Depuis 2011 plane sur les entreprises un risque de notification des failles de sécurité. En effet, l’obligation de sécurité a été renforcée pour les fournisseurs de services électroniques au public : ils doivent déclarer les failles de sécurité touchant aux données à caractère personnel.
Mais attention depuis le 25 mai 2018, le RGPD (Règlement européen sur la protection des données à caractère personnel) impose l’obligation de notification des violations de données à toutes les entreprises !
Cette journée de formation a pour objet de soulever l’enjeu d’une telle divulgation de vos failles de sécurité mais aussi de vous mettre à jour sur les obligations de sécurité qui vous incombent lors de la mise en œuvre d’un traitement de données à caractère personnel, d’autant que les contrôles de la Cnil s’attaquent aux problématiques sécuritaires.
Objectifs
- Comprendre les risques et les enjeux de la divulgation de vos failles de sécurité (CNIL, ANSSI)
- Maîtriser les nouvelles obligations de sécurité des données à caractère personnel, suite à l’application du règlement européen et des recommandations de l'ANSSI
- Identifier les traitements de données nécessitant un fort niveau de protection
- Mettre en place les outils nécessaires afin d’éviter toute sanction (CNIL, ANSSI)
Modalités pédagogiques
- Exposés suivis de question-réponse et d'échanges avec les participants lors de nombreux cas pratiques
Pour quel
public ?
- Avocat
- Juriste
- DSI
- RSSI
- Risk manager
- DPO /CIL
- Webmaster
- E-commerçant
- Dirigeant de PME
Les plus
- Une experte du droit des données partage avec vous ses expériences terrains à travers de nombreux quiz et cas pratiques qui rythment la formation
Programme détaillé
Rappel des fondamentaux en matière de protection des données à caractère personnel
- Qu’est-ce qu’une donnée à caractère personnel ?
- Définition et rappel des textes encadrant la collecte et le traitement de données à caractère personnel
- Intérêt de la loi Informatique et libertés dans le contexte de l’obligation de sécurité des données
Cas pratique : Mise en situation et obligations de sécurité
Cadre règlementaire général et obligation de sécurité des données à caractère personnel
Qu’en est-il avec le Règlement européen depuis le 25 mai 2018 ?
Cas pratique : Pourquoi dois-je qualifier les données traitées avant de prévoir les mesures de sécurité adaptées ? Comment rédiger mon contrat sur la partie « sécurité »
Maîtriser les enjeux et les risques de la divulgation des failles de sécurité
Cas pratique : Enjeu de la divulgation d’une faille de sécurité - analyse du formulaire de notification des violations de données de la CNIL
Retours pratiques d’expériences et documentation à élaborer
- Quand réaliser une analyse d’impact (PIA) ?
- Quand contacter la CNIL sur mes projets ?
- Quelle documentation tenir à minima (registre des violations, privacy by design, charte de protection des données, guide sécurité….)
- Communication : gestion de risque, obtenir des labels/certification pour l’image de l’organisme
Cas pratique : Décryptage d’une analyse d’impact (Privacy Impact Assessment)
Principales actions judiciaires pour protéger vos données
- Lanceur d’alerte et actions pénales
- Principales actions judiciaires à votre disposition en cas de vol ou de détournement de vos fichiers
- Sanctions encourues par les auteurs de vol de fichiers
Cas pratique : la boîte à outils en cas de constat d’une atteinte à votre Système d’information