Printemps des DPO 2023

La Médiathèque

Nos Articles Retrouvez les articles rédigés par nos partenaires

Conformité des demandes d'exercice de droits : les DPO en première ligne pour 2023

Cliquez ici

Protection des données : les visions anglo-saxonne et européenne vont-elles enfin converger ? 

Cliquez ici

Réseaux sociaux et interfaces trompeuses : Les recommandations du CEPD

Cliquez ici

5 ans d'application du RGPD :  L'essentiel à retenir

Cliquez ici

Comment instaurer une culture de la compliance dans son organisation ?

Cliquez Ici 

Droit à l’oubli, droits des personnes : que dit le RGPD ? 

Cliquez Ici

Quand la conformité RGPD et le Numérique Responsable se rencontrent 

Cliquez Ici

DPO : 5 ans après le RGPD, comment collaborer avec le RSSI ? 

Cliquez ici

La protection de la vie privée à la une des nouvelles technologies

Cliquez ici

  Comment permettre une utilisation responsable de la DATA grâce à la plateforme Trust Intelligence ? 

Cliquez ici

Sensibiliser vos collaborateurs à la protection des données personnelles : Mission (Im)possible ?

Cliquez ici

Retrouvez les articles recommandés par le Printemps des DPO 2023

#REGLEMENTATION

Environnement, sanctions, vie privée… Le laboratoire de la Cnil présente son programme de travail

En 2022 et 2023, le laboratoire d'innovation numérique de la Cnil va travailler sur l'impact environnemental du numérique, les incitations économiques à la conformité, les moyens mis à la disposition des citoyens pour faire respecter leur vie privée, et les nouvelles formes de captation de données. 
> Lire l'article

#SECURITE

[Le plein de cyber] En matière de sécurité informatique, les jeunes salariés plus imprudents que leurs aînés

Une étude du cabinet de conseil EY révèle que les salariés issus de la génération Z et les millennials sont plus enclins que leurs aînés à réutiliser leurs mots de passe et à ignorer les mises à jour informatiques. Biberonnés au numérique, les plus jeunes auraient tendance à surestimer leurs réflexes cyber, jusqu'à ce qu'ils soient confrontés à une véritable menace.
> Lire l'article

#SOUVERAINETE

Bruxelles enclenche le processus d’adoption du futur accord de transfert de données UE-US

La Commission européenne a publié mardi 13 décembre son projet de décision concernant le régime de transfert de données entre les États-Unis et l’Union européenne, ouvrant la voie à son adoption prochaine. Ses détracteurs, quant à eux, se tiennent déjà prêts à le contester devant la justice.
> Lire l'article

#PRIVACY

Les pratiques de conservation des données personnelles par Europol inquiètent le Contrôleur européen

Le Contrôleur européen de la protection des données s'inquiète de voir Europol autoriser à nouveau de conserver des données personnelles d'individus n'ayant aucun lien avec une activité criminelle. Il lui avait intimé de mettre fin à ses pratiques en janvier dernier. Le législateur européen en a décidé autrement et a réintégré cette faculté dans le règlement d'Europol. 
> Lire l'article

#PRIVACY

Les entreprises françaises accueillent à bras ouvert la fin des cookies tiers

Une nouvelle étude met en lumière l’optimisme des entreprises françaises face à la fin des cookies tiers, annoncée pour 2024, et leur capacité d’adaptation face aux changements que cela devrait provoquer dans le monde de l’adtech. 
> Lire l'article

#SECURITE

[Le plein de cyber] De la clé USB à la gestion des vulnérabilités, les mauvaises pratiques cyber des industriels

Les industriels n’ont pas la réputation d’être les plus matures en matière de cybersécurité. Parmi leurs mauvaises pratiques : ne pas bien se sécuriser les connexions de clés USB utilisées par des acteurs extérieurs au site, et délaisser la gestion des vulnérabilités, révèle un benchmark de Wavestone.
> Lire l'article

#SOUVERAINETE

Que retenir des annonces gouvernementales sur le cloud souverain ?

Le ministre de l'économie Bruno Le Maire et le ministre délégué au numérique Jean-Noël Barrot ont complété la doctrine "cloud au centre" à l'occasion de l'inauguration du nouveau data center d'OVHcloud à Strasbourg. Ils ont notamment annoncé la création d'un comité stratégique de filière "numérique de confiance" dirigé par Michel Paulin et la mise en place d'un dispositif d'accompagnement des PME et start-up pour l'obtention du label "SecNumCloud". En revanche, très peu de précisions ont été apportées sur la place des entreprises américaines de cloud qui aujourd'hui monopolisent le marché. 
> Lire l'article

#REGLEMENTATION

La Cnil appelle les législateurs à mettre de l’ordre dans les règles encadrant les données de santé

La Cnil estime qu’il est “indispensable de revoir le cadre juridique” relatif à la transmission des données de santé aux mutuelles et à la bonne application du secret médical, pointant du doigt quelques lacunes législatives. 
> Lire l'article

#SECURITE

RGPD : Les Cnils européennes ont récolté plus de 830 millions d’euros en 2022

La Cnil et ses équivalents européens n'ont pas chômé cette année. En tout, les agences ont prononcé 438 amendes pour violation du RGPD pour un montant total de plus de 830 millions d'euros.
> Lire l'article

#CONFORMITE

Leto lève 1,2 million d'euros pour automatiser la mise en conformité avec le RGPD

La start-up Leto, spécialiste de l’automatisation de la mise en conformité de la RGPD, lève 1,2 million d’euros pour développer sa solution en y intégrant de l’intelligence artificielle et accroitre le nombre de clients pour devenir le leader européen sur le sujet.
> Lire l'article

#CONFIANCE

Numérique de confiance : les premiers pas du nouveau comité stratégique de filière

Le directeur général d’OVHcloud, Michel Paulin, a lancé mardi 22 septembre une consultation dans le cadre du tout nouveau comité stratégique de filière “numérique de confiance” qui devrait permettre de faire un état des lieux des enjeux et aboutir à un plan d’action pour la réussite de l’écosystème.
> Lire l'article

#GOUVERNANCE

Le Conseil d'Etat propose de faire de la Cnil le régulateur de l'intelligence artificielle

Dans une étude commandée par le gouvernement, les Sages estiment qu'il serait naturel de désigner la Cnil comme autorité nationale de contrôle des systèmes d'intelligence artificielle, en charge de l'application du règlement européen sur l'IA.
> Lire l'article

#HARMONISATION

RGPD : les Cnil européennes appellent à harmoniser les règles en matière de coopération

Dans une lettre adressée à la Commission européenne, le Comité européen de la protection des données dresse la liste des procédures à harmoniser pour améliorer la coopération transfrontalière, regrettant que “le potentiel du RGPD ne soit pas encore pleinement exploité”. 
> Lire l'article

#SECURITE

Les cyberattaques, ça n’arrive pas qu’aux autres ! TPE, PME et ETI : organisez votre défense informatique/numérique

Le coût des cyberattaques ne cesse de croître d’année en année : les dommages causés par la cybercriminalité ont coûté 6 000 milliards de dollars en 2021, soit plus de 6% du PIB mondial. La même année, et selon le rapport du Sénat, 56% des PME ont connu au moins un incident de cybersécurité et le nombre d’attaques par rançongiciel a augmenté de 255%.
> Lire l'article

#DONNEES

Infogreffe épinglé par la Cnil pour avoir conservé trop longtemps des données personnelles

La Cnil a condamné Infogreffe une amende de 250 000 euros pour avoir insuffisamment protégé les données personnelles de ses membres et abonnés. Depuis les procédures, des mesures ont été prises.
> Lire l'article

#PRIVACY

A son tour, l'Italie déclare illégale l'utilisation de Google Analytics

L'autorité italienne de la protection des données a jugé que le recours à Google Analytics était illégal à cause des risques de transferts de données personnelles vers les Etats-Unis. Elle prend ainsi le même chemin que ses homologues autrichienne et française.
> Lire l'article

#ETHIQUE

NOYB porte plainte devant la Cnil contre les mails publicitaires de Google

L'association fondée par le militant autrichien Max Schrems accuse Google de spammer les internautes dans Gmail, contrevenant à la directive européenne ePrivacy.
> Lire l'article

#CONTROLE

La Cnil davantage crainte que la FTC, d'après l'ancien responsable de la sécurité de Twitter

