Exemple

Règlement Général
sur la Protection des Données

(RGPD)
Comprendre pour se mettre en conformité
#1 Sensibilisation
Par aYaline
Janvier 2018 – V.1

Sommaire
▪ Qu’est-ce que le RGPD ?

▪ Les grands principes
▪ Démarche de conformité
▪ Des outils pour se lancer
▪ Se faire accompagner
2 RGPD : Comprendre et se mettre en conformité aYaline

Sommaire (rappel)


Qu’est-ce que le RGPD ?
▪ En quelques mots
▪ Définitions essentielles
▪ Objectifs, genèse et dates-clés
▪ Concepts novateurs
▪ De profonds changements
▪ 25 mai 2018
▪ Des opportunités

En quelques mots
Le RGPD, officiellement nommé Règlement (UE) 2016/679, est un texte

réglementaire publié par le Parlement européen et le Conseil le 27 avril
2016.
Il vise à protéger les personnes physiques, résidant dans l’Union
européenne, à l'égard du traitement de leurs données à caractère
personnel et garantir la libre circulation de ces données.
Tout le monde est concerné. Toutes les entreprises, collectivités,
associations, etc., quelle que soit leur taille, ont l’obligation de se mettre
en conformité au RGPD.
Le RGPD s’appliquera le 25 mai 2018 dans tous les États membres de
l’Union européenne.

Définitions essentielles (1/3)
Données à caractère personnel : toute information se rapportant à une

personne physique identifiée ou identifiable, directement ou
indirectement.
Identification directe ou indirecte par :
▪ Un nom, un numéro d'identification, des données de localisation, un

identifiant en ligne…
▪ Un ou plusieurs éléments spécifiques propres à son identité physique,
physiologique, génétique, psychique, économique, culturelle ou
sociale.

Traitement : toute opération ou tout ensemble d'opérations effectuées ou

non à l'aide de procédés automatisés et appliquées à des données ou des
ensembles de données à caractère personnel.
Exemples de traitement :
▪ Collecte, enregistrement, organisation, structuration, conservation,

adaptation ou modification, extraction, consultation, utilisation…
▪ Communication par transmission, diffusion ou toute autre forme de
mise à disposition, rapprochement ou interconnexion, limitation,
effacement ou destruction.

Fichier : tout ensemble structuré de données à caractère personnel

accessibles selon des critères déterminés, que cet ensemble soit
centralisé, décentralisé ou réparti de manière fonctionnelle ou
géographique.
Responsable du traitement : la personne physique ou morale, l'autorité

publique, le service ou un autre organisme qui, seul ou conjointement
avec d'autres, détermine les finalités et les moyens du traitement.
Sous-traitant : la personne physique ou morale, l'autorité publique, le

service ou un autre organisme qui traite des données à caractère
personnel pour le compte du responsable du traitement.

Pourquoi le RGPD ?
Depuis une décennie :

▪ Explosion du nombre de plateformes digitales, app mobiles, objets
connectés, etc. et des applications de big data, profilage, retargeting,
analyse comportementale, personnalisation, achat automatisé, etc.
▪ Qui, à outrance pour la plupart, collectent, traitent, stockent,
partagent, transmettent des données personnelles.
L’Union européenne se devait de réformer profondément le droit pour

faire face aux exploitations abusives.
Avec le règlement général sur la protection des données (RGPD),
l’Europe s'est dotée d’un arsenal moderne de défense de la vie privée.

Objectifs
▪ Large extension des droits des personnes physiques à maîtriser et

reprendre le contrôle de leurs données personnelles.
▪ Responsabilisation totale des acteurs privés et publics quant aux
traitements de données personnelles.
▪ Renforcement des pouvoirs de l’autorité de contrôle de chaque État
membre (la CNIL en France).
▪ Harmonisation des politiques et des pratiques de traitement des
données personnelles au sein de l’Europe.
▪ Collaboration accrue entre les autorités de contrôle des États
membres de l’Union européenne.

