Example: tourism industry

ENTREPRISES - cigref.fr

ENTREPRISESLES CL S D UNEDU GDPRAPPLICATION R USSIEDONN ES PERSONNELLES ET SYST MES D INFORMATION3LE MOT DES PR SIDENTSDans le contexte actuel de transformation num rique, l information et son usage font l objet de toutes les attentions, entre valorisation et l entreprise, la donn e est devenue un nouvel actif strat gique majeur, elle doit tre exploit e et prot g e, d autant plus s il s agit d une donn e individu quant lui, est grand consommateur d information, producteur galement, mais il est soucieux de prot ger sa vie priv e contre une utilisation abusive de ses donn es personnelles, et demandeur de garanties.

7 SOMMAIRE INTRODUCTION 9 La protection des données personnelles : un double enjeu sociétal et économique 9 « DPSI », une initiative de place du CIGREF, de L’AFAI et de TECH IN France,

Information

Domain:

Source:

Link to this page:

Please notify us if you found a problem with this document:

Other abuse

Transcription of ENTREPRISES - cigref.fr

1 ENTREPRISESLES CL S D UNEDU GDPRAPPLICATION R USSIEDONN ES PERSONNELLES ET SYST MES D INFORMATION3LE MOT DES PR SIDENTSDans le contexte actuel de transformation num rique, l information et son usage font l objet de toutes les attentions, entre valorisation et l entreprise, la donn e est devenue un nouvel actif strat gique majeur, elle doit tre exploit e et prot g e, d autant plus s il s agit d une donn e individu quant lui, est grand consommateur d information, producteur galement, mais il est soucieux de prot ger sa vie priv e contre une utilisation abusive de ses donn es personnelles, et demandeur de garanties.

2 La confiance dans le num rique et dans l usage de l information est imp rative, et partout dans le monde, les r gulateurs veillentet encadrent juste titre le traitement des donn es personnelles. Au sein de l Union europ enne, la r glementation GDPR1s appliquera d s le 25 mai 2018, et les ENTREPRISES se sont d j largement mobilis es pour se mettre en conformit . En parall le, on parle d entreprise tendue, avec des organisations et des syst mes d information de plus en plus globalis s et largement ouverts aux clients et partenaires, et avec des services d sormais tous propos s dans le Cloud.

3 On parle aussi d entreprise data-driven ( orient e donn es ), avec des besoins de Big Data, corr lation et analyse des donn es massives capt es par les objets connect s. Le d ploiement de ces solutions r pond d abord et avant tout des besoins d acc s et de partage de l information, des fins d optimisation de l efficacit op rationnelle et de d veloppement du business. Toutes les ENTREPRISES sont concern es, pour leur c ur de m tier comme pour les services g n riquesde messagerie, de SIRH, de CRM, tous, traitent des donn es personnelles.

4 Ces deux exigences d efficacit op rationnelle et de conformit avec les r gles de protection de la vie priv e peuvent, de prime abord, para tre antinomiques et difficiles concilier pour les ENTREPRISES et leurs fournisseurs autant plus lorsque diff rentes r glementations s imposent, pour des groupes globaux notamment. Le syst me d information porte l activit de l entreprise. Il est aussi l l ment central de la mise en conformit avec le GDPR et les autres r glementations. La conformit au GDPR est un projet d entreprise, qui engage tous les m tiers, et qui doit mesurer l impact sur les diff rentes briques du SI, dont certaines sont en place depuis des ann es, voire m me sur son architecture.

5 Nos trois organisations professionnelles se sont mobilis es t t, d s l t 2016, avec le soutien de quatre cabinets d avocats: August Debouzy, De Gaulle Fleurance & Associ s, Osborne Clarke et SAMMANet la participation r guli re de la CNIL. 1R glement G n ral sur la protection des Donn es caract re Personnel (ou General Data Protection Regulation)4 Conscientes des enjeux, elles se sont rassembl espour lancer une initiative conjointe en France, Donn es Personnelles et Syst me d Information(DPSI) , avecdeux objectifs: Sensibiliser les ENTREPRISES , utilisatrices et fournisseurs, sur l urgence et l ampleur de ce projet de mise en conformit avec le GDPR.

6 Produire un guide de recommandations pratiques et applicables pour se mettre en conformit avec le GDPR, et ainsi apporter une aide op rationnelle concr te tous ceux qui ont engag ou engagent leur r sultat est l , et nous tenons remercier vivement toutes les ENTREPRISES , la CNIL, les cabinets d avocats, et l ensemble despersonnes qui ont contribu donner cette initiative de place toute sa AntoniniBernard DuverneuilBertrand DiardPr sident de l AFAIPr sident du CIGREFPr sident de TECH IN France5 EXECUTIVE SUMMARYR sultat de l initiative Donn es Personnelles et Syst mes d Information (DPSI), ce livrable offre toutes les ENTREPRISES les outils indispensables une mise en conformit r ussie avec le GDPR.

7 Gr ce sa structure logique et pratique, chaque entreprise pourra entamer ou poursuivre les tapes cl s du changement de mani re efficace et sereine. R dig dans un langage accessible tous et illustr de nombreux exemples significatifs, le document d crypte les nouvelles obligations du R glement, analyse leurs impacts sur les syst mes d information, et met des recommandations concr tes, techniques et juridiques, applicables op rationnellement par les fournisseurs de services de logiciels et par les ENTREPRISES utilisatrices.

8 Le document s articule autour de trois parties distinctes et compl mentaires. Le chapitre 1, crit sous la pr sidence de l AFAI accompagn epar le cabinet d avocats August Debouzy, fournit un guide d auto- valuation sous la forme d une check-list compl te pour v rifier si son entreprise est en conformit avec le GDPR. En r pondant aux cinquante questions propos es, vous pourrez valuer votre niveau de conformit et identifier les domaines dans lesquels un processus d am lioration est conduire. Les questions concernent trois grandes th matiques: Gouvernance: 16 questionssur le DPO, le p rim tre d application, les politiques et proc dures, les pr requis et travaux pr paratoires, les formationset informations.

9 M tiers: 18 questionssur la lic it du traitement, les types de traitements mis en place, les cat gories de donn es collect es, les droits des personnes, les obligations dans les relations entre responsable de traitement et sous-traitant, les transferts de donn es en dehors de l UE, la s curit des donn es personnelles, l tude d impact sur la vie priv e; Syst me d information et cybers curit : 16 questionssur les cat gories des donn es collect es, la s curit des donn es personnelles, le privacy by design, la transparence, les dispositifs de d tection et de notifications des failles, les clauses contractuelles obligatoires, la gestion de l exercice des droits des chapitre 2, crit sous la pr sidence duCIGREF accompagn par le cabinet d avocat De Gaulle Fleurance & Associ s.

10 Liste les recommandations et les mesures mettre en uvre pour assurer la conformit du syst me d information (SI) avec le GDPR. La d marche du sous-groupe 2 (SG2) est la suivante: 1)identification des composants du SI qui g n rent ou v hiculent des donn es personnelles;2)pour chaque composants du SI: inventaire des risques aff rents selon les 3 grandes cat gories suivantes: curit du SI: intrusion du SI par un malware, usurpation d un compte utilisateur, d faut d application des mises jour de s curit , etc.


Related search queries