Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

14 janviers 2020 Université AFCDP des DPO : Découvrez le programme !

décembre 2019 par Marc Jacob

Les DPO (Data Protection Officers) se réuniront à Paris le 14 janvier 2020, à l’initiative de l’AFCDP, pour ce rendez-vous désormais incontournable. Le cap de plus de 1000 visiteurs sera certainement franchi à cette occasion. C’est pourquoi l’AFCDP l’organise cette année à la Maison de la Mutualité afin de proposer davantage d’interventions à destination des professionnels de la conformité au RGPD et à la loi Informatique et Libertés. Pour vous donner un avant-goût, découvrez ci-dessous le programme en bref et sa version détaillée.

LE PROGRAMME EN BREF

Ouverture de la matinée par Paul-Olivier Gibert, président de l’AFCDP
Matinée plénière
o Quand le politique se saisit de la chose numérique - Intervention d’Éric BOTHOREL, Député des Côtes d’Armor (LREM).
o Comment le RGPD a-t-il été mis en œuvre chez nos voisins… et comment pourrait-il évoluer ? Intervention d’Olivier MICOL ? Chef de l’unité « Protection des données » à la direction générale de la justice et des consommateurs.
o Les géants américains du numérique : magnats de la finance – Intervention de Paul-Adrien HYPPOLITE et d’Antoine MICHON, ingénieurs et hauts fonctionnaires.
o Intervention de Marie-Laure DENIS, Présidente de la CNIL

Cocktail déjeunatoire
Après-midi : Ateliers/Forums
o Codes de conduite : sont-ils « la » solution pour les PME-PMI ?
o La conduite du changement autour du RGPD
o « Fusionnons notre référentiel documentaire des Archives et notre Registre des traitements ! »
o La protection des données, un enjeu majeur de communication pour une start-up
o Hébergeur de données de santé
o Reconnaissance faciale : sécurité, enjeux de conformité et perspectives
o Mise en conformité RGPD de la capitale du Val de Loire
o Comment piloter la conformité RGPD de vos sous-traitants ?
o Le DPO n’est ni un ennemi, ni un paillasson : comment gérer les conflits ?
o Le budget du DPO : un facteur d’indépendance
o Ressources Humaines et Intelligence Artificielle
o Cookies : quelles conséquences pratiques de l’évolution du cadre juridique ?
o Destruction des supports en fin de vie dans le cadre du RGPD
o Synergie entre une DPO et une Datenschutzbeauftragter
o Passer du mode Projet au mode Run : pas si simple que cela…
o Comment le centre de gestion du Pas-de-Calais relève le défi du RGPD ?
o Privacy by Design : enjeux de la mise en place d’un projet
o Le RGPD est-il adaptable aux outils fondés sur l’intelligence artificielle ?
o Droit des données personnelles et secret des affaires
o Comment partager en toute sérénité des données personnelles au sein d’un même groupe ?
o Est-il possible de contrôler la conformité de son sous-traitant ? Même un GAFA ?
o Nouvelles pratiques RH : enjeux et perspectives
o Anonymisation : enjeux, difficultés et limites
o Comment auditer sa conformité RGPD ?
o Approche FALC (Facile à Lire A Comprendre) : comment rendre accessible le RGPD ?
o Sécuriser les emails pour protéger les données personnelles ?
o La nécessaire régulation du design et des architectures de choix


LE PROGRAMME DE LA MATINÉE PLÉNIÈRE

Ouverture de la matinée par Paul-Olivier Gibert, président de l’AFCDP

MATINÉE PLÉNIÈRE

o Quand le politique se saisit de la chose numérique - Intervention d’Éric BOTHOREL, Député des Côtes d’Armor (LREM).
o Comment le RGPD a-t-il été mis en œuvre chez nos voisins… et comment pourrait-il évoluer ? Intervention d’Olivier MICOL ? Chef de l’unité « Protection des données » à la direction générale de la justice et des consommateurs.
o Les géants américains du numérique : magnats de la finance – Intervention de Paul-Adrien HYPPOLITE et d’Antoine MICHON, ingénieurs et hauts fonctionnaires.
o Intervention de Marie-Laure DENIS, Présidente de la CNIL


Quand le politique se saisit de la chose numérique

Éric BOTHOREL, Député des Côtes d’Armor (LREM)

