Formation RGPD DCP
2023
RESTRICTED
INTERNAL
SECRET
Agenda
Le RGPD, c’est quoi ?
01
02
Les acteurs et rôles à la DCP
03
Le RGPD à la DCP
04
Le privacy by Design à la DCP
05
Les bonnes pratiques RGPD
Place à l’évaluation RGPD !
06
Pour aller plus loin
01
Le RGPD, c’est quoi ?
© ENGIE 2022 - Title of the presentation and date -
Le Règlement Général sur la Protection des Données
Le RGPD encadre le traitement des données personnelles sur le territoire de l’Union européenne. Le contexte juridique s’adapte pour suivre les évolutions des technologies et de nos sociétés.
25 mai 2018
27 avril 2016
6 Janvier 1978
Stage 3 evelopment
Stage 5 Market launch and Review
Adoption d’une Loi Informatique et Libertés (loi française) et création de la Comission Nationale de L’Informatique et des Libertés (CNIL)
Adoption du RGPD par le Parlement et le Conseil Européen
Entrée en application du RGPD
© ENGIE 2022 - Title of the presentation and date -
Bilan annuel 2022 des actions répressives de la CNIL
Les décisions de sanction ont concerné des secteurs d’activité, des thématiques et des acteurs très divers
21 sanctions pour un montant de 101 277 000 € (dont 4 pour mauvaise gestion des cookies 3 pour prospection commerciale inadaptée)
Un tiers des sanctions comporte un manquement à la sécurité des données personnelles
Manquements les plus fréquents: Défaut d’information des personnes Non respect des droits des personnes Défaut de coopération avec la CNIL
147 mises en demeure et de nombreuses mises en conformité
+12 000 plaintes (de plus en plus nombreuses depuis l’entrée en application de la RGPD)
© ENGIE 2022 - Title of the presentation and date -
02
Les acteurs et rôles RGPD à la DCP
© ENGIE 2022 - Title of the presentation and date -
Organigramme RGPD DCP
Sébastien DUPRE
Direction Juridique
Data Privacy ManagerFrance Retail
Florence LanoeDirecteur Juridique
Delphine PalluResponsable juridique expert RGPD
Tiziana GittoJuriste
Engie DCP
Alain MarcouRéférent juridique DCP
Contrôle Interne
Engie Retail France
Clémentine LeonhardtAppui Référent juridique DCP
Pascale DucResponsable Contrôle Interne
Vos contacts RGPDDirection des Clients Professionnels
Fériel MaazouAppui Référent juridique DCP
Louis de BénazéCorrespondant Data Privacy Manager (CDPM)
Equipe RGPD
Tuong-Vi NguyenAppui CDPM
Mélanie AvellanedaAppui CDPM
RSSI
Bruno ChéronAppui Supports & Opérations - DSI
Emmanuel DelatteCDO DCP
Michael BlancResponsable Sécurité des Systèmes d’informations (RSSI)
Anne-Sophie BressandAppui DPC
Jacques BouhrisAppui DMD
© ENGIE 2022 - Title of the presentation and date -
Equipe RGPD DCP, votre principal interlocuteur
Louis de BénazéCorrespondant Data Privacy Manager (CDPM)
Equipe RGPD
Tuong-Vi NguyenAppui CDPM
Mélanie AvellanedaAppui CDPM
Pour faire le lien avec d’autres acteurs impliqués dans la sécurisation des données (RSSI, juristes, DPM DGP…)
Pour maintenir le registre de traitements
Pour répondre aux questions du métier, du SI par rapport aux réglementations en vigueur
Pour mettre en œuvre le Privacy by Design
Veiller à la conformité des projets et des processus avec le RGPD, et travailler à les améliorer
Pour toute question, demande, envoyer un e-mail à « rgpddcp.corporate@engie.com »
© ENGIE 2022 - Title of the presentation and date -
03
Le RGPD à la DCP
© ENGIE 2022 - Title of the presentation and date -
Qu’est-ce qu’une donnée personnelle et une donnée sensible ?
« Toute information se rapportant à une personne physique identifiée ou identifiable. Et, parce qu’elles concernent des personnes, celles-ci doivent en conserver la maîtrise »
Les données sensibles sont des informations qui révèlent :
- la prétendue origine raciale ou ethnique
- le traitement des données génétiques
- le traitement des données biométriques
- des données concernant la santé
- des données concernant la vie sexuelle ou l'orientation sexuelle…
Les données dites sensibles (au sens RGPD), ne sont pas a priori collectées au sein de la DCP. Cependant, certaines de ces informations peuvent figurer dans les champs de saisie libre
10
© ENGIE 2022 - Title of the presentation and date -
Les données à caractère personnel et sensibles pour la DCP
Données personnelles
Données de contact
- Les noms et prénoms, et donc les raisons sociales contenant noms/prénoms)
- Les numéros de téléphone, fixes et mobiles
- Adresse e-mail non génériques (exemple: nom.prénom@societe.com)
Données contractuelles
- Fonction au sein de l’entreprise
- Rôle sur le contrat (Référent contractuel, payeur, technique)
Données de connexion
- Adresse IP
- Identifiant GAIA
Verbatims clients
- Enregistrement audio
- Verbatims écrits
Champs de saisie libre
- Ils peuvent également contenir des données à caractère personnel ou sensibles
Données sensibles
Seules les Données Bancaires sont concernées :
- Coordonnées bancaires
- Données Mandat SEPA
11
© ENGIE 2022 - Title of the presentation and date -
04
Le Privacy by Design à la DCP
12
© ENGIE 2022 - Title of the presentation and date -
Le Privacy by Design, qu’est-ce ?
