Guide pratique RGPD / GDPR @DPO_NEWS fiche 2: Quels sont les chantiers prioritaires des DPO ?

Guide pratique RGPD / GDPR @DPO_NEWS

fiche 2:

 

 

@jpbichard*

 

 

Quels sont les chantiers prioritaires des **DPO (data protection officer) ?

 

Tous les services, même non européens, qui visent des personnes se trouvant dans l’Union, devront appliquer le RGPD à partir du 25 mai 2018. Toutes les organisations et entreprises seront elles prêtes ? Aucune certitude à moins de 9 mois de la mise en application du RGPD (cf section BONUS en fin d'article).

Pour aider l'ensemble des organisations et leurs DPO a préparer la mise en place de leur projet RGPD / GDPR, @DPO-NEWS va publier à partir d'aout 2017 en plus d'articles réguliers « accessibles » aux non-abonnés (http://bit.ly/2v50ai0) des fiches pratiques pour DPO.

En voici un extrait, la publication complète étant réservée aux abonnés de Cyberisques News.

 

Plusieurs études livrent les priorités des DPO. Celles-ci dépendent de bon nombre paramètres liées à la culture de son organisation: 

 

 

La mise en œuvre de la conformité au RGDP peut aujourd’hui se synthétiser au travers de 10 chantiers majeurs :

  1. L’exercice des droits (accès, suppression,portabilité…) et la capacité à retrouver et à supprimer toutes les données associées à une personne au sein de l’organisation (20 % des coûts, majoritairement IT). Il s’agit du poste principal car il intègre les évolutions à apporter dans les applications du SI.

  1. L’accompagnement des projets IT en cours en Privacy By Design (15 %, majoritairement IT et métiers)

  1. L’encadrement des transferts (à des tiers ou hors UE) (10 %, majoritairement métiers et juridique)

  1. La mise en œuvre de l’information des personnes et la gestion du consentement (10 %, majoritairement métiers et IT)

  1. La définition des politiques, directives, méthodologies et outils de conformité et la mise en œuvre d’une organisation autour du DPO (10 %, majoritairement DPO)

  1. La mise en œuvre de contrôles et d’audits de conformité (5 %, majoritairement DPO)

  1. La construction d’un registre des traitements de données et la définition des règles de conformité associés à chaque traitement (5 %, majoritairement Métier)

  1. L’amélioration des mesures de sécurité existantes (5 %, du fait de l’existence de budget cybersécurité permettant de remplir les exigences, majoritairement IT)

  1. La formation et la sensibilisation de l’ensemble des acteurs concernés par le sujet (5 %, majoritairement Métiers)

  1. Le pilotage du programme (15 %)

(Source Wavestone juillet 2017)

.

Chantier RGPD / GDPR : Ou en sont les organisations ?

.

·         38% des entreprises françaises sont déjà conformes à GDPR et seulement 37% des autres entreprises pensent qu'elles seront conformes lorsque la réglementation prendra effet le 25 mai 2018

·         Contrairement aux autres pays étudiés, les pénalités ne sont pas la principale préoccupation concernant la non-conformité. La plus grande préoccupation pour les entreprises françaises est la dévaluation de la marque pouvant être causé par des articles négatifs – sur les médias classiques ou sur les réseaux sociaux.

·...       

  En moyenne, les répondants français s'attendent à ce que leur entreprise investisse 1 366 031 euros pour la conformité GDPR et la confidentialité des données d'ici le 25 mai 2018

 

**Pourquoi un DPO ?

Un auditeur interne dédié aux DCP (données à caractère personnel)

À partir du 25 mai 2018, les Délégués à la protection des données sont formellement désignés par les responsables de traitement auprès des autorités de contrôle (la CNIL en France), soit obligatoirement soit volontairement.

Un groupe d'entreprises peut désigner un seul DPO s’il est facilement joignable à partir de chaque lieu d'établissement.

Dans le domaine public, un seul DPO peut être désigné pour plusieurs organismes compte tenu de leur structure organisationnelle et de leur taille.

Dans certains cas, les associations et autres organismes représentatifs peuvent ou doivent désigner un DPO.