Genèse
RGPD, un long processus de maturation :

▪ 4 années d’âpres négociations à partir de janvier 2012.
▪ Près de 4 000 amendements.
▪ Un texte constitué de 173 considérants et 99 articles.
▪ Adopté le 8 avril 2016 par le Conseil de l’Europe puis le 16 avril 2016
par le Parlement européen.
▪ Entré en vigueur le 24 mai 2016.
▪ S’appliquera le 25 mai 2018.

Dates-clés
Règlement Publication au Entrée en Entrée en

(UE)2016/679 du JOUE le vigueur le application le
27 avril 2016 4 mai 2016 24 mai 2016 25 mai 2018

Règlements, directives, lois
Loi n° 78-17 du 6 janvier 1978

relative à l’informatique, aux fichiers et aux libertés Directive 1995/46/CE du 24 octobre 1995
LOI INFORMATIQUE ET LIBERTES
relative à la protection des personnes physiques à l’égard du

traitement des données à caractère personnel et à la libre
Loi n° 2004-801 du 6 août 2004 circulation de ces données
relative à la protection des personnes physiques à l'égard des
traitements de données à caractère personnel et modifiant la loi Directive 2002/58/CE du 12 juillet 2002
n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et
relative au traitement des données à caractère personnel et à la
aux libertés
protection de la vie privée dans le secteur des communications
électroniques
Règlement (UE) 2016/679 du 27 avril 2016

relatif à la protection des personnes physiques à l'égard du
traitement des données à caractère personnel et à la libre
Projet de loi du 13 décembre 2017 circulation de ces données, et abrogeant la directive 95/46/CE
relatif à la protection des données personnelles
Directive (UE) 2016/680 du 27 avril 2016
relative à la protection des personnes physiques à l'égard du
Dans un souci d’intelligibilité et de lisibilité, l’architecture traitement des données à caractère personnel en matière pénale
de la loi Informatique et Libertés restera en vigueur.
Projet de règlement ePrivacy

Concepts novateurs
Le RGPD introduit trois grandes nouveautés impliquant un important

changement culturel dans la protection au quotidien des données à
caractère personnel :
▪ Accountability (« rendre des comptes ») : logique de responsabilisation
reposant sur l’auto-contrôle des mesures prises pour garantir la
conformité des traitements de données et la prouver.
▪ Privacy by Design : prise en compte de la protection de la vie privée
dès la conception d’un service ou d’un produit.
▪ Privacy by Default (étroitement lié au Privacy by Design) : principe de
protection des données au plus haut niveau possible par défaut.

De profonds changements (1/3)
AVANT LE RGPD MAINTENANT

Loi
Informatique RGPD
Principes renforcés
et Libertés Finalité Finalité
Pertinence Pertinence
Conservation Conservation
Droits Droits
Sécurité Sécurité
Déclaration des ACCOUNTABILITY

traitements auprès PRIVACY BY DESIGN
de la CNIL PRIVACY BY DEFAULT
Documentation interne
et auto-contrôle

Cas concret : conception d’un simulateur de crédit en ligne

A - Spécifications
Besoin Conception « RGPD Compliant »

Proposer un calculateur de mensualités de crédit à partir Élaboration des spécifications fonctionnelles et
de données telles que : apport, revenus, durée du prêt, techniques INCLUANT :
etc.
PRIVACY BY DESIGN : obtention d’un consentement clair,
Donner la possibilité d’être recontacté par mail ou par termes des conditions d’utilisation, minimisation des
téléphone. données personnelles, durée de conservation et
suppression des données personnelles, etc.
Transmettre une offre de crédit par mail au demandeur.
PRIVACY BY DEFAULT : sécurisation du protocole (https),
chiffrement des données personnelles en base, etc.
ACCOUNTABILITY : explication et documentation du
traitement.

