[cyber-sécurité] RGPD-GDPR l’obligation de sécurisation des systèmes d’information – formation ISEP 12 octobre 2018

[12 octobre 2018] Aujourd’hui, à l’ISEP, c’est « RGPD-GDPR obligation de sécurisation des systèmes d’information » ! Alors à votre avis, de quoi allons-nous parler ? Un indice ? Choisissez un chiffre entre 31 et 33… ajouter « article » juste avant et allez chercher dans ce lien http un truc long et compliqué à lire qui est entré en vigueur depuis le 25 mai 2018

Mes slides sont entièrement en ligne, dans trois sliders différents, histoire que vous, les pro de l’ISEP, puissiez accéder à celles qui vous seront utiles de revoir (on peut rêver, non ?)

RGPD-GDPR obligation de sécurisation des systèmes d'information


RGPD-GDPR obligation de sécurisation des systèmes d’information : rappel des fondamentaux de la GDPR

Oui, c’est promis, on va voir revoir rapidement (et de manière concrète) qui est responsable de traitement, qui est sous-traitant. On va voir les notions de « contenu », de « métadonnées » et de « données à caractère personnel ». Avec un peu de droit du « contenu » des bases de données. J’en profiterai pour faire un peu de perspective sur cette « matière » numérique.


RGPD-GDPR obligation de sécurisation des systèmes d’information : quelles contraintes techniques ?

Là, pas de mystère, il va falloir renter dans les concepts techniques qui effraient tant les juristes. Vous allez voir, avec quelques notions simples, vous en saurez assez pour ce qu’il faut lire ou écrire dans vos contrats. Evidemment, il faut comprendre ce qu’est le chiffrement… Pour le pseudonymisation, si la définition de la GDPR est incompréhensible, vous verrez, avec une slide, ça devrait devenir clair.



RGPD-GDPR obligation de sécurisation des systèmes d’information : la jurisprudence 2014 / 2018

On peut parler technique, nous les juristes, mais si en plus nos propos sont illustrés par des exemples précis, on préfère. Et bien, de ce coté là, nous sommes servi(e)s. 9 jurisprudences de la CNIL depuis juillet 2014, rien que sur des manquement à l’obligation de sécurisation, toutes directement transposables à la GDPR actuelle. Pourquoi ? Dans un excès de zèle qu’il faut louer, la France a anticipé le dispositif légal « violation de données » + « obligation de notification » depuis 2014. Et la CNIL, bien aidée par certains sites spécialisés d’information (dont la devise pourrait être « je ne dénonce pas, je renseigne« ), ne s’est pas privée de sanctionné et de poser des critères concrets permettant de détailler ce que doivent être les impératifs techniques de protection des systèmes d’information. Depuis juillet 2018, nous avons même une délibération de sanction faisant suite à une cyber-attaque délibérée (décision « DailyMotion »).



RGPD-GDPR obligation de sécurisation des systèmes d’information : les délibérations de la CNIL

Voici les liens pour accéder aux principales décisions de la CNIL :

Délibération de la formation restreinte n° 2014-298 du 7 août 2014 prononçant un avertissement à l’encontre de la société X

Délibération de la formation restreinte n° SAN-2017-010 du 18 juillet 2017 prononçant une sanction pécuniaire à l’encontre de la société HERTZ FRANCE

Délibération de la formation restreinte n° SAN-2017-011 du 20 juillet 2017 prononçant un avertissement public à l’encontre de la société OUICAR

Délibération de la formation restreinte n° SAN-2017-012 du 16 novembre 2017 prononçant une sanction pécuniaire à l’encontre de la société WEB EDITIONS

Délibération de la formation restreinte n° SAN-2018-001 du 08/01/2018 prononçant une sanction pécuniaire à l’encontre de la société ETABLISSEMENTS DARTY ET FILS

Délibération de la formation restreinte n° SAN-2018-002 du 7 mai 2018 prononçant une sanction pécuniaire à l’encontre de la société OPTICAL CENTER

Délibération de la formation restreinte n° SAN-2018-003 du 21 juin 2018 prononçant une sanction pécuniaire à l’encontre de l’Association pour le Développement des Foyers

Délibération de la formation restreinte n° SAN-2018-008 du 24 juillet 2018 prononçant une sanction pécuniaire à l’encontre de la société DAILYMOTION

Délibération de la formation restreinte n° SAN-2018-010 du 6 septembre 2018 prononçant une sanction pécuniaire à l’encontre de l’association ALLIANCE FRANCAISE PARIS ÎLE-DE-FRANCE