Chaque professionnel pourra se doter d’un DPO et il sera même obligatoire d’en désigner un dans les cas suivants :

  • si le professionnel appartient au secteur public,

  • si ses activités principales le conduise à réaliser un suivi régulier et systématique des personnes à grande échelle. La notion de « grande échelle » n’est pas définie dans le règlement mais le G29 souligne que cela pourrait être possible ultérieurement. Par exemple, le traitement des données des clients par une compagnie d’assurance ou une banque, le traitement de données à des fins de publicité comportementale par un moteur de recherche, le traitement de données par un opérateur téléphonique ou un fournisseur d’accès internet…peuvent constituer des traitements de données à grande échelle.

  • si les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données et de données à caractère personnel relatives à des condamnations pénales et à des infractions.

.

Le DPO pourra être un salarié de l’entreprise ou un externe (cabinet d'experts regroupant des expertises juridiques, organisationnelles et techniques)

.

BONUS: 

Fiche 1: http://www.cyberisques.com/mots-cles-20/685-dpo-news-gdpr-rgpd-guide-pratique-comment-documenter-la-conformite

 

 

En savoir plus : abonnez vous Cyberisques-News :

CYBERISQUES.COM premier service de Veille "Business & CyberRisks" pour les dirigeants et membres des COMEX/CODIR

Renseignements    Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

IT Leader  IHEDN

@DPO_News @cyberisques @jpbichard #GDPR #SAS : "le GDPR oblige les entreprises a repenser leur gouvernance des données"

 

SAS: "le GDPR oblige les entreprises a repenser leur gouvernance de données"

 

A l'occasion le 13 juin de la tenue du Forum France de SAS à Paris, l'une des meilleures spécialistes du GDPR avait fait le déplacement. « Chef privacy stratégist » pour l'Europe chez SAS, Kalliopi Spyridaki a animé avec Vincent Rejany, responsable des projets GDPR/ SAS pour la France une courte présentation sur les enjeux du règlement européen.

Au Forum SAS de Paris aujourd'hui, les premiers résultats d'une étude pas encore rendue publique ont été dévoilés (cf Photo & et 2). Parmi les 5 challenges que pose la mise en place d'un projet GDPR, les décideurs de 300 entreprises européennes ont indiqué leurs « priorités » (Photo 1).

20170613 153433

 

Photo 1 cyberisques (source SAS 2017) 

 

20170613 153715

Photo 2  cyberisques (source SAS 2017) 

Les actions prioritaires à prendre arrivent en tête des préoccupations des décideurs devant l'identification des données à caractère personnel au sein du patrimoine informationnel de leurs entreprises. Parmi les bénéfices évidents (Photo 2)  qui sont cités lors de l'adoptions du GDPR, 71% d'entre eux y voit l'avantage de « faire le ménage » et de dégager une véritable visibilité pour mettre en place une réelle « gouvernance des données ».

@jpbichard

 

Interview : Kalliopi Spyridaki, Chef privacy stratégist Europe chez SAS

Cyberisques-News-SAS kalliopi-spyridaki

 

Quels avantages vont retirer les entreprises « compliance GDPR » ?

Toutes comprennent en France aidées par la présidente de la CNIL en personne que le GDPR apporte une réelle gouvernance des données ce qui permet d'offrir à tous utilisateurs, partenaires, clients... une rationalité nouvelle dans la gestion des données.

Pour parvenir a développer un projet GDPR, des offres de « DPO as a service » se développent notamment du coté des cabinets d'avocats. Quelle est votre position face à cette tendance ?

 Tous les cabinets d’avocats ne sauront pas gérer l'ensemble des problématiques liées à la fonction DPO en terme de responsabilités « croisées » car bon nombre d'entre eux ne peuvent êtres juges et parties. C'est plus utile je pense que les entreprises nomment leur propre DPO qui animera en interne une équipe composée de décideurs issus de différents services.

En termes de certification et labellisation, le GDPR suppose au plan des services comme sur celui des outils la mise en place de labels et certificats. Ou en sommes Nous à moins de 11 mois de l'entrée en vigueur du texte ?

 Il reste du travail à faire vous avez raison. Qu'il s'agisse des services providers et des outils sans oublier le lignes directrices attendues fin juin 2017 à propos des articles liés aux notions de profilage.

Et les textes des pays membres qui doivent définir certaines spécificités pour « adapter » le GDPR à leur cadre juridique...

Oui c est exact c est également un « chantier » dans beaucoup de pays de l'UE. En France il s'agit par exemple de définir les applications du GDPR aux Autorités publiques.

