Gouvernance des données personnelles et analyse d’impact dans le cadre du RGPD

Présentation

Gouvernance des données personnelles et analyse d’impact dans le cadre du RGPD - Avec un cas pratique d’utilisation du logiciel de la CNIL

Mercredi 5 décembre 2018 – 17h30 / 19h30

Cabinet Alain Bensoussan Avocats Lexing 

Immeuble Cap Etoile - 58 boulevard Gouvion-Saint-Cyr

75017 Paris (Métro : Porte Maillot) 

Nul besoin de rappeler que le RGPD (règlement général sur la protection des données personnelles) est une réforme majeure qui impacte en profondeur l’environnement digital des entreprises, même si force est de constater qu’au 25 mai dernier, la prise de conscience de toutes les implications, notamment juridiques et opérationnelles, des changements induits par ce règlement n’était pas, loin s’en faut, générale au sein des entreprises et organisations. S’ajoute à cette mise en conformité au RGPD, un enjeu de taille : la continuité de la protection au-delà du 25 mai.

En effet, il est maintenant question de la réalisation d’analyses d’impact même si la CNIL a, dès février 2018, décidé de repousser de trois ans leur réalisation, pourtant obligatoire au titre du RGPD pour tous les traitements pouvant présenter un risque pour les données à caractère personnel. Mais le délai accordé est limité aux traitements existants et ayant fait l’objet d’une formalité auprès de la CNIL avant le 25 mai 2018 ou encore aux traitements ayant été consignés au registre d’un correspondant Informatique et libertés. En revanche, l’étude d’impact doit être réalisée, sans attendre l’issue de ce délai de trois ans, dans tous les autres cas, dès lors que le traitement présente un risque élevé. Les obligations de procéder à ces études d’impact, celle dite « d’accountability » ou obligation de « rendre des comptes », sont au cœur du RGPD et plus que jamais essentielles.

C’est dans ce sens, à jour de l’évolution des textes et en se confrontant aux retours d’expériences, que les travaux du groupe de l’Académie des Sciences et Techniques Comptables et Financières ont été menés. Cette conférence a été l'occasion de montrer qu’au-delà du seul RGPD, l’analyse de risques et l’analyse d’impact relative à la protection des données sont primordiales pour les organismes concernés qui ont tout intérêt à démontrer que leur écosystème respecte ce nouveau cadre juridique. Les intervenants se sont attachés à préciser le cadre juridique de l’analyse de risques et de l’analyse d’impact, quand une analyse d’impact est obligatoire, comment conduire une analyse d’impact, …

Les intervenants se sont notamment appuyés sur des cas concrets pour illustrer leurs propos et ont présenté le déroulement d’une analyse d’impact (outil PIA développé par la CNIL).

Intervenants :

Ingrid Nkouenjin, chef du service des outils de la conformité, CNIL

Florence Houdot, expert-comptable, commissaire aux comptes, CRISC, SYC Consultants

Hélène Legras, DPO Groupe Orano, vice-présidente ADPO

Anne Renard, avocat, directeur du département Conformité et certification, Alain Bensoussan Avocats Lexing

Emmanuelle Nahum, avocat associé, Quantic Avocats

Serge Yablonsky, expert-comptable, commissaire aux comptes, CISA, CGEIT, CRISC, SYC Consultants

> Télécharger le cahier de l'Académie (n°35)