RGPD. Le comprendre et le mettre en oeuvre, 2e édition
Le comprendre et le mettre en oeuvre
L’économie numérique, au coeur de la croissance et de la compétitivité des entre¬prises, repose en grande partie sur la confiance des clients et des citoyens. Cette confiance ne peut être accordée ou conservée que si les entreprises, les adminis¬trations se comportent de manière loyale et transparente dans le traitement des données personnelles. Le Règlement Général sur la [...]
[lire le résumé du livre]
Auteur : Loïc PANHALEUX , Dominique RENAUD , Pierre BEGASSE , Jacques FOUCAULT
Editeur : Eni
Collection : Datapro
Date parution : 06/2020 2e éditionQuel est le sujet du livre "RGPD. Le comprendre et le mettre en oeuvre, 2e édition"
L’économie numérique, au coeur de la croissance et de la compétitivité des entre¬prises, repose en grande partie sur la confiance des clients et des citoyens. Cette confiance ne peut être accordée ou conservée que si les entreprises, les adminis¬trations se comportent de manière loyale et transparente dans le traitement des données personnelles. Le Règlement Général sur la Protection des Données (RGPD) apporte un cadre permettant l’instauration de cette confiance.
Ce livre présente une méthode, des outils et des exemples, adressés aux personnes ayant en charge la mise en oeuvre du règlement, qu’elles soient DPO, responsable administratif et financier, responsable des ressources humaines, responsable informatique, chef de projet, etc. Cette nouvelle édition rend compte de l’évolution du droit en vigueur, présente les évolutions techniques et organisationnelles et permet aux auteurs de partager leurs retours d’expé¬rience acquis auprès des organisations.
Le lecteur commence par appréhender le règlement avec une approche permet¬tant d’en comprendre les éléments structurants puis découvre comment mettre en place un système opérationnel de management des données à caractère personnel qui permet aux entreprises de respecter les exigences du RGPD et de pouvoir le démontrer.
Les auteurs présentent ensuite les mesures de sécurité des données à carac¬tère personnel en détaillant notamment les mesures techniques et organisa¬tionnelles qu’un responsable de traitement doit mettre en oeuvre. Les relations contractuelles du responsable de traitement avec les éventuels sous-traitants sont également étudiées. Un chapitre relatif à la transmission des données présente les indications du RGPD sur la réglementation liée aux transferts de données vers des pays tiers ou à des organisations internationales.
Pour finir, le contrôle de la CNIL ainsi que les sanctions applicables en cas de violation du RGPD font l’objet de chapitres dédiés.
À l’issue de la lecture de ce livre, le lecteur sera en mesure de comprendre que le RGPD ne doit pas être perçu comme une contrainte mais comme un vecteur d’accompagnement à la transition numérique de l’entreprise.
Quizinclus dans
la version en ligne !
Dominique Renaud évolue dans le monde de l'IT depuis ses débuts professionnels. Consultant en organisation et sécurité des Systèmes d'Information depuis de nombreuses années, il est spécialisé sur la protection des données à caractère personnel et a obtenu récemment la certification "Privacy Implementer". Il accompagne les organisations privées et publiques de petites et moyennes tailles dans la mise en œuvre du RGPD, au travers de prestations réalisées sur site ou à distance.
Après une carrière de manager en Europe et en France, et après avoir dirigé pendant plus de 10 ans la société de conseil et d'expertise CAPACITI, Jacques Foucault est aujourd'hui consultant indépendant en système d'information. Certifié auditeur ISO 27001, il a formé ou accompagné depuis 2017 plus d'une centaine d'entreprises du secteur public ou privé dans la mise en œuvre du RGPD.
Loïc Panhaleux, Docteur en droit, est avocat au Barreau de Nantes et Maître de conférences à la Faculté de droit et des sciences politiques de Nantes. Il est spécialiste en droit des nouvelles technologies, de l'informatique et de la communication ainsi qu'en droit international et de l'Union européenne.
Après 25 années à exercer dans le domaine des systèmes d'information, et notamment en tant que consultant et formateur en sécurité, Pierre Bégasse est revenu à ses premières amours. Il se consacre dorénavant à la peinture et à l'illustration et c'est donc tout naturellement qu'il a réalisé les illustrations de ce livre.
En suivant ce lien, retrouvez tous les livres dans la spécialité Droit informatique - RGPD.