C’est un principe instauré par le RGPD qui consiste à intégrer la protection des données à caractère personnel dès la mise en œuvre de projets (phase de conception/cadrage) impliquant un traitement de données.
Intérêt de son application
Pour l’entité :
Pour le client final :
Une réduction des risques liés à usage impropre des données à caractère personnel Une réduction des risques liés à sa responsabilité / aux sanctions Une capacité à fournir des services conformes à la législation
Une réduction des risques liés à un usage impropre de ses informations personnelles Une confiance accrue dans l’usage des services proposés
Conséquences en cas de non-respect
Des amendes, poursuites judiciaires, vols de données personnelles, des atteintes à l’image de marque…
13
© ENGIE 2022 - Title of the presentation and date -
Les principes relatifs au traitement des données à caractère personnel
Tout projet qui traite des données à caractères personnel doit respecter les principes suivants :
INTÉGRITÉ ET CONFIDENTIALITÉ (SÉCURITÉ DES DONNÉES)
TRANSPARENCE, LICÉITÉ ET LOYAUTE
LIMITATION DES FINALITÉS
MINIMISATION DES DONNÉES
EXACTITUDE (QUALITÉ DES DONNÉES)
LIMITATION DE LA CONSERVATION DES DONNÉES
14
© ENGIE 2022 - Title of the presentation and date -
Les principes relatifs au traitement des données à caractère personnel
Tout projet qui traite des données à caractères personnel doit respecter les principes suivants :
INTÉGRITÉ ET CONFIDENTIALITÉ (SÉCURITÉ DES DONNÉES)
La sécurité du traitement doit être garantie
La sécurité du traitement doit être garantie
15
© ENGIE 2022 - Title of the presentation and date -
Les principes relatifs au traitement des données à caractère personnel
Tout projet qui traite des données à caractères personnel doit respecter les principes suivants :
TRANSPARENCE, LICÉITÉ ET LOYAUTE
Le traitement doit être fait après avoir informée la personne concernée (droit à l’information)
16
© ENGIE 2022 - Title of the presentation and date -
Les principes relatifs au traitement des données à caractère personnel
Tout projet qui traite des données à caractères personnel doit respecter les principes suivants :
LIMITATION DES FINALITÉS
Les données ne doivent pas être traitées ultérieurement d'une manière incompatible
17
© ENGIE 2022 - Title of the presentation and date -
Les principes relatifs au traitement des données à caractère personnel
Tout projet qui traite des données à caractères personnel doit respecter les principes suivants :
MINIMISATION DES DONNEES
Les données doivent être adéquates, pertinentes et limités à ce qui est nécessaire au regard des finalités
18
© ENGIE 2022 - Title of the presentation and date -
Les principes relatifs au traitement des données à caractère personnel
Tout projet qui traite des données à caractères personnel doit respecter les principes suivants :
EXACTITUDE (QUALITÉ DES DONNÉES)
Les données doivent être exactes et tenues à jour
19
© ENGIE 2022 - Title of the presentation and date -
Les principes relatifs au traitement des données à caractère personnel
Tout projet qui traite des données à caractères personnel doit respecter les principes suivants :
LIMITATION DE LA CONSERVATION DES DONNÉES
Les données doivent être supprimées, archivés ou anonymisées si la durée de conservation limite est atteinte
La politique DCP de durée de conservation
20
© ENGIE 2022 - Title of the presentation and date -
Les principes relatifs au traitement des données à caractère personnel
Une application concrète à la DCP de ces 6 principes
EXACTITUDE (QUALITÉ DES DONNÉES)
LIMITATION DES FINALITÉS
TRANSPARENCE, LICÉITÉ ET LOYAUTE
LIMITATION DE LA CONSERVATION DES DONNÉES
MINIMISATION DES DONNÉES
INTÉGRITÉ ET CONFIDENTIALITÉ (SÉCURITÉ DES DONNÉES)
Réalisation de Privacy By Design
Outil d’aide à la mise en conformité au RGPD Complétion d’un questionnaire de ~45 questions
21
© ENGIE 2022 - Title of the presentation and date -
Identification de la nécessité de réaliser un Privacy by Design
Oui
Un Privacy by Design doit être mené
Non
Données traitées utilisées pour de nouvelles finalités ?
Un Privacy by Design n’est pas nécessaire
Non
Non
Données traitées stockées hors UE ?
