Formation - Obligation du RGPD & la Cyber-Sécurité en entreprise (les principes de base pour l’entreprise) avec TechnoWide

Objectifs pédagogiques

Déterminer les obligations techniques et organisationnelles des entités concernées par le RGPD.
Définir le rôle du DPO
Cerner les obligations juridiques
Caractériser les spécificités du traitement des données
Acquérir les éléments essentiels d’une culture en cyber-sécurité pour l’entreprise
Voir plus Voir moins

Déterminer les obligations techniques et organisationnelles des entités concernées par le RGPD
• Rappeler le champ d'application, les objectifs et les enjeux du RGPD
• Origine de la directive 95-46 et de la loi Informatique et Libertés et philosophie du RGPD
• Critères d'application territoriale et personnelle
• Acteurs et responsabilités : coresponsabilité des clients et prestataires
• Débat : quelle impact de la suppression des formalités et autorisations par la création du "Guichet unique"
Définir les concepts et principes
• Notion de donnée, traitement, finalité, base légale, responsable de traitement, sous-traitant, destinataire, profilage, etc.)
• Principes de licéité/loyauté de la collecte, limitation des finalités, minimisation/exactitude et conservation limitée des données, confidentialité, proportionnalité, responsabilité, transparence, et sécurité des traitements...
• Cas particulier du profilage (eprivacy) et de la prise de décision algorithmique
• Eprivacy : spécificités des données de communications électroniques, cookie consent
• Exercice pratique : identifier les données personnelles directes et indirectes
Identifier les contraintes techniques et organisationnelles
• Cartographie des traitements, durées de conservation, finalités aux bases légales
• Implémentation et documentation des exigences « Privacy by Design » et mesures de sécurité logistique/physique (pseudonymisation, certifications, plan d'assurance sécurité)Gestion d'une violation de données personnelles
• Adoption d'une gouvernance interne et sensibilisation des équipes
• Procédures de conformité : gestion des demandes des droits, des violations de données et des AIDP et communiquer auprès des personnes concernées
• Cas pratique : constituer sa documentation d'accontability
Définir le rôle pour le délégué à la protection des données (DPD/DPO)
• Repérer les raisons de nommer un DPO
• Prévenir les risques et sanctions : amendes/CA, actions des personnes concernées, condamnation et préjudices
• Fonction quasi-obligatoire dans l'entreprise
• Débat : quel intérêt de nommer un DPO ?
Mesurer les fonctions du DPO dans l'entreprise
• Tenir le registre
• Limiter les mises en cause de responsabilité
• Expliquer ses missions
• Partage d'expériences : le rôle du DPO
Cerner les obligations juridiques
• Repérer les obligations juridiques
• Constitution et suivi du registre des traitements
• Conception et déploiement des mentions d'information et modalités de recueil des consentements des personnes
• Cas pratique : comment instruire des demandes d'exercice des droits des personnes concernées ?
Gérer la conformité RGPD sur le plan contractuel
• Qualification des protagonistes et vérification des responsabilités« Roadmap » de mise en conformité des contrats
• Clauses et annexes du RGPD
• Exercice pratique : qualifier les protagonistes des relations complexes et en cerner les conséquences
Caractériser les spécificités du traitement des données
• Analyser les flux transfrontaliers de données
• « BCR », clauses contractuelles types
• Conventions de flux complémentaires
• Débat : Privacy Shield et conséquences du nouvel accord pour le transfert de données entre l'Union européenne et les États-Unis
Utiliser les fichiers Marketing
• Respect du RGPD dans le cadre des prospections commerciales
• Respect du RGPD dans le cadre des locations ou cessions de fichiers
• Check-list : procédure d'utilisation du fichier Marketing
Introduction à la Cybersécurité
• Les préjugés à surmonter
• Les valeurs essentielles à protéger
• Les périmètres
• Les menaces
L'organisation et les responsabilités
• La direction générale
• Les directions métiers
• La DSI
• Les sous-traitants
• La voie fonctionnelle SSI et le RSSI
• La voie fonctionnelle protection de la vie privée et le DPO
• Les administrateurs techniques et fonctionnels
• Les utilisateurs
Les référentiels SSI et vie privée
• Les politiques
• Les chartes
• Les guides et manuels
• Les procédures
Vision synthétique des obligations légales
• Disciplinaire
• Contractuelle
• Civiles
• Pénales
• Le cas du contrôle par l'employeur : utilisation professionnelle et non-professionnelle
Les menaces
• La divulgation d'information "spontanée"
• L'ingénierie sociale et l'incitation à dire ou faire
• Le lien avec l'intelligence économique
• Le lien avec l'espionnage industriel
Les risques
• Vol, destruction
• Virus
• Les aspirateurs à données
• Le phishing /l'hameçonnage
• Les malwares
• Les spywares
• L'usurpation
• L'usurpation
• Les virus
• Le cas des réseaux sociaux
Les bonnes pratiques pour les comportements généraux
• A l'intérieur des établissements
• A l'extérieur des établissements
Les bonnes pratiques d'utilisation des supports d'information sensible pour les phases de conception, stockage, échanges et fin de vie
• Papier
• Environnement partagé
• Environnement individuel sédentaire
• Environnement individuel mobile
Les bonnes pratiques d'utilisation des ressources du système d'information
• Installation et maintenance : postes fixes, équipements nomades, portables, ordiphones
• Identification et authentification
• Échanges et communications : intranet, internet, contrôle des certificats serveurs, les échanges de fichiers via la plate-forme "institutionnelle", le nomadisme, les télétravailleurs et le VPN de télé accès, email, la consultation en Web mail, signature, chiffrement, Cloud, réseaux sociaux et forums thématiques professionnels et privés, téléphonie
• Stockages et sauvegardes (clés usb, locales, serveurs, ...)
• Archivages
• Anonymisation
• Destruction ou recyclage
Conclusion
• Les engagements de responsabilité
Voir plus Voir moins