Propos recueillis par @jpbichard

 

 

 

 

 

 

#DPO_News #cyberisques : La Commission propose de resserrer les règles en matière de respect de la vie privée pour toutes les communications électroniques

Source: Commission européenne - Communiqué de presse

 

 

La Commission propose de resserrer les règles en matière de respect de la vie privée pour toutes les communications électroniques 

 

 

Bruxelles, le 10 janvier 2017

La Commission européenne propose actuellement de nouvelles mesures législatives visant à renforcer le respect de la vie privée dans les communications électroniques tout en créant de nouvelles perspectives d'activité économique.

Les mesures présentées aujourd'hui visent à actualiser les règles en vigueur, en étendant leur champ d'application à l'ensemble des fournisseurs de services de communications électroniques. Ils visent également à créer de nouvelles possibilités de traiter des données de communication et de renforcer la confiance et la sécurité dans le marché unique numérique — l'un des objectifs clés de la stratégie pour le marché unique numérique. Dans le même temps, la proposition vise à harmoniser les règles applicables aux communications électroniques avec les nouvelles normes d'envergure mondiale fixées par l'Union dans le règlement général sur la protection des données. La Commission propose également de nouvelles règles afin de garantir, lorsque des données à caractère personnel sont traitées par les institutions et organes de l'UE, que le respect de la vie privée est assuré de la même manière que dans les États membres en vertu du règlement général sur la protection des données, et définit une approche stratégique des questions liées aux transferts internationaux de données à caractère personnel.

M. Frans Timmermans, premier vice-président de la Commission européenne, a déclaré à ce propos: «Nos propositions compléteront le cadre européen en matière de protection des données. Elles garantiront la protection de la vie privée dans le secteur des communications électroniques sera assurée par des règles efficaces, et que les institutions européennes appliqueront des normes élevées identiques à celles que nous attendons de la part de nos États membres».

Pour Andrus Ansip, vice-président pour le marché unique numérique: «Notre proposition assurera la confiance dans le marché unique numérique que les citoyens attendent. Je tiens à garantir la confidentialité des communications électroniques et la protection de la vie privée. Notre projet de règlement «vie privée et communications électroniques» offre un juste équilibre: il offre un juste équilibre entre une protection rigoureuse des consommateurs et l'ouverture de perspectives d'innovation pour les entreprises.»

Vĕra Jourová, commissaire pour la justice, les consommateurs et l'égalité des genres, a déclaré pour sa part: «La législation européenne sur la protection des données adoptée l'année dernière fixe des normes exigeantes au bénéfice des particuliers et des entreprises de l'UE. Aujourd'hui nous présentons également notre stratégie visant à faciliter l'échange international de données dans l'économie numérique mondiale et à promouvoir des normes élevées en matière de protection des données dans le monde entier.»

Renforcement de la protection en ligne et nouvelles perspectives d'activité

Le règlement sur la vie privée et les communications électroniques qui est proposé renforcera la protection de la vie privée des particuliers et ouvrira de nouvelles perspectives d'activité économique pour les entreprises.