Peiter Zatko, ancien chef de sécurité de Twitter, a été auditionné devant le Sénat américain sur ses accusations portant sur le manque de sécurité informatique du réseau social. Il réitère ses propos : Twitter est incapable de traiter correctement les données personnelles de ses 80 millions d'abonnés. La Cnil fait figure d'exemple dans la régulation de ces grandes entreprises technologiques, a déclaré l'hacker éthique de renom. L'autorité française ferait davantage peur que la FTC. 
> Lire l'article

#CONVERGENCE

La stratégie européenne sur les données ne doit pas porter atteinte au RGPD, alertent les Cnil

Le Data Governance Act et le Data Act, dont l'objectif est de déployer un marché unique des données au sein de l'UE, doivent respecter les principes fixés par le RGPD, préviennent les autorités de protection dans un avis. Des précisions sont également réclamées sur les organes chargés de superviser l'application de ces textes.
> Lire l'article

#REGLEMENTATION

Attention aux nouvelles modifications apportées à la procédure de sanctions de la Cnil

Un nouveau décret a assoupli la procédure de sanction de la CNIL, renforçant considérablement sa capacité en la matière. Les entreprises, et notamment les TPE et PME, doivent être vigilantes car elles sont beaucoup plus exposées qu'auparavant. Décryptage d'Isabelle Cantero, avocat associé du cabinet Caprioli & Associés.
> Lire l'article

5 ans d'application du RGPD :
 L'essentiel à retenir

Article offert par nos partenaires
Adequacy et Deroulez avocats
Télécharger l'article en entierContacter le Cabinet DeroulezContacter Adequacy
Le RGPD, un nouveau standard international
Télécharger l'article en entierContacter le Cabinet DeroulezContacter Adequacy

Protection des données : les visions anglo-saxonne et européenne vont-elles enfin converger ? 

Article offert par notre partenaire
Depeeo
Contacter le partenaire
Les approches anglo-saxonne et européenne de la protection des données personnelles comportent un certain nombre de différences fondamentales. Malgré tout, un mouvement vers une harmonisation des points de vue semble s’amorcer depuis quelques années. 

En matière de données à caractère personnel, les conceptions européenne et anglo-saxonne (au premier rang desquelles se trouve la conception américaine) divergent sur de nombreux points. Ainsi, l’une des plus grandes différences entre les approche européenne et américaine concerne le caractère commercial ou non des données personnelles. 

« Aux États-Unis, certaines données – par exemple des données collectées par les hôpitaux ou par les banques – bénéficient d’une protection élevée. Mais en dehors de ces zones protégées, les entreprises sont libres d’exploiter des données pour autant que les entreprises ne commettent pas de ‘pratique déloyale’. En Europe, les données à caractère personnel sont rattachées à un droit fondamental. Toute exploitation de données constitue une violation potentielle d’un droit fondamental, et devra être justifiée par un intérêt légitime, un consentement, l’exécution d’un contrat, etc. », explique Winston J. Maxwell, actuellement Directeur d’Études Droit et Numérique à Télécom Paris, dans une note publiée alors qu’il était Partner au sein du cabinet d’avocats Hogan Lovells.

Aux États-Unis, une superposition de « common low » (au niveau de chaque État) et de lois fédérales 

Aux USA, la « common law » de chaque État reconnaît un droit à la protection de la vie privée à l’égard d’acteurs privés. Outre ces règles spécifiques à chaque État, les États-Unis disposent de lois fédérales visant la protection des données à caractère personnel dans certains secteurs. « La première grande loi sur la protection des données à caractère personnel concernait les traitements de données effectués par le gouvernement fédéral. Le Privacy Act de 1974 établit des règles sur le traitement des données à caractère personnel collectées par les différentes branches du gouvernement », rappelle Winston J. Maxwell. 

Après le Privacy Act de 1974, le législateur fédéral a développé une série de lois visant la protection des données à caractère personnel dans le secteur privé : HIPAA (Health Insurance Portability and Accountability Act) pour la protection des données de santé, GLBA (Gramm-Leach-Bliley Act) pour les données financières, COPPA (Children’s Online Privacy Protection Act) pour la protection des données concernant les enfants, FCRA (Fair Credit Reporting Act) visant à réguler les profils de solvabilité des individus, ECPA (Electronic Communications Privacy Act) pour les données de télécommunications, « Can-SPAM » Act pour l’interdiction des messages publicitaires... 

« Certaines de ces lois sont aussi protectrices que les lois européennes, même si leur champ d’application est plus restreint. En plus de ces lois fédérales, chacun des États américains a adopté des lois visant la protection de certains aspects de la vie privée de leurs citoyens. L’État de Californie a notamment adopté une loi protégeant les données à caractère personnel dans le cadre de sites Internet, ainsi qu’une loi accordant un droit à l’effacement à des utilisateurs mineurs de réseaux sociaux », note Winston J. Maxwell. 

Une approche européenne globale 

L’ensemble des lois américaines constitue un patchwork assez hétérogène qui contraste fortement par rapport à l’approche globale européenne. « Le Conseil de l’Europe, fondé en 1949, a élaboré une approche globale de la vie privée qui se veut complète. Celle-ci fut adoptée suite à la Seconde Guerre mondiale, où d’innombrables horreurs ébranlèrent le monde entier », commente Stephan Grynwajc, fondateur du cabinet S. Grynwajc, dans une analyse publiée sur le site transatlantic-lawyer.com. 

« Plus récemment, l’adoption du RGPD, qui a comme finalité d’assurer aux résidents européens une protection des données personnelles globale et universelle, renforce cette approche. Le RGPD transcende les secteurs d’activité et les domaines d’utilisation des données personnelles et couvre tout traitement de données personnelles, par quelque moyen que ce soit. (...) Cette approche globale est censée accorder une protection complète et solide aux libertés et droits fondamentaux des citoyens et résidents de l’UE », poursuit Stephan Grynwajc.

Cette approche globale mise en œuvre par les Européens a d’ailleurs poussé le Département du commerce américain à conclure successivement le Safe Harbor en 2000 et le Privacy Shield en 2016 avec la Commission européenne pour encadrer le transfert des données personnelles de l’Union européenne vers les États-Unis. 

Vers une harmonisation des pratiques ? 

Même si le Safe Harbour a été invalidé par l’arrêt « Schrems » de la Cour de justice de l’Union européenne en 2015 et que le Privacy Shield a lui aussi été invalidé par cette même Cour européenne en 2020, Ursula von der Leyen, la présidente de la Commission européenne, et Joe Biden, le Président américain, ont annoncé en mars 2022 un accord politique visant à créer nouveau cadre sur les transferts internationaux de données. 

« Nous avons réussi à trouver un équilibre entre la sécurité et le droit à la vie privée et à la protection des données. Nous avons trouvé un accord de principe sur un nouveau cadre pour les flux de données transatlantiques. Cela permettra des flux de données prévisibles et dignes de confiance entre l’UE et les États-Unis, tout en préservant la vie privée et les libertés civiles », a déclaré la présidente de la Commission à cette occasion. 

Dans la foulée de cet accord, la Commission européenne a lancé fin 2022 un processus d’adoption de la décision d’adéquation concernant le cadre de protection des données entre l’Europe et les États-Unis. Une décision d’adéquation est un processus prévu par l’article 45 du RGPD. Elle autorise le transfert de données à caractère personnel depuis l’UE vers un pays tiers, à niveau de protection identique. 

Afin d’éviter les échecs précédents (invalidation du Safe Harbour et du Privacy Shield), la Commission européenne met en avant que le nouveau cadre sur le transfert des données personnelles comportera un certain nombre d’évolutions : une limitation de l’accès – par les services de renseignement américains – aux données européennes au strict nécessaire pour assurer la sécurité nationale et un droit à réparation pour les citoyens européens par rapport à la collecte et l’utilisation de leurs données par les services de renseignement américains. Gageons que ces nouvelles dispositions permettront enfin de créer un contexte harmonieux, et surtout efficace, pour la protection des données personnelles entre les deux continents. 

Des outils existent-ils aujourd’hui pour accompagner cette inéluctable convergence juridique des 2 mondes ? 

Le point ultime de convergence des mondes anglo-saxon et européen, c’est la base de données ! 

