Données personnelles

INTRODUCTION

1.Les obligations de sécurité dans le RGPD et la loi informatique et libertés

• Notion et diversification des cyberattaques
• Définition d’une violation de données et exemples de sanctions prononcées par la CNIL
• La mise en place des mesures de sécurité : contrôle d’accès physiques / logiques, protection des logiciels, mesures de sauvegarde, chiffrement des données, traçabilité, contrôle des sous-traitants, audits réguliers des systèmes d’information
• L’élaboration d’une procédure en cas de violation de données et des études d’impact nécessaires aux traitements les plus sensibles
• Relations entre acteurs concernés (responsable de traitement, co-responsables/responsables conjoints et sous-traitant) : contractualisation des relations, organisation des rôles et répartition des obligations et responsabilités

2.Quelles stratégies à adopter ?

• La stratégie organisationnelle : mise en place de la gouvernance, identification des acteurs clés (RSSI, Directeur/ Responsable IT, interlocuteurs privilégiés auprès des sous-traitants)
• La stratégie juridique : qualification de la cyberattaque en violation de données et ses conséquences, nécessité de déposer une plainte
• La stratégie de communication : faut-il communiquer et comment ?
• La stratégie de sécurité : mise en place des mesures de sécurité visant à stopper la cyberattaque

3.Quelles actions à mener au titre de la protection des données ?

• La notification de la violation de données auprès de la CNIL
• La documentation à mettre en place
• La communication de la violation aux personnes concernées