OBJECTIFS

S'assurer de la conformité des traitements et fichiers aux nouvelles obligations de sécurité des données Intégrer les aspects juridiques et organisationnels de gouvernance et de sécurité des données et réagir face à une faille Anticiper les sanctions en identifiant les traitements de données supposant un haut niveau de protection

Programme

Le contexte applicable en matière de protection des données à caractère personnel Réglementation applicable : périmètres historique, technique, géographique, économique, fonctionnel Détermination des acteurs intervenant dans le traitement des données Présentation du changement de paradigme : l'accountability et la privacy by design Identification des risques et des sanctions Les aspects juridiques et organisationnels en matière de sécurité des données L'évolution de la réglementation et les enjeux De la loi informatique et libertés au RGPD D'une politique générale de sécurité des systèmes d'information à une politique de sécurité spécifique dédiée à la protection des données Les mesures-clés en matière de sécurité des données Décryptage des obligations issues du RGPD Présentation des recommandations des organismes faisant autorité : CNIL, ANSSI, etc. Normes et certifications Relations contractuelles et responsabilités Relations entre responsable de traitement et sous-traitant : contractualisation des relations, obligation renforcée à la charge du sous-traitant en matière de sécurité et de confidentialité des données Relation entre co-responsables/responsables conjoints du traitement : contractualisation des relations, définition transparente et organisation des rôles et responsabilités Analyse de risque et analyse d'impact Évaluation des risques d'atteinte aux données personnelles de chaque traitement et impact sur les droits et libertés des personnes concernées Privacy impact assessment (étude d'impact sur la vie privée) : méthode d'élaboration, guides méthodologiques, normes et certifications De la privacy by design à la security by design Tenue d'une documentation Cahier des charges technico-juridique Labels, codes de conduite et mécanismes de certification Exercice : contractualisation des relations entre un responsable de traitement et un sous-traitant (l'exemple du Cloud) Réagir en cas de failles de sécurité Identification de la violation de données Notifications : interne, CNIL, personnes concernées, etc. Actions à déployer Processus de remontée d'information Politiques de sécurité et de gestion des failles de sécurité Dossier de preuve Relations avec les assurances Communication Retour d'expérience Focus : la boîte à outils en cas de constatation d'une faille de sécurité

Introduction

Le RGPD alourdit considérablement la responsabilité des acteurs traitant des données personnelles et leur impose de prendre des mesures techniques et organisationnelles visant à assurer la protection de ces données, en intégrant les principes d'accountability et de privacy by design. L'adoption d'une culture de conformité à la sécurisation des systèmes d'information, des réseaux et des données traitées est une priorité pour les responsables de traitements comme pour les sous-traitants.

Public

Directeurs, responsables et collaborateurs de services juridiques, responsables et collaborateurs des services informatiques, marketing, commerciaux et relations clients, responsables de la sécurité des systèmes d'information, anciens CIL et DPO/futurs DPO, responsables du contrôle interne, des risques, de la conformité, compliance officers