Oui
Un Privacy by Design doit être mené
Nouvelles données à caractère personnel ou nouveaux acteurs traitant les données à caractère personnel concernés ? (partenaire, sous-traitant…)
Oui
Oui
Un Privacy by Design doit être mené
Données à caractère personnel ?
Non
Oui
Un Privacy by Design n’est pas nécessaire
Engie est-il responsable de traitement ?
Un Privacy by Design n’est pas nécessaire
Non
Recette
Mise en oeuvre
Conception
Expression de besoin
Cadrage
22
Exemples de traitements des données à la DCP
Le registre de traitements des activités permet de disposer d’une vue d’ensemble de ce que le responsable de traitement (ENGIE) fait avec les données personnelles.
La finalité d’un traitement correspond à l’objectif principal pour chaque traitement.
Calculer, émettre, encaisser une facture
Cibler et personnaliser des communications clients et prospects
Collecter des données de prospection
Détails de la finalité
Détails de la finalité
Détails de la finalité
- Calculer le montant de la facture/remboursement
- Émettre et archiver une facture/remboursement
- Enregistrer les données de paiement des factures/remboursement
- Encaisser un paiement par prélèvement, carte bancaire ou chèque
- Réaliser un remboursement
- Réaliser des fichiers de ciblage de clients et/ou de prospects
- Transmettre les fichiers de ciblage aux sous-traitants en charge des opérations commerciales ou relationnelles
- Proposer des offres personnalisées à des clients et/ou des prospects par différents canaux de communication (mailing, phoning, e-mailing, démarchage physique)
- Acheter ou louer des données sur les clients ou les prospects
- Intégrer ces données dans les bases de données
- Intégrer les fichiers de retour des campagnes commerciales dans les bases de données
23
© ENGIE 2022 - Title of the presentation and date -
05
Les bonnes pratiques RGPD
24
© ENGIE 2022 - Title of the presentation and date -
Sécuriser son poste de travail et le stockage des données
Les risques d’intrusion dans les systèmes informatiques sont importants et les postes de travail constituent un des principaux points d’entrée.
Bonnes pratiques
A mettre en œuvre pour prévenir les accès frauduleux, l’exécution de virus ou la prise de contrôle à distance, notamment via Internet
- Verrouiller systématiquement le poste de travail en cas de non-utilisation du poste pendant un temps donné
- Limiter la connexion de supports mobiles (clés USB, disques durs externes, etc.) à l’indispensable
- Limiter l’ouverture des ports de communication à ceux strictement nécessaires au bon fonctionnement des applications installées sur le poste de travail
- Utiliser un antivirus et des logiciels régulièrement mis à jour
- Favoriser le stockage des données sur un espace de stockage régulièrement sauvegardé accessible via le réseau de l’organisme plutôt que sur le poste de travail
Utilisation de votre espace OneDrive ENGIE permet d’anticiper le risque de perte ou de divulgation des données
25
© ENGIE 2022 - Title of the presentation and date -
Exigences communications e-mails : synthèse des bonnes pratiques
Les données personnelles et données sensibles doivent être transférées, en interne comme à l’externe, de façon sécurisée afin de répondre aux exigences RGPD.
Bonnes pratiques
A mettre en œuvre au quotidien pour sécuriser les transferts par mail de données sensibles et personnelles:
- Les pièces jointes contenant des données personnelles/sensibles doivent être sécurisées avec un mot de passe d’accès.
- Le mot de passe doit être communiqué par Teams, par SMS ou encore à l’oral.
- Ce mot de passe doit être stocké de manière sécurisée (pas sur Excel, ou des post-it par exemple)
- Le niveau de classification de la confidentialité - interne/restreint/secret - doit apparaître dans l’e-mail. L’aspect restreint doit être mis en évidence.
- La liste des destinataires de l’e-mail doit être clairement définie, à savoir restreinte aux interlocuteurs nécessitant l’information
S’il devient difficile de retenir l’ensemble de vos mots de passe, n’hésitez pas à utiliser Keepass, le coffre-fort de mots de passe recommandé par le groupe Engie
Une fonctionnalité Outlook permet de le faire facilement – Vous pouvez retrouver le mode opératoire sur le Teams Gouvernance de Données.
Il ne faut jamais communiquer des données relatives à nos clients gaz
26
© ENGIE 2022 - Title of the presentation and date -
Utilisation de ChatGPT d’un point de vue Cybersécurité
Il y a toujours des contreparties à la gratuité des solutions en libre accès sur Internet
« Si c’est gratuit, c’est que vous êtes le produit »
Quels sont les risques identifiés à date ?
