Préparation RGPD

Préparez votre entreprise à la conformité RGPD, anticipez les crises liées au projet et aux violations de sécurité des données

Le 25 Mai 2018, le règlement européen de protection des données personnelles (RGPD ou GDPR) entre en vigueur. Il est d’application directe et immédiate dans tous les pays membres pour toute entreprise ou organisation qui, directement ou par un sous-traitant, collecte, stocke et traite des données à caractère personnel de citoyens européens dont l’utilisation peut directement ou indirectement permettre de les identifier.

Après de longs travaux préparatoires, la réglementation change de paradigme. Le RGPD renforce le droit des personnes et modifie profondément le rapport avec l’autorité de contrôle pour passer d’un régime déclaratif ou d’autorisations préalables à une logique de responsabilisation et de justification de la protection des données personnelles (accountability) par les entités elles‐mêmes. Il renforce les principes de co‐responsabilité des sous‐traitants et de « Privacy by design ». Enfin il institue des obligations de notification des violations de sécurité aux autorités et aux personnes concernées, le tout assorti de sanctions renforcées, notamment d’amendes administratives importantes de 10 à 20 M€ et de 2 à 4 % du CA.

 

Nombreuses sont les offres de formation et d’accompagnement pour le volet de mise en conformité juridique ainsi que pour le volet informatique qui implique la mise en œuvre d’outils logiciels (chiffrement, pseudonymisation) et de processus adaptés au sein du système d’information.

Mais les premiers retours d’expériences, l’évolution des offres des fournisseurs et sous-traitants et les premières condamnations de la CNIL prononcées sous l’empire de la loi pour une République numérique préfigurant ce que sera le volet répressif du RGPD, nous amènent à considérer qu’il faut appréhender le RGPD comme un projet global d’entreprise.

Au‐delà de l’obligation de mise en conformité et de protection des personnes, le RGPD doit être mené comme une opportunité majeure d’avantage concurrentiel et de renforcement des liens de confiance avec les clients et collaborateurs de l’entreprise, avec un ROI jusque dans la mise en œuvre de la gestion de crise en cas de violation de sécurité des données.

 

Ce séminaire de deux jours permet de bien maîtriser l’ensemble des enjeux juridiques et techniques et propose une méthode documentée en trois étapes permettant de transmettre aux personnes en charge du projet dans l’entreprise, quel que soit son niveau d’avancement actuel, les retours d’expérience du management des projets contraints (Passage à l’An 2000, mise en place de l’Euro, projets réglementaires, Crue majeure Paris, gestion de crise, …)

 

Cette méthodologie permet dans un premier temps de cartographier et d’organiser les projets de mise en conformité en les arbitrant par les risques, là où les risques d’atteinte aux droits des personnes les plus élevés prédominent au regard des critères donnés par le G29  (données à caractère personnel directement identifiantes, indirectement, de profilage, sensibles, traitements présentant un risque élevé pour les droits des personnes, …), de mettre en place un dispositif de gestion de crise et de réponse approprié permettant de réagir très vite dès à présent pour les violations de sécurité et en mai 2018 pour les obligations de notifications afin de réduire ainsi de manière drastique les conséquences financières comme le démontrent les dernières décisions de la CNIL, puis dans un troisième temps d‘installer durablement les bonnes pratiques et règles de développement (privacy by design) assorti d’un processus continu de protection des droits des personnes.

 

La mise en place d’une organisation efficace de gestion de crise RGPD est indispensable pour assurer la protection de l’entreprise pour toutes les situations de conflit et d’arbitrage quand le projet RGPD n’est pas certain d’être finalisé avant fin mai 2018.

Cette formation apporte donc aux participants une vision claire directement opérationnelle sur l’ensemble des questions juridiques et techniques, les éléments documentés de la méthode permettant de conduire le projet, la livraison d’un chrono-compte à rebours permettant de mobiliser vos équipes et un support jusqu’à fin 2018 permettant de bénéficier des dernières informations à jour.