Cas concret : conception d’un simulateur de crédit en ligne

B - Acteurs
Responsable du traitement Sous-traitant

Prise en compte par son équipe du Privay by Design, du Prise en compte par son équipe du Privay by Design, du
Privacy by Default et de l’Accountability. Privacy by Default et de l’Accountability.
Sélection des sous-traitants et partenaires en mesure de Établissement ou révision des contrats avec le
garantir le respect des principes du RGPD. responsable du traitement pour être en phase avec les
obligations issues du RGPD.
Établissement ou révision des contrats avec les sous-
traitants et clients pour être en phase avec les Enregistrement, explication et documentation du
obligations issues du RGPD. traitement dans le registre des traitements du sous-
traitant dans le cas d’une délégation de service (registre
Enregistrement, explication et documentation du de sous-traitance).
traitement dans le registre des traitements de
l’organisme.

Des répercussions énormes
DES ACTIVITÉS EN DANGER : DES ENGAGEMENTS FORTS À GRANDE ÉCHELLE :
Publicité programmatique : achat d’espaces GAFA : politique, guide et outils par Google, nouveaux
publicitaires, mise en place des campagnes et diffusion principes de confidentialité de Facebook, d’Amazon…
réalisés de manière automatisée. Facebook ouvre un nouveau centre de confidentialité au
Monétisation (third party) ou partagées (second party) niveau global qui rassemble en un seul endroit les principaux
paramètres liés à la protection de données personnelles.
entre d’innombrables prestataires à des fins
publicitaires. Et beaucoup d’autres du fait champ d'action extraterritorial
du RGPD (critère d’établissement – organisme établi dans un
Agrégation et monétisation de données de provenances
des États membres de l’Union européenne - et critère de
variées.
ciblage – visant les résidents européens -).
DE NOUVEAUX SERVICES ET ACTEURS :
Plateforme de gestion de contentement telle que ForgeRock Identity Platform : 1re plateforme de gestion des
identités conçue pour le partage de données et de consentement des clients.

25 mai 2018
Tous les organismes, privés ou publics, devront s’être engagés dans une
démarche de conformité au RGPD et avoir franchi une première marche
dès le 25 mai 2018, dans toutes ses dimensions :
▪ Organisationnelle : délégué à la protection des données, procédures,
registre des traitements…
▪ Juridique : contrat avec ses fournisseurs et sous-traitants, analyse des
risques…
▪ Technique : traitements de données, sécurisation…

Incitations à la mise en conformité
▪ Coercitives : amendes administratives pouvant s’élever jusqu’à 20

millions d’€ ou jusqu’4% du chiffre d’affaires annuel mondial, le
montant le plus élevé étant retenu.
▪ Créatives : nouveaux services, positionnement concurrentiel.
Mais surtout par la pression des résidents européens !

82% des consommateurs européens ont l’intention de faire valoir leurs
droits à partir du 25 mai 2018 (source : enquête de Pegasystems auprès de
7 000 personnes ~ janvier 2018).

Des opportunités
Le RGPD peut être un levier efficace de transformation numérique, tout

en se mettant en conformité, au niveau :
▪ Concurrentiel : gagner en capital confiance vis-à-vis de ses clients,
partenaires, sous-traitants et collaborateurs.
▪ Organisationnel : optimiser la gouvernance des traitements et des
données, mettre en place de bonnes pratiques, impliquer tous les
collaborateurs.
▪ Technique : rationnaliser les ressources informatiques de traitement,
de stockage, sécuriser le système d’information.

Sommaire (rappel)


Les grands principes
▪ Consentement
▪ Transparence
▪ Droits des personnes
▪ Responsabilité

Consentement
Le RGPD renforce considérablement la notion de consentement.

▪ Toute personne physique doit rester libre dans ses choix.
▪ Le consentement doit être demandé de façon éclairée.
▪ Il doit être accordé par un acte positif clair qui ne souffre d’aucune
ambiguïté.
▪ Il concerne un ou plusieurs traitements à finalité spécifique.
▪ Il doit pouvoir être retiré aussi simplement qu’il a été donné.
▪ Le responsable du traitement doit être en mesure de prouver le recueil
du consentement dans le cas d’un contrôle de la CNIL.

