impact des traitements des données
Limites
Données sensibles :
·Données politiques,
·Données religieux,
·Données à caractère sexuel (genre, pratiques),
·Données relatives à la génétique,
·Donnée biométriques
Personnes vulnérables concernées par les traitementss
·Patients
·Personnées âgées
·Mineurs
·Employés
Gestion des cas de transfert hors UE
Inventaires des sites, applications, extranets, intranets, objets connectés collectant des informations personnelles
Cas des fichiers Ecommerce
Liste des systèmes de tracking
Web analytics
Mobile Analytics
Optimisation de taux de conversion (A/B Testing)
Tracking de retargeting,
Tracking du ROI des campagnes de rtb/AdExchange
Tracking du ROI des campagnes Facebook
Tracking du ROI des campagnes Google Adwords
Tracking du ROI des campagnes Snapchat
Tracking du ROI des campagnes des autres régies,
Tracking du ROI des campagnes d’affiliation
Tracking des données des third party data providers,
Tracking des données first party data
Echange de données: second party data
Tracking par des services Saas:
Activation
Liste des formulaires
Fichiers marketing
Ecommerce
Prospects
Clients
Adresse de livraison
Adresse de facturation
Flux internes/externes
Mailing papier
Flux internes/externes
Liste des prestataires
Emailing
Newsletter
Collecte sur Salon
Organisation de jeux concours
Plate-formes d'emailing utilisées
Prestataires emailing : routage, retargeting, automation, CRM
Flux internes/externes
Réseaux sociaux
Jeux concours Facebook
Fichiers constitués lors de l’installation d’une application
Flux internes/externes
Programme de fidélisation offline
Inscription en magasin de carte de fidélité
Inscription à des jeux concours offline
Flux internes/externes
DMP/Ecrm
Flux internes/externes
Intelligence Artificielle
Flux internes/externes
Carnets de contacts personnel
Desktop
Smartphone
Tablettes
Pour chaque fichier :
Gérer les aspects légaux
o Vérifier l’existence et la conformité des contrats
Auditer la sécurité
o failles humaines : process, obligation
o failles techniques : chiffrement du stockage ou des bases de données, pseudonymisation, authentification forte pour l’accès aux serveurs,
o système de protection en place
o plan de sécurisation des données en transit
Flux internes/externes
o Hébergement
o Exploitation
Qualifier
·Déterminer s’ils contiennent des données à caractère personnel (immatriculation, numéro de sécurité sociale, localisation, date de naissance, adresse électronique, informations de paiement, numéro de téléphone, empreinte, etc..)
·Déterminer si elles contiennent des données sensibles (Opinions religieuses, orientations sexuelles, données médicales ou biométriques, sanctions administratives ou suspicions). Les données religieuses, syndicales ou raciales sont encadrées par la loi de 1978)
·Déterminer, par conséquence, s’il y a dispense, norme simplifiée, déclaration normale, demande d’autorisation
·Déterminer s’il y a des contacts hors UE à traiter de façon différenciée
Identifier les traitements
·Déterminer les traitements indispensables/optionelles, ainisi que les traitements internes/externes
·Déterminer la volumétrie
·Déterminer la durée de conservation
·Déterminer la catégorie de données
·Déterminer les droits d’accès
·Déterminer s’il faut archiver les données
·Déterminer la fréquence de la purge d’archivage
·Déterminer la manière d’intégrer le droit à l’oubli
·Evaluer le niveau de risque : le RGPD définit des traitements à haut risque qui visent les technologies de profiling et nécessite dans ce cas de réaliser des études d’impact avant la mise en ouvre ou le traitement. Cette liste de traitement à haut risque est censée être établie par la CNIL Pour démontrer le respecte des régles, il exite deux solutions : la certification ou l’adhésion aux codes de bonne conduite des acteurs du secteur d’activité (définis par eux mais validés par la CNIL).
Analyser le niveau de protection
·Privacy by design, Privacy by default
·Sécurisation physiques (batîments) et logicielle (firewall, anti virus, pseudonymisation…)
Identifier les liens avec les nœuds critiques du RGPD
·Mentions légales
·Cookies
·Consentement
· Pseudonymisation des données ou non
· Portabilité/supression/modication
Réaliser une étude d’impact
Les traitements qui remplissent au moins deux des critères suivants doivent faire l’objet d‘une analyse d’impact :
évaluation/scoring (y compris le profilage) ;
décision automatique avec effet légal ou similaire ;
surveillance systématique ;
collecte de données sensibles ;
collecte de données personnelles à large échelle ;
croisement de données ;
personnes vulnérables (patients, personnes âgées, enfants, salariés etc.) ;
usage innovant (utilisation d’une nouvelle technologie) ;
exclusion du bénéfice d’un droit/contrat.
Exemple : une entreprise met en place un contrôle de l’activité de ses salariés, ce traitement remplit le critère de la surveillance systématique et celui des données concernant des personnes vulnérables donc la réalisation d’un DPIA sera nécessaire.