Extraits de la Charte d’utilisation des ressources informatiques et des télécommunications L’Utilisateur s’engage à respecter les lois en vigueur de son pays relatives à l’utilisation des technologies de l’information et de la communication, comprenant notamment des mesures interdisant :
- L’atteinte à la vie privée ou à la protection des données personnelles […]
L’Utilisateur s’engage à identifier et classifier ses informations et données personnelles. L’Utilisateur est responsable des informations qu’il communique sur les réseaux sociaux et d’une manière générale sur Internet
- Fuite d’information
- Conformité RGPD, hébergement du service aux États-Unis (service sous l'égide du California PrivacyRights)
- Propriété intellectuelle : conditions d’utilisation du service, impossibilité d’établir un contrat avec la société offrant le service
Il ne faut jamais partager d’informations relatives à des activités critiques ou avec des données à caractère personnel/ sensibles sur ce service
Cliquez ici
27
© ENGIE 2022 - Title of the presentation and date -
RGPD – Les choses à retenir et à appliquer au quotidien
Eviter de transférer/ communiquer des données à caractère personnel
Si nécessité absolu, privilégier un FTP sécurisé ou par mail sécurisé avec envoie du mot de passe par Teams (systématiquement supprimer les fichiers une fois que l’utilisation a abouti)
28
© ENGIE 2022 - Title of the presentation and date -
RGPD – Les choses à retenir et à appliquer au quotidien
Ne jamais stocker en local des données à caractère personnel
Privilégier le stockage sauvegardé par le réseau
29
© ENGIE 2022 - Title of the presentation and date -
RGPD – Les choses à retenir et à appliquer au quotidien
En cas d’évolutions de flux de données incluant des données à caractère personnel, toujours se référer au Privacy by Design
Ce n’est pas parce qu’un projet contenant des données à caractère personnel a été validé par un Privacy by Design qu’il est possible d’en rajouter d’autres
30
© ENGIE 2022 - Title of the presentation and date -
RGPD – Les choses à retenir et à appliquer au quotidien
En cas de développement de flux de données contenant des données à caractère personnel, vérifier si un Privacy by Design a bien été réalisé
31
© ENGIE 2022 - Title of the presentation and date -
RGPD – Les choses à retenir et à appliquer au quotidien
En cas de doute relatif au respect réglementaire des données que je manipule, contacter l’équipe RGPD
32
© ENGIE 2022 - Title of the presentation and date -
Félicitations !
Vous êtes presque à la fin de la formation RGPD.
Il ne reste plus qu’à compléter le quizz !
RESTRICTED
INTERNAL
SECRET
33
© ENGIE 2022 - Title of the presentation and date -
Pour aller plus loin
34
© ENGIE 2022 - Title of the presentation and date -
Liens utiles vers des ressources RGPD
- SharePoint vers DataPrivacy (page dédiée à la protection des données personnelles)
- Yammer du groupe DataPrivacy
- Politique Groupe de protection des données personnelles
- Politique DCP de durée de conservation des données à caractère personnel
- Charte d’utilisation des ressources informatiques et des télécommunications de l’Entreprise ENGIE SA
- U-Learn : Plateforme de e-learning contenant des modules de formation RGPD
Autres ressources externes
- Atelier RGPD : MOOC de la CNIL
- Les webinars gratuits de la CNIL
35
© ENGIE 2022 - Title of the presentation and date -
Annexes
36
© ENGIE 2022 - Title of the presentation and date -
Traitements des données à la DCP (3/4)
Collecter, modifier et communiquer les données du contrat de vente d'énergie
Réaliser des études statistiques sur les clients et les prospects
Mesurer la satisfaction des clients et des prospects
Détails de la finalité
Détails de la finalité
Détails de la finalité
- Réaliser les fichiers de ciblage des clients/prospects à enquêter sur la mesure de satisfaction
- Envoyer les enquêtes de mesure de satisfaction aux clients/prospects
- Recueillir, analyser et stocker les résultats des enquêtes clients/prospects
- Recueillir et saisir dans nos outils les données nécessaires à la proposition commerciale, la mise en place ou à la modification du contrat (SIRET, adresse, Point de Livraison , ...)
- Transmettre et archiver les documents contractuels aux clients (Conditions Générales de Vente, Conditions Particulières de Vente, Avenants, …)
- Donner la possibilité au client de modifier son contrat sur son Espace client (souscription, résiliation, modifications contractuelles).
- Réaliser des scores marketing (appétence, ...)
- Réaliser des scores financiers (solvabilité, qualité payeur, …)
- Réaliser des reporting décisionnels (suivi de portefeuille, projection des ventes, waterfall, …)
- Analyser les données clients (consommation, montants des factures, …)
39
© ENGIE 2022 - Title of the presentation and date -
Résumé de la non-applicabilité d’un Privacy by Design
- Engie n’est pas responsable de traitement
- Il n’y a pas de traitement de données à caractère personnel
- Il n’y a pas de traitement de nouvelles données à caractère personnel
- Il n’y a pas de nouveaux acteurs impliqués dans le traitement des données à caractère personnel
- Il n’y a pas de nouvelles finalités de traitement des données à caractère personnel
37
© ENGIE 2022 - Title of the presentation and date -
Traitements des données à la DCP (2/4)
Piloter la qualité des ventes
Fournir l'énergie sur le lieu de consommation
Détails de la finalité
Détails de la finalité
- Faire des écoutes pour mesurer la qualité des forces de vente
- Mener des actions de professionnalisation des forces de vente pour alimenter la boucle d'amélioration continue
- Assurer les échanges d'informations avec les gestionnaires de réseaux pour la mise en énergie du local
Fournir des services autres que la fourniture d'énergie
Piloter la production
Détails de la finalité
Détails de la finalité
- Faire des reporting d'activité des prestataires, des partenaires et des sous-traitants
- Faire des reporting d'activité des ressources internes
- Recueillir et saisir dans nos outils les données nécessaires à l'exécution des services complémentaires souscrits (abonnement données de mesure, facture en ligne, paiement linéaire, ..)
