1.Les obligations de sécurité dans le RGPD et la loi informatique et libertés
Notion et diversification des cyberattaques
Définition d’une violation de données et exemples de sanctions prononcées par la CNIL
La mise en place des mesures de sécurité : contrôle d’accès physiques / logiques, protection des logiciels, mesures de sauvegarde, chiffrement des données, traçabilité, contrôle des sous-traitants, audits réguliers des systèmes d’information
L’élaboration d’une procédure en cas de violation de données et des études d’impact nécessaires aux traitements les plus sensibles
Relations entre acteurs concernés (responsable de traitement, co-responsables/responsables conjoints et sous-traitant) : contractualisation des relations, organisation des rôles et répartition des obligations et responsabilités
2.Quelles stratégies à adopter ?
La stratégie organisationnelle : mise en place de la gouvernance, identification des acteurs clés (RSSI, Directeur/ Responsable IT, interlocuteurs privilégiés auprès des sous-traitants)
La stratégie juridique : qualification de la cyberattaque en violation de données et ses conséquences, nécessité de déposer une plainte
La stratégie de communication : faut-il communiquer et comment ?
La stratégie de sécurité : mise en place des mesures de sécurité visant à stopper la cyberattaque
3.Quelles actions à mener au titre de la protection des données ?
La notification de la violation de données auprès de la CNIL
La documentation à mettre en place
La communication de la violation aux personnes concernées