Plusieurs dizaines de solutions logicielles existent sur le marché coté anglo-saxon et européen. Pour chacune d’elles, la convergence des règles sera le prochain challenge à surmonter. Pour les sociétés souhaitant être en conformité avec les différents règlements sur la protection des données, il faudra utiliser des solutions qui permettre cette finesse de réglage tout en allant au cœur de la donnée. 

Notre vision est la suivante : le point de convergence c’est la data au plus profond des bases de données. C’est pourquoi Deepeo, notre solution logicielle d’automatisation du traitement des données personnelles, est on-premise et s’organise sur 2 niveaux : le premier via une console centralisée de reporting, le second par le biais d’agents actifs dans les grandes bases de données de nos clients (Oracle, PostgreSQL, MongoDB et d’autres à venir).

Ces agents affranchis des applications, disséminés en mode on-premise dans le SI de nos clients permettent d’automatiser et d’apporter une multitude de fonctionnalités indispensables pour une conformité au RGPD efficace : Effacement, Pseudonymisation, Anonymisation,… 

Vos bases de données sont l’endroit où doit commencer à s’appliquer cette convergence, et Deepeo est la solution conçue pour le faire.    
Contacter le partenaire

Réseaux sociaux et interfaces trompeuses :
 Les recommandations du CEPD

Article offert par notre partenaires
La Robe Numérique
Télécharger l'article en entierContacter le Robe Numérique
Réseaux sociaux et interfaces trompeuses : Les recommandations du CEPD
Télécharger l'article en entierContacter le Robe Numérique

Conformité des demandes d'exercice de droits : les DPO en première ligne pour 2023

Article offert par notre partenaire
HAAS AVOCATS
Contacter le partenaire
Cinq ans après l’entrée en vigueur du RGPD, force est de constater une réelle sensibilisation des personnes concernées et des organismes aux enjeux de la protection des données à caractère personnel en général, et des droits informatique et libertés en particulier. En atteste l’accroissement du nombre de plaintes formulées auprès de la CNIL, estimées en 2022 à plus de 12 0001. Ces plaintes et signalements sont à l’origine d’un tiers des contrôles effectués par la CNIL, laquelle accorde une attention particulière aux enjeux de la prospection commerciale qualifiée d’« irritant du quotidien » pour les personnes concernées lors de la publication des thématiques prioritaires de contrôle pour 2022 2.

 Des sanctions lourdes et récurrentes
Les récentes délibérations de la CNIL  font état de sanctions répétées à l’encontre des organismes enfreignant les dispositions applicables aux demandes d’exercice de droits . Le défaut de réponse conforme aux demandes d’exercice de droit faisant encourir des sanctions sur la base du palier d’amende de plus élevé (soit 4% du chiffre d’affaires ou 20 millions d’euros), cette tendance ne doit pas être négligée par les Délégués à la protection des données . Au risque d’amende administrative, peuvent également s’ajouter de potentielles sanctions pénales  et recours civils tirés de l’absence de réponse à la demande ou bien de l’irrespect du formalisme règlementaire imposé. A ce titre, l’article 226-18-1 du code pénal prévoit une sanction de 5 ans d’emprisonnement et de 300 000 euros d’amende pour toute personne ayant procédé à un traitement de données à caractère personnel malgré l’opposition formée par la personne physique dont les données sont collectées. Face à ce constat, les organismes publics comme privés sont incités à faire preuve d’une vigilance accrue et à renforcer leurs processus internes pour apporter une réponse conforme dans les délais réglementaires. 

De l’importance de formaliser un processus de traitement des demandes d’exercice de droit 
En application de l’article 12 du RGPD, le responsable de traitement saisi d’une demande d’exercice de droit doit fournir à la personne concernée les informations sur les mesures prises dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande. S’il est possible de prolonger ce délai de deux mois, c’est uniquement sous réserve de justifier de la complexité et d’un nombre important de demandes. Eu égard au nombre croissant et à la complexification des demandes, il est devenu indispensable de disposer d’un processus interne efficace pour permettre les investigations techniques nécessaires par les équipes opérationnelles afin de traiter ces demandes dans le respect des délais. 



La multiplication des demandes d’exercice de droit en interne 
Autre tendance notable, les demandes d’exercice de droits ne proviennent plus uniquement des clients mais deviennent un levier juridique dont les employés se saisissent pour faire valoir leurs droits. Il a été établi que 28 % des plaintes déposées auprès de la CNIL  en 2021 pour non-respect du droit concernent le secteur des ressources humaines. A ce titre, il convient non seulement de veiller au respect des droits des salariés, incluant la possibilité d’introduire une demande auprès du DPO, mais également d’anticiper ce type de demande dans le contexte de litiges entre employés et employeurs, aussi bien en précontentieux qu’en contentieux. A ce titre, il convient de rappeler que le droit d’accès porte exclusivement sur les données personnelles collectées, à l’exception des documents en eux même, de telle sorte qu’il appartient à l’organisme sollicité de mettre en balance, d’une part, les droits des personnes concernées, et d’autre part, le respect de la vie privée des tiers, le secret des affaires ou encore le secret professionnel. Il convient d’observer, que la jurisprudence a récemment évolué en la matière attestant de l’équilibre précaire entre les droits des employés et le droit à la défense des employeurs. En ce sens, la chambre sociale de la Cour de cassation a récemment admis que l’illicéité d’un moyen de preuve n’entraine pas nécessairement son rejet des débats. Les juges ont précisé qu’une balance des intérêts doit être réalisée entre le droit au respect de la vie privée du salarié et le droit à la preuve de l’entreprise. Dans le même sens, les délais de conservation des données par un organisme ont été pris en considération par les juridictions pour caractériser l’impossibilité matérielle de communiquer certains courriels du fait de leur suppression quelques mois après le départ d’un salarié. La gestion et le traitement des demandes d’exercice de droit n’en demeurent pas moins un processus chronophage qui nécessite la mobilisation de moyens humains importants, aussi bien juridiques que techniques.

Dans le cadre d’une stratégie de conformité globale, il appartient aux organismes de mettre à disposition du DPO les moyens nécessaires  pour combiner les obligations de conformité et les impératifs de protection du savoir-faire et de confidentialité. En 2023, il sera d’autant plus nécessaire de veiller à la conformité les processus internes de traitement des demandes d’exercice de droits que le CEPD12 a enjoint les autorités nationales à mettre l’accent sur les fonctions des DPO.

Auteurs :
  • Gérard Haas, Associé fondateur du cabinet Haas Avocats 
  • Anne-Charlotte Andrieux, Collaboratrice du cabinet Haas Avocats 
Contacter le partenaire

Comment permettre une utilisation responsable de la DATA grâce à la plateforme Trust Intelligence ? 

Article offert par notre partenaire
OneTrust
Contacter le partenaire
Alors que les entreprises s’attaquent aux défis de la prolifération des données, les améliorations de OneTrust leur fournissent la découverte, l’automatisation et l’intelligence nécessaires pour gérer les données de manière responsable tout au long de leur cycle de vie, pour permettre une agilité réglementaire et pour mettre en œuvre la protection de la vie privée dès la conception.
  La plupart des organisations reconnaissent déjà la valeur intrinsèque d’une entreprise digne de confiance, mais la recherche montre que la valeur de la confiance est mesurable. Selon IDC, “l’investissement prioritaire dans les programmes de confiance est associé de manière significative à l’amélioration de la résilience de l’entreprise, de l’efficacité opérationnelle et de la durabilité dans le monde entier “1. 


Classification des documents pilotée par l’IA pour une meilleure gouvernance 

Une gouvernance efficace des données exige une visibilité totale de toutes les données de l’organisation et de l’endroit où elles se trouvent. Désormais, OneTrust Data Discovery utilise l’apprentissage automatique pour identifier les documents contenant des données sensibles, telles que les CV, qui ne peuvent pas être détectées par le filtrage traditionnel. De puissantes capacités de classification permettent d’identifier les données en fonction de leur contenu et de leur structure, par exemple les données sensibles contenues dans un CV, et d’appliquer automatiquement une politique de conservation ou de suppression. Ce contexte, cette intelligence et cette automatisation réduisent le travail manuel des équipes chargées de la protection de la vie privée et de la sécurité pour protéger et utiliser les données de manière responsable dans l’ensemble de l’entreprise.