- Exécuter les services complémentaires souscrits
38
© ENGIE 2022 - Title of the presentation and date -
Traitements des données à la DCP (4/4)
Traiter les demandes et les réclamations clients et prospects
Traiter les contentieux clients et prospects
Recouvrer une créance client
Détails de la finalité
Détails de la finalité
Détails de la finalité
- Emettre et archiver une relance vers un client
- Recouvrer une créance
- Emettre une demande de coupure
- Recueillir et saisir dans les outils les demandes et les réclamations des clients/prospects
- Traiter les demandes et les réclamations des clients/prospects
- Transmettre et archiver les documents échangés avec les clients/prospects
- Mettre à jour les informations des comptes clients dans les outils.
- Traiter les contentieux avec les clients et les prospects,
- Transmettre et archiver les documents échangés dans le cadre du contentieux avec les clients et les prospects,
- Mettre à jour les informations des comptes clients et prospects dans les outils.
40
© ENGIE 2022 - Title of the presentation and date -
Durée de conservation des données personnelles
Application concrète dans les outils
CloudRef :
- Purge logique (3 ans) : archivage des données
- Purge physique (5 ans) suppression des données
PF data : Anonymisation des données
42
© ENGIE 2022 - Title of the presentation and date -
Synthèse des droits des personnes
Droit d’accès
Droit d’opposition
Droit de rectification
Droit à l’effacement
Droit d’information
Principe : Les personnes peuvent demander à l’entreprise de lui faire communication, dans un format compréhensible, de l’ensemble des données qu’elle a collecté sur lui.
Principe : Les personnes peuvent s’opposer à un traitement précis de données personnelles.
Principe : Les personnes peuvent demander la rectification des informations inexactes ou incomplètes.
Principe : Les personnes peuvent demander l’effacement de données qui le concernent
Principe : Les personnes doivent recevoir un certain nombre d’informations. Ces informations doivent être accessibles, concises et lisibles afin qu’elles puissent être comprises par tous.
41
© ENGIE 2022 - Title of the presentation and date -
Formation RGPD nouveaux arrivants ARCAD
Engie
Created on December 12, 2023
Start designing with a free template
Discover more than 1500 professional designs like these:
View
Fill in Blanks
View
Countdown
View
Stopwatch
View
Unpixelator
View
Break the Piñata
View
Bingo
View
Create a Secret Code
Explore all templates
Transcript
Formation RGPD DCP
2023
RESTRICTED
INTERNAL
SECRET
Agenda
Le RGPD, c’est quoi ?
01
02
Les acteurs et rôles à la DCP
03
Le RGPD à la DCP
04
Le privacy by Design à la DCP
05
Les bonnes pratiques RGPD
Place à l’évaluation RGPD !
06
Pour aller plus loin
01
Le RGPD, c’est quoi ?
© ENGIE 2022 - Title of the presentation and date -
Le Règlement Général sur la Protection des Données
Le RGPD encadre le traitement des données personnelles sur le territoire de l’Union européenne. Le contexte juridique s’adapte pour suivre les évolutions des technologies et de nos sociétés.