Eric Bothorel est président du groupe d’études « Économie numérique de la donnée, de la connaissance et de l’Intelligence artificielle » à l’Assemblée nationale. En 2017, il publie avec Laure de La Raudière (Les Constructifs) un rapport sur la couverture très haut débit du territoire ainsi qu’un second rapport d’information sur le marché unique du numérique. En 2018, il fait adopter un amendement qui permet aux utilisateurs de choisir librement leur navigateur et leur moteur de recherche, et non ceux pré-installés et proposés par défaut sur les smartphones et les tablettes. En 2018, il publie un troisième rapport sur la fiscalité du numérique. Début 2019, il a été désigné rapporteur de la proposition de loi visant à sécuriser les réseaux mobiles 5G.


Comment le RGPD a-t-il été mis en œuvre chez nos voisins… et comment pourrait-il évoluer ?

Olivier MICOL, Chef de l’unité « Protection des données » à la direction générale de la justice et des consommateurs », Commission européenne. Entretien animé par Corentin HELLENDORFF, Juriste expert auprès du DPO d’OVH.

Le RGPD laissait quelques 56 marges de manoeuvre aux États membres, dans les nombreux domaines où l’harmonisation complète se révélait impossible. Ces marges de manoeuvre concernent ainsi la « majorité numérique », l’utilisation de numéro d’identification nationale, le régime des sanctions pénales applicables en cas de violation des principes du règlement, les critères de déclenchement des sanctions administratives ainsi que leur dimension ou encore les limitations au traitement des données génétiques, biométriques ou concernant la santé. M. Micol (Président du groupe d’experts européens qui a suivi la rédaction des différentes lois nationales qui ont couvert ces marges de manoeuvre) se propose de de faire un rappel sur la mise en oeuvre du RGPD chez nos voisins. Au final, le Règlement qui visait à homogénéiser les règles a-t-il répondu aux besoins ? Seront également abordés les premiers travaux relatifs à l’éventuelle évolution du RGPD, comme le prévoit son article 97. ________________________________________

Les géants américains du numérique : magnats de la finance
Paul-Adrien HYPPOLITE et Antoine MICHON, ingénieurs et hauts fonctionnaires.

Si les géants américains des nouvelles technologies sont tantôt adulés à l’occasion du lancement de leurs produits, tantôt vilipendés pour leur emprise sur notre vie quotidienne, leur usage important des données personnelles ou leur faible niveau d’imposition, un sujet reste largement occulté : leur influence grandissante dans la finance internationale. Fortes d’un succès commercial sans précédent, les entreprises phares de la « tech » ont accumulé ces vingt dernières années d’immenses réserves de liquidités dans leurs trésoreries. Paul-Adrien Hyppolite et Antoine Michon nous montreront qu’à contre-pied de leur image d’innovateurs de premier plan, ces entreprises ont fait le choix d’une gestion ultra-conservatrice de ce capital. Ils évoqueront ensuite les conséquences de cette situation, notamment sur la concurrence et l’innovation dans le secteur.


Intervention de Marie-Laure DENIS, Présidente de la CNIL

En quelques mois, la nouvelle Présidente de l’autorité de contrôle a imprimé sa marque, dans un contexte où la CNIL fait face à une très forte charge. Elle a aussi annoncé clairement la fin de la période de « transition » après une longue période durant laquelle la CNIL a fait preuve de patience. Après avoir lancé un MOOC de très grande qualité, la Commission qu’elle dirige poursuit et amplifie ses actions visant à accompagner tous les organismes qui traitent des données personnelles et enrichir le « droit souple ». Dans cette optique, le Délégué à la Protection des Données revêt une importance toute particulière, DPD que la Présidente de la CNIL est impatiente de rencontrer à l’occasion de l’Université qui les rassemble chaque année. ________________________________________

LE PROGRAMME DE L’APRÈS-MIDI : ATELIERS /FORUMS

Codes de conduite : sont-ils « la » solution pour les PME-PMI ? Antoine BON – Conseiller juridique, APD (Autorité de contrôle belge), Philippe COSTARD – Co-animateur du groupe « AFCDP Belgique » et DPO de Santhea.
Les codes de conduite, prévus par l’article 40 du RGPD, sont élaborés par les acteurs professionnels (fédérations, organisations professionnelles) et traduisent une application concrète de la réglementation sur la protection des données à un secteur d’activité donné et se composent de bonnes pratiques (durée de conservation, mention d’information, modes opératoires...). Attention : ces codes sont contraignants (un organisme est chargé d’en contrôler le respect) et n’exonèrent en rien d’un contrôle par la CNIL. Mais sont-ils « la » solution attendue par les PME pour prouver à moindre frais leur conformité au RGPD ? ________________________________________