Eclairage...

Notifications d’incidents de sécurité aux autorités de régulation : comment s’organiser et à qui s’adresser ?

Les obligations de notification des incidents de sécurité aux autorités de régulation (CNIL, ANSSI, agences régionales de santé) prévues par des textes nationaux ou européens se multiplient. Tout organisme doit se préparer à répondre à cette situation et des bonnes pratiques existent.

L’incident de sécurité n’arrive pas qu’aux autres. Mais il est possible de le gérer sereinement dès lors que l’on est préparé en amont. Le processus de gestion des incidents doit être pensé, testé, évalué et corrigé. Les obligations de notification aux autorités compétentes entrent pleinement dans le périmètre de ce processus, qui devient de facto un élément clé de l’organisation de tout organisme.

Avec l’entrée en vigueur en mai 2018 du Règlement général sur la protection des données (RGPD), tous les organismes seront soumis à une obligation de notification des violations de données personnelles à la CNIL.

Pour une partie de ces organismes, cette obligation se cumule avec d’autres, déjà en place ou à venir :

  • le règlement « ePrivacy »,
  • le règlement « eIDAS »,
  • la directive « NIS »,
  • la directive « Paquet Télécom »,
  • la loi visant les systèmes d’information d’importance vitale ou SIIV
  • ou encore la loi de modernisation du système de santé, qui intègrent tous un principe de notification.

Ces textes font ainsi peser sur certains organismes différentes obligations de notification d’incidents qui peuvent se recouvrir les unes et les autres.

 

Comment un organisme peut-il s’y retrouver ? Comment optimiser le processus en cas de notification simple ou multiple ?

Comment mettre en place ou améliorer le processus de gestion des incidents ?

En se basant sur les différents textes précités et en s’inspirant du processus de gestion des incidents défini par la norme ISO/IEC 27035, il est envisageable de prévoir, en interne pour chaque organisme, un processus propre de gestion des incidents.

L’organisation doit ainsi être pensée en amont de l’incident et non pas lorsque celui-ci se produit. Une organisation efficace permet d’améliorer la gestion des incidents et de se conformer aux textes.

Gestion des notifications

Ce schéma présente de façon succincte un processus de gestion des incidents classique, en 5 étapes, basé sur la norme ISO/IEC 27035. Dans chacune de ces étapes, des éléments relatifs à la notification peuvent utilement être intégrés.

1- Planifier et préparer

Créer un annuaire et des procédures de gestion des incidents

Lors de la préparation, en amont de la survenance de l’incident, il est important :

  • d’identifier l’ensemble du personnel interne impliqué dans la gestion des incidents, de formaliser cette liste et de la tenir à jour. Par exemple les personnes en charge de :
    • l’encadrement supérieur de l’organisme,
    • la sécurité des systèmes d’information,
    • la protection des données à caractère personnel,
    • la gestion des risques ou de la qualité,
    • la communication,
    • la technique ou pouvant apporter leur soutien organisationnel ou technique ;
  • d’identifier les parties prenantes externes, de formaliser cette liste et de la tenir à jour :
    • prestataires de service impliqués,
    • autorités destinataires des notifications,
    • liens vers les formulaires de notification, etc ;
  • de formaliser et de tester les procédures internes de gestion des incidents.

2 -Détecter et signaler

Mener une veille et mettre en œuvre des outils de détection des incidents

Afin de pouvoir réagir, il faut s’informer et détecter les incidents afin de les qualifier. Il est conseillé de :

  • mettre en place un dispositif de veille sur les menaces actuelles, par le biais de sources internes ou externes (fournisseurs, ANSSI, ASIP, autres IRT (Incident Response Team) / CERT (Computer Emergency Response Team)), fils RSS et les analyser en fonction de sa propre situation ;
  • mettre en place des dispositifs de détection et de remontée d’alertes, permettant de détecter les activités anormales, suspectes, voire malveillantes, et des outils de détection des « évènements de sécurité ». Cette surveillance de l’activité des systèmes dans un but de sécurité doit se faire dans le respect des droits des utilisateurs internes ou externes.