Transparence
Le principe-clé de transparence de la finalité des traitements est

étroitement lié à celui de consentement dans la mesure où il le rend
possible de manière explicite et éclairé.
▪ Le RGPD vient renforcer la règle de transparence par l’ajout de
nouvelles mentions obligatoires adaptées précisément au contexte et à
la finalité de la collecte de données personnelles.
▪ Les responsables de traitements doivent informer clairement et
univoquement les personnes physiques sur la ou les finalités du
traitement de leurs données personnelles et sur leurs droits.
▪ Ces informations doivent être communiquées de façon intelligible et
concise, accessibles à tous.

Droits des personnes
L’un des buts de la réforme européenne est d’octroyer davantage de

contrôle et de visibilité aux résidents européens grâce à un ensemble de
droits dont certains sont nouveaux :
▪ Droit à l’information. ▪ Droit à la portabilité des données.

▪ Droit d’accès. ▪ Droit d’opposition.
▪ Droit de rectification. ▪ Droit de ne pas être soumis à une
▪ Droit d’effacement ou « droit à décision individuelle automatisée.
l’oubli ». ▪ Droit à la communication d’une
▪ Droit à la limitation du traitement. violation de données à caractère
▪ Obligation de notification du personnel.
responsable.

Responsabilité
En passant d’un système déclaratif (cf. déclaration à la CNIL pratiquée

jusqu’à maintenant) à un système d’auto-contrôle, le RGPD confère aux
organismes privés et publics une totale responsabilité.
▪ Délégué à la protection des données ▪ Pratique des concepts de Privacy by
(Data Protection Officer : DPO). design et Privacy by default.
▪ Organisation et de pratiques ▪ Tenue d’un registre des traitements
garantissant la protection de données de données personnel.
personnelles. ▪ Notification des violations de sécurité
▪ Dispositif contractuel renforcé. (data breach) dans les 72h.
▪ Encadrement de ses sous-traitants et ▪ Pouvoir démontrer le respect des
partenaires. règles relatives à la protection des
données.

Sommaire (rappel)


Démarche de conformité
▪ Pourquoi une démarche ?

▪ Désigner un pilote
▪ Cartographier les traitements
▪ Prioriser la mise en conformité
▪ Gérer les risques
▪ Organiser les procédures internes
▪ Documenter la conformité
▪ Vers la certification

Pourquoi une démarche ?
A l’instar d’une démarche qualité, la mise en conformité au RGPD et son

maintien dans le temps nécessitent une approche structurante à l’échelle
de tout l’organisme, en prise avec son écosystème (partenaires, sous-
traitants).
Travail de longue haleine, la mise en œuvre d’une telle démarche est
indispensable pour être en mesure de rendre des comptes (cf. concept
d’Accountability), c’est-à-dire pouvoir démontrer à tout moment que les
traitements des données personnelles sont conformes au RGPD.
La CNIL, autorité de contrôle du RGPD pour la France, préconise une
démarche en 6 étapes que nous recommandons de suivre.

Désigner un pilote (étape n°1)
La première étape sur le chemin de la mise en conformité est de désigner

un délégué à la protection des données (ou DPO pour Data Protection
Officer). Ses principales missions sont :
▪ Piloter la gouvernance des données personnelles de l’organisme.
▪ Sensibiliser, informer et vérifier en interne le respect du RGPD.
▪ Être force de conseil et de proposition en matière de traitement des
données personnelles.
▪ Collaborer avec les partenaires et sous-traitants.
▪ Coopérer avec l’autorité de contrôle (la CNIL en France).
Source : CNIL

