Sélectionner une page

Le 25 mai 2018, l’Europe a rendez-vous avec la protection des données personnelles (RGPD Règlement Européen pour la protection des données).  Toutes les organisations sont concernées quand elles traitent des informations permettant d’identifier une personne physique (client, prospect, salarié, adhérent, usager, mineurs,…) directement ou indirectement (nom, adresse, photo, empreinte digitale, biométrie, N° de téléphone, plaque d’immatriculation,…).

Pour assurer la transformation nécessaire à la mise en conformité de l’organisation, il est nécessaire de prendre en compte que l’arrivée de l’internet a bouleversé les usages, les organisations et les hiérarchies. Et parmi ces grandes changements, l’arrivée du collaboratif sous toutes ses formes : réseaux sociaux, wikipédia, notations, partage (share), intranet,… Le collaboratif est devenu inéluctable et surtout plus efficace.

C’est cette double approche que propose Liberating. Nous faisons avec vous, et non pour vous, parce que nous pensons que chaque organisation est unique et que c’est ensemble que nous réussissons. Pour cela, Liberating utilise des méthodes d’intelligence collective pour une transformation réussie, intégrée et co-produite avec les acteurs. 

Vous êtes :

Une collectivité ou un service public

Les services publics sont par nature amenés à collecter et à traiter de grandes quantités de données personnelles sensibles (mineurs, santé, condamnation, …).

De plus, le RGPD prévoit expressément la nomination d’un délégué à la protection des données (DPD) pour les services publics.

Outre le risque financier, la non conformité au RGPD présente un risque d’image important pour la collectivité et ses élus.

Une entreprise

Être en conformité vous permet de  :

– Répondre aux appels d’offres demandant la conformité contractuellement,

– Vérifier votre politique de sécurité face aux piratages et vols de données,

– Gérer votre risque juridique et financier.

Une association

Soumis au RGPD, les collectivités territoriales et les services publics vont aussi l’exiger contractuellement de leurs partenaires.

C’est donc un enjeu de pérennité de l’activité pour les associations.

Garantir le respect des données à caractère personnel est un argument important pour les adhérents, citoyens de plus en plus aguerris et sensibles à ce type de sujets.

Donc, concrètement vous devez :

  • Tenir un registre des traitements pour documenter sa mise en conformité,
  • S’assurer de la régularité de la collecte des données personnelles (mentions légales, site internet, formulaire, téléservices,…),
  • Garantir que les politiques relatives à la vie privée soient expliquées dans un langage clair et compréhensible et obtenir le consentement « éclairé » et « univoque » de l’utilisateur,
  • Sensibiliser et former le personnel utilisant les données personnelles,
  • Faire des études d’impact en cas de données sensibles (mineurs, biométrie, santé,…),
  • Toujours choisir les bons sous-traitants et vérifier qu’ils sont en conformité,
  • Mettre la protection des données personnelles dès le démarrage de tout projet et par défaut dans tous les choix qui doivent être documentés.

Pour résumer, mettre la protection des données personnelles au coeur de la stratégie de l’organisation et contacter Liberating pour l’accompagnement et la formation

Notre approche, Smart Training et intelligence collective :

Deux phases

La mise en conformité RGPD comprend deux phases.

Une phase initiale, en mode sprint, où votre organisation doit cartographier les données à caractère personnel et prioriser les actions à mener. Durant cette phase, convaincre et impliquer l’ensemble des acteurs est primordial.

Ensuite vient la phase normale, où les obligations et un effort régulier doivent être maintenus. Il s’agit d’un marathon que l’on court à vitesse modérée.

Nous vous accompagnons dans la phase de sprint pour que vous puissiez ensuite courir sereinement le marathon. Pour cela, nous utilisons des méthodes collaboratives et des outils éprouvés pour mener à bien cette transition.

Parce que vous êtes unique, notre approche se veut personnalisée. Selon votre organisation, votre structure et vos process, la mise en conformité puis sa pérennité demandent des actions particulières.

Notre approche est basée sur des méthodes collaboratives qui impliquent les acteurs selon leurs compétences, leurs habitudes, leurs réalités.

Bien commencer

Le RGPD constitue un changement de paradigme. Il concerne et demande l’implication de l’ensemble des acteurs de votre organisation. Il passe d’abord par une prise de conscience.

Nous vous proposons deux jours de formation pour démarrer votre mise en conformité.

La première journée aborde l’essentiel du RGPD, en comprendre les enjeux et son étendu.

Le deuxième jour, le matin, les particularités en fonction de votre organisation (entreprises, collectivités territoriales, associations)

Enfin, la dernière demi-journée pour vous former à un outil d’autodiagnostic qui va vous permettre « d’enquêter » en interne et de faire une cartographie et un état des lieux. A l’aide de cet outil, nous pourrons déterminer ensemble vos besoins précis et bâtir un plan d’action personnalisé.

1

Vous former

En fonction de vos besoins spécifiques, des modules de formations pour vous permettre d’être autonomes rapidement. Ces formations abordent les différents aspects de la mise en conformité et vos cas concrets seront utilisés comme exemples lors des sessions.

Des formules en inter ou intra.

 

2

Vous accompagner

Nos consultants vous accompagnent pour réaliser votre mise en conformité, mettre en place les outils nécessaire à sa pérennité. Grâce à des outils pour lesquels vous serez formés et en utilisant des méthodes collaboratives pour impliquer l’ensemble des acteurs.

 

3

Vous mettre à disposition un Data Protection Officer

Si vous le souhaitez, nous pouvons assurez la fonction de Délégué à la protection des données (DPO en anglais) pour votre compte. Rattaché à la Direction Générale de votre organisation, nous assurons alors l’ensemble des démarches et tenues des documents nécessaires à votre mise en conformité.

Les atouts de Liberating

L’approche participative

La démarche RGPD nécessite l’implication de l’ensemble des acteurs. Pour que chacun soit partie prenante de ce changement d’approche, nous utilisons des méthodes de travail collaboratif.

Liberating Structures, ce sont des méthodes d’animation de réunions, simples et ludiques, qui mettent en avant les talents de chacun pour co-construire des réponses communes.

Ces méthodes permettent de libérer la parole, trouver des solutions émanant des acteurs de l’organisation pour faire émerger l’intelligence collective.

Cette approche est particulièrement adaptée à la conception les études d’impact sur la vie privée (EIVP ou PIA) qui nécessite une réflexion ouverte et le besoin de faire travailler ensemble des acteurs très différents. De même, repérer les usages cachés ou oubliés tel que le shadow IT (utilisation d’outils informatiques sans l’aval de la direction informatique) est grandement facilité par le recours à ces méthodes.

Comme les acteurs eux-mêmes co-construisent leurs solutions, l’application de celles-ci est très supérieure à des solutions imposées de l’extérieur. Ce recours au travail collaboratif permet de mettre en place une véritable Maîtrise d’usage, au plus près de la réalité du terrain et de mobiliser l’ensemble de l’organisation. Elles sont très efficaces dans la phase initiale ; elles mettent en place des rituels de travail qui facilitent le respect continu du RGPD.

Des intervenants spécialisés depuis 7 et plus dans le domaine de la protection des données personnelles. Ils sont correspondants informatique et Libertés et accompagnent des entreprises, collectivités locales et associations dans leur mise en conformité.

Formés aussi aux techniques de facilitation graphique et d’intelligence collective, ils les mobilisent au quotidien afin d’accompagner le changement. Parce que les usages ne se décrètent pas mais s’accompagnent, leurs actions s’inscrivent bien dans une démarche de co-production.

Le 25 mai 2018, le règlement général sur la protection des données (RGPD) entre en application.

Toute organisation traitant de données à caractère personnel devra être en mesure de donner la preuve de sa conformité au RGPD. Nous passons du régime déclaratif (déclaration CNIL) au régime de la preuve (registre des traitements). Le droit des personnes est renforcé par l’inversion de la charge de la preuve, c’est à celui qui collecte les données de prouver qu’il a bien besoin de les collecter, en toute transparence. La responsabilité partagée entraine la nécessité de vérifier la conformité de ses partenaires et de ses sous-traitants. Les sanctions sont très fortement augmentées, de 10 à 20 Millions d’Euros et 2 à 4% du C.A. mondial Le RGPD entraine une révolution des usages nécessitant une prise en compte par chacun des acteurs. Pour cela, nous utilisons des méthodes collaboratives qui permettent de co-construire les livrables nécessaires au RGPD.

Un changement d’obligation :

Mise en application du RGPD dans

Jour(s)

:

Heure(s)

:

Minute(s)

:

Seconde(s)

Les données à caractère personnel

Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement 
ou indirectement,…
(Art. 2 – Loi informatique et Libertés)

Risques et sanctions

  • Risque de réputation : Dégradation de l’image et de la valeur de l’organisation. Il faut notifier la violation de données à caractère personnel à la CNIL et aux personnes concernées
  • Risque financier : Amende administrative jusqu’à 20 M€ d’Euros et 4% du chiffre d’affaire mondiale indépendamment des sanctions pénales (dommages et intérêts,…).
  • Risque commercial : ne pas être en conformité peut entraîner l’inéligibilité aux appels d’offres publics et privés.

Co-responsablité et sous-traitance :

  • Lorsqu’il y a sous-traitance, le donneur d’ordre devra s’assurer de la conformité de ses sous traitants qui doivent démontrer qu’ils mettent en oeuvre les mesures techniques et organisationnelles nécessaires. Il engage donc sa responsabilité.
  • De plus, le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable du responsable du traitement.