La conduite du changement autour du RGPD
Martina DUCHONOVA, Group Data Protection Officer, CNP Assurances, et Philippe SALAÜN, Délégué à la Protection des Données, CNP Assurances. CNP Assurances mène des actions de sensibilisation (communication globale, sensibilisation, formation, change management) depuis plus de dix ans sur les sujets relatifs à la conformité Informatique et Libertés (et, ces dernières années, au RGPD). Martina Duchonova et Philippe Salaün reviendront sur ces actions, nombreuses et diverses, et en commenteront les apports, les difficultés et les résultats : intégration du risque de « non-conformité Informatique et Libertés » dans le dispositif de contrôle interne, Onglet du site intranet dédié à la sensibilisation « Informatique et Libertés », Quizz en ligne avec plusieurs niveaux d’expertise, sensibilisation des Comités de Direction des Business Units, sensibilisation sur les thèmes spécifiques, Digital Days, formation en présentiel, MooC sur les fondamentaux RGPD, etc. ________________________________________

« Fusionnons notre référentiel documentaire des Archives et notre Registre des traitements ! »
Véronique CHATONNIER, Délégué à la Protection des Données de Paris Habitat, et Laetitia BILHAUT, Responsable des archives, Paris Habitat.
Dans une démarche de gouvernance de l’information de Paris Habitat, la Responsable des Archives et la Déléguée à la Protection des Données ont décidé de fusionner leurs référentiels respectifs afin de disposer d’un outil commun de gestion des documents et données. Les objectifs étant de : Gagner en cohérence et en lisibilité sur les règles de gestion documentaire ; Identifier et gérer les risques liés à la conservation et l’accessibilité des documents et données ; Mutualiser les expertises règlementaires. Mais comment structurer le référentiel ? Comment le faire vivre ? Quelles ont été les difficultés rencontrées ? Quels ont été les leviers ? Quel rôle a joué la direction de l’informatique ? Quelle sera la prochaine étape dans une logique de gouvernance de l’information ? Lors de cette intervention, Véronique Chatonnier et Laetitia Bilhaut, valoriseront cette démarche qui démontre qu’avec peu de moyens et l’expertise de chacun, le registre d’activités peut-être fiabilisé et devenir un outil de pilotage commun.


La protection des données, un enjeu majeur de communication pour une start-up
Edouard ALEXANDRE, CEO d’Ideel.
Opérationnelle depuis janvier 2019, la plate-forme Ideel gère les abonnements de ses utilisateurs à titre gratuit : Streaming musical, téléphone mobile, séries et films, salle de sports, mutuelle... Quel que soit le service, l’utilisateur peut en quelques clics résilier, modifier son abonnement offre ou le suspendre. La viabilité de la plate-forme passe par la protection des données qui lui sont confiées, l’une des priorités de la jeune pousse pour laquelle la conformité au RGPD a été l’un des chantiers majeurs. « Dès lors qu’il a affaire à un service gratuit, le public est maintenant ultra-méfiant. La majorité est persuadée que l’on va forcément revendre ses données. C’est le premier feed-back que l’on reçoit de sa part. Or, ce n’est pas du tout notre cas », résume Edouard Alexandre le cofondateur de l’entreprise.________________________________________

Hébergeur de données de santé
Lorraine MAISNIER-BOCHÉ, Avocat, McDermott Will & Emery et Kahina HADDAD.
La nouvelle procédure de certification des hébergeurs de données de santé soulève de nombreuses questions, telles que celle portant sur le retrait annoncé de l’ « activité 5 administration et exploitation » qui figure actuellement dans les exigences, l’articulation de la certification HDS avec les plans de reprise ou de continuité de l’activité ou la sous-traitance ultérieure. ________________________________________

Reconnaissance faciale : sécurité, enjeux de conformité et perspective
Frédéric CONNES, Senior Manager Risk Advisory, et Delphine ZBERRO, Directeur Risk Advisory Deloitte. consultante en protection des données, DPO Consulting.
Préservation de l’ordre public, prévention anti-terroriste, gestion de la criminalité, accélération et optimisation du processus de paiement, renforcement des dispositifs de sécurité, marketing dans les magasins... Autant d’usages variés permis par la reconnaissance faciale au profit tant du secteur public que du privé. L’intervenant propose un tour d’horizon sur les principaux usages et technologies employées et les met en perspective face aux défis en matière de sécurité et, surtout, de conformité. Il partage des retours d’expérience clients et identifie les bonnes pratiques à mettre en place pour assurer la conformité des projets liés à la reconnaissance faciale.