Cartographier les traitements (étape n°2)
Une fois le pilote (DPO) désigné, l’étape suivante consiste à repérer et cataloguer de
façon précise tous les traitements de données personnelles effectués par les différents
services de l’organisme.
Registre des traitements
INVENTAIRE EXHAUSTIF
QUESTIONS À SE POSER
▪ Traitements de données personnelles.
▪ Catégories de données personnelles. ▪ Qui ?
▪ Finalité principale des traitements. ▪ Quoi ?
▪ Flux de données (origine, ▪ Pourquoi ?
destination). ▪ Où ?
▪ Acteurs en jeu (services internes, ▪ Jusqu’à quand ?
sous-traitants…). ▪ Comment ?
Source : CNIL

Prioriser la mise en conformité (étape n°3)
Un plan d’actions est à établir en fonction des priorités de mise en conformité des
traitements cartographiés dans le registre. La priorisation des traitements s’effectuera
au regard des risques qu’ils font peser sur la vie privée des personnes.
POINTS DE VIGILANCE
▪ Collecte et traitement des seules ▪ Revue du contrat des sous-traitants
données personnelles nécessaires. (clause de sécurité, confidentialité,
▪ Identification de la base juridique sur protection des données
laquelle s’appuie le traitement. personnelles).
▪ Révision des mentions d’information ▪ Modalités d’exercice des droits des
obligatoires. personnes.
▪ Vérification des mesures de sécurité.
Source : CNIL

Gérer les risques (étape n°4)
Une étude d’impact sur la vie privée (EIVP) ou privacy impact assessment (PIA) doit être
menée pour les traitements de données personnelles susceptibles d’engendrer des
risques élevés pour les droits et libertés des personnes.
9 CRITÈRES D’ANALYSE ÉTUDE D’IMPACT

1. Évaluation ou notation.
2. Décision automatisée avec effet juridique ou effet similaire
▪ Description du traitement étudié et
significatif.
2 critères de ses finalités.
3. Surveillance systématique.
4. Données sensibles ou données à caractère hautement ▪ Évaluation de la nécessité et de la
personnel.
5. Données personnelles traitées à grande échelle.
proportionnalité des opérations de
6. Croisement d’ensembles de données. traitement au regard des finalités.
7. Données concernant des personnes vulnérables.
8. Usage innovant ou application de nouvelles solutions ▪ Évaluation des risques pour les droits
technologiques ou organisationnelles.
9. Exclusion du bénéfice d’un droit, d’un service ou contrat.
et libertés des personnes concernées.
Source : CNIL

Organiser les procédures internes (étape n°5)
Gérer au quotidien les événements liés à la protection des données personnelles (data
breach, demande de rectification, changement de prestataire, etc.) nécessite des
procédures internes rigoureuses. Il s’agit principalement de :
▪ Prendre en compte la protection des données personnelles dès la conception d’un
traitement (concepts de Privacy by design et de Privacy by default).
▪ Sensibiliser et organiser la circulation de l’information au sein des services de
l’organisme.
▪ Traiter les réclamations et les demandes des personnes concernées quand à l’exercice
de leurs droits.
▪ Notifier les violations de données à l’autorité de contrôle et aux personnes
concernées.
Source : CNIL

Documenter la conformité (étape n°6)
Le nouveau concept d’Accountability (« rendre des comptes », c’est-à-

dire prouver sa conformité au RGPD) oblige à constituer une
documentation complète qui sera opposable à un contrôle de la CNIL.
TRAITEMENT DE DONNÉES INFORMATION DES PERSONNES CONTRATS
▪ Registre des traitements. ▪ Mentions obligatoires ▪ Contrats avec les sous-
▪ Analyses d’impact sur la d’information des personnes. traitants.
protection des données ▪ Modèles de recueil du ▪ Procédures internes en cas
(PIA). consentement des personnes de violations de données.
▪ Encadrement des transferts concernées. ▪ Preuves que les personnes
de données hors de l'Union ▪ Procédures mises en place concernées par un
européenne. pour l'exercice des droits. traitement ont donné leur
consentement.
Source : CNIL

Vers la certification
Le RGPD est l’enjeu de conformité de l’année 2018. Une démarche de

certification par un organisme agréé est sans aucun doute une bonne
solution structurante pour se mettre en conformité au RGPD.
CERTIFICATIONS SPÉCIFIQUES ET AUSSI…