Rationalisation des projets Privacy by Design

 OneTrust a ajouté un nouvel inventaire de projets et un modèle de conception respectueuse de la vie privée à la bibliothèque de modèles d’évaluation. Ce modèle permet aux utilisateurs d’évaluer l’impact sur la vie privée des produits internes et externes et d’intégrer la protection de la vie privée dans le cycle de vie du produit ou du projet. En combinaison avec la cartographie des données, ce modèle peut être utilisé pour associer des risques à des projets dans l’inventaire des données et créer des relations entre d’autres objets de l’inventaire, y compris les actifs, les fournisseurs, les activités de traitement et les risques. Avec la surveillance accrue du développement de l’IA, cette nouvelle fonctionnalité peut également aider à évaluer les risques pour la vie privée liés aux produits et aux projets d’IA afin de favoriser une IA responsable.


Amélioration des transferts de données transfrontaliers

OneTrust aide les entreprises à suivre, gérer et évaluer les transferts de données de manière plus précise et plus efficace, alors qu’elles sont confrontées à des exigences de conformité en constante évolution pour les transferts de données transfrontaliers. Les utilisateurs peuvent avoir une visibilité sur l’ensemble du cycle de vie des transferts grâce à une carte transfrontalière améliorée permettant de visualiser les transferts, à une nouvelle visualisation graphique des données et à la possibilité d’évaluer directement les enregistrements de transfert en fonction des risques. Les organisations peuvent ainsi s’assurer que les mesures appropriées ont été prises, telles que l’envoi d’un avis approprié aux consommateurs, la réalisation d’évaluations de l’impact des transferts et la mise en œuvre de mesures de protection. 


Gestion optimisée du consentement tout au long du cycle de vie des données

 Le module OneTrust Consent & Preferences a été amélioré pour offrir une expérience utilisateur optimale, capturer efficacement le consentement et gérer efficacement les données à l’échelle. Les équipes peuvent désormais importer des données historiques et capturer de nouveaux enregistrements de consentement à l’aide de formulaires ou d’API, ainsi qu’intégrer l’activation basée sur le consentement dans divers systèmes, tels qu’Adobe Experience Platform (AEP) et Tealium. En servant de bibliothèque centrale de consentement, OneTrust offre la rapidité et l’évolutivité nécessaires à la gestion efficace de toutes les données de l’entreprise. 


Cadres élargis pour l’automatisation de la certification

L’expansion rapide du paysage de la conformité signifie que les entreprises doivent naviguer dans un nombre croissant de cadres et d’exigences. OneTrust Certification Automation propose désormais 31 cadres de référence en matière de protection de la vie privée et de sécurité. La couverture de l’InfoSec s’est également élargie pour inclure :
  – NERC CIP
– ISO 27017
– ISO 27018
– NIS 2
– Cyber Essentials (Royaume-Uni)
Grâce à la possibilité d’automatiser la collecte des preuves et de tester une seule fois, de se conformer à plusieurs, les organisations peuvent rationaliser leurs efforts de contrôle et de conformité et réaliser des gains d’efficacité à grande échelle.


 Extension des données de renseignement dans le Third-Party Risk Exchange

Les organisations ont besoin de données récentes et pertinentes sur les risques pour évaluer correctement leurs tiers. OneTrust Third-Party Risk Exchange offre un accès instantané à des données de renseignement sur les risques provenant de sources de données multiples. Supply Wisdom, par exemple, importe des données de conformité, financières, opérationnelles, ESG basées sur la localisation et de cyber-risque directement dans le Third-Party Risk Exchange. Les organisations peuvent ensuite utiliser ces données, ainsi que des informations granulaires provenant de SecurityScorecard, RiskRecon, DataGuidance et ISS Corporate Solutions, pour surveiller les tiers au fil du temps et déclencher des flux de travail automatisés chaque fois qu’un score de risque change. Armées d’informations critiques sur les risques liés à tous les tiers, les entreprises peuvent mettre en place un programme de gestion des tiers transparent et évolutif. 


Exploiter les données RH pour workflow dans OneTrust Disclosure Management

 La hiérarchie d’un employé est souvent la mieux placée pour gérer les risques de divulgation et de conflit d’intérêts en raison de sa compréhension de l’individu et des exigences du poste. Une mise en œuvre manuelle peut s’avérer chronophage et inefficace. Avec OneTrust Disclosure Management, les organisations peuvent désormais utiliser leurs données RH pour acheminer intelligemment les divulgations vers différents workflow et automatiser l’affectation des approbateurs au sein de ces flux de travail. Cela garantit que les divulgations sont envoyées aux personnes appropriées au moment opportun, assurant une gestion efficace des risques et réduisant la nécessité d’une intervention manuelle.


Contrôle des bénéficiaires effectifs dans le cadre de la diligence raisonnable à l’égard des tiers

 Les réglementations telles que la règle des 50 % de l’OFAC exigent que les organisations vérifient si les bénéficiaires effectifs détenant 50 % ou plus de propriété individuelle ou combinée sont sanctionnés lorsqu’elles filtrent des tiers. La nouvelle fonctionnalité Linked Entities de la solution OneTrust Third-Party Due Diligence permet aux clients d’ajouter et de filtrer les bénéficiaires effectifs par rapport aux listes de sanctions et aux préoccupations des médias. Les organisations disposent désormais des outils nécessaires pour répondre aux attentes réglementaires liées à la propriété effective tout en protégeant leur marque contre les relations préjudiciables avec des tiers.

https://www.onetrust.fr/
Contacter le partenaire

Sensibiliser vos collaborateurs à la protection des données personnelles : Mission (Im)possible ?

Article offert par notre partenaire
LetoLegal
Contacter le partenaire
“Bonjour à tous les agents secrets de la confidentialité, 
Vous êtes-vous déjà demandé si vous étiez un héros de la protection des données personnelles ? Dans notre monde ultra-connecté, la confidentialité et la sécurité de nos informations n'ont jamais été des sujets aussi importants. Les données ont une valeur inestimable pour tout organisme et toute violation de données entraînent des conséquences incontrôlables : perte de confiance, baisse de réputation, risque de sanction etc..
Or, l’imprudence est la première cause des failles de sécurité et de fuite de données. La CNIL l’a encore rappelé récemment : un tiers des sanctions prononcées concernent un manquement à la sécurité des données 😵‍💫.
L’arme fatale pour faire face aux dangers ? La sensibilisation de vos équipes à la protection des données personnelles. Faites d’eux les héros de la protection des données 🦸‍♀️🦸‍♂️
Nous vous partageons quelques exemples de question de sensibilisation au RGPD qu’utilisent nos clients 🎁 


👩 Ressources Humaines : les gardiens des données des employés

Les équipes RH détiennent une mine d'informations sur les employés, allant de leur adresse aux informations de paie ou encore au numéro de sécurité sociale (ça sent les données sensibles par ici ?). Leur capacité à identifier rapidement les bonnes pratiques dans l’utilisation des données, gestion des accès et durée de conservation, est ca pi tale ! Que penseraient vos équipes de la question suivante ?
Exemple de question : Avec le travail hybride, la direction ne s’y retrouve plus : doit-on conserver les bureaux ? Pour avoir une idée du nombre de collaborateurs qui viennent au bureau, on décide d’installer des caméras de surveillance dans les bureaux. Est-ce possible ?
• Cool ! Comme ça, on verra bien qui vient au bureau
• Il faudrait tout même mettre un panneau pour prévenir les gens.
• C’est totalement interdit
 Les caméras de surveillance doivent avoir pour finalité avant tout la sécurité.