Mise en conformité RGPD de la capitale du Val de Loire
Hugues DUROIR, DPO de la Ville de Tours et Frédéric FIEVET, DGS de la Ville de Tours Groupe.
Avec 140.000 habitants, la Ville de Tours est la plus grande ville de la région Centre-Val de Loire. Son DPO, Hugues Duroir, et le DGS de la Ville de Tours, Frédéric Fievet, témoignent de la façon dont la conformité au RGPD et à la loi Informatique et Libertés est assurée au sein de la collectivité et quel plan d’action a été suivi et est encore décliné. Quelles ont été les principales difficultés rencontrées et les points de satisfaction ? Quels moyens et quelles priorités ? Et quels projets pour les mois à venir ?


Comment piloter la conformité RGPD de vos sous-traitants ?

Franklin BROUSSE, Avocat au Barreau de Paris, RGPD Check.
Le contrôle de la conformité des sous-traitants est l’un des enjeux essentiels du RGPD. Comment vérifier que vos sous-traitants présentent les garanties nécessaires ? Quels sont les critères objectifs à appliquer ? Quelles sont les mesures techniques et organisationnelles appropriées visées à l’article 28 du RGPD ? Appréhendez les enjeux du pilotage de la conformité des sous-traitants au travers de retours d’expérience. ________________________________________

Le DPO n’est ni un ennemi ni un paillasson : comment gérer les conflits ? Jacques-Antoine MALAREWICZ, Psychothérapeute
Les conflits entre personnes sont inévitables dans le monde professionnel, mais il existe des méthodes éprouvées pour les prévenir, les contenir, les gérer et les résoudre. La résolution de conflits demande de conjuguer avec nuance raison et volonté, maîtrise de l’émotionnel, empathie et dialogue. Elle demande aussi préparation mentale, émotionnelle, physique et verbale. M. Malarewicz, auteur du livre « Gérer les conflits au travail - Développer la médiation face aux risques psycho-sociaux » (éditions Pearson, 2016), présente les solutions qui permettent à un DPO confronté à de telles situations d’en « sortir par le haut » et de les dénouer pour mieux travailler avec l’ensemble des directions Métier, les MOA, les Chefs de projet... et son responsable de traitement.


Le budget du DPO : un facteur d’indépendance
Marie-Noëlle SÉHABIAGUE, DPO de la branche Famille de la Sécurité Sociale et Administratrice de l’AFCDP.
La grande étude menée par le Ministère du travail sur le DPO, avec l’aide de l’AFCDP, a révélé que seuls 39,7 % des DPO disposent d’un budget dédié. Le fait de disposer d’un budget étant un facteur d’indépendance, son absence pose question (aucune possibilité de faire réaliser un audit, de bénéficier d’un conseil juridique, de se faire assister, de se former, etc.). Encore faut-il en demander. Il est vrai que l’exercice est délicat pour les personnes fraîchement désignées et qui découvrent le métier : elles manquent souvent de recul et d’expérience pour formuler et justifier leurs besoins. Il faut également tenir compte du fait que certains DPO exercent leur mission sur les budgets des directions métiers dont ils assurent la conformité des traitements (principe de « refacturation » interne). ________________________________________