Sommaire et contenu du livre "RGPD. Le comprendre et le mettre en oeuvre, 2e édition - Le comprendre et le mettre en oeuvre"
Avant-propos
- Introduction
Introduction
- Le RGPD
- Le RGPD et la loi de 1978
- Approche(s) du RGPD
- Objet et sujets du RGPD
- Application dans le temps du RGPD
- Application dans l’espace du RGPD
- Impact du RGPD
- RGPD : obligations et opportunités
- Retours d’expérience : 10 constats et propositions
- 1. Identifier les rôles des acteurs du RGPD
- 2. Régulariser les relations « responsable/sous-traitant »
- 3. Désigner un gestionnaire d’activité detraitement
- 4. Ajuster les processus « métier »
- 5. Conserver, archiver, détruire
- 6. Intégrer la fonction de référent à lasécurité du système d’information
- 7. Assurer la gouvernance du RGPD dans le temps
- 8. Impliquer les éditeurs de solutions logicielles
- 9. Mieux gérer les violations de données à caractèrepersonnel
- 10. Sensibiliser : une démarche essentielle
Une première approche du RGPD
- Structure du document officiel
- 1. Considérants
- 2. Articles
- Principaux termes et définitions
- Les deux piliers du règlement
- Principes fondamentaux juridiques
- 1. Principes fondamentaux relatifs aux traitements deDCP
- a. Licéité, loyauté et transparence
- b. Finalité
- c. Proportionnalité des données
- d. Exactitude des données
- e. Conservation des données
- f. Sécurité des données
- g. Responsabilité (accountability)
- 1. Principes fondamentaux relatifs aux traitements deDCP
- 2. Principes fondamentaux relatifs aux droits des personnes concernées
- a. Information et communication
- b. Droit d’accès aux DCP
- c. Droit de rectification
- d. Effacement (droit à l’oubli)
- e. Droit d’opposition à un traitement
- f. Droit à la formulation de directives « décès »
- g. Droit à la limitation du traitement
- h. Droit à la portabilité des données
Un système de management
- Introduction
- Le système de management
- 1. Qu’est-ce qu’un système??
- 2. Qu’est-ce qu’un systèmede management ?
- 3. Caractéristiques d’un systèmede management
- Conception du SMDCP
- 1. Finalité du système
- 2. Interaction du système avec son environnement
- 3. Objectifs du système
- 4. Éléments qui le composent
- 5. Autres caractéristiques
- Processus du SMDCP
- 1. Définition
- 2. Déterminer le nombre et l’intitulé desprocessus
- 3. Objectifs, activités, élémentsde sorties et mesures techniques et organisationnelles attachéesaux 12 processus
- a. Processus - Accountability
- b. Processus - Traitements et transferts de données
- c. Processus - Droits des personnes concernées
- d. Processus - Sous-traitants
- e. Processus - Privacy by design
- f. Processus - Privacy by default
- g. Processus - Privacy Impact Assessment (PIA)
- h. Processus - Sensibiliser, former et communiquer
- i. Processus - Exigences, sollicitations, violations,poursuites
- j. Processus - Évaluer et auditer
- k. Processus - Gérer la documentation et lespreuves
- l. Processus - Piloter le SMDCP
- 1. Fonction de contrôle ou de feedback
- 2. Politiques du système
- a. Politique générale de protectiondes données à caractère personnel
- b. Politique de gestion des données à caractèrepersonnel
- a. Il est transversal
- b. Il est décrit
- c. Il est en amélioration constante
- d. Il fournit des preuves
- 1. Qu’est-ce que la gouvernance ?