25 mai 2018
27 avril 2016
6 Janvier 1978
Stage 3 evelopment
Stage 5 Market launch and Review
Adoption d’une Loi Informatique et Libertés (loi française) et création de la Comission Nationale de L’Informatique et des Libertés (CNIL)
Adoption du RGPD par le Parlement et le Conseil Européen
Entrée en application du RGPD
© ENGIE 2022 - Title of the presentation and date -
Bilan annuel 2022 des actions répressives de la CNIL
Les décisions de sanction ont concerné des secteurs d’activité, des thématiques et des acteurs très divers
21 sanctions pour un montant de 101 277 000 € (dont 4 pour mauvaise gestion des cookies 3 pour prospection commerciale inadaptée)
Un tiers des sanctions comporte un manquement à la sécurité des données personnelles
Manquements les plus fréquents: Défaut d’information des personnes Non respect des droits des personnes Défaut de coopération avec la CNIL
147 mises en demeure et de nombreuses mises en conformité
+12 000 plaintes (de plus en plus nombreuses depuis l’entrée en application de la RGPD)
© ENGIE 2022 - Title of the presentation and date -
02
Les acteurs et rôles RGPD à la DCP
© ENGIE 2022 - Title of the presentation and date -
Organigramme RGPD DCP
Sébastien DUPRE
Direction Juridique
Data Privacy ManagerFrance Retail
Florence LanoeDirecteur Juridique
Delphine PalluResponsable juridique expert RGPD
Tiziana GittoJuriste
Engie DCP
Alain MarcouRéférent juridique DCP
Contrôle Interne
Engie Retail France
Clémentine LeonhardtAppui Référent juridique DCP
Pascale DucResponsable Contrôle Interne
Vos contacts RGPDDirection des Clients Professionnels
Fériel MaazouAppui Référent juridique DCP
Louis de BénazéCorrespondant Data Privacy Manager (CDPM)
Equipe RGPD
Tuong-Vi NguyenAppui CDPM
Mélanie AvellanedaAppui CDPM
RSSI
Bruno ChéronAppui Supports & Opérations - DSI
Emmanuel DelatteCDO DCP
Michael BlancResponsable Sécurité des Systèmes d’informations (RSSI)
Anne-Sophie BressandAppui DPC
Jacques BouhrisAppui DMD
© ENGIE 2022 - Title of the presentation and date -
Equipe RGPD DCP, votre principal interlocuteur
Louis de BénazéCorrespondant Data Privacy Manager (CDPM)
Equipe RGPD
Tuong-Vi NguyenAppui CDPM
Mélanie AvellanedaAppui CDPM
Pour faire le lien avec d’autres acteurs impliqués dans la sécurisation des données (RSSI, juristes, DPM DGP…)
Pour maintenir le registre de traitements
Pour répondre aux questions du métier, du SI par rapport aux réglementations en vigueur
Pour mettre en œuvre le Privacy by Design
Veiller à la conformité des projets et des processus avec le RGPD, et travailler à les améliorer
Pour toute question, demande, envoyer un e-mail à « rgpddcp.corporate@engie.com »
© ENGIE 2022 - Title of the presentation and date -
03
Le RGPD à la DCP
© ENGIE 2022 - Title of the presentation and date -
Qu’est-ce qu’une donnée personnelle et une donnée sensible ?
« Toute information se rapportant à une personne physique identifiée ou identifiable. Et, parce qu’elles concernent des personnes, celles-ci doivent en conserver la maîtrise »
Les données sensibles sont des informations qui révèlent :
Les données dites sensibles (au sens RGPD), ne sont pas a priori collectées au sein de la DCP. Cependant, certaines de ces informations peuvent figurer dans les champs de saisie libre
10
© ENGIE 2022 - Title of the presentation and date -
Les données à caractère personnel et sensibles pour la DCP
Données personnelles
Données de contact
Données contractuelles
Données de connexion
Verbatims clients
- Enregistrement audio
- Verbatims écrits
Champs de saisie libreDonnées sensibles
Seules les Données Bancaires sont concernées :
11
© ENGIE 2022 - Title of the presentation and date -
04
Le Privacy by Design à la DCP
12
© ENGIE 2022 - Title of the presentation and date -
Le Privacy by Design, qu’est-ce ?
C’est un principe instauré par le RGPD qui consiste à intégrer la protection des données à caractère personnel dès la mise en œuvre de projets (phase de conception/cadrage) impliquant un traitement de données.
Intérêt de son application
Pour l’entité :
Pour le client final :
Une réduction des risques liés à usage impropre des données à caractère personnel Une réduction des risques liés à sa responsabilité / aux sanctions Une capacité à fournir des services conformes à la législation
Une réduction des risques liés à un usage impropre de ses informations personnelles Une confiance accrue dans l’usage des services proposés
Conséquences en cas de non-respect
Des amendes, poursuites judiciaires, vols de données personnelles, des atteintes à l’image de marque…
13
© ENGIE 2022 - Title of the presentation and date -
Les principes relatifs au traitement des données à caractère personnel
Tout projet qui traite des données à caractères personnel doit respecter les principes suivants :
INTÉGRITÉ ET CONFIDENTIALITÉ (SÉCURITÉ DES DONNÉES)
TRANSPARENCE, LICÉITÉ ET LOYAUTE
LIMITATION DES FINALITÉS
MINIMISATION DES DONNÉES
EXACTITUDE (QUALITÉ DES DONNÉES)
LIMITATION DE LA CONSERVATION DES DONNÉES
14
© ENGIE 2022 - Title of the presentation and date -
Les principes relatifs au traitement des données à caractère personnel
Tout projet qui traite des données à caractères personnel doit respecter les principes suivants :
INTÉGRITÉ ET CONFIDENTIALITÉ (SÉCURITÉ DES DONNÉES)
La sécurité du traitement doit être garantie
La sécurité du traitement doit être garantie
15
© ENGIE 2022 - Title of the presentation and date -
Les principes relatifs au traitement des données à caractère personnel
Tout projet qui traite des données à caractères personnel doit respecter les principes suivants :
TRANSPARENCE, LICÉITÉ ET LOYAUTE
Le traitement doit être fait après avoir informée la personne concernée (droit à l’information)
16
© ENGIE 2022 - Title of the presentation and date -
Les principes relatifs au traitement des données à caractère personnel
Tout projet qui traite des données à caractères personnel doit respecter les principes suivants :
LIMITATION DES FINALITÉS
Les données ne doivent pas être traitées ultérieurement d'une manière incompatible
17
© ENGIE 2022 - Title of the presentation and date -
Les principes relatifs au traitement des données à caractère personnel
Tout projet qui traite des données à caractères personnel doit respecter les principes suivants :
MINIMISATION DES DONNEES
Les données doivent être adéquates, pertinentes et limités à ce qui est nécessaire au regard des finalités
18
© ENGIE 2022 - Title of the presentation and date -
Les principes relatifs au traitement des données à caractère personnel
Tout projet qui traite des données à caractères personnel doit respecter les principes suivants :
EXACTITUDE (QUALITÉ DES DONNÉES)
Les données doivent être exactes et tenues à jour
19
© ENGIE 2022 - Title of the presentation and date -
Les principes relatifs au traitement des données à caractère personnel
Tout projet qui traite des données à caractères personnel doit respecter les principes suivants :
LIMITATION DE LA CONSERVATION DES DONNÉES
Les données doivent être supprimées, archivés ou anonymisées si la durée de conservation limite est atteinte
La politique DCP de durée de conservation
20
© ENGIE 2022 - Title of the presentation and date -
Les principes relatifs au traitement des données à caractère personnel
Une application concrète à la DCP de ces 6 principes
EXACTITUDE (QUALITÉ DES DONNÉES)
LIMITATION DES FINALITÉS
TRANSPARENCE, LICÉITÉ ET LOYAUTE
LIMITATION DE LA CONSERVATION DES DONNÉES
MINIMISATION DES DONNÉES
INTÉGRITÉ ET CONFIDENTIALITÉ (SÉCURITÉ DES DONNÉES)
Réalisation de Privacy By Design
Outil d’aide à la mise en conformité au RGPD Complétion d’un questionnaire de ~45 questions
21
© ENGIE 2022 - Title of the presentation and date -
Identification de la nécessité de réaliser un Privacy by Design
Oui
Un Privacy by Design doit être mené
Non
Données traitées utilisées pour de nouvelles finalités ?
Un Privacy by Design n’est pas nécessaire
Non
Non
Données traitées stockées hors UE ?
Oui
Un Privacy by Design doit être mené
Nouvelles données à caractère personnel ou nouveaux acteurs traitant les données à caractère personnel concernés ? (partenaire, sous-traitant…)
Oui
Oui
Un Privacy by Design doit être mené
Données à caractère personnel ?
Non
Oui
Un Privacy by Design n’est pas nécessaire
Engie est-il responsable de traitement ?
Un Privacy by Design n’est pas nécessaire
Non
Recette
Mise en oeuvre
Conception
Expression de besoin
Cadrage
22
Exemples de traitements des données à la DCP
Le registre de traitements des activités permet de disposer d’une vue d’ensemble de ce que le responsable de traitement (ENGIE) fait avec les données personnelles.
La finalité d’un traitement correspond à l’objectif principal pour chaque traitement.
Calculer, émettre, encaisser une facture
Cibler et personnaliser des communications clients et prospects
Collecter des données de prospection
Détails de la finalité
Détails de la finalité
Détails de la finalité
23
© ENGIE 2022 - Title of the presentation and date -
05
Les bonnes pratiques RGPD
24
© ENGIE 2022 - Title of the presentation and date -
Sécuriser son poste de travail et le stockage des données
Les risques d’intrusion dans les systèmes informatiques sont importants et les postes de travail constituent un des principaux points d’entrée.
Bonnes pratiques
A mettre en œuvre pour prévenir les accès frauduleux, l’exécution de virus ou la prise de contrôle à distance, notamment via Internet
- Verrouiller systématiquement le poste de travail en cas de non-utilisation du poste pendant un temps donné
- Limiter la connexion de supports mobiles (clés USB, disques durs externes, etc.) à l’indispensable
- Limiter l’ouverture des ports de communication à ceux strictement nécessaires au bon fonctionnement des applications installées sur le poste de travail
- Utiliser un antivirus et des logiciels régulièrement mis à jour
- Favoriser le stockage des données sur un espace de stockage régulièrement sauvegardé accessible via le réseau de l’organisme plutôt que sur le poste de travail
Utilisation de votre espace OneDrive ENGIE permet d’anticiper le risque de perte ou de divulgation des données25
© ENGIE 2022 - Title of the presentation and date -
Exigences communications e-mails : synthèse des bonnes pratiques
Les données personnelles et données sensibles doivent être transférées, en interne comme à l’externe, de façon sécurisée afin de répondre aux exigences RGPD.
Bonnes pratiques
A mettre en œuvre au quotidien pour sécuriser les transferts par mail de données sensibles et personnelles:
S’il devient difficile de retenir l’ensemble de vos mots de passe, n’hésitez pas à utiliser Keepass, le coffre-fort de mots de passe recommandé par le groupe Engie
Une fonctionnalité Outlook permet de le faire facilement – Vous pouvez retrouver le mode opératoire sur le Teams Gouvernance de Données.