Ressources Humaines et Intelligence Artificielle
Martine Ricouart-MAILLET, Avocate, BRM Avocats
Quels sont les questionnements juridiques et lignes d’accountability à définir en cas d’utilisation d’IA au sein d’une entreprise dans le périmètre RH ? Quelles sont les limites à ne pas franchir ? L’influence de l’intelligence artificielle est aujourd’hui très présente dans le processus de prise de décision algorithmique tout au long du cycle de la relation de travail : dès le recrutement (recherche d’une certaine « vérité » du candidat) mais aussi tout au long de la carrière du salarié (mobilité, gestion de la performance et détection des hauts potentiels, études d’engagement des collaborateurs ou encore de leur e-réputations). Et que dire de la reconnaissance de visage, de l’écoute et la reconnaissance de la voix des salariés, voire de l’identification de l’humeur des salariés, et de la tentation du décryptage de l’ « honnêteté » ? Quelle responsabilité de la fonction RH dans la configuration des IA et le paramétrage de la Data Analyse, en fonction de l’éthique, des valeurs, de la culture de son entreprise ? Comment préserver la valeur humaine ajoutée ? ________________________________________

Cookies : quelles conséquences pratiques de l’évolution du cadre juridique ?
Garance MATHIAS, Avocat fondateur, Aline ALFER, Avocat, Mathias Avocats et Hervé FORTIN, DPO de Servier France
Nouvelles lignes directrices de la CNIL, arrêt de la Cour de justice de l’union européenne, règlement européen e-privacy... Bon nombre de pratiques ne sont plus considérées comme permettant de recueillir valablement le consentement des internautes en termes de cookies et autres traceurs (Poursuite de la navigation, utilisation d’un site web ou d’une application, scroll sur une page, acceptation de CGU, case pré-cochée). Dans ce contexte, cet atelier d’actualité sera l’occasion d’évoquer les conséquences pratiques de l’évolution du cadre juridique applicable et leurs forts impacts opérationnels. Comment informer les internautes ? Comment recueillir leur consentement ? Pour quel périmètre ? Quelle place pour le Privacy by Design ?


Destruction des supports en fin de vie dans le cadre du RGPD
François COUPEZ, Avocat à la Cour et Julia BASIN, Business Development MANAGER katana Digital.
Votre matériel est obsolète mais pas les données contenues ! La législation impose de prendre au sérieux le traitement des données confidentielles et notamment au moment de la mise au rebus des supports. Pour cela, une norme existe - la DIN66399 - qui garantit la bonne exécution de la destruction par rapport au niveau de sensibilité des données se trouvant sur les supports. Plus les informations sont sensibles plus le support doit être détruit finement. La traçabilité apporte la certitude d’avoir traité l’ensemble des supports concernés et d’identifier tout manquant ou ajout. Une bonne traçabilité met ainsi l’entreprise en conformité avec les lois. Elle lui permet de prendre ses responsabilités et d’informer et agir en cas d’anomalie. La documentation exhaustive de chaque destruction lui donnera la possibilité de pouvoir se justifier si besoin. Le certificat de destruction ne suffit donc plus ! ________________________________________

Synergie entre une DPO et une Datenschutzbeauftragter
Maïlys LEMAÎTRE, DPO de Lidl
Avec le RGPD, les règles sont enfin homogènes au niveau européen... enfin presque. Découvrez le témoignage d’une Délégué à la Protection des Données qui exerce en France et qui, au quotidien, interagit avec sa collègue qui assure la conformité de l’entité allemande, la Datenschutzbeauftragter. Quels points communs ? Quelles différences, contraintes spécifiques ou divergences de vue ? Quelle synergie ?


Passer du mode Projet au mode Run : pas si simple que cela…
Philippe HUYON, DPO de la Redoute.
Après avoir mobilisé les équipes pendant plus d’un an, le RGPD fait désormais partie du quotidien des personnes. Mais comment - dans la durée - maintenir l’intérêt et l’attention des acteurs ? Comment contrôler le respect des procédures mises en oeuvre ? Quelle gouvernance adopter ? Que faire pour que la protection des données personnelles ne soit pas perçue comme une contrainte mais comme une composante à part entière du développement des entreprises ? L’intervention portera - entre autres - sur les thèmes suivants : les contrôles internes, la mise à jour du corpus documentation, l’accompagnement et l’évaluation des projets, la sensibilisation, le Bilan Annuel du DPO et son reporting, la veille et la façon de faire vivre la communauté des relais du DPO.


