Elegia

Données personnelles : gérer les failles de sécurité et la confidentialité des données

Par Elegia

Objectifs

  • S'assurer de la conformité des traitements et fichiers aux nouvelles obligations de sécurité des données
  • Intégrer les aspects juridiques et organisationnels de gouvernance et de sécurité des données et réagir face à une faille
  • Anticiper les sanctions en identifiant les traitements de données supposant un haut niveau de protection

Programme

Le contexte applicable en matière de protection des données à caractère personnel

  • Réglementation applicable : périmètres historique, technique, géographique, économique, fonctionnel
  • Détermination des acteurs intervenant dans le traitement des données&nbsp,
  • Présentation du changement de paradigme&nbsp,: l'accountability et la privacy by design
  • Identification des risques et des sanctions

Les aspects juridiques et organisationnels en matière de sécurité des données

  • L'évolution de la réglementation et les enjeux
  • De la loi informatique et libertés au RGPD
  • D'une politique générale de sécurité des systèmes d'information à une politique de sécurité spécifique dédiée à la protection des données
  • Les mesures-clés en matière de sécurité des données
  • Décryptage des obligations issues du RGPD
  • Présentation des recommandations des organismes faisant autorité&nbsp,: CNIL, ANSSI, etc.
  • Normes et certifications
  • Relations contractuelles et responsabilités
  • Relations entre responsable de traitement et sous-traitant&nbsp,: contractualisation des relations, obligation renforcée à la charge du sous-traitant en matière de sécurité et de confidentialité des données
  • Relation entre co-responsables/responsables conjoints du traitement&nbsp,: contractualisation des relations, définition transparente et organisation des rôles et responsabilités
  • Analyse de risque et analyse d'impact
  • Évaluation des risques d'atteinte aux données personnelles de chaque traitement et impact sur les droits et libertés des personnes concernées
  • Privacy impact assessment (étude d'impact sur la vie privée)&nbsp,: méthode d'élaboration, guides méthodologiques, normes et certifications
  • De la privacy by design à la security by design
  • Tenue d'une documentation
  • Cahier des charges technico-juridique
  • Labels, codes de conduite et mécanismes de certification

Exercice : contractualisation des relations entre un responsable de traitement et un sous-traitant (l'exemple du Cloud)

Réagir en cas de failles de sécurité

  • Identification de la violation de données
  • Notifications&nbsp,: interne, CNIL, personnes concernées, etc.
  • Actions à déployer
  • Processus de remontée d'informations
  • Politiques de sécurité et de gestion des failles de sécurité
  • Dossier de preuve
  • Relations avec les assurances
  • Communication

Retours d'expérience

Focus : la boîte à outils en cas de constatation d'une faille de sécurité

Pédagogie

  • De nombreux conseils pratiques de mise en conformité avec la règlementation en vigueur en matière de sécurisation des données à caractère personnel.