- 2. Principes de la gouvernance
- a. Collégialité
- b. Transparence du cheminement décisionnaire
- c. Gestion des risques et des conflits
- d. Communication
- 1. Juxtaposition
- 2. Harmonisation
- 3. Mutualisation
Mise en œuvre du système de management
- Introduction
- Choix de la méthode
- Phase de conception
- 1. Étape 1 : Définir
- a. Objectifs
- b. Activités
- c. Livrables
- 1. Étape 1 : Définir
- 2. Étape 2 : Collecter
- a. Objectifs
- b. Activités
- c. Livrables
- 3. Étape 3 : Organiser
- a. Objectifs
- b. Activités
- c. Livrables
- 4. Étape 4 : Protéger
- a. Objectifs
- b. Activités
- c. Livrables
- d. Focus sur la rédaction de la politique degestion des données à caractère personnel
- 5. Étape 5 : Clôturer la phase
- a. Objectifs
- b. Activités
- c. Livrables
- 1. Les trois étapes de la phase de réalisation
- 2. Étape 1 : Exécuter
- a. Objectif
- b. Activités
- c. Livrables
- a. Objectif
- b. Activités
- c. Livrables
- a. Objectif
- b. Activités
- c. Livrables
- 1. Échéancier du projet
- 2. Ressources du projet
La sécurité des DCP et PIA
- Système d'information et sécurité
- 1. Rappel sur le système d’information
- 2. Sécurité des systèmes d’information
- 3. Normes et référentiels de sécurité dessystèmes d’information
- Sécurité des DCP : que dit le règlement ?
- Privacy by default
- Analyse d'impact relative à la protection des données
- Traitements et facteurs de déclenchement d’un PIA
- Déroulement d’un PIA
- 1. PIA et respect des principes fondamentaux
- 2. PIA et mesures de sécurité
- a. Prise en compte du contexte
- b. Appréciation des risques
- c. Traitement des risques
- d. Consultation préalable
- e. Acceptation des risques
Le(s) responsable(s) et le(s) sous-traitant(s)
- Introduction
- Notion de responsable
- 1. Interprétation de la notion
- 2. Les personnes responsables
- Notion de responsable conjoint
- Sous-traitant
- 1. Définition
- 2. Choix du sous-traitant
- 3. Contrat de sous-traitance et sous-traitance de données à caractèrepersonnel
- 4. Sous-traitance initiale et sous-traitances successives
- Formalisation des relations entre responsable de traitement et sous-traitant
- Aspects internationaux
- Contenu du contrat
- Résolution du contrat
- Contrat entre responsables conjoints
Les transmissions de données
- Distinction entre les transmissions, les transferts européens et les transferts internationaux de données
- Transmission de données en France
- Traitements transfrontaliers
- 1. Définition
- 2. Particularité de ces traitements
- 3. Détermination de la loi applicable en casde traitement transfrontalier
- 4. Compétence en cas de recours
- Transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales
- 1. Principe général applicable auxtransferts
- 2. Transferts fondés sur une décisiond’adéquation
- 3. Transferts moyennant des garanties appropriées
- 4. Règles d’entreprise contraignantes
- a. Généralités
- b. Exemples de règles d’entreprisecontraignantes (BCR)
- 5. Transferts ou divulgations non autoriséspar le droit de l’Union
- 6. Dérogations pour des situations particulières
- a. Autorisation de la personne concernée
- b. Transferts nécessaires
- c. Transferts réalisés à partird’un registre public
- d. Transferts à portée limitée
- 7. Limites au transfert de catégories spécifiquesde données à caractère personnel
- 1. Applicabilité du règlement
- 2. Désignation d’un représentant
- 3. Modalités et portée de la désignation
Le contrôle de l’autorité, la CNIL
- Introduction
- Traitement des réclamations
- Enquête
- Accès aux locaux du responsable du traitement ou du sous-traitant
- Notification d’une violation
- Mise en demeure
- Rappel à l’ordre
- Injonctions diverses
- Mesures coercitives
- Caractère contradictoire des procédures
- Publicité des mesures
- Coopération entre autorités centrales
Les sanctions
- Diversité des sanctions
- 1. Sanctions prononcées par l’autorité decontrôle
- a. Mesures correctrices
- b. Amendes administratives
- 1. Sanctions prononcées par l’autorité decontrôle
- 2. Les sanctions pénales
- 3. Condamnation à des dommages-intérêts
- 4. Sanctions liées au caractère illicitedu traitement
- a. Nullité des contrats
- b. Licenciement non fondé
- 1. Un responsable du traitement
- 2. Plusieurs responsables du traitement
- 3. Un sous-traitant
- 4. Une pluralité de responsables
- 5. Action récursoire
- 1. Limitation ou exclusion de responsabilité
- 2. Responsabilité, certifications et codes deconduites
- 3. Responsabilité et délégué à laprotection des données
- a. Un recours parfois obligatoire
- b. Un recours recommandé ?
- c. Responsabilité
Annexe
- Glossaire