Comment le centre de gestion du Pas-de-Calais relève le défi du RGPD ?
Alice HUYS-MOCHEZ, DPO mutualisé, Centre de Gestion de la Fonction Publique Territoriale du Pas-de-Calais.
Comment les collectivités se sont-elles approprié le RGPD ? Quels sont les enjeux d’un accompagnement pour favoriser leur conformité ? Retour sur les perceptions, les réalités du terrain et l’accompagnement de proximité fourni par un DPO mutualisé et le service « Usages Numérique et Informatique » créé en avril 2018 au sein du Centre de Gestion de la Fonction Publique Territoriale du Pas-de-Calais. Au programme : adaptation constante, mutualisation et aspects managériaux dans la gestion du projet.


Privacy by Design : enjeux de la mise en place d’un projet
Laurent CLERC, directeur général, BMI System.
Après un rappel des nouvelles exigences introduites par le RGPD concernant la notion de « Privacy by design », les intervenants s’interrogeront sur ce qu’on entend par Privacy by Design (article 25 du RGPD) ainsi que sur les différents axes d’analyse à prévoir pour conduire cette vérification. Puis, à travers des exemples de projets issus de l’industrie pharmaceutique comme la mise en place d’ essais cliniques pour un médicament ou la surveillance des effets indésirables de spécialités pharmaceutiques (pharmacovigilance) et présentant différentes caractéristiques (implication de plusieurs départements, activités de traitement transnationales, recours à différents outils informatiques, sous-traitance entre filiales), les intervenants illustreront les critères et la méthodologie retenus pour évaluer la bonne prise en compte du Data Privacy by Design de la conception à la mise en place d’un projet.


Le RGPD est-il adaptable aux outils fondés sur l’intelligence artificielle ?
Henri LEBEN, Avocat et DPO externe et Eolia BUSATA, Avocate et DPO externe, Virtual DPO.
De plus en plus d’applications reposent sur l’intelligence artificielle. La question de la compatibilité de ces applications avec les dispositions issues du RGPD se pose donc de manière prégnante. L’atelier sera organisé en deux parties. Une première partie rappellera les difficultés liées à l’application du RGPD aux machine learning et deep learning. La seconde partie sera consacrée à une étude de cas fondée sur une application existante, expliquant étape par étape comment les dispositions du RGPD peuvent être appliquées à une solution fondée sur l’intelligence artificielle. La solution étudiée est une solution de CRM exploitant des données collectées auprès d’individus non professionnels. L’outil analysé vise à permettre au responsable de traitement d’affiner sa connaissance des individus, et à modifier les catégories dans lesquelles ceux-ci sont classés. Quid du recueil du consentement, de l’accès aux données traitées via le CRM, de la compréhension des traitements effectués, de l’anonymisation des données et réutilisation en vue de l’amélioration de l’intelligence artificielle ?


Droit des données personnelles et secret des affaires
Nicolas COURTIER, Avocat, Laura BECHADERGUE, Consultante en Droit de la donnée et Vincent FERRARA, Consultant en transformation digitale, DPO System.
La Loi qui transposait la Directive du 8 juin 2016 sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites a été votée le 30 juillet 2018. Probablement du fait du RGPD, qui était encore au coeur de toutes les discussions, ce nouvel outil de protection des actifs immatériels n’a pas eu la publicité qu’il méritait et les organisations, en conséquence, ne s’en sont pas suffisamment emparées. Ce texte contient-il des contradictions avec le RGPD (car ces secrets peuvent contenir des données à caractère personnel), alors que le RGPD impose d’en informer les personnes concernées ? La prise en compte et le traitement de cette contradiction doivent être envisagés par le DPO dont le rôle d’une fa on plus générale est aussi de connaître toutes les législations connexes qui s’appliquent au patrimoine immatériel des organisations.


Comment partager en toute sérénité des données personnelles au sein d’un même groupe ?
Guillaume GIROT, DPO de SNCF Mobilités.
Les groupes d’entreprises doivent mettre en place des mesures d’organisation, des méthodes et des outils pour encadrer le partage ou la mise en commun de leurs données. Des recommandations peuvent être faites pour permettre aux entreprises d’adapter ces mesures aux modèles de gouvernance des groupes auxquels elles appartiennent. La réglementation oblige à une transparence plus poussée vis-à-vis des personnes concernées en matière de collecte indirecte et d’opt-in partenaires. Les groupes doivent également adapter leur communication à ces nouvelles obligations. C’est ce qu’expliquera notamment Guillaume GIROT, DPO d’un grand groupe du secteur Transport.