L’article 42 du
RGPD prévoit ▪ AFNOR : AFAQ Protection des ▪ ISO/IEC 27001 : management de la
explicitement données personnelles. sécurité de l’information.
la certification ▪ BUREAU VERITAS : ▪ ANSSI : certification Critères
par tierce Certification de personnes Communs (CC) et/ou certification de
partie. pour les DPO (délégué à la Sécurité de Premier Niveau (CSPN).
protection des données). ▪ CNIL : label Gouvernance RGPD.

Sommaire (rappel)


Des outils pour se lancer
▪ Pourquoi des outils ?

▪ Sensibilisation
▪ Auto-diagnostic
▪ Registre des traitements
▪ Plateforme PIA
▪ Espace documentaire

Pourquoi des outils ?
Avant de choisir peut-être une solution logicielle du marché dédiée au RGPD, souvent
onéreuse, il est important d’effectuer un tour d’horizon de l’utilisation des données
personnelles au sein de son organisme par des ateliers de sensibilisation et
d’information, puis de structurer la démarche à l’aide d’outils simples.
Auto-
Sensibilisation Registre des
Sensibilisation Espace
Sensibilisation diagnostic
Information traitements
Information Plateforme PIA documentaire
RGPD à 360° Niveau de maturité Inventaire et Étude d’impact
RGPD à 360° RGPD à 360° Modèles de mention
Études de cas au RGPD qualification des Analyse des risques
Étudesà de cas traitements
Études de cas Notifications et
Applications à son Effort fournir Demande d’avis demandes
contexte Applications à son Sous-traitants
Applications à son à la CNIL
Identifier les Contrats
contexte
priorités contexte
Plan d’actions

Sensibilisation
Afin de sensibiliser efficacement tous les collaborateurs de l’organisme, il

est indispensable de disposer d’informations précises collectées auprès des
acteurs de référence et synthétisées pour une présentation intelligible,
adaptée au contexte de chacun.
▪ Support de sensibilisation des dirigeants et de l’ensemble des
collaborateurs.
▪ Support de formation contenant un volet pour chaque thématique
principale (organisation, juridique, technique).
▪ Études de cas pour comprendre concrètement les répercussions du
RGPD.
▪ Présentation d’applications pratiques du RGPD dans son domaine.

Auto-diagnostic
Les modules d’auto-diagnostic, se présentant sous forme de

questionnaires avec calcul de score, ont pour objectif d’évaluer le
niveau de maturité de son organisme par rapport à la conformité au RGPD
sur les plans juridique, organisationnel et technique. Ils sont très utiles
également pour mesurer l’effort à fournir pour se mettre en
conformité.
▪ Auto-diagnostic juridique (désignation d’un DPO, respect des droits des
personnes, collecte et conservation des données, PIA, etc.).
▪ Auto-diagnostic organisationnel (gouvernance, procédures, etc.).
▪ Auto-diagnostic technique (habilitations, gestion des incidents, etc.).

Registre des traitements
Le registre des traitements est un élément central dans la

documentation de la conformité au RGPD. Il est indispensable pour
prouver sa conformité en cas de contrôle. Il est constitué de plusieurs
modules complémentaires :
▪ Cartographie « carte mentale » (recensement rapide des traitements).
▪ Liste des traitements (qualification synthétique de l’ensemble des
traitements).
▪ Base des traitements décrits en détail (fiches de registre sur le modèle
recommandé par la CNIL).
▪ Liste des catégories de traitement (en cas de sous-traitance).
▪ Base des preuves de consentement.