3 -Évaluer et décider

Qualifier l’incident

Après avoir évalué les informations remontées et déterminé si l’évènement de sécurité est un incident avéré, il est maintenant temps de qualifier l’indicent, notamment dans le but de déterminer la(les) autorité(s) devant être rendues destinataires de la notification, le cas échéant.

À cette fin, un arbre de décision devrait permettre d’identifier rapidement les actions à mener pour chaque incident en fonction de l’incident et des textes applicables à son organisme. Par exemple :

* Établissements de santé, hôpitaux des armées, laboratoires de biologie médicale et centres de radiothérapie

** Opérateur d’importance vitale (OIV), opérateur de service essentiel (OSE) ou opérateur de service numérique (OSN) mettant à disposition des places de marché et les moteurs de recherche en ligne et des services d’informatique en nuage, service de confiance (SDC), ou opérateurs Télécom

 

Note : en cas de violation de données personnelles, il faut « documenter » l’incident, c’est-à-dire tenir un registre interne dans lequel seront consignés les faits concernant la violation, ses effets et les mesures prises pour y remédier.

 

4 – Répondre

Résoudre et notifier l’incident

Pour traiter l’incident, l’organisme doit :

  • déterminer et mettre en place des mesures pour le résorber ;
  • notifier l’incident aux autorités compétentes.

 

Les autorités mettent à disposition des formulaires de notification :

  • la CNIL propose actuellement aux fournisseurs de services de télécommunication, déclarés auprès de l’ARCEP et soumis aux obligations du paquet télécom, un formulaire de notification de violations de données. En savoir plus.
  • le téléservice de notification des violations de données à caractère personnel dans le cadre de la loi santé est en cours d’élaboration ;
  • l’ANSSI propose un formulaire de déclaration d’un incident de sécurité affectant les SIIV ;

 

LA NOTIFICATION DE VIOLATIONS DE DONNÉES À L’HEURE DU RÈGLEMENT EUROPÉEN

Dans le cas d’une violation de données à caractère personnel, l’organisme doit porter à la connaissance de la CNIL, via un nouveau téléservice qui sera opérationnel en mai 2018, les éléments suivants :

  • la description de la nature de la violation de données à caractère personnel ;
  • les catégories de données ;
  • le nombre approximatif de personnes concernées par la violation ;
  • les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
  • le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues, de décrire les conséquences probables de la violation de données et enfin de préciser les mesures prises ou à prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Par ailleurs, en cas de risque élevé pour les personnes concernées, le responsable de traitement doit également informer, en des termes clairs et simples, les utilisateurs touchés par l’indicent, sauf si le responsable a pris préalablement ou postérieurement à la violation des mesures techniques ou organisationnelles appropriées. Dans le cas où la communication aux personnes concernées exigerait des efforts disproportionnés, une communication publique ou autre mesure similaire tout aussi efficace peut être réalisée. La CNIL peut, si elle l’estime nécessaire, demander au responsable de traitement ne l’ayant pas fait, d’effectuer cette communication.

Dès lors que de nouveaux éléments sont découverts, l’organisme les fait parvenir à la CNIL.

 

5 – Tirer les Enseignements

Empêcher que l’incident se reproduise

Le retour d’expérience est maintenant à capitaliser. Les lacunes sécuritaires et organisationnelles sont identifiées et il faut les corriger, avant le prochain incident, pour réduire le risque qu’il se reproduise. Il convient également de revoir les risques et de mettre à jour les PIA (étude d’impact sur la vie privée) en conséquence

Temps restant avant la mise en place de la réglementation :
Inscrivez-vous

Prochaines sessions : 

TELECHARGER LE PROGRAMME
Actualités
Revue de presse RGPD