1. Pour bien commencer
1.1. Tour de Table
1.1.1. Jérémy Collot
1.1.1.1. Animateur de l'atelier "RGPD & Hygiène Numérique"
1.1.1.2. le Cloud est Dans le Pré
1.1.1.3. Entrepreneur salarié chez Kanopé
1.1.1.4. Membre de Soho-Solo
1.1.1.5. [email protected]
1.1.1.6. 09 72 16 17 40
1.1.1.7. Saint-Clar
1.1.2. 18 participants
1.1.2.1. 4- Santé et bien-être
1.1.2.2. 7- Services aux entreprises
1.1.2.3. 1- Tourisme
1.1.2.4. 6- Métiers de service
1.2. L'histoire des données personnelles
1.2.1. Ordonnance de Villers-Côteretaoût 1539 Mise en place du registre civil
1.2.1.1. Fichier Tulard octobre 1940 Fichage des juifs en France
1.2.1.1.1. Fichier SAFARI mars 1974 Opposition au Projet de croisement des données fiscales, bancaires et d'état-civil des français
1.3. Glossaire
1.3.1. RGPD
1.3.1.1. GRDP
1.3.1.1.1. General Data Protection Regulation
1.3.1.2. Réglement Général sur la Protection des Données
1.3.1.3. DPO
1.3.1.3.1. voir CIL
1.3.1.3.2. Data Protector Officer
1.3.2. DCP
1.3.2.1. Donnée à Caractère Personnel
1.3.2.1.1. Donnée permettant de déterminer directement ou indirectement une identité
1.3.2.1.2. DCP ... ou pas ?
2. RGPD
2.1. Pour qui ?
2.1.1. SPOILER : Pour tous !
2.1.1.1. Madame, Monsieur, Je suis l’un de vos clients, je formule la présente requête pour accéder aux données à caractère personnel me concernant afférentes à l’article 15 du Règlement Général sur la Protection des Données (RGPD). Je pense avec inquiétude que la gestion des informations, telle que pratiquée par votre entreprise, pourrait exposer mes données personnelles à des risques certains. Je joins à la présente une copie des documents vous permettant d’attester de mon identité. Si vous avez besoin de plus d’informations, je vous prie de me contacter à l’adresse ci-dessus. Je tiens à vous signaler que j’attends une réponse à ma requête sous un mois comme exigé dans l’article 12. A défaut, je me verrai contraint de saisir la Commission Nationale de l’Informatique et des Libertés. Merci d’adresser les points suivants :
2.1.2. Responsable ou sous-traitant du traitement
2.1.2.1. 1. Merci de confirmer si, oui ou non, mes données personnelles sont traitées par votre entreprise. Dans l’affirmative, merci de me transmettre les catégories de données personnelles que vous détenez sur ma personne, que ce soit dans vos fichiers ou dans vos bases de données. a. Plus particulièrement, merci de me dire ce que vous savez de moi dans vos systèmes d’information, que ces informations soient contenues ou pas dans des bases de données, incluant la messagerie électronique, les documents, les fichiers audio ou tout autre média que vous employez.
2.1.2.2. 3. Merci de me fournir une liste de tous les tiers auprès desquels vous avez partagé ou auriez pu partager mes données personnelles. a. Si vous n’êtes par en mesure d’identifier avec certitude les tierces parties auprès desquelles vous avez dévoilé mes données personnelles, merci de me fournir une liste des tiers auprès desquels vous auriez pu dévoiler ces données.
2.1.2.3. 9. En rapport à vos collaborateurs et prestataires, merci d’aviser si : b. Vous avez connu des situations où des collaborateurs ou prestataires ont été licenciés, et/ou ont été inculpés pour accès non autorisé à mes données personnelles, ou bien si vous n’êtes pas en mesure de le déterminer, pour aucun de vos clients, sur les douze derniers mois. c. Merci d’aviser quant aux formations et mesures de sensibilisation que vous avez entreprises afin de vous assurer que votre personnel et vos prestataires accèdent à, et traitent, mes données personnelles en conformité avec le Règlement Général sur la Protection des Données.
2.1.3. Mise en oeuvre d'un traitement de DCP
2.1.3.1. 1. Merci de confirmer si, oui ou non, mes données personnelles sont traitées par votre entreprise. Dans l’affirmative, merci de me transmettre les catégories de données personnelles que vous détenez sur ma personne, que ce soit dans vos fichiers ou dans vos bases de données.
2.1.3.2. 2. Merci de me fournir une liste détaillée des finalités des traitements, passés, en cours ou prévus, sur mes données personnelles.
2.1.3.3. 3. Merci de me fournir une liste de tous les tiers auprès desquels vous avez partagé ou auriez pu partager mes données personnelles.
2.1.4. Traitement lié à l'espace géographique de l'Union Européenne
2.1.4.1. 1. Merci de confirmer si, oui ou non, mes données personnelles sont traitées par votre entreprise. Dans l’affirmative, merci de me transmettre les catégories de données personnelles que vous détenez sur ma personne, que ce soit dans vos fichiers ou dans vos bases de données. b. Par ailleurs, merci d’aviser quant aux pays où mes données sont stockées, ou à partir desquels elles sont accessibles. Si vous utilisez des services d’informatique en nuage pour stocker ou traiter mes données, merci d’inclure les pays de localisation des serveurs hébergeant mes données (y compris au cours des 12 derniers mois).
2.1.4.2. 3. Merci de me fournir une liste de tous les tiers auprès desquels vous avez partagé ou auriez pu partager mes données personnelles. b. En cas de transfert de mes données personnelles à des tiers, merci d’aviser comme dans 1(b) quant aux pays où mes données sont stockées, ou à partir des quelles elles sont accédées. Si les tiers concernés utilisent des services d’informatique en nuage pour stocker ou traiter mes données, merci d’inclure les pays de localisation des serveurs hébergeant mes données (y compris au cours des 12 derniers mois). Merci d’éclairer également les fondements juridiques sur lesquels reposent ces transferts. Là où cela est déjà effectué, ou est en passe de l’être, sur les bases de protections appropriées, merci d’en fournir une copie.
2.2. Pour quoi ?
2.2.1. Accès aux données
2.2.1.1. 1. Merci de confirmer si, oui ou non, mes données personnelles sont traitées par votre entreprise. Dans l’affirmative, merci de me transmettre les catégories de données personnelles que vous détenez sur ma personne, que ce soit dans vos fichiers ou dans vos bases de données. a. Plus particulièrement, merci de me dire ce que vous savez de moi dans vos systèmes d’information, que ces informations soient contenues ou pas dans des bases de données, incluant la messagerie électronique, les documents, les fichiers audio ou tout autre média que vous employez. c. Merci de me fournir une copie des, ou un accès aux, données personnelles me concernant que vous détenez ou que vous traitez.
2.2.2. Droit de rectification
2.2.2.1. À rajouter dans la lettre : Demander de pouvoir modifier, corriger les données vous concernant
2.2.3. Droit à l'oubli
2.2.3.1. À rajouter dans la lettre : Demander la suppression des données personnelles vous concernant
2.2.4. Consentement
2.2.4.1. 3. Merci de me fournir une liste de tous les tiers auprès desquels vous avez partagé ou auriez pu partager mes données personnelles. b. En cas de transfert de mes données personnelles à des tiers, merci d’aviser comme dans 1(b) quant aux pays où mes données sont stockées, ou à partir des quelles elles sont accédées. Si les tiers concernés utilisent des services d’informatique en nuage pour stocker ou traiter mes données, merci d’inclure les pays de localisation des serveurs hébergeant mes données (y compris au cours des 12 derniers mois). Merci d’éclairer également les fondements juridiques sur lesquels reposent ces transferts. Là où cela est déjà effectué, ou est en passe de l’être, sur les bases de protections appropriées, merci d’en fournir une copie.
2.2.4.2. 6. Si vos traitements prennent des décisions automatisées me concernant, incluant le profilage, que ce soit ou pas sur la base de l’article 22 du RGPD, merci de me préciser les fondements logiques de ces décisions automatisées, ainsi que la finalité d’un tel traitement.
2.2.4.3. Consentement explicite
2.2.4.3.1. Déclaration écrite, y compris par voie électronique
2.2.4.3.2. Déclaration orale
2.2.4.3.3. Case à cocher (non précochée par défaut)
2.2.4.3.4. Option «expresse» pour certains
2.2.4.3.5. paramètres techniques
2.2.4.4. Libre
2.2.4.5. Éclairé
2.2.4.6. Spécifique
2.2.4.7. Univoque
2.2.5. Sourçage de la donnée
2.2.5.1. 5. Si vous collectez des données personnelles me concernant à partir d’autres sources que moi-même, merci de me fournir toutes les informations afférentes, comme stipulé dans l’article 14 du RGPD.
2.2.6. Inscription d’un enfant
2.2.6.1. Non applicable dans la lettre (ou bien chercher?) Accord des parents nécessaires jusqu'au 15eme anniversaire de l'enfant.
2.2.7. Disponibilité de la donnée
2.2.7.1. 8. Je voudrais connaître les politiques et les normes que vous mettez en place pour la protection de mes données personnelles, à l’instar de la norme ISO 27001 pour la sécurité de l’Information, et plus particulièrement, les pratiques suivantes : a. Merci de me préciser si vous avez sauvegardé mes données personnelles sur bande, disque ou tout autre média, l’emplacement de ces sauvegardes et les mesures de sécurisation mises en place, y compris celles prises pour protéger mes données de la perte ou du vol, et si celles-ci emploient du chiffrement.
2.2.8. Prévention des risques
2.2.8.1. 7. Je souhaiterais savoir si, oui ou non, mes données personnelles ont été accidentellement divulguées par votre entreprise dans le passé, ou suite à un incident de sécurité. b. Si vous n’êtes pas en mesure d’affirmer avec certitude si une telle exposition a eu lieu, et au travers de l’utilisation de techniques appropriées, merci d’aviser quant aux mesures de traitement du risque que vous avez prises, comme : i. Le chiffrement de mes données personnelles ; ii. Les stratégies de minimisation des données ; ou, iii. L’anonymisation ou la pseudonymisation; iv. Tout autre procédé.
2.2.8.2. Chiffrement
2.2.8.3. Pseudonimisation ou anonymisation
2.2.8.4. Minimisation des données
2.2.8.5. Études d'impact
2.2.8.5.1. 7. Je souhaiterais savoir si, oui ou non, mes données personnelles ont été accidentellement divulguées par votre entreprise dans le passé, ou suite à un incident de sécurité. a. Dans l’affirmative, merci d’aviser quant aux détails de chaque situation de ce genre, et dans le cas d’incidents de la sorte, merci de me communiquer : vi. l’évaluation, par votre entreprise, des risques impactant ma personne, suite à cet incident ;
2.2.8.5.2. Outil PIA : Privacy Impact Assessment de la CNIL
2.2.8.6. Prévention des fuite des données
2.2.8.6.1. 7. Je souhaiterais savoir si, oui ou non, mes données personnelles ont été accidentellement divulguées par votre entreprise dans le passé, ou suite à un incident de sécurité.
2.2.8.6.2. 8. Je voudrais connaître les politiques et les normes que vous mettez en place pour la protection de mes données personnelles, à l’instar de la norme ISO 27001 pour la sécurité de l’Information, et plus particulièrement, les pratiques suivantes : b. Merci d’aviser quant à votre utilisation de technologies vous permettant, avec un degré raisonnable de certitude, de savoir si, oui ou non, mes données personnelles ont été divulguées, incluant, sans être limité à, ce qui suit : i. Systèmes de détection d’intrusion ; ii. Technologies de filtrage des flux ; iii. Technologies de gestion des identités et des accès ; iv. Audit de bases de données et/ou outils de sécurité; ou, v. Outils d’analyse comportementale, d’analyse de logs, ou d’audits;
2.2.8.6.3. Piratage
2.2.8.6.4. Perte de données
2.2.8.6.5. Gestion des flux
2.2.8.6.6. Gestion des identités et des accès
2.2.8.6.7. Audits
2.2.9. Information des divulgations de DCP
2.2.9.1. 7. Je souhaiterais savoir si, oui ou non, mes données personnelles ont été accidentellement divulguées par votre entreprise dans le passé, ou suite à un incident de sécurité. a. Dans l’affirmative, merci d’aviser quant aux détails de chaque situation de ce genre, et dans le cas d’incidents de la sorte, merci de me communiquer : i. une description générale de ce qui s’est produit.; ii. la date et l’heure de l’incident (ou l’estimation la plus approchante); iii. la date et l’heure de découverte de l’incident; iv. l’origine de l’incident (que ce soit au sein de votre propre entreprise, ou au sein d’une tierce partie auprès de laquelle vous avez transféré mes données personnelles) ; v. les détails des données personnelles impactées par cet incident ; vi. l’évaluation, par votre entreprise, des risques impactant ma personne, suite à cet incident ; vii. une description des mesures qui ont été prises ou qui seront prises pour prévenir d’autres accès non autorisés à mes données personnelles ; viii. les informations de contact me permettant d’obtenir de plus amples informations et une assistance en lien avec de tels incidents, et ix. des informations et des conseils sur ce que je dois entreprendre afin de me protéger de telles atteintes, y compris l’usurpation d’identité et la fraude.
2.2.10. Profilage par algorithme
2.2.10.1. 6. Si vos traitements prennent des décisions automatisées me concernant, incluant le profilage, que ce soit ou pas sur la base de l’article 22 du RGPD, merci de me préciser les fondements logiques de ces décisions automatisées, ainsi que la finalité d’un tel traitement.
2.2.11. Actions de groupe
2.2.11.1. Non applicable à la lettre (ou alors???) Possibilité pour une association (de consommateur notamment) de ester en justice au nom d'un collectif de plaignants. Ex : LaQuadrature du Net avec la campagne gafam.laquadraturedunet.fr
2.2.12. Durée de conservation des données
2.2.12.1. 4. Merci de préciser les durées de stockage de mes données personnelles, et dans le cas où la durée de rétention est fonction de la catégorie de données personnelles, merci de préciser la durée de rétention par catégorie.
2.2.13. Guichet unique
2.2.13.1. CNIL
2.2.14. Les sanctions
2.2.14.1. À rappeler dans la lettre ! Jusqu'à 4% du chiffre d'affaire annuel mondial du groupe ou 20 millions d'€
2.3. Comment ?
2.3.1. Désigner un DPO
2.3.2. Cartographier
2.3.3. Prioriser
2.3.4. Gérer les risques
2.3.5. Organiser
2.3.6. Documenter
3. Pour bien finir
3.1. Nettoyage de la présentation
3.2. Votre plan d'actions
3.2.1. à 1 semaine
3.2.2. au 25 mai 2018
3.2.3. à fin 2018