  • Nouveaux acteurs:92 % des Européens indiquent qu'il est important que leurs messages électroniques et leurs messages en ligne restent confidentiels.Or, l'actuelle directive sur la vie privée et communications électroniques ne s'applique qu'aux opérateurs de télécommunications traditionnels. Dorénavant, les règles en matière de respect de la vie privée s'appliqueront également aux nouveaux acteurs dans le secteur des services de communications électroniques, tels que WhatsApp, Facebook Messenger, Skype, Gmail, iMessage ou Viber
  • Renforcement des règles: en remplaçant l'actuelle directive par un règlement directement applicable, il s'agit d'assurer aux particuliers comme aux entreprises de l'Union un niveau de protection uniforme de leurs communications électroniques.Un ensemble de règles unique pour l'ensemble de l'Union profitera également aux entreprises.
  • Contenu des communications et métadonnées: le respect de la vie privée sera garanti en ce qui concerne non seulement le contenu des communications électroniques mais aussi les métadonnées (par exemple, la date et l'heure d'un appel ou sa localisation). Ces deux éléments ont un caractère éminemment privé et devront, en vertu des règles proposées, être anonymisés ou effacés en l'absence d'autorisation expresse de l'utilisateur, sauf dans le cas de données nécessaires par exemple à la facturation.
  • Nouvelles perspectives d'activité: dès qu'ils auront obtenu l'autorisation d'exploiter les données de communication (tant le contenu que les métadonnées), les opérateurs de télécommunications traditionnels auront davantage de possibilités de les utiliser et de fournir des services supplémentaires. Ils pourraient, par exemple, produire des cartes thermiques («heat maps») indiquant la présence de personnes et utiles aux pouvoirs publics et aux entreprises de transport pour l'élaboration de nouveaux projets d'infrastructures.
  • Simplification des règles en matière de cookies: la règle dite «des cookies», qui contraint l'internaute à répondre sans cesse à des demandes d'autorisation, sera simplifiée. Les nouvelles règles offriront aux utilisateurs une meilleure maîtrise de leurs paramètres, en leur permettant d'accepter ou de refuser aisément les cookies et autres identifiants de suivi de leurs activités en cas de risque pour le respect de la vie privée. La proposition précise que le consentement n'est pas nécessaire pour les cookies non intrusifs utilisés pour améliorer les recherches de l'internaute (par exemple, la mémorisation de l'historique des achats). Les cookies créés par un site comptant le nombre de visiteurs de ce site internet ne nécessiteront plus de consentement.
  • Protection contre le spam: la proposition soumise aujourd'hui interdit les communications électroniques non sollicitées, quel que soit le moyen utilisé (messages électroniques, SMS, etc., ainsi que, en principe, les appels téléphoniques), si l'utilisateur n'a pas donné son accord. Les États membres peuvent opter pour une solution qui donne au consommateur le droit de s'opposer à la réception d'appels de télémarketing, par exemple en inscrivant son numéro sur une liste rouge. Les démarcheurs devront afficher leur numéro de téléphone ou utiliser un indicatif spécial indiquant qu'il s'agit d'un appel commercial.
  • Contrôle plus efficace: le contrôle du respect des règles de confidentialité prévu par le règlement incombera aux autorités nationales responsables de la protection des données.

Règles relatives à la protection des données pour les institutions et organes de l'UE

La proposition de règlement relatif à la protection des données à caractère personnel par les institutions et les organes européens vise à aligner les règles existantes, qui datent de 2001, avec les règles plus récentes et plus strictes fixées par le règlement général sur la protection des données de 2016. Toute personne dont les données à caractère personnel sont traitées par les institutions ou agences européennes bénéficieront de normes de protection plus élevées.

Protection des données à l'échelle internationale

La proposition de communication définit une approche stratégique en ce qui concerne la question des transferts internationaux de données à caractère personnel, qui facilitera les échanges commerciaux et favorisera une meilleure coopération en matière coercitive, tout en assurant une stricte protection des données. La Commission participera activement aux travaux relatifs aux décisions constatant le caractère adéquat de la protection (permettant la libre circulation de données à caractère personnel vers des pays appliquant des règles de protection des données d'un niveau «substantiellement équivalent» à celles de l'UE) avec ses principaux partenaires commerciaux en Asie de l'Est et du Sud-Est, commençant avec le Japon et la Corée en 2017, mais aussi avec les pays intéressés d'Amérique latine et du voisinage européen.

De plus, la Commission utilisera pleinement aussi les autres mécanismes alternatifs prévus par les nouvelles règles de l'Union sur la protection des données (règlement général sur la protection des données et directive «police») pour faciliter l'échange de données à caractère personnel avec d'autres pays tiers pour lesquels il n'a pas été possible de dégager de décisions sur l'adéquation du niveau de protection.

La communication rappelle également que la Commission continuera d'encourager le développement de normes élevées de protection des données à l'échelle internationale, tant au niveau bilatéral que multilatéral.

 

Prochaines étapes

Avec la présentation des propositions effectuée aujourd'hui, la Commission invite le Parlement européen et le Conseil à déployer la diligence requise pour que leur adoption puisse intervenir au plus tard le 25 mai 2018, date d'entrée en vigueur du règlement général sur la protection des données, L'objectif étant que les particuliers et les entreprises disposent d'emblée d'un cadre juridique pleinement opérationnel et complet en matière de respect de la vie privée et de protection des données en Europe.

Parallèlement aux propositions soumises aujourd'hui, la Commission a également présenté une communication visant à donner un nouvel élan à l'économie fondée sur les données. De plus amples informations sont disponibles ici.