Est-il possible de contrôler la conformité de son sous-traitant ? Même un GAFA ?
Caroline MACE, consultante juridique senior en protection des données personnelles, Digitemis, et Dimitri DRUELLE, Directeur des Opérations, Digitemis.
Contrôler et bien choisir son sous-traitant est depuis longtemps une obligation qui pèse sur le responsable de traitement. Si la conclusion d’un contrat conforme au règlement constitue une première étape cruciale, celle-ci est loin d’être suffisante. Il est en effet nécessaire d’adopter au sein de son organisme une vraie politique de gestion des sous-traitants et de mettre en place des process en vue de rendre cette gestion efficace. Alors comment mettre en place un plan de contrôle efficace de ses sous-traitants ? Comment le piloter ? Comment documenter ? Sur quels aspects doivent porter les contrôles ? A quelle fréquence doit-on les réaliser ? Comment les prioriser ? Quel est le rôle du DPO ? Quels sont les acteurs à mobiliser ? Quelles difficultés sont rencontrées par les responsables de traitement dans cette démarche ? Comment gérer les relations avec les fournisseurs de services numériques incontournables ?


Nouvelles pratiques RH : enjeux et perspectives
Kélig DUGUE, DPO du Groupe Fives et Marine BROGLI, Présidente de DPO Consulting.
L’employeur connaît aujourd’hui à la fois notre vie professionnelle, mais également de plus en plus d’informations personnelles, pour certaines sensibles comme les données fiscales dans le cadre du PAS, des informations sur notre situation familiale pour l’obtention d’avantages, ou d’infractions dans le cadre de l’utilisation de véhicule professionnel. La révolution numérique a permis de créer des ponts entre vie privée et vie professionnelle. Par ailleurs, la digitalisation de l’espace de travail offre aussi de nouvelles perspectives aux salariés : ces derniers n’ont plus de bureaux attachés, ils travaillent sur des tablettes ou des smartphones et sont en permanence connectés. Face à ces mutations, la Direction des Ressources Humaines doit s’adapter et proposer des modes alternatifs de travail. Autre sujet qui pose question : l’utilisation des appareils nomades.


Anonymisation : enjeux, difficultés et limites
Patrick REDOR, Chef de l’unité affaires juridiques et contentieuses, INSEE, Représentant du directeur général de l’INSEE au CNIS (Comité National de l’Information Statistique).
Pour le RGPD, il y a donnée à caractère personnel dès qu’il y a identification possible d’une personne physique, indépendamment des moyens mobilisés pour y parvenir. A contrario, l’anonymisation des données renvoie à un principe fort d’irréversibilité. C’est dans ce contexte que l’entrée en vigueur du RGPD a considérablement accru la demande autour des solutions et stratégies d’anonymisation. Mais la mise en place d’une telle approche présente certaines difficultés et limites qu’il est important d’avoir en tête avant de se lancer dans un tel projet. Dans cette intervention, Patrick Redor se propose de les décrypter. Spécialiste de la statistique publique, il abordera également les défis posés dans le cadre de la diffusion de données statistiques en Open data : comment est-il possible dans ce cas de concilier les exigences de la protection des données personnelles avec les besoins des utilisateurs en données détaillées ? Si l’anonymisation au plein sens du terme ne peut jamais être absolument garante, comment la moindre diffusion de données statistiques à des niveaux pertinents de détail est-elle possible ? Comment manier la notion de « risques résiduels » pour les personnes concernées ?


Comment auditer sa conformité RGPD ?
Elsa RAYMOND, DPO de Pôle EMPLOI, et Patrick MORAT, Directeur de l’inspection générale et de l’audit interne, Pôle Emploi (Atelier en partenariat avec l’IFACI).
Au titre de l’article 39.1.b du RGPD, le Délégué à la Protection des Données doit contrôler le respect du règlement. Il est même précisé que le rôle du DPO s’étend aux audits. Il est donc loin le temps où (certains) CIL se contentaient du déclaratif : il faut désormais vérifier – ou faire vérifier – que les « règles d’or » du RGPD et de la loi Informatique et Libertés ont une réalité, que ce soit en termes d’information des personnes, de sécurisation des données, de purge effective à l’issue de la durée de conservation ou de bonne gestion des droits des personnes. La DPO et le Directeur de l’inspection générale et de l’audit interne de Pôle Emploi présenteront leur démarche d’audit RGPD.