🔑 Les mots de passe : une ceinture de sécurité invisible
 
Les mots de passe sont comme des ceintures de sécurité : on ne les voit pas, mais ils nous protègent en cas de pépin. Éduquez vos collaborateurs à l'importance d'utiliser des mots de passe forts et uniques pour chaque compte ou à l’utilisation de gestionnaires de mots de passe. Vos collaborateurs sauront-ils répondre à la question suivante ?
 Exemple de question : C’est mon premier jour dans mon nouveau job et on me donne accès à toutes les bases de données internes et outils. Pour être sur de ne jamais oublier mes identifiants, j’envisage de mettre un mot de passe facile à retenir (car c’est celui que j’utilise au quotidien) : 123456. Qu’en penses-tu ?
 Pour renforcer la sécurité, il vaut mieux que je remplace par 123456789.
 Il vaut mieux un mot de passe assez faible qu’un mot de passe que je risque d’oublier.
 Autant le remplacer par “mot de passe”.
 C’est faire courir un risque pour la sécurité des données de l’entreprise.
🎯 Anonymisation vs Pseudonymisation : le duel des techniques 

L'anonymisation des données, c'est un peu comme la magie : on fait disparaître les informations permettant d'identifier une personne, et hop, ce n’est plus de la donnée personnelle soumise au RGPD ! L’avantage est de conserver de la data utile à votre activité sans avoir à les supprimer. À l’inverse, une donnée mal anonymisée n’est que “pseudonymisée” c’est à dire masquée. Dès lors qu’une réidentification est possible, il s’agit toujours d’une donnée personnelle soumise au RGPD. Votre équipe technique saurait-elle répondre à cette question :
  Exemple de question : On doit supprimer les données personnelles d’un utilisateur suite à une demande d’exercices des droits. L’équipe a donc supprimé toutes les informations qui permettent de l’identifier. ll reste simplement l’identifiant lui correspondant en base. Est-ce suffisant ?
• L’identifiant en base correspond à une anonymisation de la donnée, cela suffit.
• Il faut également supprimer cette donnée en base, c’est de la donnée personnelle indirecte.
• L’identifiant en base correspond à une anonymisation de la donnée, cela ne suffit pas pour répondre à la demande de l’utilisateur.


📝 Prospection et RGPD : vendre sans importuner 

La prospection est au cœur de l'activité commerciale, mais il est essentiel de la mener dans le respect des données personnelles. La réutilisation des données personnelles sans le consentement des personnes concernées est séduisante. Cependant, elle ne respecte pas toujours la vie privée des personnes concernées. Comment vos équipes savent-elles ce qu’elles peuvent ou ne pas faire au regard du RGPD ? Votre équipe commerciale saurait-elle répondre à cette question ?
 Exemple de question : J’ai récemment reçu un email d’information de l’école dans laquelle sont inscrits mes enfants et je m’aperçois que j’ai accès aux emails de tous les autres parents d’élèves. Je réalise que l’un d’entre eux serait un super lead et décide de le contacter via la liste de diffusion. Est-ce ok du point de vue du RGPD ?
• Le RGPD ne s’applique pas ici.
• Cette attitude est prohibée par le RGPD.
•  Le RGPD s’applique mais ne s’oppose pas à cette pratique.

Psst ! Notre solution de sensibilisation des collaborateurs au RGPD par le microlearning fait monter le niveau de maturité de vos équipes efficacement :
• Une banque de plusieurs centaines de questions constamment mise à jour.
• Des questions de mise en situation par métier et personnalisées.
• Directement diffusées par votre canal préféré (e-mail, teams, slack…)
• Un format court et rapide qui favorise un solide taux d’engagement et un haut niveau de rétention d’information.
• Un dashboard complet avec un score de maturité par collaborateur, équipe et de l’organisation que vous pouvez suivre dans la durée.

N’hésitez pas à télécharger notre livre blanc qui contient de plus de 30 exemples de question de sensibilisation adaptée à tous les métiers.” 
Contacter le partenaire

La protection de la vie privée à la une des nouvelles technologies

Article offert par notre partenaire
IronMountain
Contacter le partenaire
Si l’IA et, plus globalement, les nouvelles technologies suscitent la méfiance et ont longtemps été perçues comme des « moissonneuses à data », elles sont aujourd’hui obligées de s’adapter aux législations de plus en plus drastiques en matière de sécurité et de confidentialité des données personnelles. Poussant les entreprises à adopter une philosophie « privacy by design » dans tous leurs systèmes et process… 

 Les entreprises françaises placent désormais les cyberattaques comme la principale menace pour leur activité, devant la pandémie, le ralentissement économique et le manque de compétences. C’est le constat majeur qui ressort d’une étude menée dans huit pays de l’OCDE par le groupe Hiscox, assureur spécialisé dans la gestion des risques professionnels. Avec 52% des entreprises sondées ayant déclaré au moins une cyberattaque en 2022, la France se classe même au second rang des pays les plus impactés en Europe, derrière les Pays-Bas (57%) mais devant l’Allemagne (46%) ou le Royaume-Uni (42%). Et lorsque vient la question des principaux facteurs de croissance des cyber risques, 36% mentionnent l’augmentation du nombre de salariés en télétravail comme leur principale source d’inquiétude.

Cette mutation du marché de l’emploi, qui s’est accélérée depuis la pandémie de COVID-19, nécessite aujourd’hui des moyens de défense toujours plus agiles et perfectionnés, notamment en cas de compromission d’équipements périphériques tels que les routeurs ou les pare-feux. Dès lors, si les PME/TPE/ETI demeurent tout de même des cibles privilégiées (40%), selon le panorama de la cybermenace 2022 publié par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), les pirates se focalisent davantage sur des organisations moins bien protégées, comme les collectivités territoriales (passant de 19 à 23% par rapport à 2021) et les établissements de santé (de 7 à 10%).


 L’IA comme chef d’orchestre de la data ?

Les dernières attaques de grande ampleur - dont celles contre l'hôpital sud francilien de Corbeil-Essonnes (91) en août 2022 et l’hôpital André Mignot de Versailles (78) en décembre 2022 - ont d’ailleurs poussé le gouvernement à débloquer une enveloppe de 20 millions d’euros pour renforcer le niveau de cybersécurité du secteur, qui vient s’ajouter au milliard déjà mobilisé dans le cadre du plan national sur la cybersécurité annoncé par Emmanuel Macron en février 2021. Un plan dont la moitié de la dotation (515 M€) est allouée au volet Recherche & Développement, avec la mobilisation des grands organismes de recherche scientifique (CNRS, CEA et Inria) ainsi que la création d’un lieu totem rassemblant les principaux acteurs du domaine : le Campus Cyber, inauguré le 15 février 2022 en plein coeur de La Défense. L'objectif ? Fédérer la communauté de la cybersécurité pour développer des solutions qui s’appuient sur les technologies émergentes et les récentes avancées en matière d’intelligence artificielle.

Comme le Confidential Computing, par exemple, cette technique de sécurité américaine qui permet de chiffrer les données pendant leur traitement dans une sorte d’enclave numérique à laquelle seul le processeur du serveur peut accéder. En d’autres termes : en étant la seule à détenir la clé de chiffrement, l’IA est gage de sécurité et de confidentialité. Avec des potentialités intéressantes dans le domaine médical, où plusieurs hôpitaux peuvent ainsi mettre leurs données en commun pour, à titre d’illustration, entraîner un modèle d’IA d’aide au diagnostic sans violer le secret médical, puisque seul l’algorithme a accès aux données sensibles et confidentielles des patients.


 Conformité et « privacy by design »

Les règlements concernant la sécurité et la confidentialité des données se durcissent un peu partout dans le monde. En France, le RGPD adopté par l’Union européenne en mai 2018 - encadré depuis par le comité européen de la protection des données (CEPD) - est venu rebattre les cartes d’une partie qui tournait trop souvent en défaveur des citoyens. En consolidant leurs droits, en leur redonnant plus de contrôle sur leurs données, il a obligé les entreprises à revoir leurs méthodes de collecte, poussant certaines à cesser leur activité le temps de s’adapter à cette nouvelle législation. D'où l’importance pour les DSI de mettre en place une stratégie de résilience informatique qui, au-delà d’assurer la continuité de leur système d’information en cas de panne, de piratage, de surcharge d’activité ou de tout autre incident, octroie réactivité et flexibilité nécessaires pour répondre à cet enjeux de conformité (« IT compliance »).

 D’autant que la méfiance des utilisateurs n’a jamais été aussi forte. VPN, bloqueurs de publicités ou alternatives plus anonymisées aux principaux moteurs de recherche et plateformes sociales… Quand certains cherchent à effacer leurs empreintes, d’autres refusent d’interagir avec ceux qui ne montrent pas patte blanche en la matière. La tendance est à la transparence, au bénéfice des utilisateurs. Mais cela n’est pas forcément une mauvaise nouvelle pour les entreprises, bien au contraire. Celles qui sauront embrasser une approche « privacy by design » et baser leur politique de traitement de la data sur la confiance, le consentement et le respect de la vie privée réussiront leur transition et pourront même transformer l’obstacle en avantage compétitif.
Contacter le partenaire

DPO : 5 ans après le RGPD, comment collaborer avec le RSSI ? 

Article offert par notre partenaire
Dastra
Contacter le partenaire
Le 25 mai 2023 marque le cinquième anniversaire du RGPD, un jalon significatif dans la protection des droits des individus et la gouvernance des données personnelles. A cette occasion, Dastra a publié une étude sur l’état de la collaboration entre les délégués à la protection des données (DPO) et les responsables de sécurité des systèmes d’information (RSSI). Nous y apprenons que 94% des DPOs déclarent travailler avec leur RSSI, mais que seuls la moitié de ceux-ci estiment qu’ils sont complémentaires au DPO. Alors que cela signifie-t-il ? Enquête. 

 La protection des données personnelles depuis l’avènement du RGPD

Depuis l'avènement du RGPD, les organisations gèrent la protection des données personnelles avec une approche souvent disparate et peu harmonisée. Les pratiques varient considérablement d'une structure à l'autre, ce qui entraîne des incohérences et une absence de protection concrète des données personnelles des individus, démontrée par le montant très important des sanctions imposés par les autorités de protection des données en Europe (2,8M€). 
 Les conséquences néfastes de ces pratiques sont multiples. Les entreprises sont confrontées à des risques accrus en matière de sécurité des données, d'atteintes à la vie privée et de confiance des consommateurs. De plus, la complexité des réglementations en matière de sécurité informatique et de protection des données personnelles rend difficile la mise en place d'un cadre cohérent pour la protection des données. Néanmoins depuis ces 5 années, les entreprises ont été contraintes de revoir leurs pratiques de protection des données et d'adopter une approche plus responsable et transparente. Cette transition a été facilitée par la collaboration entre les délégués à la protection des données (DPO) et les métiers de la donnée, dont en particulier les responsables de la sécurité des systèmes d'information (RSSI). 

L’importance d’une bonne collaboration entre DPO et RSSI 

En effet, les DPO apportent leur expertise en matière de protection des données, de respect de la vie privée et de conformité réglementaire. Ils sont chargés de garantir que les traitements des données sont effectués dans le respect des droits des individus et des obligations légales. Les RSSI, quant à eux, sont responsables de la sécurité des systèmes d'information et de la prévention des incidents de sécurité.
La sécurité informatique est un des piliers du RGPD. Même si les DPO et les RSSI des domaines de spécialités différentes, en pratique, il leur incombe à tous les deux de vérifier que les mesures de sécurité adéquates sont mises en place sur les traitements de données. Ils ont donc un objectif commun : en travaillant ensemble, ceux-ci peuvent créer un environnement favorable à la protection des données, renforcer la sécurité des systèmes, minimiser les risques et améliorer la conformité aux réglementations. Cette collaboration permet une approche holistique de la protection des données, intégrant à la fois les aspects juridiques et techniques. 

Des axes d’améliorations pour les organisations

Cependant, malgré tous ces efforts, les DPO et RSSI ne sont encore que très peu à travailler ensemble de façon satisfaisante. Ainsi, la moitié des RSSI ne considèrent pas qu’ils sont complémentaires au DPO. Il ressort que cette collaboration existante, mais souvent de qualité moyenne, est principalement dû à une gouvernance souvent balbutiante des organisations en interne. Trop de silos demeurent encore entre les équipes DPO et SSI, autant d’un point de vue organisationnel ou technique. Au-delà des bonnes volontés, l’absence d’organisation, de processus continu, d’outil et parfois de moyens empêchent la pérennisation des travaux accomplis et met en péril les résultats de conformité déjà obtenus. Or sans terrain favorable, les organisations sont condamnées à l’échec dans leurs efforts de protection des données.
Pour apporter des solutions efficaces et pallier à ce problème, le livre blanc met en évidence 6 axes de travail pour aider les organisations à s’organiser et propose des recommandations pratiques pour établir une collaboration efficace entre les DPO et les RSSI. En particulier, 6 axes d’améliorations concrets sont dégagés et documentés pour aider les DPO et RSSI à renforcer progressivement la qualité de leur collaboration :
1. Constituer et maintenir à jour le registre des traitements SSI
2. Documenter les mesures de sécurité de tous les traitements
3. Réaliser l’étude des risques sur la sécurité des données dans les analyses d’impact sur la vie privée
4. Constituer et maintenir le registre des violations de données
5. S’assurer de l’application des principes de privacy by design & by default dans les projets
6. Piloter, superviser et contrôler les risques
Pour plus d'informations sur comment mettre en place concrètement ces axes d’amélioration dans votre organisation, consultez le livre blanc "DPO et RSSI, comment collaborer ensemble ?”. 

Nos souhaits pour les DPO et les RSSI sur les 5 prochaines années 

Alors, que souhaiter aux DPO et RSSI pour les 5 années à venir ? Nous souhaitons simplement que ceux-ci deviennent les meilleurs amis, et soient les premiers à s’appeler sur les questions de protection des données. D’autant qu’à l’avenir, les nouvelles règlementations en cours sur la sécurité de l’information tels que NIS2 s’approcheront du niveau d’exigence du RGPD, voire le dépasseront. Ainsi, comme l’a dit Emmanuel Naëgelen le directeur général adjoint de l’ANSSI à l’Université des DPO 2023 organisé par l’AFCDP, « les « RSSI et les DPO seront enfin dans le même bateau et auront sacrément intérêt à se serrer les coudes » ! 
Contacter le partenaire

Cybersécurité rime-t-elle avec RGPD ?

Article offert par notre partenaire
Bluefiles
Contacter le partenaire
La sécurité de l’information reste un concept difficilement assimilé et accepté par tous ; il y a toujours confusion entre sécurité informatique et sécurité des systèmes d’information. Pourtant elle fait partie des principes fondamentaux de la protection des données.

 La protection des informations et du numérique a bien pour objectif d’éviter tout incident de sécurité, d’origine malveillante ou non et se produisant de manière intentionnelle ou non, ayant comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité de données et ainsi de limiter les risques. Les causes de ces risques peuvent être multiples : humaines (salariés), parfois délibérées (concurrents) voire malveillantes (fraudeurs organisés) ; ou purement matérielles telles que des pannes (hardware ou software), des accidents (incendies, dégâts des eaux…) et autres sinistres (perte, casse…). 

Concernant particulièrement les données à caractère, toute entreprise est à même de collecter, rédiger, traiter et communiquer des données. Et ce, en interne, comme à l’extérieur. Le Règlement Général sur la Protection des Données (RGPD) impose les entreprises, tous les secteurs d’activité sont concernés, à mettre en place de mesures efficaces pour sécuriser les données personnelles qu’elles traitent. Pourtant quelques surprises apparaissent régulièrement : 

 • Demandes de pièces sensibles (CNI, bulletins de salaire, arrêts maladie…) par mail ; 
 • Envois d’informations avec des pièces jointes volumineuses via différentes plateformes n’offrant pas nécessairement les garanties suffisantes en matière de protection ; 
 • Utilisation dangereuse, mais toujours dans un objectif de « bien faire », du « shadow IT » ;
 • … 


Les informations traitées ou confiées doivent être protégées, et ce, en interne, comme à l’extérieur. Que les échanges soient entrants, en interne ou sortants. Cependant, et particulièrement avec le numérique, ces contenus sont parfois mal maîtrisés, et représentent ainsi une menace à court comme à long terme. Si autrefois les informations sensibles étaient envoyées sous pli elles le sont trop fréquemment aujourd’hui par mail. 

Pourtant les moyens sont là pour pallier aux difficultés rencontrées par les entreprises :

L’intégrité des données peut ainsi être assurée par des fonctions de hachage, auxquelles il est possible d’y apposer une signature permettant en plus d’assurer la vérification de l’origine de l’information et son authenticité. 
• La confidentialité des données est assurée par leur chiffrement. Différentes solutions de chiffrement peuvent être utilisées, tels que les solutions certifiées ou qualifiées par l’Agence nationale de sécurité des systèmes d’information. 
• La disponibilité des données est assurée, outre les une garanties « promises » par les directions informatiques, mais par les bonnes sauvegardes (ce qui peut être utile en cas d’incident). Et, pour les services adossés au Cloud, s’appuyer sur un prestataire d’hébergement de confiance pour les traitements et les données les plus sensibles. Pour les technologies Cloud, la certification SecNumCloud permet de garantir un niveau de confiance sur le service d’hébergement mais également de se prémunir des lois à portée extraterritoriale. Si en plus les logiciels utilisés sont « souverains ». Par ailleurs, les solutions Cloud permettent également de renforcer le plan de continuité d’activité pour anticiper la gestion d’évènements potentiellement bloquants (panne généralisée, attaque informatique…) qui mettraient à mal les traitements de donné à caractère personnel. Que ce soit pour la cybersécurité ou la conformité au RGPD, la rime est bien présente. Les analyses de risques ou d’impacts sont complémentaires.  
Contacter le partenaire

COMMENT INSTAURER UNE CULTURE DE LA COMPLIANCE DANS SON ORGANISATION ?