 

L’accès à l'intégralité de nos articles (dossiers

"expertises / compliance", enquêtes,

interviews exclusives, tendances chiffrées,

retours d'expérience par secteurs...) est

réservé à nos abonné(e)s

Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

#Cyberisques

#DPO_News

 

 

BONUS: 

 

@DPO_News @cyberisques Chiffrement : la lettre du Conseil national du numérique au ministre de l'Intérieur qui "recadre"

 

Chiffrement : la lettre du Conseil national du numérique au ministre de l'Intérieur qui "recadre"

 

Chiffrement-CNN-Avril-2017

 

 

 

 

 

 

 

 

 

 

 

 

 

« Backdoors d’État » contre vie privée voire intime de milliards d'internautes : le débat fait rage entre défenseur de l’intégrité des solutions cryptographiques et certains candidats à l'élection présidentielle française. État des lieux sur un enjeu majeur tant pour la sécurité nationale que pour la protection de nos vies numériques.

Récemment, un candidat à l’Élysée déclarait lors d'une conférence de presse le 10 avril à Paris: « Les organisations qui nous menacent abusent des facilités offertes par la cryptologie moderne pour dissimuler leurs projets. Ils utilisent des messageries instantanées, fortement « cryptées » (chiffrées en bon français note de la rédaction). Les grands groupes de l'internet ont refusé de communiquer leurs clés de chiffrement ou de donner accès au contenu au motif qu'ils ont garanti contractuellement aux clients que leurs communications étaient protégées, cette situation est inacceptable ».

 

Réponses du CNN au Ministre de l'Intérieur et...aux candidats à l'élection présidentielle. 

 

LIREhttp://cyberisques.com/fr/mots-cles-39-prestataires-de-confiance/660-rgpd-privacy-datasecurity-messageries-chiffrees-bras-de-fer-entre-le-politique-et-l-ingenieur

 

Le courrier du CNN du 14 avril 2017 destiné au Ministre français de l'Intérieur Matthias Fekl: 

Courrier Conseil Nationale du Numérique: chiffrement Cyberisques News @DPO_News

 

 

@cyberisques @jpbichard @DPO_NEWS

 

 

Idées : Claranet Eric Morali, DPO adjoint, Security & Compliance Claranet

Idées : Claranet Eric Morali, DPO adjoint, Security & Compliance Claranet

 

 
Suite à l'adoption du règlement européen sur la gestion des données personnelles (mise en vigueur à partir du 25 mai 2018), Claranet* fait le point sur les nouvelles obligations auxquelles les organisations doivent se plier pour assurer la protection des données personnelles.

« Comment votre hébergeur participe à votre mise en conformité ? »,

Pour Eric Morali, DPO adjoint, Security & Compliance Claranet :

« Pour un hébergeur, en matière de données personnelles existent des obligations de « sous traitance de sous traitance ». Certaines lignes directrices concernant le RGPD sont en cours d'élaboration pour clarifier au niveau opérationnel les aspects sous traitance et transparence des données. Quelles sont les obligations qui reviennent à tels prestataires avec quel niveau d'intervention ?
Quelles relations devons nous entretenir avec nos propres sous-traitants notamment au niveau des clauses de confidentialité, circulation des données... ?
A ce stade une certification ISO 9001 ne suffit pas. Nous devons mettre en place une équipe capable de réaliser un travail de veille. S'assurer que les notifications suite aux failles de sécurité sont réalisées par exemple. Quel niveau de risques constate t-on sur la vie privée en analysant des données personnelles ? Pour répondre à ces questions, nous avons mis en place une équipe sécurité / conformité. Claranet dispose aussi d'une grande experience dans le secteur de la Santé. Comme vous le savez, les données personnelles de sante constituent au niveau de leur cadre réglementaire un exemple de ce que seront d'autres données encadrées par la RGPD. »


BONUS :

Fondé en 1996, Claranet est un Managed Service Provider, spécialisé en réseau et hébergement d'applications. Le groupe Claranet comprend 18 bureaux et 35 centres d'hébergement. Comptant 1 200 collaborateurs répartis sur 6 pays, Claranet est devenu un acteur majeur des services managés en Europe (238 M€ de CA) Claranet est certifié PCI DSS, ISO 9001, ISO 27001, ITIL v3 et leader du Magic Quadrant Gartner (« Managed Hybrid Cloud Hosting ») pour la quatrième année consécutive.

 

 

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires