1. Livres et vidéos
  2. RGPD - Le comprendre et le mettre en oeuvre (2e édition) - (retours d'expérience pour les DPO...)

RGPD Le comprendre et le mettre en oeuvre (2e édition) - (retours d'expérience pour les DPO...)

  • En stock
  • Expédié en 24h00
  • Livraison à partir de 0,01 €
  • Version en ligne offerte pendant 1 an
  • 1 h d'accès gratuit à tous nos livres et vidéos pour chaque commande
  • Accessible immédiatement
  • Version HTML
  • Accès illimité 24h/24, 7J/7
  • Accès illimité 24h/24, 7J/7
  • Tous les livres en ligne, les vidéos et les cours enregistrés ENI
  • Plus de 10 nouveautés livres et vidéos chaque mois
  • Les nouveautés disponibles le jour de leur sortie
  • Accès 100% en ligne

Présentation

L’économie numérique, au coeur de la croissance et de la compétitivité des entre¬prises, repose en grande partie sur la confiance des clients et des citoyens. Cette confiance ne peut être accordée ou conservée que si les entreprises, les adminis¬trations se comportent de manière loyale et transparente dans le traitement des données personnelles. Le Règlement Général sur la Protection des Données (RGPD) apporte un cadre permettant l’instauration de cette confiance.

Ce livre présente une méthode, des outils et des exemples, adressés aux personnes ayant en charge la mise en oeuvre du règlement, qu’elles soient DPO, responsable administratif et financier, responsable des ressources humaines, responsable informatique, chef de projet, etc. Cette nouvelle édition rend compte de l’évolution du droit en vigueur, présente les évolutions techniques et organisationnelles et permet aux auteurs de partager leurs retours d’expé¬rience acquis auprès des organisations.

Le lecteur commence par appréhender le règlement avec une approche permet¬tant d’en comprendre les éléments structurants puis découvre comment mettre en place un système opérationnel de management des données à caractère personnel qui permet aux entreprises de respecter les exigences du RGPD et de pouvoir le démontrer.

Les auteurs présentent ensuite les mesures de sécurité des données à carac¬tère personnel en détaillant notamment les mesures techniques et organisa¬tionnelles qu’un responsable de traitement doit mettre en oeuvre. Les relations contractuelles du responsable de traitement avec les éventuels sous-traitants sont également étudiées. Un chapitre relatif à la transmission des données présente les indications du RGPD sur la réglementation liée aux transferts de données vers des pays tiers ou à des organisations internationales.

Pour finir, le contrôle de la CNIL ainsi que les sanctions applicables en cas de violation du RGPD font l’objet de chapitres dédiés.

À l’issue de la lecture de ce livre, le lecteur sera en mesure de comprendre que le RGPD ne doit pas être perçu comme une contrainte mais comme un vecteur d’accompagnement à la transition numérique de l’entreprise.



Quizinclus dans
la version en ligne !
  • Testez vos connaissances à l'issue de chaque chapitre
  • Validez vos acquis

Table des matières

  • Introduction
    • 1. Le RGPD
    • 2. Le RGPD et la loi de 1978
    • 3. Approche(s) du RGPD
    • 4. Objet et sujets du RGPD
    • 5. Application dans le temps du RGPD
    • 6. Application dans l’espace du RGPD
    • 7. Impact du RGPD
    • 8. RGPD : obligations et opportunités
    • 9. Retours d’expérience : 10 constats et propositions
      • 9.1 Identifier les rôles des acteurs du RGPD
      • 9.2 Régulariser les relations « responsable sous-traitant »
      • 9.3 Désigner un gestionnaire d’activité de traitement
      • 9.4 Ajuster les processus « métier »
      • 9.5 Conserver, archiver, détruire
      • 9.6 Intégrer la fonction de référent à la sécurité du système d’information
      • 9.7 Assurer la gouvernance du RGPD dans le temps
      • 9.8 Impliquer les éditeurs de solutions logicielles
      • 9.9 Mieux gérer les violations de données à caractère personnel
      • 9.10 Sensibiliser : une démarche essentielle
  • Une première approche du RGPD
    • 1. Structure du document officiel
      • 1.1 Considérants
      • 1.2 Articles
    • 2. Principaux termes et définitions
    • 3. Les deux piliers du règlement
    • 4. Principes fondamentaux juridiques
      • 4.1 Principes fondamentaux relatifs aux traitements de DCP
        • 4.1.1 Licéité, loyauté et transparence
        • 4.1.2 Finalité
        • 4.1.3 Proportionnalité des données
        • 4.1.4 Exactitude des données
        • 4.1.5 Conservation des données
        • 4.1.6 Sécurité des données
        • 4.1.7 Responsabilité (accountability)
      • 4.2 Principes fondamentaux relatifs aux droits des personnes concernées
        • 4.2.1 Information et communication
        • 4.2.2 Droit d'accès aux DCP
        • 4.2.3 Droit de rectification
        • 4.2.4 Effacement (droit à l’oubli)
        • 4.2.5 Droit d'opposition à un traitement
        • 4.2.6 Droit à la formulation de directives « décès »
        • 4.2.7 Droit à la limitation du traitement
        • 4.2.8 Droit à la portabilité des données
    • 5. Le pilier "sécurité des DCP"
    • 6. Du droit au management
  • Un système de management
    • 1. Introduction
    • 2. Le système de management
      • 2.1 Qu'est-ce qu'un système ?
      • 2.2 Qu’est-ce qu’un système de management ?
      • 2.3 Caractéristiques d’un système de management
    • 3. Conception du SMDCP
      • 3.1 Finalité du système
      • 3.2 Interaction du système avec son environnement
      • 3.3 Objectifs du système
      • 3.4 Éléments qui le composent
      • 3.5 Autres caractéristiques
    • 4. Processus du SMDCP
      • 4.1 Définition
      • 4.2 Déterminer le nombre et l'intitulé des processus
      • 4.3 Objectifs, activités, éléments de sorties et mesures techniques et organisationnelles attachées aux 12 processus
        • 4.3.1 Processus - Accountability
        • 4.3.2 Processus - Traitements et transferts de données
        • 4.3.3 Processus - Droits des personnes concernées
        • 4.3.4 Processus - Sous-traitants
        • 4.3.5 Processus - Privacy by design
        • 4.3.6 Processus - Privacy by default
        • 4.3.7 Processus - Privacy Impact Assessment (PIA)
        • 4.3.8 Processus - Sensibiliser, former et communiquer
        • 4.3.9 Processus - Exigences, sollicitations, violations, poursuites
        • 4.3.10 Processus - Évaluer et auditer
        • 4.3.11 Processus - Gérer la documentation et les preuves
        • 4.3.12 Processus - Piloter le SMDCP
    • 5. Outils du SMDCP
    • 6. Ressources humaines
    • 7. Autres caractéristiques du SMDCP
      • 7.1 Fonction de contrôle ou de feedback
      • 7.2 Politiques du système
        • 7.2.1 Politique générale de protection des données à caractère personnel
        • 7.2.2 Politique de gestion des données à caractère personnel
      • 7.3 Les référentiels du système de gestion
      • 7.4 Propriétés
        • 7.4.1 Il est transversal
        • 7.4.2 Il est décrit
        • 7.4.3 Il est en amélioration constante
        • 7.4.4 Il fournit des preuves
    • 8. Gouvernance du SMDCP
      • 8.1 Qu’est-ce que la gouvernance ?
      • 8.2 Principes de la gouvernance
        • 8.2.1 Collégialité
        • 8.2.2 Transparence du cheminement décisionnaire
        • 8.2.3 Gestion des risques et des conflits
        • 8.2.4 Communication
      • 8.3 Acteurs de la gouvernance
      • 8.4 Structure de gouvernance et rythme
      • 8.5 Tableau de bord de la gouvernance
    • 9. Intégration du SMDCP avec des systèmes de management existants
      • 9.1 Juxtaposition
      • 9.2 Harmonisation
      • 9.3 Mutualisation
    • 10. En résumé
  • Mise en œuvre du système de management
    • 1. Introduction
    • 2. Choix de la méthode
    • 3. Phase de conception
      • 3.1 Étape 1 : Définir
        • 3.1.1 Objectifs
        • 3.1.2 Activités
        • 3.1.3 Livrables
      • 3.2 Étape 2 : Collecter
        • 3.2.1 Objectifs
        • 3.2.2 Activités
        • 3.2.3 Livrables
      • 3.3 Étape 3 : Organiser
        • 3.3.1 Objectifs
        • 3.3.2 Activités
        • 3.3.3 Livrables
      • 3.4 Étape 4 : Protéger
        • 3.4.1 Objectifs
        • 3.4.2 Activités
        • 3.4.3 Livrables
        • 3.4.4 Focus sur la rédaction de la politique de gestion des données à caractère personnel
      • 3.5 Étape 5 : Clôturer la phase
        • 3.5.1 Objectifs
        • 3.5.2 Activités
        • 3.5.3 Livrables
    • 4. Phase de réalisation
      • 4.1 Les trois étapes de la phase de réalisation
      • 4.2 Étape 1 : Exécuter
        • 4.2.1 Objectif
        • 4.2.2 Activités
        • 4.2.3 Livrables
      • 4.3 Étape 2 : Mesurer
        • 4.3.1 Objectif
        • 4.3.2 Activités
        • 4.3.3 Livrables
      • 4.4 Étape 3 : Clôturer le projet
        • 4.4.1 Objectif
        • 4.4.2 Activités
        • 4.4.3 Livrables
    • 5. Organisation du projet
      • 5.1 Échéancier du projet
      • 5.2 Ressources du projet
    • 6. Cycle de vie du SMDCP
    • 7. Facteurs clés de succès du projet
  • La sécurité des DCP et PIA
    • 1. Système d'information et sécurité
      • 1.1 Rappel sur le système d'information
      • 1.2 Sécurité des systèmes d'information
      • 1.3 Normes et référentiels de sécurité des systèmes d'information
    • 2. Sécurité des DCP : que dit le règlement ?
    • 3. Privacy by default
    • 4. Analyse d'impact relative à la protection des données
    • 5. Traitements et facteurs de déclenchement d’un PIA
    • 6. Déroulement d’un PIA
      • 6.1 PIA et respect des principes fondamentaux
      • 6.2 PIA et mesures de sécurité
        • 6.2.1 Prise en compte du contexte
        • 6.2.2 Appréciation des risques
        • 6.2.3 Traitement des risques
        • 6.2.4 Consultation préalable
        • 6.2.5 Acceptation des risques
    • 7. Privacy by design
  • Le(s) responsable(s) et le(s) sous-traitant(s)
    • 1. Introduction
    • 2. Notion de responsable
      • 2.1 Interprétation de la notion
      • 2.2 Les personnes responsables
    • 3. Notion de responsable conjoint
    • 4. Sous-traitant
      • 4.1 Définition
      • 4.2 Choix du sous-traitant
      • 4.3 Contrat de sous-traitance et sous-traitance de données à caractère personnel
      • 4.4 Sous-traitance initiale et sous-traitances successives
    • 5. Formalisation des relations entre responsable de traitement et sous-traitant
    • 6. Aspects internationaux
    • 7. Contenu du contrat
    • 8. Résolution du contrat
    • 9. Contrat entre responsables conjoints
  • Les transmissions de données
    • 1. Distinction entre les transmissions, les transferts européens et les transferts internationaux de données
    • 2. Transmission de données en France
    • 3. Traitements transfrontaliers
      • 3.1 Définition
      • 3.2 Particularité de ces traitements
      • 3.3 Détermination de la loi applicable en cas de traitement transfrontalier
      • 3.4 Compétence en cas de recours
    • 4. Transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales
      • 4.1 Principe général applicable aux transferts
      • 4.2 Transferts fondés sur une décision d'adéquation
      • 4.3 Transferts moyennant des garanties appropriées
      • 4.4 Règles d’entreprise contraignantes
        • 4.4.1 Généralités
        • 4.4.2 Exemples de règles d’entreprise contraignantes (BCR)
      • 4.5 Transferts ou divulgations non autorisés par le droit de l'Union
      • 4.6 Dérogations pour des situations particulières
        • 4.6.1 Autorisation de la personne concernée
        • 4.6.2 Transferts nécessaires
        • 4.6.3 Transferts réalisés à partir d’un registre public
        • 4.6.4 Transferts à portée limitée
      • 4.7 Limites au transfert de catégories spécifiques de données à caractère personnel
    • 5. Traitement d’un responsable ou sous-traitant de pays tiers vers l’UE
      • 5.1 Applicabilité du règlement
      • 5.2 Désignation d’un représentant
      • 5.3 Modalités et portée de la désignation
  • Le contrôle de l’autorité, la CNIL
    • 1. Introduction
    • 2. Traitement des réclamations
    • 3. Enquête
    • 4. Accès aux locaux du responsable du traitement ou du sous-traitant
    • 5. Notification d’une violation
    • 6. Mise en demeure
    • 7. Rappel à l’ordre
    • 8. Injonctions diverses
    • 9. Mesures coercitives
    • 10. Caractère contradictoire des procédures
    • 11. Publicité des mesures
    • 12. Coopération entre autorités centrales
  • Les sanctions
    • 1. Diversité des sanctions
      • 1.1 Sanctions prononcées par l’autorité de contrôle
        • 1.1.1 Mesures correctrices
        • 1.1.2 Amendes administratives
      • 1.2 Les sanctions pénales
      • 1.3 Condamnation à des dommages-intérêts
      • 1.4 Sanctions liées au caractère illicite du traitement
        • 1.4.1 Nullité des contrats
        • 1.4.2 Licenciement non fondé
    • 2. Représentation de la personne concernée
    • 3. Détermination des responsables
      • 3.1 Un responsable du traitement
      • 3.2 Plusieurs responsables du traitement
      • 3.3 Un sous-traitant
      • 3.4 Une pluralité de responsables
      • 3.5 Action récursoire
    • 4. Appréciation de la responsabilité
      • 4.1 Limitation ou exclusion de responsabilité
      • 4.2 Responsabilité, certifications et codes de conduites
      • 4.3 Responsabilité et délégué à la protection des données
        • 4.3.1 Un recours parfois obligatoire
        • 4.3.2 Un recours recommandé ?
        • 4.3.3 Responsabilité
    • Glossaire
    • Index

Auteurs

Dominique RENAUDEn savoir plus

Dominique Renaud évolue dans le monde de l'IT depuis ses débuts professionnels. Consultant en organisation et sécurité des Systèmes d'Information depuis de nombreuses années, il est spécialisé sur la protection des données à caractère personnel et a obtenu récemment la certification "Privacy Implementer". Il accompagne les organisations privées et publiques de petites et moyennes tailles dans la mise en œuvre du RGPD, au travers de prestations réalisées sur site ou à distance.

Jacques FOUCAULTEn savoir plus

Après une carrière de manager en Europe et en France, et après avoir dirigé pendant plus de 10 ans la société de conseil et d'expertise CAPACITI, Jacques Foucault est aujourd'hui consultant indépendant en système d'information. Certifié auditeur ISO 27001, il a formé ou accompagné depuis 2017 plus d'une centaine d'entreprises du secteur public ou privé dans la mise en œuvre du RGPD.

Loïc PANHALEUXEn savoir plus

Loïc Panhaleux, Docteur en droit, est avocat au Barreau de Nantes et Maître de conférences à la Faculté de droit et des sciences politiques de Nantes. Il est spécialiste en droit des nouvelles technologies, de l'informatique et de la communication ainsi qu'en droit international et de l'Union européenne.

Pierre BEGASSEEn savoir plus

Après 25 années à exercer dans le domaine des systèmes d'information, et notamment en tant que consultant et formateur en sécurité, Pierre Bégasse est revenu à ses premières amours. Il se consacre dorénavant à la peinture et à l'illustration et c'est donc tout naturellement qu'il a réalisé les illustrations de ce livre.

Caractéristiques

  • Niveau Confirmé à Initié
  • Nombre de pages 305 pages
  • Parution juin 2020
    • Livre (broché) - 17 x 21 cm
    • ISBN : 978-2-409-02538-9
    • EAN : 9782409025389
    • Ref. ENI : DP2RGPD
  • Niveau Confirmé à Initié
  • Parution juin 2020
    • HTML
    • ISBN : 978-2-409-02539-6
    • EAN : 9782409025396
    • Ref. ENI : LNDP2RGPD