Plateforme PIA
L’analyse d’impact est une obligation dans certains cas de traitement (à

grande échelle, données sensibles, croisement de données…). Disposer
d’un outil pour procéder de façon méthodique à l'analyse d'impact sur
la protection des données (PIA) apporte des bénéfices considérables.
▪ Logiciel libre (sous licence GPL v3, conçu par la CNIL)
d’accompagnement à la conduite d'une analyse d'impact, didactique
avec des références aux articles du RGPD très utiles pour comprendre
le contexte légal de la démarche.
▪ Partage des rapports d’analyse au sein de son organisme et avec ses
partenaires (extranet mis en place par aYaline).
▪ Rapports d’analyse exportables pour stockage dans l’espace de
documentation.

Espace documentaire
La mise en conformité au RGPD et son maintien reposent sur un ensemble de procédures

et de documents de référence, accessibles au sein de l’organisme en fonction des
habilitations.
▪ Analyses d’impact sur la protection des données (PIA).
▪ Encadrement des transferts de données hors de l'Union européenne.
▪ Mentions obligatoires d’information des personnes.
▪ Modèles de recueil du consentement des personnes concernées.
▪ Procédures mises en place pour l'exercice des droits.
▪ Contrats avec les sous-traitants.
▪ Procédures internes en cas de violations de données.
▪ Preuves que les personnes concernées par un traitement ont donné leur
consentement.

Sommaire (rappel)


Se faire accompagner
▪ Qui sommes-nous ?
▪ Une approche méthodique et outillée
▪ Nous vous accompagnons
▪ Notre offre de services
▪ Nous contacter

Qui sommes-nous ?
aYaline est une agence digitale spécialisée depuis 1995 dans les solutions open source
pour développer des dispositifs Web & mobiles d'envergure.

Une approche méthodique et outillée
Se conformer aux grands principes du RGPD

requiert une approche méthodique et outillée,
sous la responsabilité d’un délégué à la protection
des données personnelles (DPO), impliquant tous les
départements ou services de l’entreprise, de la
collectivité ou de l’administration.
L’investissement nécessaire pour cette mise en

conformité est porteur de progrès parce qu'il répond
à une exigence croissante des personnes, internautes
en particulier, d’utiliser leurs données à bon escient
et de manière transparente et d’en assurer la
protection.

Nous vous accompagnons
Comme tout professionnel, privé ou

public, nous - AYALINE - entreprenons
notre projet de mise en conformité avec
le RGDP afin d’être prêts le 25 mai
2018, date d’application du règlement
européen.
Ce faisant, nous souhaitons vous faire
bénéficier de notre retour d’expérience
assortie d’une offre de services dans le
but de vous accompagner de façon
pragmatique et progressive dans la
prise en compte du RGPD.

Notre offre de services
SENSIBILISATION ET FORMATION
Comprendre les principes moteurs du RGPD et leurs
implications au quotidien, cartographier les
traitements de données personnelles, établir les
priorités de mise en conformité, analyser les impacts
et prendre en main la plateforme PIA.
MÉTHODES & OUTILS ASSISTANCE ET CONSEIL

Interpréter les articles du RGPD, connaître et mettre Vous accompagner tout au long de votre projet de
en pratique les recommandations de la CNIL (autorité mise en conformité avec le RGPD, répondre au
de contrôle), dérouler les étapes de préparation, quotidien à vos questions, être force de proposition,
choisir les outils appropriés à son contexte. vous mettre en relation avec des interlocuteurs
spécialisés (juristes...) si nécessaire.
PLATEFORME D’ANALYSE D’IMPACT

Disposer d’une plateforme pour procéder à l'analyse DÉVELOPPEMENTS ADAPTATIFS
d'impact sur la protection des données (PIA) qui est Identifier les zones à risques de vos applications web
un volet majeur du RGPD, partager les rapports au vis-à-vis des exigences du RGPD, étudier les impacts
sein de son organisme et avec ses partenaires fonctionnels et/ou techniques, développer les
(extranet). adaptations, assurer leur maintenance.