Exemple : une start-up met en place dans votre entreprise un système de personnalisation du parcours client, ce traitement remplit le critère de la surveillance systématique et celui de collecte de données personnelles à grande échelle, donc la réalisation d’un DPIA sera nécessaire.
Contenu d’une étude d’impact sur les données personnelles/DPIA
-Synthèse des opérations de traitement envisagées et les finalités du traitement, y compris, le cas échéant, l'intérêt légitime poursuivi par le responsable du traitement;
-Evaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités;
-Evaluation des risques sur les droits et libertés des personnes concernées et ;
-Mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du règlement.
Pour ce faire, plusieurs méthodes sont utilisables. Le responsable de traitement est libre de choisir sa méthode. Mais quelle que soit la méthode, celle-ci
Méthode de conduite de DPIA (doit respecter les critères définis dans l’annexe 2 des lignes directrices du G29.)
1. Délimiter et décrire le contexte du (des) traitement(s) considéré(s) ;
2. Analyser les mesures garantissant le respect des principes fondamentaux : la proportionnalité et la nécessité du traitement, et la protection des droits des personnes concernées ;
3. Apprécier les risques sur la vie privée liés à la sécurité des données et vérifier qu’ils sont convenablement traités ;
4. Formaliser la validation du PIA au regard des éléments précédents ou bien décider de réviser les étapes précédentes.
Le DPIA doit être transmis à la CNIL si
-le niveau de risque résiduel reste élevé (cas où la CNIL doit être consultée) ;
-quand la législation nationale d’un État membre l’exige ;
-la CNIL le demande dans le cadre d’un contrôle
Personnels/SOUS TRAITANTS impliqués
Dans la création de nouvelles bases de données
Dans la collecte
Dans le traitement : qualification, analyse BigData, IA, enrichissement
Dans la protection
Dans l’exploitation : qualification, envoi de messages,
Sécurité
Qui a accès
Qui peut voler les bases de données
Qui peut pirater les bases de données
Sont-elles diffusées sur internet ?
Réaction de cas de découverte de faille
Recommandation en vue de la mise en conformité
Un document de mesure des écarts est rempli au fil de l’audit et s’intéresse à 4 points
Procédure
Aspects contractuels
Sécurité
Livrables : Rapport de mesure des écarts avec le RGPD
3. Mise en conformité
Définition d’un plan de mise en conformité
·Plan d’action interne
·Plan d’action vis-à-vis des tiers
Actions internes
Contrats
o Par traitement, recueil de consentement
o Par traitement, mise à jour du contrat et de l’information
Informatique
Par base de données, intégration des fonctionnalités liées à la mise en conformité
•Droit à l’oubli
•Anonymisation
•Purge des données non indispensables
•Purge des données obsolètes
•Portabilité
•Chiffrement
•Gestion des consentements
Sécurisation
o Accès par chiffrement fort aux bases de données,
o Gestion des attaques
o Réactions aux violations,
o Identification et gestion des vulnérabilités
o Gestion de la sécurité des sous-traitants : sécurité physiques de l’hébergement de données,
o Plan d’audits, norme et annexes
Organisation
o Définition des responsabilités de gouvernance globale :
o Hestion de la sécurité,
o Politique de sécurité de l’information,
o Objectifs de sécurité
o Responsabilité en matière de sécurité
o Modification des process par métier
o Gestion des droits d’accès par collaborateur
o Process de mise en conformité
o Process de contrôle de conformité
o Formation « Privacy by design », « Privacy by default »
Actions vis-à-vis des tiers
Contrats
Informatique
Organisation
Le sous-traitant doit certifier avoir documenté
Il doit s’engager à avertir dans les délais légaux des violations
L’assister dans
o l’accomplissement de ses obligations en matière de sécurité et d’information ;
o la réalisation d’une analyse d’impact sur son traitement
o pour s’acquitter de ses obligations relatives aux droits des personnes (droit à l’effacement des données, droit d’accès, portabilité
L’informer si l’une de ses dispositions contrevient aux obligations du RGPD
Plan de gestion crise/viol des données
Gestion des évolutions
Gestion des risques
Prévention
Intégrité
Vols
Destruction
Réaction en cas d’attaque réussie
Récupération
Communication (sous 48h)
Plan de reprise d’activité
4. Production de documents obligatoires
Documentation initiale
Sur les traitements
-Registre des traitements pour le DPO et catégories d’activité de traitements pour les sous-traitants
-Analyse d’impact pour la protection des données pour les traitement susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes
-Gestion des transferts de données hors Union Européenne (clauses contractuelles, BCR et certifications
Sur l’information des personnes
-Les mentions d’information
-Les modèles de recueil du consentement des personnes concernées
-Les procédures mises en place pour l’exercice des droits
Sur les rôles et responsabilités des acteurs
-Contrats avec les sous-traitants
-Procédures internes en cas de violation de données
-Preuves de l’obtention du consentement des personnes concernées
Coffre fort
Mise à jour
5. Tests de conformité
Pratiques
Trace et preuves
Accountability
ex: pour la formation de sensibilisation: liste d’émargement, programme, formateur, lieu et contrôle de connaissance.