Approche FALC (Facile à Lire et A Comprendre) : comment rendre accessible le RGPD ?
Laurie PERIGAUX, DPO de la Fondation Massè-Trévidy et Christian VIALLON, consultant – co-animateurs du groupe de travail « FALC » de l’AFCDP.
Les personnes vulnérables souvent complétement démunies face aux jargons juridiques et aux phrases à rallonge : comment alors rendre accessible et compréhensible une mention RGPD quand on sait que 42 % de la population dit avoir du mal avec les documents administratifs ? Le RGPD oblige à délivrer une information « concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ». Dans le milieu du handicap, le FALC (Facile à Lire et A Comprendre) consiste à simplifier une information en intégrant la personne concernée dès la conception. C’est en s’inspirant de cette démarche que l’AFCDP a créé un groupe de travail afin que les professionnels concernés s’essaient à une simplification des informations RGPD. Les co-animateurs de ce groupe feront un retour sur le contexte, les constats, la démarche, ils feront la démonstration d’un premier travail et essaieront de vous mettre en situation.


Sécuriser les emails pour protéger les données personnelles ?
Virginie LANGLET, Experte ADF et Administratrice de l’AFCDP.
Trop souvent, des données personnelles - dont certaines peuvent être sensibles - sont transmises via messagerie électronique. Or un email peut être assimilé à une carte postale : il ne bénéficie d’aucune protection. De tels envois pourraient-ils être considérés comme des violations de données ? Mais comment convaincre les utilisateurs de changer leurs habitudes, sans les transformer en expert des technologies de chiffrement ? Le Conseil départemental des Alpes-Maritimes s’est attaqué à ce sujet, avec succès, et a mis en place une solution qui marie ergonomie et sécurité (elle est également utilisée par la MDPH). Forts d’un certain recul, deux acteurs principaux de ce projet se proposent d’en dévoiler les dessous, de l’analyse des besoins aux constats actuels. Quelles difficultés rencontrées ? Quelle conduite du changement ? Quelle appropriation par les agents du Département... et quel accueil par leurs destinataires ?


La nécessaire régulation du design et des architectures de choix
Régis CHATELLIER, Chargé d’études prospectives, LINC, CNIL.
Le LINC (Laboratoire d’Innovation Numérique de la CNIL) propose un regard différent en mettant en avant les activités d’innovation de la Commission qui, au-delà de son action de régulation, participe et catalyse des débats sur les enjeux reliant éthique, libertés, données et usages du numérique. C’est aussi un espace de création de liens avec les tous acteurs qui participent à la « révolution numérique ». Outre son actualité (comme la création de « Données & Design », une plateforme pour fédérer des designers soucieux d’intégrer au mieux la protection des données et des libertés dans leurs interfaces, services et produits), Monsieur Chatellier reviendra sur les travaux menés sur les enjeux du design dans la conception des services numériques, au prisme de la protection des données et des libertés. Ces travaux passionnants avaient donné lieu à la publication d’un cahier Innovation et prospective, intitulé « La Forme des choix - Données personnelles, design et frictions désirables ».


A propos de l’AFCDP - www.afcdp.net
L’AFCDP, créée dès 2004, regroupe plus de 6.000 professionnels de la conformité au RGPD et à la Loi Informatique & Libertés – dont les Délégués à la Protection des Données (ou DPO, pour Data Protection Officer). Si l’AFCDP est l’association représentative des DPD, elle rassemble largement. Au-delà des professionnels de la protection des données et des DPD désignés auprès de la CNIL, elle regroupe toutes les personnes intéressées par la protection des données à caractère personnel. La richesse de l’association réside – entre autres – dans la diversité des profils des adhérents : DPD, délégués à la protection des données, juristes et avocats, spécialistes des ressources humaines, informaticiens, professionnels du marketing et du e-commerce, RSSI et experts en sécurité, qualiticiens, archivistes et Record Manager, déontologues, consultants, universitaires et étudiants. Contacts Presse : Bruno RASLE, Délégué Général de l’AFCDP, Tel. Mobile. 06 1234 0884 delegue.general@afcdp.net et Corinne LAURIE, Relations Presse, corinne.laurie@agencenoailles.com, Tel. 01 47 50 00 50, Mob. 06 32 24 66 39.




Voir les articles précédents

    

Voir les articles suivants