Article offert par notre partenaire 
 Data Legal Drive
Contacter le partenaire
Les organisations, publiques ou privées, ont l’obligation de respecter des lois et réglementations en vigueur, mais également des normes dites éthiques et des « best practices ». 

On parle alors de « conformité » (ou « compliance »). La Compliance peut regrouper des domaines variés (et non exhaustif) :

 • La gouvernance 
 • La gestion des risques 
 • L’éthique des affaires 
 • La lutte corruption 
 • Les risques environnementaux et sociaux 
 • La sécurité 
 • La concurrence 
 • La protection de la vie privée 
 • La protection des données 

Afin de les respecter, les Compliance Officers, Ethic Officers, Directeurs de la gouvernance, Directeurs juridique, Data Protection Officers et autres fonctions dédiées doivent réaliser des procédures, déployer des processus et mettre en œuvre des contrôles afin de s’assurer de leur respect. Mais au-delà, un enjeu pointe : l’humain.

Abraham Lincoln disait : « l’adhésion populaire est essentielle. Avec l’adhésion populaire, rien ne peut échouer. Sans elle, rien ne peut réussir». 

En effet, le meilleur moyen d’inciter un groupe de personnes à respecter des règles, au-delà de la procédure, du système de la récompense, ou de la sanction, est de le faire adhérer à l’objectif de fond que ces règles encadrent. Ainsi, en matière de compliance, un moyen essentiel de réussite de son programme de conformité, est l’acculturation des équipes aux principes qui sous-tendent cette conformité.

Alors comment instaurer une culture de la compliance dans son organisation ? Quelles sont les différentes étapes permettant de parvenir à cette fin ? 
Instaurer une culture de la conformité au sein de son organisation nécessite que chacun, à tous niveaux, s’engage et participe dans cette voie, ainsi chacune des étapes suivantes devra être respectée. 

Etape 1 : sensibiliser 

Il est absolument nécessaire de sensibiliser les acteurs à l’importance des règlementations et règles à suivre. Non seulement sur les principes, mais surtout sur le « pourquoi ». Il est en effet important que chacun comprenne pour quelles raisons ces règles doivent être respectées (au-delà des obligations légales) et notamment en quoi cela sera bénéfique pour l’organisation, ses collaborateurs, mais également pour la société de manière générale.
Il est ainsi recommandé de réaliser des sensibilisations courtes, accessibles, ludiques, et qui mettent l’accent sur l’engagement de fond porté par les règles. 
Elles peuvent être réalisées au format webinar, e-learning ou encore en présentiel ou sous forme de serious games.
Ces sensibilisations doivent toucher tous les collaborateurs, de manière régulière et si possible, obligatoire afin de s’assurer que chacun aura eu la possibilité d’en prendre connaissance. 


 Etape 2 : impliquer les instances dirigeantes

Les instances dirigeantes doivent avoir un rôle de sponsor d’abord pour permettre aux équipes responsables de la conformité d’avoir les moyens de diffuser la dite-culture, mais également être vecteur d’exemple afin d’inciter les autres collaborateurs à faire de même. 


 Etape 3 : communiquer

Il s’agira de faire de l’enjeu de conformité une valeur forte et propre à l’organisation. Ainsi, il sera nécessaire de communiquer sur cela, d’abord en interne, auprès des collaborateurs, sur les démarches prévues et mises en œuvre, ainsi que sur le rôle que chacun a à jouer. 
Les communications peuvent se faire au format classique, via des mails ou des articles mis à disposition dans l’intranet de l’organisation, ou de manière plus impactante via des évènements dédiés, des jeux concours, ou encore des « journées de ». 
 Il peut également être envisagé de communiquer en externe afin d’engager l’ensemble des équipes, mais également pour faire de ses engagements, un levier de compétitivité et garantir la bonne réputation de l’organisation.

Etape 4 : procédurer et contrôler 

Il est nécessaire de déployer les moyens et les procédures mises en œuvre pour respecter les différentes règlementations applicables. Ces dites règlementations, précisent en général quels sont les processus obligatoires (ou recommandés) à mettre en œuvre pour ce faire. Ces moyens doivent permettre en pratique aux collaborateurs de réaliser les actions nécessaires à la conformité.
Mais puisque la confiance n’exclut pas le contrôle, il sera également nécessaire de prévoir des contrôles réguliers des processus mis en œuvre. Ils permettront de veiller à leur fonctionnement, leur efficacité, et d’identifier les moyens pour les améliorer. Ils pourront être réalisés en premier niveau (contrôle permanent) par les responsables de la conformité, et en 2e niveau par une entité indépendante dédiée à l’inspection ou l’audit. 
 Par ailleurs, ces contrôles permettront également de démontrer que des démarches ont été entreprises, et la conformité effective aux règlementations applicables.  
Contacter le partenaire

Droit à l’oubli, droits des personnes : que dit le RGPD ? 

Article offert par notre partenaire Witik
Contacter le partenaire
Droit à l’oubli, droit à l’effacement des données personnelles, droit à la portabilité… Vous avez déjà croisé ces notions ? Vous êtes en charge du respect du RGPD en tant que DPO dans votre entreprise ?
Le RGPD impose de faciliter le respect de certains droits que les personnes concernées ont dès lors que vous collectez ou utilisez leurs données. Que recouvre exactement cette obligation ? Quels sont les droits concernés ? Comment répondre concrètement aux demandes émises par les personnes envers votre entreprise ? C’est ce que nous allons voir dans ce guide pratique sur l’exercice des droits des personnes dans le RGPD.

Droit à l’oubli et droit des personnes : qu’est-ce que c’est ?  
Le RGPD énumère un certain nombre de droits des personnes dans son chapitre III. Le premier élément à comprendre est à qui s’applique ses droits. La réponse : les droits prévus par le RGPD cibles les “personnes concernées”, c’est-à-dire les personnes sur lesquelles vous détenez des données personnelles. Il peut donc s’agir de vos clients, de vos prospects, de partenaires et fournisseurs et même de vos salariés.  
Certains de ces droits représentent en pratique une obligation continue pour les entreprises. Il s’agit notamment du droit à l’information : pour le respecter, vous devez mettre en place une information claire et facilement accessible sur votre politique de confidentialité et sur la manière dont vous traitez les données de vos utilisateurs.  D’autres droits font l’objet d’une demande de la part des personnes concernées. Ce sont elles qui les exercent et leur application suppose que votre entreprise soit en mesure de prendre en compte et de traiter les demandes. Ces droits sont donc autant d’outils que les personnes concernées ont à leur disposition pour maîtriser l’utilisation qui est faite de leurs données. Il faut donc mettre en place les moyens techniques et opérationnels nécessaires pour répondre à ces demandes. Mais d’abord, quels sont ces droits ?  
(Cf: Image ci-dessous: Le RGPD)

Quels sont les droits concernés ?  
Le RGPD consacre 6 droits des personnes que vous devez prendre en compte.  

Le droit d’accès
 Ce droit permet à une personne concernée d’obtenir une confirmation du traitement de ses données personnelles et d’en obtenir une copie. Obtenir l’accès à ses données permet notamment d’en vérifier l’exactitude. A noter : il est conseillé de demander à la personne concernée à quelles données il souhaite accéder afin de ne pas faire un export total de ses données personnelles de manière systématique.

Le droit de rectification  
Ce droit permet de mettre à jour, corriger ou modifier des données personnelles. L’idée est alors de limiter la diffusion d’informations erronées ou qui ne seraient plus valables, comme des coordonnées personnelles, l’appartenance à une entreprise, etc…  A noter : ce droit ne s’applique pas aux traitements littéraires, artistiques et journalistiques et s’applique différemment pour les données de police, de gendarmerie ou de renseignement (la demande se fait auprès de la CNIL et un magistrat de l’organisme de contrôle est en charge de son traitement).  
 
