RGPD Sécuriser vos données

Documents publics

Qu'est ce qu'un traitement à risque ?
Comment mener une analyse d'impact ?
Comment gérer un incident de sécurité / violation de données ?

Partager sur des réseaux sociaux

Partager le lien

Utiliser un lien permanent pour partager dans les medias sociaux

Partager avec un ami

S'il vous plaît S'identifier envoyer ceci presentation par courriel!

Intégrer à votre site internet.

Sélectionnez une page pour commencer

12. www.clusir -tahiti.org

8. Source : CNIL, CNIL-PIA-1-Méthode.pdf Il faut alors sélectionner des mesures de sécurité pour réduire ces risques

6. La CNIL propose des guides méthodologiques et un outil gratuit https://www.cnil.fr/fr/PIA-privacy-impact-assessmen t https://www.cnil.fr/fr/outil-pia-telechargez-et-ins tallez-le-logiciel-de-la-cnil

1. RGPD Passez à l’action RGPD Passez à l’action Amphithéâtre de la CCISM Vendredi 7 mars 2019 De 14h à 18h30

5. Mon traitement est sur la liste CNIL des cas pour lesquels une AIPD est obligatoire Ou Mon traitement remplit-il 2 critères parmi les 9 énoncés précédemment Vous devez conduire une analyse d’impact sur la pro tection des données (AIPD) avant de collecter des données et sur les traitements antérieurs au RGPD (l’existant)

11. • L’obligation, dans certain cas, de communiquer aupr ès des personnes concernées (art. 34) de manière individuelle ou publique • Se préparer au pire pour être efficace en cas de cr ise • Formaliser et tester les procédures internes de ges tion des incidents (arbre de décision, message type ...) • Inscrire le processus de gestion des incidents dans celui de la gestion de crise En cas de doute , notifiez à la CNIL qui vous indiquera s’il est né cessaire d’informer les personnes.

4. La CNIL a publié sur son site une liste avec de tra itements type à risque [1] Données sensibles + personnes dites vulnérables • traitements «de santé» mis en œuvre par les établissements de santé • dossier « patients » • algorithmes de prise de décision médicale ; • dispositifs de vigilances sanitaires... évaluation ou notation + croisement d’ensembles de données • traitement établissant un score pour l’octroi de crédit • traitement de lutte contre la fraude aux moyens de paiement ... A grande échelle + usage innovant • Application mobile permettant de collecter les données de géolocalisation des utilisateurs • mise en œuvre d’un système de billettique par des opérateurs de transport...

7. • Pragmatique! • Ne pas faire de l’AIPD quelque chose de complexe • Revoir votre gestion de projet pour intégrer l’AIPD avec vos méthodes existantes • Former les chefs de projet métiers, AMOA et informa tique à votre approche sécurité • Diversifiée ! • Il n’y a pas un expert RGPD • Mixité des compétences : juridique, technique, sécu rité, exploitation ... • Maitrisée ! • Une chefferie de projet • Une priorisation des chantiers selon leur complexit é (cout / mise en œuvre)

9. • S’appuyer sur les guides de la CNIL ou des référentiels reconnus et combiner plusieurs thématiques pour une meilleure défense en profondeur Prévenir Sensibilisation Gérer les habilitations Protéger Authentifier les utilisateurs Sécuriser les postes de travail Protéger les locaux Contenir Séparer les réseaux d’administration Cloisonnement des données Détecter Tracer les accès Remédier Sauvegarder vos données Procédure de gestion d’incident

2. • Licéité, loyauté, transparence Principe 1 • Limitation des finalités Principe 2 • Minimisation des données Principe 3 • Exactitude Principe 4 • Limitation de conservation Principe 5 • Garantir la sécurité des données Principe 6 Nouveau La disponibilité, l’intégrité et la confidentialité des données à caractère personnel doivent être garanties (même pour les données non s ensibles)

10. • Obligation de notifier les incidents de sécurité au près de la CNIL sous 72h (art. 33) en précisant: • La nature de la violation, et si faisable, le nombr e de personnes concernées ; • Le nom du délégué à la protection des données (DPO) ; • Les problèmes que peuvent entrainer la violation de s données ; • Les mesures prises ou que vous envisagez de prendre pour remédier à la violation, le cas échéant, des mesures d’atténuation . • Pour de l’assistance https://www.cybermalveillance.gouv.fr/ • Pour notifier https://notifications.cnil.fr/notifications/index Exception à la règle : la notification n’est pas ob ligatoire si les données sont impossibles à lire (données fortement chiffrées).

3. l’ évaluation ou notation d’une personne une prise de décision automatisée la surveillance systématique de personnes le traitement de données sensibles le traitement de données de personnes vulnérables le traitement à grande échelle de données personnelles le croisement d’ensembles de données Usages innovants ou l’application de nouvelles technologies l’ exclusion du bénéfice d’un droit, d’un service ou contrat (ex : liste noire) Un traitement est considéré à risque si il répond à 2 critères parmi les 9 listés

Vues

  • 245 Total des vues
  • 170 Vues du Site web
  • 75 Vues incluses

Actions

  • 0 Partages sociaux
  • 0 Aime
  • 0 N'aime pas
  • 0 Commentaires

Partagez le comptage

  • 0 Facebook
  • 0 Twitter
  • 0 LinkedIn
  • 0 Google+