Nous contacter
Vous souhaitez en savoir plus sur notre offre de services RGPD ?
Vous avez un besoin d’accompagnement sur-mesure ?
N’hésitez pas à nous en parler.
AYALINE Personne à contacter :

4, allée des Frères Montgolfier
Mathis Guille
86360 Chasseneuil-du-Poitou
Consultant
[Poitiers-Futuroscope]
mguille@ayaline.com
www.ayaline.com Mob. : 06 10 07 42 35
contact@ayaline.com
Tél. : 05 49 41 46 00
Ou via le formulaire de contact : https://goo.gl/JCvtjE

Exemple

Transféré par

Droits d'auteur :

Formats disponibles

Exemple

Transféré par

Informations du document

Description originale:

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Exemple

Transféré par

Droits d'auteur :

Formats disponibles

Règlement Général

sur la Protection des Données

Janvier 2018 – V.1

▪ Qu’est-ce que le RGPD ?

2 RGPD : Comprendre et se mettre en conformité aYaline

▪ Qu’est-ce que le RGPD ?

3 RGPD : Comprendre et se mettre en conformité aYaline

4 RGPD : Comprendre et se mettre en conformité aYaline

Le RGPD, officiellement nommé Règlement (UE) 2016/679, est un texte

5 RGPD : Comprendre et se mettre en conformité aYaline

Données à caractère personnel : toute information se rapportant à une

▪ Un nom, un numéro d'identification, des données de localisation, un

6 RGPD : Comprendre et se mettre en conformité aYaline

Traitement : toute opération ou tout ensemble d'opérations effectuées ou

▪ Collecte, enregistrement, organisation, structuration, conservation,

7 RGPD : Comprendre et se mettre en conformité aYaline

Fichier : tout ensemble structuré de données à caractère personnel

Responsable du traitement : la personne physique ou morale, l'autorité

Sous-traitant : la personne physique ou morale, l'autorité publique, le

8 RGPD : Comprendre et se mettre en conformité aYaline

Depuis une décennie :

L’Union européenne se devait de réformer profondément le droit pour

9 RGPD : Comprendre et se mettre en conformité aYaline

▪ Large extension des droits des personnes physiques à maîtriser et

10 RGPD : Comprendre et se mettre en conformité aYaline

RGPD, un long processus de maturation :

11 RGPD : Comprendre et se mettre en conformité aYaline

Règlement Publication au Entrée en Entrée en

12 RGPD : Comprendre et se mettre en conformité aYaline

Loi n° 78-17 du 6 janvier 1978

relative à la protection des personnes physiques à l’égard du

Règlement (UE) 2016/679 du 27 avril 2016

13 RGPD : Comprendre et se mettre en conformité aYaline

Le RGPD introduit trois grandes nouveautés impliquant un important

14 RGPD : Comprendre et se mettre en conformité aYaline

AVANT LE RGPD MAINTENANT

Déclaration des ACCOUNTABILITY

15 RGPD : Comprendre et se mettre en conformité aYaline

Cas concret : conception d’un simulateur de crédit en ligne

Besoin Conception « RGPD Compliant »

16 RGPD : Comprendre et se mettre en conformité aYaline

Cas concret : conception d’un simulateur de crédit en ligne

Responsable du traitement Sous-traitant

17 RGPD : Comprendre et se mettre en conformité aYaline

18 RGPD : Comprendre et se mettre en conformité aYaline

19 RGPD : Comprendre et se mettre en conformité aYaline

▪ Coercitives : amendes administratives pouvant s’élever jusqu’à 20

Mais surtout par la pression des résidents européens !

20 RGPD : Comprendre et se mettre en conformité aYaline

Le RGPD peut être un levier efficace de transformation numérique, tout

21 RGPD : Comprendre et se mettre en conformité aYaline

▪ Qu’est-ce que le RGPD ?

22 RGPD : Comprendre et se mettre en conformité aYaline

23 RGPD : Comprendre et se mettre en conformité aYaline

Le RGPD renforce considérablement la notion de consentement.

24 RGPD : Comprendre et se mettre en conformité aYaline

Le principe-clé de transparence de la finalité des traitements est

25 RGPD : Comprendre et se mettre en conformité aYaline