Press enter to begin your search

Formation Données personnelles : gérer les failles de sécurité et la confidentialité des données

Sécurité Informatique

Objectifs pédagogiques

  • S’assurer de la conformité des traitements et fichiers aux nouvelles obligations de sécurité des données
  • Maîtriser les aspects juridiques et organisationnels de gouvernance et de sécurité des données et savoir réagir face à une faille
  • Anticiper les sanctions en identifiant les traitements de données supposant un haut niveau de protection

Programme

 

Le contexte applicable en matière de protection des données à caractère personnel

  • Réglementation applicable en matière de protection des données à caractère personnel: périmètres historique, technique, géographique, économique, fonctionnel
  • Détermination des acteurs intervenant dans le traitement de données à caractère personnel
  • Présentation du changement de paradigme : l’accountability et la privacy by design
  • Identification des risques et des sanctions

Les aspects juridiques et organisationnels en matière de sécurité des données

  • L’évolution de la réglementation et les enjeux
  • De la Loi Informatique et Libertés au nouveau Règlement européen sur la protection des données personnelles (RGPD)
  • D’une politique générale de sécurité des systèmes d’information à une politique de sécurité spécifique dédiée à la protection des données à caractère personnel
  • Les mesures-clés en matière de sécurité des données
  • Décryptage des obligations issues du RGPD
  • Présentation des recommandations des organismes faisant autorité : CNIL, ANSSI, etc. Normes et certifications
  • Relations contractuelles et responsabilités
  • Relations entre responsable de traitement et sous-traitant : contractualisation des relations, obligation renforcée à la charge du sous-traitant en matière de sécurité et de confidentialité des données
  • Relation entre co-responsables ou responsables conjoints du traitement : contractualisation des relations, définition transparente et organisation des rôles et responsabilités
  • Analyse de risque et analyse d’impact
  • Évaluation des risques d’atteinte aux données à caractère personnel de chaque traitement et impact sur les droits et libertés des personnes concernées
  • Privacy impact assessment (étude d’impact sur la vie privée) : méthode d’élaboration, guides méthodologiques, normes et certifications
  • De la privacy by design à la security by design
  • Tenue d’une documentation
  • Cahier des charges technico-juridique
  • Labels, codes de conduite et mécanismes de certification
  • Atelier pratique : contractualisation des relations entre un responsable de traitement et un sous-traitant (l’exemple du Cloud)

Réagir en cas de failles de sécurité

  • Identification de la violation de donnée
  • Notifications : interne, CNIL, personnes concernées, etc.
  • Actions à déployer
  • Processus de remontée d’information
  • Politique de sécurité et politique de gestion des failles de sécurité
  • Dossier de preuve
  • Relations avec les assurances
  • Communication
  • Retour d’expérience
  • Mise en pratique : la boîte à outils en cas de constatation d’une faille de sécurité