12 octobre 2018

|

Marc-Antoine LEDIEU – Avocat et RSSI

#209 RGPD: l’obligation de sécurisation des données personnelles

[12 octobre 2018] Aujourd’hui, pour les pro de l’ISEP, c’est RGPD: obligation de sécurisation des données personnelles !

Alors à votre avis, de quoi allons-nous parler ? Un indice ? Choisissez un chiffre entre 31 et 33… ajouter « article » juste avant et allez chercher dans ce lien http un truc long et compliqué à lire qui est entré en vigueur depuis le 25 mai 2018.

Mes slides sont entièrement en ligne, dans trois sliders différents, histoire que vous, les pro de l’ISEP, puissiez accéder à celles qui vous seront utiles de revoir (on peut rêver, non ?).
RGPD-GDPR obligation de sécurisation des systèmes d'information


RGPD-GDPR obligation de sécurisation des systèmes d’information : rappel des fondamentaux de la GDPR

Oui, c’est promis, on va voir revoir rapidement (et de manière concrète) qui est responsable de traitement, qui est sous-traitant. On va voir les notions de « contenu », de « métadonnées » et de « données à caractère personnel ». Avec un peu de droit du « contenu » des bases de données. J’en profiterai pour faire un peu de perspective sur cette « matière » numérique.


RGPD-GDPR obligation de sécurisation des systèmes d’information : quelles contraintes techniques ?

Là, pas de mystère, il va falloir renter dans les concepts techniques qui effraient tant les juristes. Vous allez voir, avec quelques notions simples, vous en saurez assez pour ce qu’il faut lire ou écrire dans vos contrats. Evidemment, il faut comprendre ce qu’est le chiffrement… Pour le pseudonymisation, si la définition de la GDPR est incompréhensible, vous verrez, avec une slide, ça devrait devenir clair.



RGPD-GDPR obligation de sécurisation des systèmes d’information : la jurisprudence 2014 / 2018

On peut parler technique, nous les juristes, mais si en plus nos propos sont illustrés par des exemples précis, on préfère. Et bien, de ce coté là, nous sommes servi(e)s. 9 jurisprudences de la CNIL depuis juillet 2014, rien que sur des manquement à l’obligation de sécurisation, toutes directement transposables à la GDPR actuelle. Pourquoi ? Dans un excès de zèle qu’il faut louer, la France a anticipé le dispositif légal « violation de données » + « obligation de notification » depuis 2014. Et la CNIL, bien aidée par certains sites spécialisés d’information (dont la devise pourrait être « je ne dénonce pas, je renseigne« ), ne s’est pas privée de sanctionné et de poser des critères concrets permettant de détailler ce que doivent être les impératifs techniques de protection des systèmes d’information. Depuis juillet 2018, nous avons même une délibération de sanction faisant suite à une cyber-attaque délibérée (décision « DailyMotion »).



RGPD-GDPR obligation de sécurisation des systèmes d’information : les délibérations de la CNIL

Voici les liens pour accéder aux principales décisions de la CNIL :
Délibération de la formation restreinte n° 2014-298 du 7 août 2014 prononçant un avertissement à l’encontre de la société X
Délibération de la formation restreinte n° SAN-2017-010 du 18 juillet 2017 prononçant une sanction pécuniaire à l’encontre de la société HERTZ FRANCE
Délibération de la formation restreinte n° SAN-2017-011 du 20 juillet 2017 prononçant un avertissement public à l’encontre de la société OUICAR
Délibération de la formation restreinte n° SAN-2017-012 du 16 novembre 2017 prononçant une sanction pécuniaire à l’encontre de la société WEB EDITIONS
Délibération de la formation restreinte n° SAN-2018-001 du 08/01/2018 prononçant une sanction pécuniaire à l’encontre de la société ETABLISSEMENTS DARTY ET FILS
Délibération de la formation restreinte n° SAN-2018-002 du 7 mai 2018 prononçant une sanction pécuniaire à l’encontre de la société OPTICAL CENTER
Délibération de la formation restreinte n° SAN-2018-003 du 21 juin 2018 prononçant une sanction pécuniaire à l’encontre de l’Association pour le Développement des Foyers
Délibération de la formation restreinte n° SAN-2018-008 du 24 juillet 2018 prononçant une sanction pécuniaire à l’encontre de la société DAILYMOTION
Délibération de la formation restreinte n° SAN-2018-010 du 6 septembre 2018 prononçant une sanction pécuniaire à l’encontre de l’association ALLIANCE FRANCAISE PARIS ÎLE-DE-FRANCE


Marc-Antoine Ledieu

Avocat à la cour

Nos articles sur le sujet :
CYBER SÉCURITÉ

Nos articles sur le sujet :
CYBER SÉCURITÉ

NOS ARTICLES SUR LE MÊME SUJET

Directive UE résilience des entités CRITIQUES #1/2 : qui et pourquoi ?
5 juin 2023

#474 Directive UE entités CRITIQUES épisode 1/2 : QUI est concerné et POURQUOI ?

  • #analyse de #risque
  • #entités #CRITIQUES
  • #entités #ESSENTIELLES
  • #vidéo+BD
co-construction des mesures de sécurité avec les professionnel(le)s #475 cyber sécurité Directive NISv2 entité essentielle importante © Ledieu-Avocats 2023
1 juin 2023

#475 NISv2 l’ANSSI appelle à la co-construction des mesures techniques avec les professionnel(le)s

  • #entités #ESSENTIELLES
  • #entités #importantes
  • #mesures de #cyber #sécurité
  • #NIS v2
données techniques de cache DNS projet LPM 2023 spécial cyber #6 © Ledieu-Avocats
30 mai 2023

#472 projet de LPM 2023 spécial cyber #6 le droit de copie par l’ANSSI des données de cache DNS

  • #cyber-sécurité
  • #LPM 2023
  • #méta #données #techniques
  • #nom de #domaine

LE BLOG EN BD :
DERNIERS ARTICLES

Directive UE résilience des entités CRITIQUES #1/2 : qui et pourquoi ?

#474 Directive UE entités CRITIQUES épisode 1/2 : QUI est concerné et POURQUOI ?

  • #analyse de #risque
  • #entités #CRITIQUES
  • #entités #ESSENTIELLES
  • #vidéo+BD
co-construction des mesures de sécurité avec les professionnel(le)s #475 cyber sécurité Directive NISv2 entité essentielle importante © Ledieu-Avocats 2023

#475 NISv2 l’ANSSI appelle à la co-construction des mesures techniques avec les professionnel(le)s

  • #entités #ESSENTIELLES
  • #entités #importantes
  • #mesures de #cyber #sécurité
  • #NIS v2
données techniques de cache DNS projet LPM 2023 spécial cyber #6 © Ledieu-Avocats

#472 projet de LPM 2023 spécial cyber #6 le droit de copie par l’ANSSI des données de cache DNS

  • #cyber-sécurité
  • #LPM 2023
  • #méta #données #techniques
  • #nom de #domaine