Le droit à la portabilité des données 
 Ce droit permet la transmission des données personnelles à un tiers. En général, il peut être appliqué en cas de changement de fournisseur, par exemple. Dans ce cas, il est impératif de transmettre les données à un format lisible et compatible pour un traitement par ordinateur, en particulier avec un système qui pourrait être différent du vôtre (interopérabilité).  

Le droit à l’oubli  
 Ce droit permet d’obtenir l’effacement de ses données personnelles. L’exercice de ce droit particulier est cependant limité aux cas suivants :  
 • les données sont utilisées à des fins de prospection ; 
 • les données ne sont pas ou plus nécessaires au regard des objectifs pour lesquels elles ont été initialement collectées ou traitées ; 
 • le consentement a été retiré ; 
 • les données font l’objet d’un traitement illicite (publication de données obtenues illégalement, par exemple) ; 
 • les données ont été collectées sur un mineur dans le cadre de la société de l’information (blog, forum, réseau social, site web etc.) ; 
 • les données doivent être effacées pour respecter une obligation légale. Attention : l’exercice de ce droit n’entraîne pas la suppression définitive de toutes les données, la personne concernée doit préciser lors de sa demande quelles données il souhaite supprimer. Dans certaines situations le droit à l’oubli ne peut pas être exercé, c’est le cas lorsque ce droit va à l’encontre de principes protégés par la loi. En pratique, il ne peut être exercé s’il va à l’encore :  
 • de l’exercice du droit à la liberté d’expression et d’information 
 • du respect d’une obligation légale (conservation des bulletins de salaire, conservation de factures etc.) 
 • de l’utilisation des données concernant un intérêt public dans le domaine de la santé 
 • de l’utilisation des données à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques 
 • de la constatation ou de l’exercice de droits en justice. 

 Le droit d’opposition
  Ce droit permet de s’opposer à tout moment à ce que les données personnelles soient utilisées dans un but précis. Il ne s’agit donc pas d’une suppression des données, comme dans le droit à l’oubli, mais bien de stopper l’utilisation des données par rapport à une finalité précise. La personne concernée devra justifier des raisons tenant à sa situation particulière.  Cependant, lorsque le traitement est lié à une prospection commerciale, la personne concernée peut exercer son droit à tout moment et sans motif particulier. C’est le cas notamment lorsqu’il se désabonne d’une newsletter ou qu’il souhaite sortir d’une liste de prospects. 

Le droit d’information
On en a déjà parlé, ce droit est un peu particulier en ce qu’il ne suppose par une demande précise et une action correspondante de votre part, mais des obligations à respecter en amont. Cependant, il fait bien partie de la liste des droits des personnes liées à l’utilisation de leurs données personnelles. 
(Cf: Image ci-dessous: Comment répondre à une demande)

Comment répondre à une demande concernant les droits des personnes ? 
 En tant que responsable de traitement, vous devez dans chaque cas : 
1- Analyser la recevabilité de la demande et vérifier l’identité de la personne en cas de doute raisonnable. 
2- Confirmer à la personne que vous traitez bien ses données. 
3- Prendre les mesures nécessaires pour répondre à la demande :  
 • Donner accès aux données dans un format compréhensible et en reprenant les mentions obligatoires ; 
 • Mettre à jour et rectifier les données ; 
 • Transmettre les données dans un format lisible par ordinateur pour permettre leur portabilité ; 
 • Supprimer les données (dans la limite du droit à l’effacement / droit à l’oubli ; 
 • Traiter la demande en cas d’opposition (par exemple, retirer la personne d’une liste de diffusion, etc… ;
 4- Informer la personne que sa demande a bien été traitée et clôturer l’incident.  L’exercice des droits nécessite donc de mettre en place des process et des moyens techniques spécifiques. En particulier, il est conseillé de proposer un canal facile et accessible pour permettre aux utilisateurs d’exercer leurs droits.  Dans le cas contraire, ceux-ci pourraient s’adresser à un service clients, à leur contact commercial, etc… ce qui provoque rapidement un délai rallongé pour le traitement des données, ainsi qu’une difficulté à centraliser les demandes auprès des bons interlocuteurs. 
  
Contacter le partenaire

Image illustration article: Droit à l’oubli, droits des personnes : que dit le RGPD ?

Titre de l'image 6

Quand la conformité RGPD et le Numérique Responsable se rencontrent 

Article offert par notre partenaire Lock-t
Contacter le partenaire
Quand la conformité RGPD et le Numérique Responsable se rencontrent

La conformité au Règlement Général sur la Protection des Données (RGPD) et le Numérique Responsable (NR) sont désormais deux notions incontournables pour le monde numérique et celui des affaires. Le Règlement Général sur la Protection des Données (RGPD), est une réglementation européenne qui définit les règles à suivre en matière de protection des données personnelles. Le Numérique Responsable quant à lui, est une démarche d’amélioration continue qui vise à réduire l’empreinte écologique, économique et sociale des Technologies de l’Information et de la Communication (TIC). Ces deux concepts sont étroitement liés dans la mesure où l'application des principes du RGPD participe à l’adoption par les entreprises de pratiques plus responsables sur le plan numérique. 


Le RGPD : un cadre réglementaire pour protéger les individus

Le RGPD vise à protéger les personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Il émane notamment de la volonté d’adapter les lois nationales afin de mieux répondre aux défis de sécurité que posent les récents développement du numérique (réseaux sociaux, big data, Cookies, Blockchain, IA). Il établit ainsi des principes fondamentaux de traitement de données à caractère personnel (minimisation des données, transparence, sécurité…), renforce la responsabilité des Responsables de traitement, et impose à ces derniers de nouvelles obligations. 


Le Numérique Responsable : une approche durable de la technologie 

Le Numérique Responsable (NR) est une démarche d’amélioration continue qui vise à réduire l’empreinte écologique, économique et sociale du numérique. En effet, ce dernier est responsable d'une part importante des émissions de gaz à effet de serre durant tout le cycle de vie des équipements (extraction de matière première, fabrication, transport, utilisation, destruction etc.). Le NR repose ainsi sur 5 axes stratégiques : optimiser les outils numériques pour limiter les impacts et la consommation, offrir des services accessibles pour tous, inclusifs et durables, mettre en place un numérique éthique et responsable, assurer la résilience des organisations par un numérique responsable, permettre l’émergence de nouveaux comportements et valeurs. Il promeut certaines bonnes pratiques telles que : allonger la durée de vie des équipements, favoriser l’achat de matériels reconditionnés, favoriser le télétravail, utiliser des applications technologiques écoconçues.


La conformité RGPD et le Numérique Responsable : des objectifs communs

Au cœur de la conformité RGPD se trouve l’individu. Toute la démarche consiste à le protéger à l’égard du traitement de ses données. Cette protection passe notamment par le respect des principes suivants : la minimisation des données, la transparence des traitements, la protection des supports de traitements et de stockage, la limitation de la durée de conservation des données, la protection des données dès la conception. Ces principes font écho aux axes stratégiques du NR qui convergent vers la protection de l’individu et de l’écologie. Par exemple, lorsque le RGPD impose de collecter uniquement les données nécessaires et de les conserver de manière limitée, cela contribue également à limiter les supports et volumes de stockage et donc émettre moins de gaz à effet de serre. Aussi, le principe Privacy by design et l’écoconception doivent désormais se conjuguer en matière de développement d’application technologique. De même, l’application des bonnes pratiques NR comme le reconditionnement des matériels, le télétravail, le BYOD implique nécessairement de tenir compte du RGPD. Ainsi, les deux matières s’inscrivent dans le champ de l’éthique et de la protection. Il est dès lors envisageable, et même préférable, de les aborder de manière simultanée et intégrée. Le RGPD et le NR sont donc des approches complémentaires qui visent à garantir une utilisation responsable et éthique du numérique. En respectant les obligations du RGPD et en adoptant une approche NR, les entreprises peuvent assurer une utilisation responsable et durable du numérique, tout en protégeant les droits fondamentaux des individus et en contribuant à la lutte contre les enjeux sociaux et écologiques.  
  
Contacter le partenaire

component bloc not found