Violations de données : pour ne pas subir

Présentation

Un responsable de traitement ne peut plus détourner les yeux en cas d’incident de sécurité impactant les données personnelles qu’il traite et doit – dans certaines circonstances – notifier la violation de données à la CNIL, voire la communiquer aux «victimes».

Il s’agit pour les entreprises d’un véritable changement de paradigme et de multiples questions se posent :

  • Quelles mesures prendre en amont pour éviter d’avoir à notifier une violation de données ?

  • Comment détecter tous les incidents susceptibles d’être qualifiés de «violation»? Et qui réalise cette qualification ?

  • À partir de quand démarrent les «72 heures» attendues par la CNIL pour réaliser la notification auprès d’elle ?

  • Au final, qui prend la décision de notifier ?

  • Comment décider s’il faut en plus communiquer la violation aux personnes concernées? Et que leur dire ? Faut-il leur donner des précisions sur l’incident lui-même? Faut-il s’excuser? Et qui signe le courrier ?

  • Faut-il craindre un contrôle de la CNIL à la suite d’une notification, voire une action de groupe de la part des «victimes» ?

  • Que faut-il imposer aux sous-traitants à ce sujet ? Le modèle de clause contractuelle proposé par l’autorité de contrôle est-il suffisant ? Combien de temps maximum doit-on laisser à ses sous-traitants pour nous signaler un incident ?

  • Quel lien entre violation de données, analyse d’impact et Privacy by Design ?

  • Comment tirer des enseignements utiles des violations pour en faire un levier de progrès ?

  • Quel rôle doit jouer le DPO: simple spectateur, pilote et leader, voire réalisateur ?

Autant de questions cruciales auxquelles Bruno RASLE, expert reconnu de longue date et DPO mutualisé de l’une des branches de la Sécurité sociale (plus d’une centaine de violations de données à son actif), répond lors d’une journée durant laquelle les aspects opérationnels sont privilégiés.

À l’issue d’une session très interactive, avec l’intense participation des apprenants (études et travaux sur des cas concrets – dont certains de ceux signalés au préalable par les participants –, mises en situation, travail en groupes, réponses aux questions, …), les participants repartent forts de toutes les connaissances leur permettant de maîtriser le sujet. De plus, l’intervenant partage des documents opérationnels qu’il a forgés dans le cadre de sa pratique professionnelle (exemples concrets, modèle de procédure, fiche «Réflexe», éléments de sensibilisation des parties prenantes, courriers types, …).

«La question n’est pas «Allons-nous connaître des violations de données ?» mais «Quand allons-nous connaître des violations de données et devoir les notifier à la CNIL ?». Je recommande à mes confrères DPO de positiver et de prendre ce sujet à bras le corps pour en faire un levier de progrès»
Bruno RASLE, intervenant

Objectifs généraux de la formation

Au-delà de la théorie, permettre aux DPO (internes, externes) et aux futurs DPO (ainsi qu'à leurs collaborateurs) de disposer de tous les éléments pour se forger leur propre méthode de gestion des violations de données au titre des articles 33 et 34 du RGPD, afin :

  • De préparer son organisation à cette éventualité ;

  • Maîtriser la gestion d’une violation de données ;

  • D’identifier les difficultés, les pièges, les freins ;

  • D’identifier son articulation avec le Privacy by Design et les analyses d’impact ;

  • De se forger sa propre doctrine, dans le respect du cadre imposé ;

  • D’en faire un levier au service du DPO et un axe de progrès.

Cette journée permet aussi à toute personne prenant part à la gestion d’une violation de données d'optimiser ses apports (RSSI, Risk Manager, membre d’une cellule de crise, …).

En savoir plus ...

Je souhaite obtenir plus d'information sur cette formation (mail)

Télécharger le programme

Testez vos connaissances : le Quiz

La présentation et l'interview du formateur, Bruno RASLE

Nous contacter pour toute demande

Prochaine session

La prochaine session aura lieu le 07/12/2022

Les autres formations par Bruno RASLE

Merci !


Votre demande nous a bien été envoyée

Merci !


Votre demande nous a bien été envoyée