Il ne faut jamais communiquer des données relatives à nos clients gaz
26
© ENGIE 2022 - Title of the presentation and date -
Utilisation de ChatGPT d’un point de vue Cybersécurité
Il y a toujours des contreparties à la gratuité des solutions en libre accès sur Internet
« Si c’est gratuit, c’est que vous êtes le produit »
Quels sont les risques identifiés à date ?
Extraits de la Charte d’utilisation des ressources informatiques et des télécommunications L’Utilisateur s’engage à respecter les lois en vigueur de son pays relatives à l’utilisation des technologies de l’information et de la communication, comprenant notamment des mesures interdisant :
- L’atteinte à la vie privée ou à la protection des données personnelles […]
L’Utilisateur s’engage à identifier et classifier ses informations et données personnelles. L’Utilisateur est responsable des informations qu’il communique sur les réseaux sociaux et d’une manière générale sur InternetIl ne faut jamais partager d’informations relatives à des activités critiques ou avec des données à caractère personnel/ sensibles sur ce service
Cliquez ici
27
© ENGIE 2022 - Title of the presentation and date -
RGPD – Les choses à retenir et à appliquer au quotidien
Eviter de transférer/ communiquer des données à caractère personnel
Si nécessité absolu, privilégier un FTP sécurisé ou par mail sécurisé avec envoie du mot de passe par Teams (systématiquement supprimer les fichiers une fois que l’utilisation a abouti)
28
© ENGIE 2022 - Title of the presentation and date -
RGPD – Les choses à retenir et à appliquer au quotidien
Ne jamais stocker en local des données à caractère personnel
Privilégier le stockage sauvegardé par le réseau
29
© ENGIE 2022 - Title of the presentation and date -
RGPD – Les choses à retenir et à appliquer au quotidien
En cas d’évolutions de flux de données incluant des données à caractère personnel, toujours se référer au Privacy by Design
Ce n’est pas parce qu’un projet contenant des données à caractère personnel a été validé par un Privacy by Design qu’il est possible d’en rajouter d’autres
30
© ENGIE 2022 - Title of the presentation and date -
RGPD – Les choses à retenir et à appliquer au quotidien
En cas de développement de flux de données contenant des données à caractère personnel, vérifier si un Privacy by Design a bien été réalisé
31
© ENGIE 2022 - Title of the presentation and date -
RGPD – Les choses à retenir et à appliquer au quotidien
En cas de doute relatif au respect réglementaire des données que je manipule, contacter l’équipe RGPD
32
© ENGIE 2022 - Title of the presentation and date -
Félicitations !
Vous êtes presque à la fin de la formation RGPD. Il ne reste plus qu’à compléter le quizz !
RESTRICTED
INTERNAL
SECRET
33
© ENGIE 2022 - Title of the presentation and date -
Pour aller plus loin
34
© ENGIE 2022 - Title of the presentation and date -
Liens utiles vers des ressources RGPD
Autres ressources externes
35
© ENGIE 2022 - Title of the presentation and date -
Annexes
36
© ENGIE 2022 - Title of the presentation and date -
Traitements des données à la DCP (3/4)
Collecter, modifier et communiquer les données du contrat de vente d'énergie
Réaliser des études statistiques sur les clients et les prospects
Mesurer la satisfaction des clients et des prospects
Détails de la finalité
Détails de la finalité
Détails de la finalité
39
© ENGIE 2022 - Title of the presentation and date -
Résumé de la non-applicabilité d’un Privacy by Design
37
© ENGIE 2022 - Title of the presentation and date -
Traitements des données à la DCP (2/4)
Piloter la qualité des ventes
Fournir l'énergie sur le lieu de consommation
Détails de la finalité
Détails de la finalité
Fournir des services autres que la fourniture d'énergie
Piloter la production
Détails de la finalité
Détails de la finalité
38
© ENGIE 2022 - Title of the presentation and date -
Traitements des données à la DCP (4/4)
Traiter les demandes et les réclamations clients et prospects
Traiter les contentieux clients et prospects
Recouvrer une créance client
Détails de la finalité
Détails de la finalité
Détails de la finalité
40
© ENGIE 2022 - Title of the presentation and date -
Durée de conservation des données personnelles
Application concrète dans les outils
CloudRef :
- Purge logique (3 ans) : archivage des données
- Purge physique (5 ans) suppression des données
PF data : Anonymisation des données42
© ENGIE 2022 - Title of the presentation and date -
Synthèse des droits des personnes
Droit d’accès
Droit d’opposition
Droit de rectification
Droit à l’effacement
Droit d’information
Principe : Les personnes peuvent demander à l’entreprise de lui faire communication, dans un format compréhensible, de l’ensemble des données qu’elle a collecté sur lui.
Principe : Les personnes peuvent s’opposer à un traitement précis de données personnelles.
Principe : Les personnes peuvent demander la rectification des informations inexactes ou incomplètes.
Principe : Les personnes peuvent demander l’effacement de données qui le concernent
Principe : Les personnes doivent recevoir un certain nombre d’informations. Ces informations doivent être accessibles, concises et lisibles afin qu’elles puissent être comprises par tous.
41
© ENGIE 2022 - Title of the presentation and date -